J'ai des fichiers chiffrés par EFS dans Windows. Le compte utilisateur propriétaire est protégé par un mot de passe, qui peut être facilement contourné (c'est-à-dire réinitialisé) par de nombreux outils et méthodes.
Alors que va-t-il se passer pour ces fichiers chiffrés si cela se produit? Seront-ils accessibles à l'attaquant? Ou seront-ils toujours protégés et nécessiteront la clé de chiffrement pour y accéder?
La réponse existante est correcte en ce sens que la clé privée EFS est protégée par le mot de passe de l'utilisateur. Cependant, il est possible de configurer des agents de récupération de données EFS qui peuvent décrypter n'importe quel fichier chiffré avec EFS sur un système. Les certificats DRA sont définis via la Stratégie de groupe, ou la Politique de sécurité locale si vous n'avez pas de domaine.
Les DRA ont un tel accès parce que lorsqu'un système reçoit la clé publique des DRA, il chiffre la clé symétrique de chaque fichier chiffré avec les clés publiques de chaque DRA en plus de la clé publique de l'utilisateur. Ainsi, les DRA peuvent récupérer uniquement les fichiers chiffrés s'ils ont été créés ou ouverts après l'enregistrement de leur certificat.
Donc, selon votre configuration, il pourrait être possible de récupérer les données même après avoir réinitialisé le mot de passe du propriétaire. Les clés DRA sont également protégées par le mot de passe du DRA, mais un attaquant astucieux installerait un certificat DRA pour un nouvel utilisateur, attendrait que vous touchiez les fichiers cibles, puis profiterait du certificat pour les décrypter.
Notez que cette option de récupération ne s'applique pas aux données protégées par DPAPI, car le DPAPI ne respecte pas les DRA EFS. Vous êtes en difficulté si vous avez besoin de récupérer de telles données.
La clé privée EFS de l'utilisateur, ainsi que diverses autres données privées conservées par Windows, sont cryptées en utilisant le mot de passe de l'utilisateur. Si le mot de passe est modifié, il est impossible de décrypter les clés privées, et sans cela, il est impossible d'accéder aux fichiers chiffrés.
Je ne suis pas sûr de comprendre pleinement cela, est-ce que vous voulez dire que une fois le mot de passe est réinitialisé par un logiciel tiers, les données chiffrées sont perdues pour toujours?
C'est exact. La clé privée EFS est cryptée via l'"API de protection des données", CryptProtectData et CryptUnprotectData. Exactement comment fonctionne cette API est bien expliqué sur MSDN; ce que je peux ajouter dans un commentaire ici est ceci: le mot de passe fourni à la connexion fait partie de l'entrée de la génération de clé. Si vous changez votre mot de passe, alors tous les secrets que vous avez précédemment cryptés avec cette API sont re-clés avec le nouveau mot de passe. Mais si un logiciel tiers (ou l'administrateur en question) modifie votre mot de passe, cela ne peut pas être fait, et vous perdez l'accès aux secrets préalablement cryptés. Voir aussi "Agent de récupération EFS".
@JamieHanrahan - Cela pourrait justifier une question séparée mais ce n'est qu'une légère expansion de la question d'origine ci-dessus : Si après que le mot de passe ait été réinitialisé par des outils tiers comme indiqué ci-dessus, le mot de passe d'origine était retrouvé (rappelé), est-ce que se connecter (en utilisant le mot de passe "réinitialisé") et changer le mot de passe pour le mot de passe d'origine permettrait d'accéder aux fichiers chiffrés par EFS?
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
2 votes
J'ai édité votre question pour la rendre un peu plus claire que vous utilisez EFS. Si ce n'est pas correct, vous pouvez annuler la modification. Belle question !