Accès aux fichiers chiffrés EFS après la réinitialisation du mot de passe Windows

12

J'ai des fichiers cryptés EFS dans Windows. Le compte utilisateur propriétaire est protégé par un mot de passe, qui peut être facilement contourné (c'est-à-dire réinitialisé) par de nombreux outils et méthodes.

Alors, qu'arrivera-t-il à ces fichiers cryptés si cela se produit? Seront-ils accessibles à l'attaquant? Ou seront-ils toujours protégés et auront-ils besoin de la clé de chiffrement pour y accéder?

windows-7 encryption ntfs efs ICTAddict
la source
2
J'ai modifié votre question pour qu'il soit un peu plus clair que vous utilisez EFS. Si ce n'est pas le cas, vous pouvez annuler la modification. Bonne question!
Ben N

Réponses:

9

La réponse existante est correcte dans la mesure où la clé privée EFS est protégée par le mot de passe de l'utilisateur. Cependant, il est possible de configurer des agents de récupération de données EFS qui peuvent déchiffrer n'importe quel fichier chiffré EFS sur un système. Les certificats DRA sont définis via la stratégie de groupe ou la stratégie de sécurité locale si vous n'avez pas de domaine.

Les DRA ont un tel accès car lorsqu'un système reçoit la clé publique des DRA, il crypte la clé symétrique de chaque fichier chiffré avec la clé publique de chaque DRA en plus de la clé publique de l'utilisateur. Ainsi, les DRA ne peuvent récupérer des fichiers chiffrés que s'ils ont été créés ou ouverts après l'enregistrement de leur certificat.

Ainsi, selon votre configuration, il pourrait être possible de récupérer les données même après la réinitialisation du mot de passe du propriétaire. Les clés DRA sont également protégées par le mot de passe du DRA, mais un attaquant astucieux installerait un certificat DRA pour un nouvel utilisateur, attendrait que vous touchiez les fichiers cibles, puis profiterait du certificat pour les décrypter.

Notez que cette option de récupération ne s'applique pas aux données protégées par DPAPI, car la DPAPI ne respecte pas les DRA EFS. Vous avez du mal si vous avez besoin de récupérer de telles données.

Ben N
la source
7

La clé privée EFS de l'utilisateur, ainsi que diverses autres données privées conservées par Windows, sont cryptées à l'aide du mot de passe de l'utilisateur. Si le mot de passe est modifié, il est impossible de décrypter les clés privées, et sans cela, il est impossible d'accéder aux fichiers cryptés.

user1686
la source
1
Je ne suis pas sûr de bien comprendre cela, voulez-vous dire qu'une fois le mot de passe réinitialisé par un logiciel tiers, les données chiffrées disparaissent à jamais?
ICTAddict
2
C'est exact. La clé privée EFS est cryptée via les "API de protection des données", CryptProtectData et CryptUnprotectData. Le fonctionnement exact de cette API est bien expliqué sur MSDN; voici ce que je peux faire dans un commentaire: le mot de passe fourni lors de la connexion fait partie de la saisie de la génération de clé. Si vous changez votre pw, tous les secrets que vous avez précédemment chiffrés avec cette API sont recapés avec le nouveau mot de passe. Mais si un logiciel tiers (ou l'administrateur d'ailleurs) change votre pw, cela ne peut pas être fait, et vous perdez l'accès aux secrets précédemment cryptés. Voir aussi "Agent de récupération EFS".
Jamie Hanrahan du
3
@JamieHanrahan - Cela pourrait justifier une question distincte mais ce n'est qu'une légère extension à la question d'origine ci-dessus: si après la réinitialisation du mot de passe par des outils tiers comme ci-dessus, le mot de passe d'origine a été trouvé (mémorisé), se connecterait (en utilisant le "réinitialiser" le mot de passe) et en remettant le mot de passe au mot de passe d'origine, autorisez-vous l'accès aux fichiers cryptés EFS?
Kevin Fegan