一口老血, 微软把 ssh-agent 添加的 key 存在注册表里面

内存和注册表里有多大区别, 你用的 PowerShell 读取 key 的程序可能就是之前从 Linux 上内存读取移植过来的.

@nicevar 我希望 agent 退出后将我的 key 清除

@nicevar #1 持久化和非持久化的区别。

回到楼主的问题，不知道楼主说的“加密”是什么，如果是正规的加密的话（比如使用 Windows 密码学 API ）其他用户是无法读取的（因为解密密钥是加密者的密码导出的密钥）。

如果没有可配置选项，那么最好的策略是使用 EFS，这样管理员在没有目标用户的密码时无法访问目标用户的 HKU 子项。

@geelaw 解密用的是 Data Protection API.

保存的注册表是 H.K.CU\Software\Openssh, 这个分支只有 SYSTEM 和 Administrators 有访问权限. 当前用户和其它没提权的用户都无法读取.

win 的 admin 等同于设备的主人

@M3ng 很欣赏这种设计，设备的所有者应当要有能想怎么来就怎么来的权利，只要自己承担后果就好了。
现在各种手机喜欢搞各种限制，美其名曰为用户好，有种花钱只是买了使用权的错觉。

@Osk #4 既然用了 DP API 就说明结果是加密的，解密必须需要所有者的密码。其他用户即使能看到内容也只是密文。

不清楚 HKCU\Software\OpenSSH 的访问权限的设置问题，可能是因为这一块是 ssh-agent 服务管的，所以当前用户不需要读取。这应该看作一个“防手贱”的设定，因为当前用户总是可以查看和编辑自己的 ntuser.dat 。

我说的“用了 EFS 就无法在没有密码的情况下访问 HKU 子项”是因为那种情况下 ntuser.dat 是加密的，和 ACL 没关系。

@M3ng #5 @mrcn #6 这个说法很成问题，管理员并不是什么都可以做得到。