Кто может дешифровать файлы EFS?

Короче говоря:

Пользователь и локальный администратор (если он - Агент Восстановления данных),

Подробно:

В Основных идеях

Однако ключи криптографии для EFS на практике защищены паролем учетной записи пользователя.

Источник: Википедия

Этот пароль также хранится в SAM, который шифруется с системным ключом...

Что означает, что не только пользователь может получить доступ к нему! Вот детали:

При Дешифровании файлов с помощью учетной записи локального администратора

В Windows 2000 локальный администратор является Агентом Восстановления данных по умолчанию, способным к дешифрованию всех файлов, зашифрованных с EFS любым локальным пользователем. EFS в Windows 2000 не может функционировать без агента восстановления, таким образом, всегда существует кто-то, кто может дешифровать зашифрованные файлы пользователей. Любой non-domain-joined компьютер Windows 2000 будет восприимчив к несанкционированному дешифрованию EFS любым, кто может принять учетную запись локального администратора, которая тривиальна, учитывая многие инструменты, доступные свободно в Интернете.

В Windows XP и позже, нет никакого локального Агента Восстановления данных по умолчанию и никакого требования, чтобы иметь то. Установка SYSKEY к режиму 2 или 3 (syskey введенный во время начальной загрузки или сохраненный на гибком диске) снизит риск несанкционированного дешифрования через учетную запись локального администратора. Это вызвано тем, что хэши пароля локального пользователя, сохраненные в файле SAM, шифруются с Syskey, и значение Syskey не доступно офлайновому взломщику, который не обладает паролем/дискетой Syskey.

Источник: Википедия

Это не изменилось к Windows 7, если Вы хотите знать, что изменения функции видят эту часть Википедии.