Suchindex mit EFS verschlüsseln

7

Ist etwas falsch daran, den Suchindex mit EFS zu verschlüsseln, während der Suchdienst verschlüsselte Dateien indizieren lässt? Ich habe das Verzeichnis% ProgramData% \ Microsoft \ Search verschlüsselt und den SYSTEM-Benutzer mithilfe von "cipher / ADDUSER / certhash:" SYSTEMHASH "/ s: thedirectory hinzugefügt. Es sieht so aus, als ob das SYSTEM-Konto keine Probleme beim Indizieren meiner Dateien hat .

Die Empfehlung besagt jedoch, dass ich verschlüsselte Dateien nur indizieren soll, wenn eine Vollplattenverschlüsselung verwendet wird. Ist das eine falsche Praxis?

wbkang
quelle
@ user110236: Bei EFS kann in diesem speziellen Fall der Schlüssel nicht eingegeben werden, da sich LocalSystem nicht interaktiv anmeldet und daher die zu diesem Systemkonto gehörenden EFS-Schlüssel nur verschleiert sind. Sie sind auch für jeden Administrator zugänglich, wie in Nummer 2 angegeben. Mit BitLocker geben Sie immer den Entschlüsselungsschlüssel an, bevor Windows gestartet werden kann. Obwohl es nicht vor unerwünschten Administratoren schützt, funktioniert es problemlos gegen physische Angriffe von Außenstehenden.
user1686
1
@grawity: Sie sagten: "Mit BitLocker geben Sie immer den Entschlüsselungsschlüssel an, bevor Windows gestartet werden kann." Ich habe das Dienstprogramm SysKey verwendet, "um ein Startkennwort zu konfigurieren, das eingegeben werden muss, um den Systemschlüssel zu entschlüsseln, damit Windows auf die SAM-Datenbank zugreifen kann." Ist das nicht dasselbe?

Antworten:

5

Lesen Sie die Gründe dafür, dass auf dieser TechNet-Seite nicht nur der Index verschlüsselt wird

Verschlüsseln des Index Um die Indexdatei selbst zu verschlüsseln, empfehlen wir, das gesamte Volume, das den Index enthält, mit BitLocker oder einer anderen Verschlüsselungsoption eines Drittanbieters zu verschlüsseln. Dies bietet einen starken Schutz vor Offline-Angriffen. Online-Angriffe sind weiterhin für Benutzer mit Administratorzugriff möglich. Die BitLocker-Laufwerkverschlüsselung bietet einen verbesserten Schutz vor Datendiebstahl durch Verschlüsselung des Datenbetriebssystems und der Datenmengen. In Windows 7 funktioniert die BitLocker-Laufwerkverschlüsselung auf Wechseldatenträgern. Wir empfehlen dringend auch BitLocking-Betriebssystemvolumes, wenn Sie BitLock-Datenvolumes verwenden.

Das Encrypting File System (EFS) kann zwar ebenfalls verwendet werden, wird jedoch nicht empfohlen. Der Windows-Suchdienst wird unter dem LocalSystem-Konto ausgeführt und benötigt Zugriff auf die Indexdateien. Daher müssen EFS-Schlüssel, die dem LocalSystem-Konto zugeordnet sind, zum Verschlüsseln der Indexdateien verwendet werden. Folglich sind die Indexdateien für die folgenden Angriffe offen:

  • Online: Jeder Administrator kann auf die verschlüsselten Indexdateien zugreifen, indem er sich einfach als LocalSystem-Konto ausgibt. (Bestehende Tools im Web machen dies zu einer trivialen Aufgabe.)

  • Offline: Der Schlüssel, der vom LocalSystem-Konto zum Entschlüsseln von Dateien verwendet wird, wird in einem verschleierten Zustand auf dem Computer gespeichert. Jemand mit physischem Zugriff auf den Computer kann vorhandene Tools im Web verwenden, um diesen Schlüssel abzurufen und auf die verschlüsselten Indexdateien zuzugreifen.

Dan McGrath
quelle
Vielen Dank! Ich kann Sie nicht wirklich für den Mangel an Ruf
stimmen