Vista 和 Windows 7 将信息位保存到后台的中心位置。
我知道的例子有桌面搜索索引、最近的文档和缩略图(保存到\Users\[User Account Name]\AppData\Local\Microsoft\Windows\Explorer)。
我如何确保没有信息被保存,比如,安装的 TrueCrypt 驱动器或插入的 USB 驱动器?
有没有办法配置 Widnows 7,以便只有用户明确运行的程序(而不是后台服务)才能访问驱动器上的数据。更好的是,是否可以这样做,从而阻止整个类别的驱动器(例如所有可移动驱动器,然后始终将 TC 驱动器安装为可移动驱动器)?
请注意,我不想完全禁用桌面搜索和缩略图缓存——那样太不方便了。
编辑: *纸由 Bruce Scheiner 撰写,涉及加密卷信息的泄露。
答案1
我想到的一个方案(但尚未尝试)是创建虚拟机并将其与加密硬盘映像一起使用。
- 第一个硬盘映像(VHD)文件包含最小的操作系统安装。
- 其他包含敏感数据的 VHD 文件可以作为虚拟机内部的辅助硬盘安装。
然后可以将 VHD 文件放置在 TrueCrypt (TC) 卷(如果需要,可以放置在隐藏卷)中。请注意,将 TC 容器放置在 VHD 中并不安全。也可以使用全盘加密(但这可能会限制可移植性)。
优点:
- 大多数数据泄露都包含在加密的 OS VHD 文件中。
- 明确与主机系统的边界,必要时可以跨越(如果需要,VM 可以安装主机驱动器并从中复制文件)。
- 数据仍然是可移植的,并且可以在没有虚拟机的机器上打开(Win7 支持安装 VHD 文件)。
- 由于操作系统位于单独的文件中,因此开销是固定的(~1 Gb)。如果需要,可以随时用干净的原始文件替换操作系统文件。
缺点:
- 存储虚拟操作系统和每次启动虚拟机的开销。
- 设置操作系统/虚拟机的一次性开销。
- 可能通过直接安装 VHD 来破坏它(好坏参半)。
我不是安全专家,因此非常感谢指出弱点的评论。
答案2
解决此问题的一种方法是使用 BitLocker 或类似的全卷加密技术加密整个系统卷。因此,无论存储在哪里,任何“泄漏”都将被加密。在 Windows 7 中,您还可以使用 BitLocker To Go,它适用于 USB 闪存驱动器。
诚然,这只有在你的计算机,您就可以控制加密 - 但就我个人而言,如果我的数据敏感到需要加密,我就不会在其他人的计算机上使用它。