Ostatnio głośno było o możliwości ataku na zaszyfrowane dyski poprzez dane dostępne w pamięci komputera. W ramach jednej z dyskusji poświęconych temu tematowi poruszono temat nowej opcji dostępnej na WIndows Vista pozwalającej na zaszyfrowanie pliku wymiany na dysku. Pewnie już znane, ale ja dopiero się o tym dowiedziałem.
Plik wymiany używany jest do przechowywania chwilowo niepotrzebnych obszarów pamięci aby udostępnić więcej zasobów innym procesom. Pamięć systemu może zawierać dosyć ciekawe rzeczy, w końcu przedstawione metody ataku na zaszyfrowane dyski opierają się na dostępie do kluczy przechowywanych w pamięci komputera. Zdarzyć się może, że w pliku wymiany komputera w stanie hibernacji mogą znajdować się ciekawe dane. Po wyłączeniu komputera, jeżeli nie mamy ustawionej opcji czyszczenia pliku wymiany przy zamknięciu systemu również mogą w nim pozostać interesujące dla potencjalnego intruza dane. Może warto się więc zabezpieczyć
Opcja ta dostępna jest w następującej ścieżce:
Computer Configuration\Windows Settings\Security Settings\Public Key Policies \Encrypting File System \ Enable pagefile encryption
Co ciekawe, pomimo że opcja ta została umieszczona w opcjach EFS nie ma z samym EFS za dużo wspólnego (ech ta konsekwencja). Szyfrowanie wykonywane jest przy użyciu AES z 256-bitowym kluczem generowanym przy każdym starcie systemu. Przy zamknięciu systemu klucz nie jest nigdzie zapisywany, co efektywnie oznacza zaszyfrowanie pliku wymiany bez możliwości odzyskania jego zawartości.
Jeżeli więc ktoś nie odczuwa potrzeby szyfrowania całego dysku a korzysta z opcji może warto pomyśleć chociażby o włączeniu szyfrowania dla pliku wymiany. Zawsze to utrudni zadanie intruzowi a może i ochroni jakieś ważne dla nas dane.
Ja zostaję jednak przy BitLocker.
