非常に機密性の高いデータを生成する、CPU を集中的に使用するアプリがあります。これまで、このアプリは隔離された Windows 10 コンピューターで実行されており、そのデータは BitLocker で暗号化されたボリュームに書き込まれていました。
さて、このアプリは、CPU パワーが非常に高いプラットフォームで実行されます。多くのユーザーが、ローカルまたはリモート デスクトップと PowerShell 経由で同時にこのプラットフォームにログインします (それぞれ別のユーザー アカウントを使用)。これらの機密データは、他のユーザーに対して暗号化されたままにしておくことが重要です。問題は、それをどのように行うかです。ボリュームがマウントされると、すべてのユーザーに表示されるため、パスワード ベースの BitLocker アプローチはもはや有効なソリューションではないことは明らかです。
EFS も少し検討しましたが、EFS はファイルの内容のみを暗号化します。フォルダー構造とファイル名は暗号化されません。暗号化されたボリュームをマウント ユーザーだけがアクセスできるようにマウントする方法はありますか?
アップデート:プラットフォームの管理者にアプリのインストールを依頼する必要があります。そうすれば、暗号化されたアクセスを許可するアプリも含め、他のアプリのインストールも依頼できます。
答え1
このデータを暗号化された仮想ディスクを持つ仮想マシン (VM) に配置することを検討することをお勧めします。ユーザーが VM を自分で起動できる場合、暗号化されたデータは権限によって保護され (許可されたユーザーのみがアクセス可能)、VM の起動時に暗号化キーが提供されるため、暗号化されていないデータはディスクではなくメモリ内に保持されます。
システム上の信頼されていないユーザーがシステムの管理者権限を持っていないことを確認する必要がありますが、これは言うまでもありません。