重置Windows密码后访问EFS加密的文件

我在Windows中有一些EFS加密的文件。拥有的用户帐户受密码保护，密码可以通过许多工具和方法轻松绕过（即重置）。

那么，如果发生这种情况，这些加密文件会发生什么？攻击者可以访问它们吗？或者它们是否仍然受到保护并需要加密密钥才能访问它们？

现有答案是正确的，因为EFS私钥受用户密码保护。但是，可以配置可以解密系统上任何EFS加密文件的EFS数据恢复代理。如果您没有域，则通过组策略或本地安全策略设置DRA证书。

DRA具有这样的访问权限，因为当系统接收DRA的公钥时，除了用户的公钥之外，它还使用每个DRA的公钥来加密每个加密文件的对称密钥。因此，DRA只能在注册证书后创建或打开加密文件时才能恢复。

因此，根据您的配置，即使重置了所有者的密码，也可以恢复数据。DRA密钥也受DRA密码的保护，但是狡猾的攻击者会为新用户安装DRA证书，等待您触摸目标文件，然后利用证书对其进行解密。

请注意，此恢复选项不适用于受DPAPI保护的数据，因为DPAPI不​​遵守EFS DRA。如果你需要恢复这些数据，你会感到很痛苦。

用户的EFS私钥以及Windows保存的各种其他私有数据使用用户密码进行加密。如果更改密码，则无法解密私钥，如果没有，则无法访问加密文件。