[port139ml:04855] Re: EFS とアカウント

[Makoto Shiotsuki <shio@xxxxxxxxxxxx>]

>1. そもそも administrator のアカウントを乗っ取るのと同じツールで，その
>   他のローカルアカウントものっとれるのではないでしょうか？

ここで言っておられるツールとは、

  chntpw
  http://home.eunet.no/~pnordahl/ntpasswd/

のような、オフラインで強制的にパスワードを変更するツールのことだと
思いますが、おっしゃるとおり、administrator以外のローカルアカウントの
パスワードを変更することもできます。

>2. 結局，Syskey のモードを 1 以外にしておくことで，ローカルアカウント
>   の安全性を高めることができるのでしょうか？

Syskeyを1以外(というか、2もしくは3)にしても、上記ツールでローカル
アカウントのパスワードを強制変更することは可能です。
ただしSyskey>1の場合、アカウントパスワードを変更してもローカルアカウント
のEFS鍵にアクセスすることができないため、EFSで暗号化されたファイルの情報は
保護されます。なぜならEFS鍵情報はSyskeyで保護されており、Syskey=2では
Syskeyパスワード、Syskey=3ではSyskey-FDが無いとEFS鍵情報を読むことが
できないからです。

つまりSyskey>1にすることにより、ローカルアカウントのパスワード強制変更を
防ぐことはできないが、パスワード変更してログオンしたとしてもEFSで暗号化
されたファイルの安全性は確保される(つまり読めない)、と言えるのだと思います。
(Syskey=1の場合はパスワード強制変更でログオンすればEFSファイルは読めます)
このことはMSの文書からも読み取れますし、私がW2Kでいろいろと実験した結果
ともマッチしています。

XPの場合も基本的にはW2Kと同じだと思われますが、XPでは仕様としてパスワード
リセットによってEFS鍵もリセットされます(新しいEFS鍵が生成されるみたい)。

  パスワードのリセット後に証明書の EFS、資格情報、秘密キーが使用できなくなる 
  http://support.microsoft.com/default.aspx?scid=kb;ja;290260

通常の手順でパスワード変更した場合は問題ないのですが、例えばnet userコマンド
等でadministratorがパスワードをリセットした場合、以前に暗号化したEFSファイル
は読めなくなります。(私も以前、はまったことがあります :)

ですので、ひょっとするとXPではSyskey=1の状態で前述のツールを使いパスワード
強制変更してログオンしても、以前のEFSファイルは読めないのかも知れません。

いずれにせよ、物理的アクセスの危険性が高いPCの場合、EFSファイルを保護する
ためには最低限Syskeyは2もしくは3に設定することが必須だと考えられます。

ただSyskey>1にしていて、かつSyskeyパスワードやSyskey-FDが奪われていない
状態であっても、ローカルアカウントパスワードが判明すればそのユーザの
EFSファイルを読めるという話もありますので注意が必要だと思われます。

  http://www.elcomsoft.com/AEFSDR/readme.txt

塩月