Я хотел бы добиться защиты с обоих концов спектра:
С одной стороны, у вас есть необходимость защитить конфиденциальные данные на ноутбуке. Шифрование системного диска означает, что данные будут защищены, когда ноутбук закрыт (при условии, что он настроен на спящий режим).
Однако с другой стороны, у вас есть совершенно неопытный вор, который просто воспользуется ноутбуком без форматирования/сброса настроек до заводских (или продаст его такому же неопытному пользователю). В этом случае ноутбук можно будет восстановить с помощью программ вроде Prey.
Проблема с полным шифрованием системного диска заключается в том, что шанс (хоть и небольшой) на восстановление ноутбука полностью теряется, поскольку вору придется искать того, кто сможет отформатировать ноутбук.
Существует ли достаточно* безопасный способ защиты памяти, принадлежащей некоторым процессам, когда ноутбук (Win 8.1) переходит в спящий режим, но при этом ноутбуком можно было бы пользоваться, если бы не была известна фраза-пароль для расшифровки? (Или что-нибудь в этом роде, например, ноутбук можно было бы запустить в обычном режиме, если бы не был известен «пароль восстановления из спящего режима»).
Требование заключается лишь в том, что при открытии ноутбука часть памяти, принадлежащая определенным активным процессам, недоступна без пароля, и, конечно же, используемый ключ шифрования тома больше недоступен.
Я не хотел бы закрывать все программы, которые я использую, и размонтировать зашифрованный том каждый раз, когда я перестаю пользоваться ноутбуком. Это было бы слишком трудоемко.
(*Данные, которые я хотел бы защитить, связаны только с работой, поэтому я не слишком беспокоюсь о том, что для восстановления памяти, которая не видна на экране, например, через открытые приложения, будут использоваться специальные методы. Аналогично, вор может потенциально выкрасть ноутбук, не закрывая его, и таким образом получить полный доступ к защищенному тому, но я с радостью рискну ;)
Я еще не решил, какое программное обеспечение для шифрования жесткого диска использовать (TrueCrypt, PGP, BitLocker), поэтому, если в каком-либо из них есть умная функция, которая поможет решить описанную проблему, я был бы очень признателен, если бы вы сообщили об этом.
Заранее благодарим за любые отзывы и предложения.
решение1
Когда ПК переходит в спящий режим, память записывается в файл на диске, пока ваш диск полностью зашифрован, это относительно безопасно. Однако, как правило, ваш ПК делаетнетнемедленно перейти в спящий режим, если вы не изменили настройки по умолчанию, он переходит в спящий режим. В этом состоянии вся память все еще активна. Теоретически эту память можно восстановить. На практике это требует высокоспециализированного оборудования и знаний и вряд ли будет представлять угрозу для вас или вашей рабочей информации, если только вы не работаете с высококонфиденциальными данными, к которым может получить доступ третья сторона. В этом случае вам должны предоставить специализированное оборудование и инструкции по безопасности.
Поэтому вы не можете защитить части памяти так, как вы описываете. Вам придется убедиться, что вы закрыли приложения, которые обращаются к данным, которые вы хотите защитить. Если вы беспокоитесь о ноутбуке, когда он спит. Вам также придется убедиться, что временные файлы и файл подкачки очищены.
После того, как ноутбук переходит в спящий режим, активная оперативная память обесточивается. Есть небольшое окно возможностей для хорошо финансируемого злоумышленника восстановить ее, но, опять же, не стоит беспокоиться большинству людей.
После перехода в спящий режим все данные сохраняются на диске, поэтому всем разумным организациям, сотрудники которых используют ноутбуки с конфиденциальными данными, требуется полное шифрование диска.
Если у вас современный ПК с Windows Pro или Enterprise, Bitlocker, безусловно, то, что вам нужно, поскольку он интегрирован в ОС. Для старых ПК или для использования с Windows Home/std, Veracrypt или Truecrypt хороши. Существуют также сторонние коммерческие инструменты.
Одно предостережение относительно полного шифрования диска. Если у вас ошибка на диске, вполне возможно попасть в ситуацию, когда вы не сможете восстановить какие-либо данные с диска. Сделайте резервную копию!!
Я бы даже не думал пытаться вернуть ноутбук после кражи. Вам придется полагаться на то, что кто-то включит ноутбук где-то, где он может подключиться к Интернету (в основном, для этого потребуется проводное соединение) или где новый «владелец» взломает ваш логин. Последнее очень тревожно, поскольку вы действительно не можете гарантировать, что нет файлов или данных, которые вы не хотите раскрыть (например, ваш календарь, контактные данные друзей и коллег и их местоположение и т. д.). Защитите все это и присматривайте за ним так, чтобы единственным риском было ограбление.
решение2
Хотя теоретически программа шифрования должна быть способна обеспечить безопасное шифрование жесткого диска для каждого пользователя (каталог пользователя и пользовательские части файла гибернации), похоже, что такого ПО не существует. Это может быть связано с тем, что Windows не полностью выделяет пользовательскую память, невозможно выборочно шифровать данные во время процесса гибернации или нет спроса на такую функциональность (все это предположения).
Таким образом, если вы надеетесь восстановить свой ноутбук с помощью такого программного обеспечения, как Prey, вы не сможете зашифровать свой жесткий диск, поскольку у преступника не будет возможности получить доступ к Интернету на устройстве (например, используя гостевую учетную запись) до форматирования.
Вывод: либо зашифруйте свой диск и помашите ноутбуку «до свидания», если его украдут (на самом деле, его аппаратная ценность, скорее всего, ничтожно мала по сравнению с хранящимися данными). Либо получите доступ к своим конфиденциальным данным на рабочем столе/сервере с помощью службы удаленного доступа, например, удаленного рабочего стола (RDP). Фактически, если вы не используете свой ноутбук, вам может даже не понадобиться пароль пользователя, и, следовательно, вам не придется беспокоиться о гостевой учетной записи — тогда у преступника будет еще меньше соблазна стереть данные.