Отключение индексирования зашифрованных файлов в Windows 10 (19H1)

Если вы не хотите, чтобы Поиск Windows индексировал и отображал зашифрованные файлы (например, EFS), отключите соответствующую политику в редакторе групповой политики или исключите папки из индексирования. Это уменьшит риск непреднамеренного показа содержимого и предотвратит попытки Windows расшифровать файлы для показа в результатах поиска.

Windows 10 April 2019 Update (известное как 19H1) продолжает улучшать поиск и взаимодействие с Cortana. Поиск в панели задач позволяет находить любые файлы на устройстве, однако при определённых настройках он может индексировать и показывать зашифрованные файлы. Это происходит потому, что служба поиска пытается получить доступ к содержимому для индексации и отображения.

Если вы хотите предотвратить, чтобы зашифрованные или скрытые файлы появлялись в результатах поиска и, тем самым, исключить попытки их расшифровки системой, выполните приведённые ниже действия.

Шаги: как запретить индексирование зашифрованных файлов

1. Откройте Редактор групповой политики: в меню «Пуск» введите gpedit.msc и нажмите Enter.
2. Перейдите в: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Поиск.
3. Найдите политику с именем: Allow indexing of encrypted files
4. Дважды щёлкните по политике и установите её в положение Отключено.

После этого индексатор Windows не будет пытаться индексировать зашифрованные файлы, и они не будут появляться в результатах встроенного Поиска.

Почему это важно

• Если опция включена, Windows может расшифровать файлы для формирования превью и результатов поиска, что увеличивает риск утечки при неправильной конфигурации прав доступа.
• Многие пользователи не знают о настройке по умолчанию, поэтому зашифрованные файлы могут индексироваться автоматически.

Альтернативные подходы

• Отключить службу Windows Search: если вы не используете индексирование совсем, можно остановить службу «Windows Search» в службах (services.msc). Минус — падение скорости поиска по файлам.
• Исключить папки из индексирования: в Параметрах индексирования (Панель управления → Параметры индексирования) исключите директории с конфиденциальными данными.
• Использовать зашифрованные контейнеры (TrueCrypt/Veracrypt): контейнеры не будут индексироваться как отдельные файлы, если они не смонтированы.
• Управление правами доступа: уменьшите риск расшифровки, ограничив права учётных записей.

Когда этот метод не сработает (примеры)

• На доменных компьютерах групповая политика домена (GPO) может переопределять локальные настройки.
• Сторонние поисковые утилиты (Everything, Agent Ransack и пр.) могут индексировать файлы независимо от политики Windows.
• Если файл расшифрован локально или ключ хранения открыт, индексатор сможет прочитать содержимое.

Роль‑ориентированный чек‑лист

• Для обычного пользователя:

  • Сделать резервную копию важных ключей шифрования.
  • Исключить личные папки из индексирования в настройках индекса.
  • Проверить, какие программы имеют доступ к файлам.

• Для администратора ИТ:

  • Применить политику «Allow indexing of encrypted files» = Отключено через локальный или групповую политику домена.
  • Документировать изменения и уведомить пользователей.
  • Провести аудит доступа к ключам шифрования и резервных копий.

Быстрый план действий для админа (SOP)

1. Оценить, какие компьютеры должны получить запрет на индексирование зашифрованных файлов.
2. В GPO создать настройку: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Поиск → Allow indexing of encrypted files = Disabled.
3. Обновить политики (gpupdate /force) на целевых ПК.
4. Проверить на выборке машин, что индекс больше не включает зашифрованные файлы.
5. Внести в CMDB запись о правках политики.

Модель мышления и проверки (heuristic)

• Правило 1: Если файл нельзя открыть без ключа — не должен индексироваться публично.
• Правило 2: Предпочитайте исключение из индексации папок вместо отключения всей службы, чтобы сохранить производительность.
• Правило 3: Для максимальной безопасности используйте контейнеры и минимизируйте длительность их монтирования.

Критерии приёмки

• На выборке из 20 рабочих станций зашифрованные файлы больше не появляются в результатах поиска встроенного Windows Search.
• Политика корректно применяется через gpupdate /force и видна в редакторе групповой политики.
• Отсутствие сбоев в работе индексатора с другими (незашифрованными) файлами.

Короткий словарь

• EFS — встроенное шифрование файлов в Windows (Encrypting File System).
• Индексатор — служба, которая просматривает файлы и создаёт базу для быстрого поиска.
• gpedit.msc — локальный редактор групповой политики Windows.

Часто задаваемые вопросы

Вопрос: Останутся ли файлы зашифрованными после отключения индексирования?

Да. Отключение индексации не расшифровывает файлы — оно только блокирует попытки их индексации.

Вопрос: Могут ли сторонние поисковые утилиты находить зашифрованные файлы?

Да, некоторые сторонние утилиты работают независимо от политики Windows и могут находить файлы по имени, но обычно не читают зашифрованное содержимое без ключа.

Вопрос: Нужно ли что‑то ещё для соответствия требованиям конфиденциальности?

Отключение индексирования — только часть мер. Управление ключами шифрования, аудит доступа и контроль резервных копий также критичны.

Итог

Отключение политики “Allow indexing of encrypted files” — простой и эффективный способ снизить риск непреднамеренного доступа к зашифрованным файлам через встроенный Поиск Windows. Для полного контроля комбинируйте это с исключением папок, управлением ключами и ограничением прав доступа.

RELATED POSTS TO CHECK OUT:

• 13 best Windows 10 desktop search alternative tools for 2019
• Hide Search & Task View on Windows 10 Taskbar