Безопасное удаление одного каталога на SSD с шифрованием BitLocker

473
Michael Meier

(Как) Могу ли я secure eraseодин каталог (или даже файл) на SSD?

Я возвращаю рабочий ноутбук своему бывшему работодателю, который мне разрешили и использовали для личных дел. Обычно коллеги просто удаляют свои данные и даже не пользователя Windows.

Все мои конфиденциальные данные находятся в моей пользовательской папке, поэтому я бы хотел именно secure eraseэто.

SSD это SanDisk SD6SB1m-128G-1006. У SanDisk есть инструмент, который называется SanDisk SSD Toolkitили SanDisk SSD Dashboardподдерживает secure erasing. (Обратите внимание, что SanDisk вызывает очистку таблицы сопоставления secure erasingи вызывает фактическое стирание блоков sanitizing, а я вызываю последние secure erase.)

Моя цель - стереть данные папки пользователя.

Дополнительная информация:

  • Моя ОС - Win 10 1803, а SSD - в формате NTFS.
  • Диск зашифрован
  • Компьютер является частью домена Windows
  • Компания тщательно настроила установку Windows со сценариями входа в систему, взломами реестра, групповыми политиками (которые синхронизируются, однако) и еще много чего.
  • Создание системных образов отключено
  • Я думаю, что я могу загрузиться с USB

Я не думаю, что это все равно стоит усилий, но могу ли я создать образ диска с помощью стороннего инструмента, который пропускает неназначенные сектора / блоки?

Будет ли работать восстановление этого образа (после удаления и повторного шифрования BitLocker), если оно пропустит неназначенные сектора / блоки?

Сохраняет ли Windows важную информацию в неназначенных блоках (и предотвращает ее перезапись драйверами)? Или только 90-ые защиты от копирования сделали так?

1
Вы можете перенести все свои данные в одну папку, включить EFS, сгенерировать ключ и затем удалить его из системы. Это не помешает восстановлению незашифрованных данных. Вне шифрования всего SSD, перемещение файлов в зашифрованную папку, а затем расшифровка всего диска, что вы хотите, не представляется возможным (в контексте того, чтобы быть стоящим и безопасным). Ramhound 5 лет назад 0
Вы не можете просто «очистить каталог_» - вам придется удалить каталог и очистить ** _ все _ ** неиспользуемые области устройства. Файлы перемещаются на диске с течением времени и при обычном использовании (создание / редактирование / удаление / и т. Д.) - это происходит еще больше с твердотельными накопителями. Attie 5 лет назад 0
Я добавил информацию в свой вопрос Michael Meier 5 лет назад 0
Единственный способ действительно сделать это безопасным способом - восстановить диск с другим ключом, но без данных, от которых вы хотите избавиться. Austin Hemmelgarn 5 лет назад 0

2 ответа на вопрос

2
Tetsujin

Я «портирую» это из стандартного совета macOS, но принцип один и тот же, независимо от платформы.

Apple удалила безопасное стирание, потому что это было на самом деле небезопасно.

«Современный» способ сделать это - иметь зашифрованный диск.
Удалите ненужные данные [& empty Trash / Recycle], затем расшифруйте диск.

После этого его невозможно будет восстановить, поскольку ключи шифрования больше не присутствуют.

1
Twisty Impersonator

Диск зашифрован

Хорошо. Это означает, что данные, которые вы хотите безопасно удалить, уже зашифрованы. Осталось только уничтожить ключи шифрования, которые сделают данные невосстановимыми. Вот как это сделать на томе, который в настоящее время зашифрован с помощью BitLocker:

  1. Удалите данные, которые вы хотите стереть. Очистите корзину.

  2. Выключите BitLocker и дайте ему полностью расшифровать диск.

    Примечание. Проверьте это, запустив manage-bde -statusкомандную строку с повышенными правами и убедившись, что показанные здесь поля соответствуют снимку экрана:

  3. (Дополнительно). Включите BitLocker.

При полном отключении BitLocker на томе ключ шифрования полного тома (FVEK), используемый для шифрования секторов диска, удаляется. Таким образом, даже если на SSD остались биты от удаленных данных (и они почти наверняка есть), они зашифрованы ключом, который больше не существует.

Предупреждение! Изменение ключей защиты тома (например, PIN-кода, ключа восстановления, TPM) не меняет FVEK. И только удаления FVEK достаточно, чтобы навсегда предотвратить доступ к данным, зашифрованным с помощью указанного ключа.

Дополнительная информация

Похожие вопросы