WindowsサービスがNTFS EFSで暗号化されたフォルダーにアクセスする方法
私が正しく理解している場合、Windowsの特定のフォルダーに対してNTFS暗号化(EFS)を有効にすると、特定のアカウントのユーザー名/パスワード(ソルト)を使用して、データの暗号化と復号化に非対称キーが作成されます。特定のフォルダーの暗号化を有効にすると、これは、他のシステムアカウント(LocalSystemやNetworkServiceなど)がこのフォルダーの内容にアクセスできなくなることを意味します。
ドライブ全体の暗号化を有効にすると、これはどのように機能しますか?つまりこの場合、Windowsサービスはどのようにしてディスクを使用できますか?
私が尋ねている理由は、いくつかのアプリケーション(サービス、GUIコンソール、いくつかのコマンドラインツールなど)の展開された実行可能ファイルを含む特定のフォルダーで暗号化を有効にしたいためです。これを機能させるには、これらすべてを構成する必要があります。
(更新)
明確にするために、私たちは離れた場所にサーバーを置いており、インストールされたソフトウェアをコピーまたは分解から保護したいと考えています。サーバーは、デバイスからデータを受信して保存するいくつかのサービスを実行しており、視覚化のためのWebアプリを備えています。ログインはかなり強力なパスワードで保護されていますが、これによってディスクが取り出されてコピーが作成されるのを防ぐことはできません。
EFSがこれに適していますか?それとも別のアプローチを取るべきでしょうか?
EFSではなくBitLockerでしょうか?
サーバーが遠隔地にあるので[...]だれでもディスクを取り出したり、コピーを作成したりできません。
さて、BitLockerフルディスク暗号化を使用して、メインボードのTPMチップ内に復号化キーを保存できます。また、起動時にボリュームを自動的にロック解除するようにBitLockerを設定します。
これは、泥棒がディスクを引き出すだけでなく、サーバー全体を盗む必要があることを意味します。
このBitLockerボリュームロック解除操作モードは、TPMのみと呼ばれます。
さまざまなモードをリストしたブログ記事は次のとおりです。
Luis Rocha、Count On Securityブログ、2014-06-23、 TPMを備えたBitLockerを10ステップで。 (アーカイブ ここ 。):
- TPMのみ:起動シーケンスに認証は必要ありませんが、オフライン攻撃から保護し、ユーザーにとって最も透過的な方法です。
これにより、少なくともキーに到達しようとする試みは、防止/検出がはるかに容易になります。
遅かれ早かれ、実行可能ファイルは、それをホストするサーバーのメモリにある必要があります。したがって、とにかく分析に利用できます。
メモリにロードするには、以前に暗号化されていた場合は復号化する必要があります。
つまり、リモートサーバーを制御できるようになると、実行するデータを分析に利用できるようになります。
システムフォルダのEFSはありません。
ドキュメンテーションは言う:あなたはそれを行うことができません。 (私は試していませんが、ドキュメントはかなり明確です。)
MSDNエントリ File Encryption (archived here )はこう言います:
次のアイテムは暗号化できないことに注意してください。
- 圧縮ファイル
- システムファイル
- システムディレクトリ
- ルートディレクトリ
- 取引