[port139ml:04863] Re: EFS とアカウント

[ARIGA Seiji <ariga@xxxxxxxxxxxx>]

有賀です．

On Tue, 27 Jan 2004 12:37:41 +0900,
Makoto Shiotsuki <shio@xxxxxxxxxxxx> wrote,

> >1. そもそも administrator のアカウントを乗っ取るのと同じツールで，その
> >   他のローカルアカウントものっとれるのではないでしょうか？
> ここで言っておられるツールとは、
>   chntpw
>   http://home.eunet.no/~pnordahl/ntpasswd/
> のような、オフラインで強制的にパスワードを変更するツールのことだと

はい，おっしゃる通りです．

> >2. 結局，Syskey のモードを 1 以外にしておくことで，ローカルアカウント
> >   の安全性を高めることができるのでしょうか？
> ただしSyskey>1の場合、アカウントパスワードを変更してもローカルアカウント
> のEFS鍵にアクセスすることができないため、EFSで暗号化されたファイルの情報は
> 保護されます。なぜならEFS鍵情報はSyskeyで保護されており、Syskey=2では

なるほど．ここを誤解していました．パスワードを変更され，ログオンできる
状態になると，EFS の鍵も復号されるのかと思っていました．

> (Syskey=1の場合はパスワード強制変更でログオンすればEFSファイルは読めます)

なるほど，こちらではそうなのですね．

> このことはMSの文書からも読み取れますし、私がW2Kでいろいろと実験した結果
> ともマッチしています。

----
Syskey モード 2 およびモード 3 では、事情はまったく異なります。この 2 
つのモードでは、Syskey がコンピュータ上に存在しません。アタッカーがコ
ンピュータにログオンできたとしても、LSA Secrets を解読するキーが必要な
ので、EFS 解読キーにアクセスできません。このため、ユーザーの暗号化デー
タに対する攻撃は失敗します。
----

確かにここに書かれていました．

> XPの場合も基本的にはW2Kと同じだと思われますが、XPでは仕様としてパスワード
> リセットによってEFS鍵もリセットされます(新しいEFS鍵が生成されるみたい)。

あぁ，なるほど．これは気が付いていませんでした．確かにおっしゃる通りはまり
そうな点ですね．

ありがとうございました．とりあえず Syskey のモードを変更するところから
始めようと思います．

> ただSyskey>1にしていて、かつSyskeyパスワードやSyskey-FDが奪われていない
> 状態であっても、ローカルアカウントパスワードが判明すればそのユーザの
> EFSファイルを読めるという話もありますので注意が必要だと思われます。

悩ましい問題ですね．

ただ，アカウントのパスワードが分かっても，Syskey のパスワードが分かっても
結局は復号されてしまうことを考えると，両方にそれなりに安全なパスワードを
使うことで，このツールがあってもなくても脅威は変わらないかなと思います．

// ARIGA Seiji