Шифрование поискового индекса с использованием EFS

1172
wbkang

Что-то не так с шифрованием индекса поиска с помощью EFS, когда служба поиска индексирует зашифрованные файлы? Я зашифровал каталог% ProgramData% \ Microsoft \ Search и добавил пользователя SYSTEM с помощью «cipher / ADDUSER / certhash:« SYSTEMHASH »/ s: thedirectory, и похоже, что у учетной записи SYSTEM нет проблем с индексацией моих файлов ,

Тем не менее, рекомендация говорит мне индексировать зашифрованные файлы только при использовании полного шифрования диска. Это неправильная практика?

7
@ user110236: В данном случае в EFS ключ * не может быть * введен *, поскольку * LocalSystem * не входит в систему в интерактивном режиме, поэтому ключи EFS, принадлежащие этой системной учетной записи, только запутываются; они также доступны любому администратору, как говорит №2. С помощью BitLocker вы всегда предоставляете ключ дешифрования перед загрузкой Windows, поэтому, несмотря на то, что он не защищает от мошеннических администраторов, он отлично работает против физических атак со стороны. grawity 12 лет назад 0
@grawity: Вы сказали: «С BitLocker вы всегда предоставляете ключ дешифрования перед загрузкой Windows». Я использовал утилиту SysKey «для настройки пароля запуска, который необходимо ввести для расшифровки системного ключа, чтобы Windows могла получить доступ к базе данных SAM». Разве это не одно и то же? 12 лет назад 1

1 ответ на вопрос

5
Dan McGrath

Прочитайте обоснование не просто шифрования только индекса на этой странице TechNet

Шифрование индекса Чтобы зашифровать сам файл индекса, мы рекомендуем зашифровать весь том, содержащий индекс, с помощью BitLocker или другого варианта шифрования полного тома третьей стороны. Это обеспечивает надежную защиту от автономных атак; онлайн-атаки все еще возможны пользователями с правами администратора. Шифрование диска BitLocker обеспечивает улучшенную защиту от кражи данных путем шифрования данных операционной системы и томов данных. В Windows 7 шифрование диска BitLocker работает на съемных дисках. Мы настоятельно рекомендуем также тома операционной системы BitLocking, если вы используете тома данных BitLock.

Хотя шифрованная файловая система (EFS) также может использоваться, это не рекомендуется. Служба поиска Windows работает под учетной записью LocalSystem и нуждается в доступе к файлам индекса. В результате ключи EFS, связанные с учетной записью LocalSystem, должны использоваться для шифрования файлов индекса. Следовательно, индексные файлы открыты для следующих атак:

  • Онлайн: любой пользователь с правами администратора может получить доступ к зашифрованным индексным файлам, просто выдав себя за учетную запись LocalSystem. (Существующие инструменты в Интернете делают это тривиальной задачей.)

  • Автономный режим: ключ, используемый учетной записью LocalSystem для расшифровки файлов, хранится на компьютере в запутанном состоянии. Кто-то, имеющий физический доступ к машине, может использовать существующие инструменты в Интернете для получения этого ключа и доступа к зашифрованным индексным файлам.

Большое спасибо! Я не могу на самом деле одобрить вас за отсутствие репутации, хотя: / wbkang 14 лет назад 0

Похожие вопросы