Шифрование поискового индекса с помощью EFS

Считайте обоснование для того, чтобы не просто зашифровать просто индекс на этой странице TechNet

Шифруя Индекс Для шифрования самого индексного файла мы рекомендуем зашифровать весь объем, содержащий индекс с BitLocker или другим сторонним параметром шифрования полного объема. Это обеспечивает надежную защиту против офлайновых нападений; нападения онлайн все еще возможны пользователями с доступом администратора. Шифрование Диска BitLocker обеспечивает улучшенную защиту против хищения данных путем шифрования томов операционной системы данных и объемов данных. В Windows 7 Шифрование Диска BitLocker работает над съемными дисками. Мы настоятельно рекомендуем также тома операционной системы BitLocking если Вы объемы данных BitLock.

В то время как Файловая система с шифрованием (EFS) может также использоваться, она не рекомендуется. Windows Search service работает в соответствии с учетной записью LocalSystem и доступом потребностей к индексным файлам. В результате ключи EFS, связанные с учетной записью LocalSystem, должны использоваться для шифрования индексных файлов. Следовательно, индексные файлы открыты для следующих нападений:

• Онлайн: Любой административный пользователь может получить доступ к зашифрованным индексным файлам путем простого исполнения роли учетной записи LocalSystem. (Существующие инструменты в сети делают это тривиальной задачей.)

• Офлайн: ключ, который используется учетной записью LocalSystem для дешифрования файлов, хранится на машине в запутываемом состоянии. Кто-то с физическим доступом к машине может использовать существующие инструменты в сети, чтобы получить этот ключ и получить доступ к зашифрованным индексным файлам.