使用 EFS 加密搜索索引并让搜索服务索引加密文件有什么问题吗?我已经加密了目录 %ProgramData%\Microsoft\Search,并使用“cipher /ADDUSER /certhash:"SYSTEMHASH" /s:thedirectory”添加了 SYSTEM 用户,看来 SYSTEM 帐户索引我的文件没有问题。
但是,该建议告诉我,当使用全盘加密时,仅索引索引。
答案1
阅读本文,了解不加密索引的理由TechNet 页面
加密索引 要加密索引文件本身,我们建议您使用 BitLocker 或其他第三方全卷加密选项加密包含索引的整个卷。这提供了针对离线攻击的强大保护;具有管理员访问权限的用户仍然可能进行在线攻击。BitLocker 驱动器加密通过加密数据操作系统和数据卷来增强对数据盗窃的保护。在 Windows 7 中,BitLocker 驱动器加密适用于可移动驱动器。如果您对数据卷进行 BitLock,我们强烈建议您也对操作系统卷进行 BitLock。
虽然也可以使用加密文件系统 (EFS),但不建议使用。Windows Search 服务在 LocalSystem 帐户下运行,需要访问索引文件。因此,必须使用与 LocalSystem 帐户关联的 EFS 密钥来加密索引文件。因此,索引文件容易受到以下攻击:
在线:任何管理用户只需模拟 LocalSystem 帐户即可访问加密的索引文件。(网络上现有的工具使这项任务变得轻而易举。)
离线:LocalSystem 帐户用于解密文件的密钥以模糊状态存储在计算机上。具有计算机物理访问权限的人可以使用网络上的现有工具检索此密钥并访问加密的索引文件。