wbk*_*ang 7 windows encryption efs windows-search
在让搜索服务索引加密文件的同时使用 EFS 加密搜索索引有什么问题吗?我已经对目录 %ProgramData%\Microsoft\Search 进行了加密,并使用“cipher /ADDUSER /certhash:”SYSTEMHASH” /s:thedirectory 添加了 SYSTEM 用户,看起来 SYSTEM 帐户在索引我的文件时没有问题.
但是,建议告诉我只在使用全盘加密时索引加密文件。这是错误的做法吗?
在此TechNet 页面中阅读不只加密索引的原因
加密索引 要加密索引文件本身,我们建议您使用 BitLocker 或其他第 3 方全卷加密选项加密包含索引的整个卷。这为离线攻击提供了强大的保护;具有管理员访问权限的用户仍然可能进行在线攻击。BitLocker 驱动器加密通过加密数据操作系统和数据卷提供增强的数据盗窃保护。在 Windows 7 中,BitLocker 驱动器加密适用于可移动驱动器。如果您使用 BitLock 数据卷,我们也强烈推荐 BitLocking 操作系统卷。
虽然也可以使用加密文件系统 (EFS),但不建议使用。Windows 搜索服务在 LocalSystem 帐户下运行,需要访问索引文件。因此,必须使用与 LocalSystem 帐户关联的 EFS 密钥来加密索引文件。因此,索引文件容易受到以下攻击:
在线:任何管理用户都可以通过简单地模拟 LocalSystem 帐户来访问加密的索引文件。(网络上现有的工具使这成为一项微不足道的任务。)
脱机:LocalSystem 帐户用于解密文件的密钥以混淆状态存储在计算机上。对机器有物理访问权限的人可以使用网络上的现有工具来检索此密钥并访问加密的索引文件。
| 归档时间: |
|
| 查看次数: |
1030 次 |
| 最近记录: |