標準環境でユーザープロファイルを暗号化する
標準環境で暗号化したユーザープロファイルを運用する。
Windows XP/2000ではユーザー毎に利用するデータをユーザープロファイルとして個別に管理している。
ユーザープロファイルの代表例として
- マイドキュメント
- レジストリ(NTUSER.DAT)
- 最近使ったファイル(Recentフォルダ)
- IEのキャッシュ・履歴
- 一部のアプリケーションのデータ(Local Settings¥Application Data)
- 一時ファイル(Tempフォルダ)
TrueCryptを利用すればこれらのファイルも暗号化して運用できる。
※以下の手順で作成したプロファイルを実際に利用するには2回ログオンする必要がある。
再ログオンの手順を省略するには、TCGINAを使う。
作成方法
※本ページは、「フリーウェアを利用してユーザープロファイル領域を暗号化ボリュームに格納する」という技術的興味からその手法を解説したものであり、絶対的に安全なものとして推奨しているわけではありません。
以下の手法を実行したとしても、意図しない秘密データの漏洩はありえます。
また、ログオンができなくなったり、データの紛失その他のトラブルが生じる可能性もあります。(以下の手法の試行は自己責任でお願い致します)
1. 新規ユーザーを作成
コントロールパネルから新規ユーザー(ここではsecretとする)を作成し、一度このユーザーでログオンする。2. 暗号化ボリュームを作成する。
TrueCryptにて暗号化ボリュームを作成する。サイズは最低でも10MB必要。
3. 通常ユーザーでマウントする。
通常のユーザーで先ほどつくった暗号化ボリュームをマウント。※このときのマウント先は覚えておく。(ここではU:¥とする)
4. ユーザープロファイルの移動
(参考)通常ユーザーで、マイコンピュータのプロパティ→[詳細設定] タブをクリック
→[ユーザー プロファイル] の [設定] をクリック。
秘匿ユーザー(secretアカウント)のユーザープロファイルを選択し、[コピー先]で暗号化ボリュームを指定する。
このときアクセス権限がないと表示される場合があるが、そのときはアクセス権の設定で、通常ユーザーにアクセス権を与える。
以上でユーザープロファイルの移動が完了する。
この結果、レジストリ内ユーザープロファイルに関する位置情報も暗号化ボリュームを指すように書き換えられる。
利用方法
秘匿ユーザー(secretユーザー)でログオンする際は以下の手順でおこなう。※TrueCrypt常駐サービスで、ログオフ時自動的にディスマウントする設定になっている場合は、この設定を外しておくこと。
1. 通常ユーザーでログオン。
2. TrueCryptを起動し、秘匿ユーザーを移動した先のドライブ(先の例ではU:¥)に、ユーザープロファイルの入ったボリュームをマウントする。
2. 通常ユーザーをログオフ。
3. 秘匿ユーザー(secret)でログオンしなおす。
※ユーザープロファイルの入ったボリュームをマウントする前に秘匿ユーザーでログオンしようとしたり、マウントするドライブ文字を間違えると、別の非暗号化ユーザープロファイルが作られて、設定が書きかわってしまうので注意。
2006年12月11日(月) 21:40:35 Modified by hiverd