Dipende da come è configurato EFS e da quale versione di NTFS stai usando. Ai fini di questa domanda, presumo una versione moderna di NTFS (ad esempio > = 3.0) su un sistema operativo moderno come Windows 8.1 o 10.
In un ambiente utente singolo esterno a un dominio, per impostazione predefinita, i file vengono crittografati in un processo a 3 fasi. Innanzitutto, viene generata una chiave di crittografia file (FEK) casuale che viene utilizzata per crittografare il file con 3DES o DESX. Questa chiave viene quindi crittografata utilizzando una coppia di chiavi asimmetrica specifica dell'utente e questa chiave crittografata viene archiviata nei metadati del file. La coppia di chiavi asimmetriche è memorizzata su disco in forma crittografata, utilizzando una chiave nota come chiave master DPAPI.
La chiave master DPAPI deriva da una combinazione della password NTLM dell'utente e del relativo SID (identificativo univoco per l'utente). Quando dico la password NTLM, intendo la loro password di accesso, non il hash NTLM della loro password. La chiave master EFS viene derivata utilizzando la funzione di derivazione chiave basata su password (PBKDF2), che viene talvolta indicata come "derivazione RFC 2898" nella documentazione. Questa chiave master non viene utilizzata solo per archiviare la coppia di chiavi asimmetriche EFS, ma anche tutti i dati relativi al riposo protetti da DPAPI .
Poiché la chiave DPAPI è derivata dalla password NTLM dell'utente, il crack dell'hash NTLM fornisce le informazioni necessarie per derivare la chiave DPAPI, che consentirebbe di decrittografare la coppia di chiavi asimmetriche EFS, che a sua volta consente di decrittografare i flussi $ EFS che contengono i FEK, che a loro volta consentono di decrittografare i dati dei file. Esistono strumenti standard per farlo in ambito forense.
Tuttavia, ci sono altri ambienti e configurazioni per EFS. Ad esempio, in un ambiente di dominio, è possibile avere file protetti da EFS accessibili da più utenti che utilizzano certificati di crittografia supportati dal dominio. Infatti, anche nei file EFS accessibili all'utente singolo, la coppia asimmetrica EFS può essere controllata dal dominio, consentendo l'accesso ai file crittografati EFS da qualsiasi terminale, indipendentemente da dove il file è stato inizialmente crittografato. È anche possibile inserire la chiave master DPAPI o la coppia di chiavi asimmetriche EFS per un utente su una smart card, ignorando così la necessità di archiviarle su disco. Queste configurazioni complicano la situazione oltre il semplice caso di "crack NTLM e ottieni i file EFS".
Inoltre, se si utilizza la crittografia del disco BitLocker, le chiavi master DPAPI possono essere crittografate utilizzando anche le chiavi BitLocker, consentendo loro di essere protette con un dispositivo come un TPM, che può avere requisiti di autenticazione aggiuntivi (ad es. smart card) prima le chiavi sono sbloccate.
Si noti inoltre che, all'accesso, il sistema memorizza una copia cache della chiave master DPAPI in memoria per accedere a determinati segmenti di memoria crittografati e, ovviamente, alla coppia di chiavi asimmetrica EFS. Se si utilizza un sistema operativo con privilegi amministrativi, è possibile utilizzare numerosi strumenti per eseguire il dump delle chiavi EFS, della chiave master DPAPI e delle aree protette LSA. Ciò evita di dover decifrare la password NTLM.