有一個 CPU 密集型應用程式會產生非常敏感的資料。到目前為止,該應用程式已在隔離的 Windows 10 電腦上運行,並且其資料已寫入 BitLocker 加密磁碟區。
現在,這個應用程式將在具有大量 CPU 能力的平台上運行。許多用戶同時登入該平台,無論是本地還是透過遠端桌面和 PowerShell 遠端登入。 (每個人都有一個單獨的用戶帳戶。)對其他用戶來說,這些敏感資料保持加密狀態非常重要。問題是,該怎麼辦呢?顯然,基於密碼的 BitLocker 方法不再是有效的解決方案,因為一旦安裝了卷,它就對所有人可見。
我簡單地考慮過 EFS,但 EFS 只加密檔案內容。資料夾結構和檔案名稱保持未加密狀態。有沒有辦法以只有安裝使用者才能存取的方式安裝加密磁碟區?
更新:我需要請求平台管理員安裝我的應用程式。因此,我也可以要求他們安裝任何其他應用程序,包括授予加密存取權限的應用程式。
答案1
我建議您考慮將這些資料放入具有加密虛擬磁碟的虛擬機器 (VM) 中。如果使用者能夠自行啟動虛擬機,則加密資料將受到權限保護(只有獲得許可的使用者才能存取),並且加密金鑰在虛擬機啟動時提供,這會將未加密的資料保留在記憶體中,而不是在記憶體中。
您應該確保系統上沒有不受信任的使用者擁有系統的管理員權限,但這應該是不言而喻的。