Suchindex mit EFS verschlüsseln

1296
wbkang

Stimmt es nicht, den Suchindex mit EFS zu verschlüsseln, während der Suchdienst verschlüsselte Dateien indiziert? Ich habe das Verzeichnis% ProgramData% \ Microsoft \ Search verschlüsselt und den SYSTEM-Benutzer hinzugefügt, indem "cipher / ADDUSER / certhash:" SYSTEMHASH "/ s: thedirectory verwendet wird und das Systemkonto bei der Indexierung meiner Dateien kein Problem hat .

Die Empfehlung sagt mir jedoch, dass nur verschlüsselte Dateien indiziert werden sollen, wenn eine vollständige Festplattenverschlüsselung verwendet wird. Ist das eine falsche Praxis?

7
@ user110236: Bei EFS kann in diesem speziellen Fall der Schlüssel * nicht eingegeben werden *, da * LocalSystem * sich nicht interaktiv anmeldet. Daher werden die zu diesem Systemkonto gehörenden EFS-Schlüssel nur verschleiert. Sie sind auch für jeden Administrator zugänglich, wie in Nr. 2 angegeben. Mit BitLocker geben Sie immer den Entschlüsselungsschlüssel an, bevor Windows booten kann. Auch wenn er nicht vor unberechtigten Admins schützt, funktioniert er gut gegen physische Angriffe von Außenstehenden. grawity vor 12 Jahren 0
@ grawity: Sie sagten: "Mit BitLocker geben Sie immer den Entschlüsselungsschlüssel an, bevor Windows starten kann." Ich habe das SysKey-Dienstprogramm verwendet, "um ein Startkennwort zu konfigurieren, das zum Entschlüsseln des Systemschlüssels eingegeben werden muss, damit Windows auf die SAM-Datenbank zugreifen kann." Ist das nicht dasselbe? vor 12 Jahren 1

1 Antwort auf die Frage

5
Dan McGrath

Lesen Sie die Gründe dafür, nicht nur den Index auf dieser TechNet-Seite zu verschlüsseln

Index verschlüsseln Um die Indexdatei selbst zu verschlüsseln, empfehlen wir Ihnen, das gesamte Volume, das den Index enthält, mit BitLocker oder einer anderen Verschlüsselungsoption eines Drittanbieters zu verschlüsseln. Dies bietet einen starken Schutz vor Offline-Angriffen. Online-Angriffe sind weiterhin für Benutzer mit Administratorzugriff möglich. Die BitLocker-Laufwerkverschlüsselung bietet einen verbesserten Schutz vor Datendiebstahl, indem das Datenbetriebssystem und die Datenmengen verschlüsselt werden. In Windows 7 funktioniert die BitLocker-Laufwerkverschlüsselung auf Wechsellaufwerken. Wir empfehlen auch die BitLocking-Betriebssystemvolumes, wenn Sie BitLock-Datenvolumes verwenden.

Das Encrypting File System (EFS) kann zwar verwendet werden, wird jedoch nicht empfohlen. Der Windows Search-Dienst wird unter dem Konto LocalSystem ausgeführt und benötigt Zugriff auf die Indexdateien. Daher müssen EFS-Schlüssel, die dem Konto LocalSystem zugeordnet sind, zum Verschlüsseln der Indexdateien verwendet werden. Folglich sind die Indexdateien für folgende Angriffe offen:

  • Online: Jeder Administrator kann auf die verschlüsselten Indexdateien zugreifen, indem er einfach das LocalSystem-Konto annimmt. (Vorhandene Tools im Internet machen dies zu einer trivialen Aufgabe.)

  • Offline: Der Schlüssel, der vom LocalSystem-Konto zum Entschlüsseln von Dateien verwendet wird, wird in einem verschlüsselten Zustand auf dem Computer gespeichert. Jemand mit physischem Zugriff auf den Computer kann vorhandene Tools im Web verwenden, um diesen Schlüssel abzurufen und auf die verschlüsselten Indexdateien zuzugreifen.

Vielen Dank! Ich kann Sie jedoch nicht wirklich wegen des mangelnden Rufs bestätigen: / wbkang vor 14 Jahren 0

Verwandte Probleme