Существующий ответ верен в том, что закрытый ключ EFS защищен паролем пользователя. Однако можно настроить агенты восстановления данных EFS, которые могут расшифровывать любой файл, зашифрованный EFS, в системе. Сертификаты DRA устанавливаются с помощью групповой политики или локальной политики безопасности, если у вас нет домена.
DRA имеют такой доступ, потому что, когда система получает открытый ключ DRA, она шифрует симметричный ключ каждого зашифрованного файла с помощью открытого ключа каждого DRA в дополнение к открытому ключу пользователя. Таким образом, DRA могут восстанавливать зашифрованные файлы, только если они были созданы или открыты после того, как их сертификат был зарегистрирован.
Таким образом, в зависимости от вашей конфигурации может быть возможно восстановить данные даже после сброса пароля владельца. Ключи DRA также защищены паролем DRA, но хитрый злоумышленник установит сертификат DRA для нового пользователя, подождет, пока вы прикоснитесь к целевым файлам, а затем воспользуйтесь сертификатом для их расшифровки.
Обратите внимание, что этот параметр восстановления не применяется к данным, защищенным DPAPI, поскольку DPAPI не учитывает DRA EFS. Вы будете испытывать некоторую боль, если вам нужно восстановить такие данные.