web-dev-qa-db-ja.com

EFSを使用した検索インデックスの暗号化

検索サービスに暗号化されたファイルのインデックスを作成させながら、EFSで検索インデックスを暗号化することに何か問題がありますか?ディレクトリ%ProgramData%\ Microsoft\Searchを暗号化し、 "cipher/ADDUSER/certhash:" SYSTEMHASH "/ s:thedirectoryを使用してSYSTEMユーザーを追加しましたが、SYSTEMアカウントでファイルのインデックス作成に問題がないようです。 。

ただし、推奨事項では、フルディスク暗号化が使用されている場合にのみ暗号化されたファイルにインデックスを付けるように指示されています。これは間違った習慣ですか?

windowsencryptionwindows-searchefs
7
wbkang

この中のインデックスだけを暗号化するだけではない理由を読んでください TechNetページ

インデックスの暗号化インデックスファイル自体を暗号化するには、インデックスを含むボリューム全体をBitLockerまたは別のサードパーティのフルボリューム暗号化オプションで暗号化することをお勧めします。これにより、オフライン攻撃に対する強力な保護が提供されます。オンライン攻撃は、管理者アクセス権を持つユーザーによって引き続き可能です。 BitLockerドライブ暗号化は、データオペレーティングシステムとデータボリュームを暗号化することにより、データ盗難に対する保護を強化します。 Windows 7では、BitLockerドライブ暗号化はリムーバブルドライブで機能します。データボリュームをBitLockする場合は、オペレーティングシステムボリュームをBitLockすることも強くお勧めします。

暗号化ファイルシステム(EFS)も使用できますが、お勧めしません。 Windows SearchサービスはLocalSystemアカウントで実行され、インデックスファイルにアクセスする必要があります。その結果、LocalSystemアカウントに関連付けられたEFSキーを使用して、インデックスファイルを暗号化する必要があります。その結果、インデックスファイルは次の攻撃にさらされます。

  • オンライン:すべての管理ユーザーは、LocalSystemアカウントになりすますだけで、暗号化されたインデックスファイルにアクセスできます。 (Web上の既存のツールを使用すると、これは簡単な作業になります。)

  • オフライン:LocalSystemアカウントがファイルを復号化するために使用するキーは、難読化された状態でマシンに保存されます。マシンに物理的にアクセスできる人は、Web上の既存のツールを使用してこのキーを取得し、暗号化されたインデックスファイルにアクセスできます。

5
Dan McGrath