web-dev-qa-db-ja.com

EFSファイルを復号化できるのは誰ですか?

私は自宅でWindows7 Professionalを実行しており、組み込みのEFSを使用してファイルの一部を暗号化することにしました。私の理解では、ファイルを暗号化したアカウントだけがファイルを再度読み取ることができます。他のユーザー(管理者でさえ)はファイルを読み取ることができません。 (もちろん、再インストール後はアクセスが完全に失われます。)

あれは正しいですか?保護したファイルを正確に復号化できるユーザーは何ですか?そして好奇心から、それは以前のバージョンのWindowsとは異なっていましたか?最近、マイクロソフトの従業員が述べたサイトで「管理者は任意のファイルを復号化できる」を読んだのでしょうか。

3
mafu

要するに:

ユーザーとローカル管理者(彼がデータ回復エージェントの場合)

詳細:

基本的な考え方

ただし、EFSの暗号化キーは、実際にはユーザーアカウントのパスワードで保護されています。

出典: ウィキペディア

このパスワードは、システムキーで暗号化されたSAMにも保存されます...

つまり、ユーザーだけがアクセスできるわけではありません。詳細は次のとおりです。

ローカル管理者アカウントを使用したファイルの復号化

Windows 2000では、ローカル管理者がデフォルトのデータ復旧エージェントであり、ローカルユーザーがEFSで暗号化したすべてのファイルを復号化できます。 Windows 2000のEFSは、回復エージェントなしでは機能できないため、ユーザーの暗号化されたファイルを復号化できる人が常にいます。ドメインに参加していないWindows2000コンピュータは、ローカルの管理者アカウントを引き継ぐことができる人による不正なEFS復号化の影響を受けやすくなります。これは、インターネット上で無料で利用できる多くのツールを考えると簡単です。

Windows XP以降では、デフォルトのローカルData Recovery Agentはなく、必要ありません。SYSKEYをモード2または3に設定します(syskeyは起動時に入力されるか、フロッピーディスクに保存されます)。これは、SAMファイルに保存されているローカルユーザーのパスワードハッシュがSyskeyで暗号化されており、Syskey値を所有していないオフラインの攻撃者が利用できないためです。 Syskeyパスフレーズ/フロッピー。

出典: ウィキペディア

これはWindows7に向けて変更されていません。機能の変更について知りたい場合は、 このウィキペディアの部分 を参照してください。

4
Tamara Wijsman