Что-то не так с шифрованием индекса поиска с помощью EFS, когда служба поиска индексирует зашифрованные файлы? Я зашифровал каталог% ProgramData%\Microsoft\Search и добавил пользователя SYSTEM с помощью «cipher /ADDUSER /certhash:" SYSTEMHASH "/s:thedirectory, и похоже, что у учетной записи SYSTEM нет проблем с индексацией моих файлов ,
Тем не менее, рекомендация говорит мне индексировать зашифрованные файлы только при использовании полного шифрования диска. Это неправильная практика?
Прочитайте обоснование не просто шифрования только индекса на этой странице TechNet
Шифрование индекса Чтобы зашифровать сам файл индекса, мы рекомендуем зашифровать весь том, содержащий индекс, с помощью BitLocker или другого варианта шифрования полного тома стороннего производителя. Это обеспечивает надежную защиту от автономных атак; онлайн-атаки все еще возможны пользователями с правами администратора. Шифрование диска BitLocker обеспечивает улучшенную защиту от кражи данных путем шифрования данных операционной системы и томов данных. В Windows 7 шифрование диска BitLocker работает на съемных дисках. Мы настоятельно рекомендуем также тома операционной системы BitLocking, если вы используете тома данных BitLock.
Хотя шифрованная файловая система (EFS) также может использоваться, это не рекомендуется. Служба поиска Windows работает под учетной записью LocalSystem и нуждается в доступе к файлам индекса. В результате ключи EFS, связанные с учетной записью LocalSystem, должны использоваться для шифрования файлов индекса. Следовательно, индексные файлы открыты для следующих атак:
Онлайн: любой пользователь с правами администратора может получить доступ к зашифрованным индексным файлам, просто выдав себя за учетную запись LocalSystem. (Существующие инструменты в Интернете делают это тривиальной задачей.)
Не в сети: ключ, используемый учетной записью LocalSystem для расшифровки файлов, хранится на компьютере в запутанном состоянии. Кто-то, имеющий физический доступ к машине, может использовать существующие инструменты в Интернете для получения этого ключа и доступа к зашифрованным индексным файлам.
