ClearPageFileAtShutdownと呼ばれるこの設定に出くわしました。設定は here と記述されています:
本当にセキュリティが心配な場合は、完全に暗号化されたドライブからWindowsを起動してください。そうすれば、ページングファイルで機密データが暗号化されていないことを心配する必要はありません。
基本的に、ページングファイルは、暗号化されたパーティションにある場合でも安全ではないことを意味します。ドライブを安全にするには、ドライブを完全に暗号化する必要があります。どうして?
私の理解では、データはメモリに保存されるか(適切なシャットダウンが開始されたかどうかに関係なく電源が切れると消えます)、または暗号化されたWindowsパーティションのページングファイルに常駐します(システムの使用中に明らかに復号化されます) しかし、それ以外の場合は暗号化されますか?)。
WindowsとLinuxをデュアルブートし、前者をVeracryptで暗号化し、後者をSSDのdm-cryptで暗号化するため、このトピックは私にとって特に重要です-残りのスペースは、暗号化されていない未割り当てデータです(私に関する限り、セキュリティ上の問題ではなく、上記の記事に基づいています)。
加えて、
暗号化を使用してハードディスクドライブ上の機密データを保護する場合でも、暗号化キー(およびアクセスする復号化データ)はコンピューターのメモリに保存されます。 Windowsはこれらのデータの一部を自動的にページングファイルにマップします。ページングファイルは、Windowsがシャットダウンしても暗号化されません。
繰り返しになりますが、ページングファイルがデフォルトで暗号化されたWindowsパーティションに存在する場合、Windowsのシャットダウン時に暗号化されないのはなぜですか? Windowsパーティションだけでなく、ドライブ全体を完全に暗号化する必要があるのはなぜですか?
ありがとう。
マイクロソフト(他の多くのものと同様)は、時々混乱する用語を使用しています。この場合、「ドライブ」は、「ドライブ文字」の意味で使用されます。 これは、物理ストレージデバイスである「 disk 」とは異なります。ドライブのデータは物理パーティションに保存される場合がありますが、 「ドライブ」は最も適切に「ボリューム」と呼ばれます。 1つのパーティション、または複数のパーティション(スパン、ストライプ、RAID5など)、CD-ROM、または他のストレージデバイスからマウントされたイメージファイルなどが考えられます。 "Drive"は、ではない全体を指しますdisk; SDカードのようなもの(通常、物理的な「ディスク」ごとにボリュームが1つしかない)でも、ディスクメタデータは、マウントされてドライブ文字が割り当てられる論理ボリュームの外にあります。
質問に直接答えるために、ページングファイルが暗号化されたパーティション(通常はC:ドライブであり、BitLockerやTrueCrypt/CipherShed/whateverなどの方法で暗号化されている)に保存されている場合、あなたは大丈夫 。まあ、パーティションの暗号化と同じくらい素晴らしいですが、重要な点は、十分に良いボリューム全体の暗号化が良いことです。実際にディスク全体を暗号化する必要はありません。
マイクロソフトが行っている違いは、フルボリューム暗号化(BitLockerなど)とより詳細な暗号化( Encrypting File System によるファイル暗号化、暗号化されたZipアーカイブ、PGPで暗号化されたデータなど)の間です。 。 BitLockerは通常、(MSによって)省略形[〜#〜] fve [〜#〜](fveapi.dll
またはfveprompt.exe
)、または略語[〜#〜] bde [〜#〜](「BitLocker Drive Encryption "の場合、manage-bde.exe
のように)。