web-dev-qa-db-ja.com

シャットダウン:仮想メモリのページファイルをクリアする

のWindowsローカルポリシーについて読んでいました " シャットダウン:仮想メモリのページファイルを消去 "。この簡単なポリシーの説明について説明が必要です。

  1. 他から起動できるオペレーティングシステムとはどういう意味ですか。
  2. OSがシャットダウン時にシステムページファイルが完全に消去されることを確認する必要がある理由。
  3. 権限のないユーザーがページファイルに直接アクセスする方法を教えてください。
3
Ali Ahmad

「他のオペレーティングシステムからの起動を許可するように設定されているシステム」には、次の2つの状況が含まれます。

  • 2つのオペレーティングシステム(たとえば、Windows 2003とWindows 8、またはWindows 2003とLinux)間のデュアルブートを備えたコンピューターで、2つのオペレーティングシステムに異なるユーザーデータベースがあり、特に異なるグループのユーザーが管理アクセス権を持っている。 OS 1の管理者はOS 2からスワップを読み取ることができます。これは、OS 1の管理者がOS 2からデータを読み取ることもできるため、影響は限定的ですが、OS 2からアクセスされ、明示的に保存されなかったデータを意味しますディスクが危険にさらされています。
  • 電源がオフになっているときに攻撃者に盗まれるコンピューター(通常はラップトップ)、またはハードディスクが攻撃者に盗まれるコンピューター。攻撃者は自由にストレージメディアにアクセスできるため、ディスク上のすべてのデータを読み取ることができます。

シャットダウン時にスワップ領域を消去すると、ディスクに明示的に保存されていないデータはすべて、クリーンシャットダウン後に適切に消去されます。スワッピングが原因で、データがディスク上に暗黙的に存在する可能性があります。実際には、アプリケーションの設計に起因する他の理由でデータがディスクに保存される可能性があることに注意してください。一時ファイル、印刷およびメールスプール、ブラウザキャッシュ、…

クリーンシャットダウン時にスワップを消去することは、影響が限られています。これは、一部のシナリオ(実行中のラップトップを盗む攻撃者など)では、クリーンシャットダウンに依存できないためです。一部のLinuxディストリビューションは、起動ごとに変わるランダムキーでスワップ領域を暗号化します(Windowsでこれができるかどうかはわかりません)。これは、攻撃者がRAMの内容をダンプできるウォームブート攻撃や、ファイルに残された機密データから保護するものではありません。

1つの攻撃方法は、サムドライブを介して別のOSから起動することです(ドライブへの物理的なアクセスは別のものになります)。 Windows OSは、ハードドライブのページファイルセクションをあたかもdymanicであるかのように扱いますRAMメモリはシャットダウン時に失われます。したがって、この機能まで、最後に実行中のセッションからの貴重な情報は保護されない可能性があります。システムがサムドライブから起動された場合、その領域のハードドライブ。

0
zedman9991