Es gibt eine CPU-intensive App, die sehr sensible Daten generiert. Bisher lief diese App auf einem isolierten Windows 10-Computer und ihre Daten wurden auf ein mit BitLocker verschlüsseltes Volume geschrieben.
Diese App wird nun auf einer Plattform mit enormer CPU-Leistung ausgeführt. Viele Benutzer melden sich gleichzeitig bei dieser Plattform an, entweder lokal oder remote über Remote Desktop und PowerShell. (Jeder mit einem separaten Benutzerkonto.) Es ist wichtig, dass diese vertraulichen Daten für diese anderen Benutzer verschlüsselt bleiben. Die Frage ist, wie man das anstellt. Ein kennwortbasierter BitLocker-Ansatz ist eindeutig keine gültige Lösung mehr, da das Volume nach der Bereitstellung für alle sichtbar ist.
Ich habe kurz über EFS nachgedacht, aber EFS verschlüsselt nur Dateiinhalte. Die Ordnerstruktur und die Dateinamen bleiben unverschlüsselt. Gibt es eine Möglichkeit, ein verschlüsseltes Volume so zu mounten, dass nur der mountende Benutzer darauf zugreifen kann?
Aktualisieren:Ich muss den Administrator der Plattform bitten, meine App zu installieren. Dann kann ich ihn bitten, auch alle anderen Apps zu installieren, darunter auch eine, die verschlüsselten Zugriff gewährt.
Antwort1
Ich schlage vor, dass Sie diese Daten in einer virtuellen Maschine (VM) mit einer verschlüsselten virtuellen Festplatte ablegen. Wenn der Benutzer die VM selbst starten kann, sind die verschlüsselten Daten durch Berechtigungen geschützt (nur der berechtigte Benutzer kann darauf zugreifen) und der Verschlüsselungsschlüssel wird beim Booten der VM bereitgestellt, wodurch die unverschlüsselten Daten im Speicher und nicht auf der Festplatte verbleiben.
Sie sollten sicherstellen, dass kein nicht vertrauenswürdiger Benutzer auf dem System über Administratorrechte verfügt, aber das sollte selbstverständlich sein.