Windows 页面文件在加密分区中是否安全?

信息安全 视窗 磁盘加密 虚拟内存 交换
2021-09-10 00:05:02

我遇到了这个名为 ClearPageFileAtShutdown 的设置。该设置在此处进行了描述并说:

如果您真的担心安全性,请从完全加密的驱动器启动 Windows。然后您不必担心您的敏感数据在分页文件中未加密。

基本上,这意味着页面文件,即使它驻留在加密分区中,也不安全——驱动器必须完全加密才能安全。为什么?

我的理解是数据要么存储在内存中(如果没有电源,无论是否启动了适当的关机,它都会消失)或驻留在加密的 Windows 分区的页面文件中(在系统使用时显然会被解密)但否则加密?)。

这个话题对我来说特别重要,因为我双启动 Windows 和 Linux,我用 Veracrypt 加密前者,后者在 SSD 上用 dm-crypt 加密——剩余空间是未加密的未分配数据(就我而言,是不是安全问题,但根据上面的文章,它是)。

此外,

即使您使用加密来保护硬盘驱动器上的敏感数据,加密密钥(以及您正在访问的解密数据)也将存储在计算机的内存中。Windows 会自动将其中一些数据映射到分页文件中,即使在 Windows 关闭时,该分页文件仍保持未加密状态。

同样,如果分页文件默认驻留在加密的 Windows 分区中,那么当 Windows 关闭时分页文件如何不加密?为什么有必要对整个驱动器进行完全加密,而不仅仅是 Windows 分区?

谢谢。

1个回答

微软(以及许多其他公司)有时会使用一些令人困惑的术语。在这种情况下,“驱动器”的含义是“驱动器号”。这与作为物理存储设备的“磁盘”不同。驱动器的数据可能存储在物理分区上,但“驱动器”的存储位置最恰当地称为“卷”。它可能是一个分区,也可能是多个分区(跨区、条带化、RAID5 或其他)、CD-ROM 或从其他存储设备安装的映像文件……你明白了。驱动器不是指整个磁盘; 即使在 SD 卡(每个物理“磁盘”通常只有一个卷)之类的东西上,磁盘元数据也在安装并分配驱动器号的逻辑卷之外。

要直接回答这个问题,如果您的分页文件存储在加密分区(通常是您的 C: 驱动器,并通过 BitLocker 或 TrueCrypt/CipherShed/whatever 之类的东西加密),那么您很好好吧,就像分区上的加密一样好,但重要的是,足够好的全卷加密是好的;您实际上不必对整个磁盘进行加密。

Microsoft 所做的区别在于全卷加密(BitLocker 之类的东西)和更精细的加密(例如通过Encrypting File System的文件加密、加密的 ZIP 存档、使用 PGP 加密的数据等)。BitLocker 通常使用缩写FVE(表示“全卷加密”,如fveapi.dllfveprompt.exe)或缩写BDE(表示“BitLocker Drive Encryption ”,如)来引用(由 MS manage-bde.exe)。

其它你可能感兴趣的问题
上一篇保持未登录:这是最安全的程序吗? 下一篇PHP 对象注入真的需要 PHP 魔术方法吗?