Indexação do Vista / Win7 em unidades TrueCrypt

5

O Vista e o Windows 7 salvam bits de informações em um local central em segundo plano.

Instâncias que conheço são índices de pesquisa de área de trabalho, documentos recentes e miniaturas (salvos em \Users\[User Account Name]\AppData\Local\Microsoft\Windows\Explorer ).

Como posso garantir que nenhuma informação seja salva de, digamos, unidades TrueCrypt monolíticas ou unidades USB inseridas?

Existe uma maneira de configurar o Widnows 7 de modo que somente programas que o usuário execute explicitamente, e não serviços de segundo plano, tenham acesso aos dados em uma unidade. Melhor ainda, é possível fazer isso de modo que toda uma categoria de unidades seja bloqueada (por exemplo, todas as unidades removíveis e, em seguida, sempre monte unidades de TC como removíveis)?

Note que não quero desabilitar totalmente a pesquisa na área de trabalho e o cache de miniaturas - isso seria muito inconveniente.

Editar:  * Paper , de Bruce Scheiner, relacionado ao vazamento de informações de volumes criptografados.

    
por dbkk 09.05.2009 / 05:37

2 respostas

2

Um esquema que criei (e ainda não tentei) é criar uma máquina virtual e usá-la com imagens de disco rígido criptografadas .

  • O primeiro arquivo de imagem do disco rígido (VHD) contém uma instalação mínima do sistema operacional.
  • Outros arquivos VHD contendo dados confidenciais podem ser montados como um disco rígido secundário dentro da máquina virtual.

Um arquivo VHD pode ser colocado em um volume TrueCrypt (TC) (um volume oculto, se necessário). Observe que colocar um contêiner de TC no VHD não seria seguro. Também é possível usar a criptografia de disco completo (mas isso pode limitar a portabilidade).

Vantagens:

  • A maioria dos vazamentos de dados estará contida no arquivo criptografado do VHD do SO.
  • Limite de limite em relação ao sistema host, que pode ser cruzado, se necessário (a VM pode montar uma unidade host e copiar arquivos para / a partir dela, se necessário).
  • Os dados ainda são portáteis e podem ser abertos em uma máquina sem uma VM (o Win7 suporta a montagem de arquivos VHD).
  • Como o sistema operacional está em um arquivo separado, a sobrecarga é fixada (~ 1 Gb). O arquivo do sistema operacional pode ser substituído com um original limpo a qualquer momento, se necessário.

Desvantagens:

  • Sobrecarga de armazenamento do sistema operacional virtual e início da VM a cada vez.
  • Uma sobrecarga de configuração do sistema operacional / VM.
  • Possível comprometê-lo montando VHD diretamente (uma benção mista).

Não sou especialista em segurança, por isso os comentários que apontam as deficiências são muito apreciados.

    
por 12.05.2009 / 11:41
1

Uma maneira de contornar isso seria criptografar todo o volume do sistema, com o BitLocker ou uma tecnologia de criptografia de volume total semelhante. Qualquer "vazamento" seria, portanto, também criptografado, independentemente de onde fosse armazenado. No Windows 7, você também tem o BitLocker To Go, que funciona em unidades flash USB.

É verdade que isso só funciona se for seu seu computador e você pode controlar a criptografia - mas, pessoalmente, se meus dados fossem sensíveis o suficiente para serem criptografados, eu não os usaria nos computadores de outras pessoas.

    
por 12.05.2009 / 18:44