Существует ресурсоемкое приложение, которое генерирует очень конфиденциальные данные. До сих пор это приложение работало на изолированном компьютере с Windows 10, а его данные были записаны на зашифрованный BitLocker том.
Теперь это приложение будет работать на платформе с огромной мощностью ЦП. Многие пользователи одновременно входят в эту платформу, локально или удаленно через удаленный рабочий стол и PowerShell. (Каждый с отдельной учетной записью пользователя.) Важно, чтобы эти конфиденциальные данные оставались зашифрованными для этих других пользователей. Вопрос в том, как это сделать? Очевидно, что подход BitLocker на основе пароля больше не является допустимым решением, потому что после монтирования тома он виден всем.
Я кратко рассмотрел EFS, но EFS шифрует только содержимое файлов. Структура папок и имена файлов остаются незашифрованными. Есть ли способ смонтировать зашифрованный том таким образом, чтобы только монтирующий пользователь мог получить к нему доступ?
Обновлять:Мне нужно попросить администратора платформы установить мое приложение. Таким образом, я могу попросить их установить и любые другие приложения, включая то, которое предоставляет зашифрованный доступ.
решение1
Предлагаю вам рассмотреть возможность размещения этих данных в виртуальной машине (ВМ) с зашифрованным виртуальным диском. Если пользователь может запустить ВМ самостоятельно, то зашифрованные данные защищены разрешениями (доступны только разрешенному пользователю), а ключ шифрования предоставляется при загрузке ВМ, что сохраняет незашифрованные данные в памяти, а не на диске.
Вам следует убедиться, что ни один ненадежный пользователь в системе не имеет прав администратора, но это само собой разумеется.