Depende de la configuración de EFS y de la versión de NTFS que esté utilizando. Para los fines de esta pregunta, presumiré una versión moderna de NTFS (es decir, > = 3.0) en un sistema operativo moderno como Windows 8.1 o 10.
En un entorno de un solo usuario fuera de un dominio, de forma predeterminada, los archivos se cifran en un proceso de 3 etapas. Primero, se genera una clave de cifrado de archivos (FEK) aleatoria y se utiliza para cifrar el archivo con 3DES o DESX. Luego, esta clave se cifra mediante un par de claves asimétricas específicas del usuario, y esta clave cifrada se almacena en los metadatos del archivo. El par de claves asimétricas se almacena en el disco en forma cifrada, utilizando una clave conocida como la Clave Maestra DPAPI.
La clave maestra de DPAPI se deriva de una combinación de la contraseña NTLM del usuario y su SID (identificador único para el usuario). Cuando digo la contraseña NTLM, me refiero a su contraseña de inicio de sesión, no al hash de su contraseña. La clave maestra EFS se deriva utilizando la función de derivación de clave basada en contraseña (PBKDF2), que a veces se denomina "derivación RFC 2898" en la documentación. Esta clave maestra no solo se utiliza para almacenar el par de claves asimétricas de EFS, sino también cualquier dato en reposo protegido por DPAPI .
Dado que la clave DPAPI se deriva de la contraseña NTLM del usuario, descifrar el hash NTLM le proporciona la información que necesita para obtener la clave DPAPI, que le permitiría descifrar el par de claves asimétricas EFS, que a su vez le permite descifrar los flujos de $ EFS que contienen los FEK, que a su vez le permiten descifrar los datos del archivo. Existen herramientas disponibles para hacer esto en una capacidad forense.
Sin embargo, hay otros entornos y configuraciones para EFS. Por ejemplo, en un entorno de dominio, es posible que los archivos protegidos por EFS sean accesibles desde múltiples usuarios utilizando certificados de cifrado respaldados por dominio. De hecho, incluso en archivos EFS accesibles para un solo usuario, el par asimétrico EFS puede ser respaldado por un dominio, lo que permite acceder a los archivos cifrados EFS desde cualquier terminal, independientemente de dónde se cifró inicialmente el archivo. También es posible colocar la clave maestra de DPAPI o el par de claves asimétricas EFS para un usuario en una tarjeta inteligente, evitando así la necesidad de almacenarlas en el disco. Estas configuraciones complican la situación más allá del simple caso de "crack NTLM y obtiene los archivos EFS".
Además, si usa el cifrado de disco de BitLocker, sus claves maestras de DPAPI también pueden cifrarse con las claves de BitLocker, lo que les permite estar protegidos con un dispositivo como un TPM, que puede tener requisitos de autenticación adicionales (por ejemplo, tarjetas inteligentes) antes Las teclas están desbloqueadas.
También se debe tener en cuenta que, al iniciar sesión, el sistema almacena una copia en caché de la clave maestra de DPAPI en la memoria para acceder a ciertos segmentos de memoria cifrados y, por supuesto, el par de claves asimétricas EFS. Si se encuentra en un sistema en ejecución con privilegios administrativos, puede usar varias herramientas para volcar las claves EFS, la clave maestra DPAPI y las áreas protegidas por LSA. Esto evita tener que descifrar la contraseña NTLM en absoluto.