Existe um aplicativo com uso intensivo de CPU que gera dados muito confidenciais. Até agora, este aplicativo foi executado em um computador Windows 10 isolado e seus dados foram gravados em um volume criptografado pelo BitLocker.
Agora, este aplicativo será executado em uma plataforma com enorme poder de CPU. Muitos usuários fazem login nesta plataforma simultaneamente, local ou remotamente por meio da Área de Trabalho Remota e do PowerShell. (Cada um com uma conta de usuário separada.) É importante que esses dados confidenciais permaneçam criptografados para os outros usuários. A questão é: como fazer isso? Claramente, uma abordagem do BitLocker baseada em senha não é mais uma solução válida, porque uma vez montado o volume, ele fica visível para todos.
Considerei o EFS brevemente, mas o EFS criptografa apenas o conteúdo do arquivo. A estrutura de pastas e os nomes dos arquivos permanecem não criptografados. Existe uma maneira de montar um volume criptografado de forma que somente o usuário de montagem possa acessá-lo?
Atualizar:Preciso solicitar ao administrador da plataforma a instalação do meu aplicativo. Portanto, posso pedir que instalem outros aplicativos também, incluindo um que conceda acesso criptografado.
Responder1
Sugiro que você coloque esses dados em uma máquina virtual (VM) com um disco virtual criptografado. Se o próprio usuário for capaz de iniciar a VM, os dados criptografados serão protegidos por permissões (acessíveis apenas ao usuário permitido) e a chave de criptografia será fornecida na inicialização da VM, o que mantém os dados não criptografados na memória, em vez de do que no disco.
Você deve garantir que nenhum usuário não confiável no sistema tenha privilégios de administrador no sistema, mas isso não é preciso dizer.