Wer kann EFS-Dateien entschlüsseln?

6429
mafu

Ich verwende Windows 7 Professional zu Hause und beschloss, einige meiner Dateien mit dem integrierten EFS zu verschlüsseln. Ich verstehe, dass nur das Konto, das die Dateien verschlüsselt hat, sie auch wieder lesen kann - alle anderen Benutzer (auch Administratoren) können sie nicht lesen. (Und natürlich geht der Zugriff nach einer Neuinstallation komplett verloren.)

Ist das korrekt? Welche Benutzer können die von mir gesicherten Dateien genau entschlüsseln? Und aus Neugier war das in früheren Windows-Versionen anders? Ich frage mich, seit ich vor kurzem gelesen habe, dass "Administratoren alle Dateien entschlüsseln können", die von einem Microsoft-Mitarbeiter angegeben wurden.

3
Ich weiß nicht, ob der Administrator direkt auf verschlüsselte Daten zugreifen kann, aber der Administrator kann immer auf das Konto des Benutzers zugreifen, der dies kann. AndrejaKo vor 13 Jahren 0
Die Verwendung von EFS ist eine schlechte Idee. Das Sichern ist sehr schwierig, da Sie auch das Verschlüsselungszertifikat und den Schlüssel sichern müssen. Bei einem Notfall kann es vorkommen, dass niemand die Sicherungsdateien einschließlich sich selbst entschlüsseln kann. Wie üblich bei Microsoft: Gute Idee, schreckliche Umsetzung. Verwenden Sie stattdessen TrueCrypt. harrymc vor 13 Jahren 1
@Und ich glaube nicht. Ein Administrator kann auf alles zugreifen, was jedoch nicht bedeutet, dass er sie auch entschlüsseln und lesen kann. mafu vor 13 Jahren 0
@har Ja, ich habe diese Dateien tatsächlich in einem sicheren Subversion-Repository als VC und als Backup gespeichert. Ich möchte nur sicherstellen, dass die lokale Kopie für Eindringlinge nicht lesbar ist. mafu vor 13 Jahren 0
@Harry: Sie müssen den Verschlüsselungsschlüssel in _all_ asymmetrischen Crypto-Implementierungen sichern. EFS ist nicht anders. (Win7 bringt Sie sogar dazu, den Schlüssel zu sichern, so dass keine Benutzer mehr wissen, wo sie zu finden sind, Entschuldigungen.) grawity vor 13 Jahren 1

1 Antwort auf die Frage

4
Tom Wijsman

Zusamenfassend:

Der Benutzer und der lokale Administrator (wenn er ein Data Recovery Agent ist)

Im Detail:

Bei Grundideen

Die Kryptografieschlüssel für EFS sind jedoch in der Praxis durch das Benutzerkontokennwort geschützt.

Quelle: Wikipedia

Dieses Passwort wird auch in der SAM gespeichert, die mit einem Systemschlüssel verschlüsselt wird.

Was bedeutet, dass nicht nur der Benutzer darauf zugreifen kann! Hier sind die Details:

Bei Entschlüsseln von Dateien mit dem lokalen Administratorkonto

In Windows 2000 ist der lokale Administrator der Standard-Datenwiederherstellungs-Agent, mit dem alle mit EFS verschlüsselten Dateien von jedem lokalen Benutzer entschlüsselt werden können. EFS in Windows 2000 kann nicht ohne einen Wiederherstellungsagenten funktionieren. Daher gibt es immer jemanden, der verschlüsselte Dateien der Benutzer entschlüsseln kann. Jeder Windows 2000-Computer, der keiner Domäne angehört, ist anfällig für die nicht autorisierte EFS-Entschlüsselung durch jeden, der das lokale Administratorkonto übernehmen kann.

In Windows XP und höher gibt es keinen lokalen Standard-Datenwiederherstellungs-Agent und keine Anforderung für einen solchen. Wenn Sie SYSKEY auf Modus 2 oder 3 einstellen (syskey wurde beim Systemstart eingegeben oder auf einer Diskette gespeichert), verringert sich das Risiko einer nicht autorisierten Entschlüsselung durch das lokale Administratorkonto. Dies liegt daran, dass die in der SAM-Datei gespeicherten Kennworthashes des lokalen Benutzers mit dem Syskey verschlüsselt werden und der Wert für Syskey nicht für einen Offline-Angreifer verfügbar ist, der nicht über die Passphrase / Diskette von Syskey verfügt.

Quelle: Wikipedia

Dies hat sich gegenüber Windows 7 nicht geändert. Wenn Sie wissen möchten, ob Featureänderungen in diesem Wikipedia-Abschnitt angezeigt werden .

Verwandte Probleme