NTFSは本当に安全ですか？

Mac PCを使用しており、Windows PCでWindowsパーティションを作成し、Boot Campを使用してWindowsをインストールしました。

Mac OSにログインすると、MacのWindowsパーティションからすべてのファイルを読み取ることができます。Windows内から同じシナリオを比較すると、Windowsは、ユーザーのプライベートファイル（たとえば、マイドキュメントに保存されている）を同等またはそれ以下の特権を持つ他のユーザーから保護すると主張します。

Macからも同じ保護が得られると期待していました。Macでこれらのファイルを表示または開こうとすると、これらのファイルにアクセスできないことを示すエラーメッセージが表示されるはずでした。

誰かが私の認識が正しいか、何か見落としているかを説明できますか？

security ntfs

— サラバナン
ソース

あなたは何も見逃していません。

これは逆のパスでも発生することに注意してください。HFS+を理解できるソフトウェアを誰かが書いた場合、Windows OSは技術的に言えばMacパーティションのすべてを見ることができます。

— ビリーONeal

Billy（および他の人）が言ったことに加えて、Linux Live CDをポップすると、MacとWindowsの両方のファイルを読むことができます。

— boehj

@Billy ONeal：FileVaultを使用していない場合。暗号化されたディスクイメージを作成し、ホームディレクトリに使用します。

— ハビエル

@Javier; また、Windowsでもディスクを暗号化できます-彼のポイントは、アクセス制限がファイルシステムの一部ではないということです。暗号化された画像を読むのを妨げるものは何もありません。結局のところ、私はそれを理解することができません。

— -Phoshi

回答:

NTFSアクセス制御リストは、Windowsによって実施されます。ユーザーがWindowsの外部から（たとえば、別のオペレーティングシステムを使用して）パーティションにアクセスできる場合、強制の保証はありません。

保護する必要があるファイルがある場合は、NTFSの暗号化機能を使用してください。

— アンドリュー・ランバート
ソース

または、Truecryptのフルディスク暗号化、または他のフルディスク暗号化方法。

— ローレンス

また、ディスクを取得し、管理者権限を持つ別のWindowsシステムに接続して、好きなファイルの所有権を取得してからアクセスすることもできます。OSファイルのセキュリティは、「元の」OSがディスクにアクセスする唯一のOSである場合にのみ有効です。ハードウェアレベルでファイルを保護する魔法はありません。OSレベルで適用されるルールです。

— -ldsandon

ファイルを暗号化しない限り、ディスクは常に完全に読み取り可能です。はい、それは完全に正常です。

このように考えてください。スーパーユーザー（管理者）は常に何に対しても完全なアクセス権を持っています（そうでない場合は、アクセス権を取得できます）。MacOSでは、あなたはスーパーユーザーです。したがって、ファイルへのアクセスを禁止しなければ、ファイルにアクセスできます。他のユーザーのアクセスを制限したい場合は、もちろんそれを行うことができます（ただし、Windowsパーティションではなく、MacOSで設定する必要があります）。

— Let_Me_Be
ソース

「Windowsではスーパーユーザーだ」と言ったつもりだったと思いますが、それはOSXでは間違いだからです。Windowsでは、多くのデフォルトのインストール設定で、特権の分離が不要であると想定されます。

— ウェスハルダッカー

@Wes：「レガシーエンドユーザーバージョンのWindows」という意味ですか？それ以外の場合、これは根拠のないWindowsバッシングのように聞こえます。Windows NT 3.51 ACLが実施されており、特権の分離は正常だったためです。Windows 2000 ProとXPでは、問題はより多くのターゲット市場であり、その市場が期待するものでした。また、特権（アクセス許可を回避できる）とWindowsのアクセス許可には違いがあります。

— 0xC0000022L

ファイルシステムは、ネットワーク経由でアクセスされた場合にのみ（潜在的に）安全であるため、rawディスクアクセスのオプションはありません。

デュアルブートで目撃したように、ファイルシステムのセキュリティを回避する方法はいくつかあります。NTFSディスクにアクセスするMacOSまたはLinuxでは、NTFSのセキュリティ仕様がドライバーの作成時に実装されていないため、ドライバーをバイパスしようとするのではなく、実際に発生します。

ファイルシステムの暗号化が適切に行われている場合でも、マシンに物理的にアクセスできる適切な意欲を持つハッカーは、OSに感染してパスワードを記録するか、キーボードを盗聴することでセキュリティを破ることができます。生体認証セキュリティでさえも完全な保証ではありません。たとえば、指紋リーダーから生信号をキャプチャして、後で再生します。

ある時点でデータにアクセスできるようにする場合、データを100％安全に保つことはできません。

— フィル・レロ
ソース

真実ではありません-ファイルシステムをローカルで安全にすることは完全に可能です。パスワードを盗むことは、ファイルシステムのセキュリティの失敗ではなく、パスワードスキームの失敗です。キーボードのように簡単に盗聴されることのない、セキュリティで保護する方法（スマートカード認証など）はたくさんあります。さらに、このような動作には、ターゲットマシンへの長時間の物理的アクセスが必要です。それはソフトウェアのせいではありません。最も一般的なアクセス制御の分母であるPOSIXアクセス許可でさえ、そのシステム設計に関係なく、パスワードが物理的に侵害されているどのシステムよりも安全です。

— ビリーONeal

@Billy私はソフトウェアを非難していませんでした。ローカルディスクは100％安全だとは決して言えないことを強調しました（どのOSを選択しても）。

— フィルレロ

@Phil：あなたの答えは、「ファイルシステムは、ネットワーク経由でアクセスされた場合にのみ（潜在的に）安全である」と言っていますが、これは正しくありません。ファイルシステムは完全に安全です。全体としてコンピューターであるシステムは、完全に安全ではない場合があります。しかし、ファイルシステムは問題ありません。

— ビリーONeal

本当のポイントは、ファイルシステムはディスク上にデータをレイアウトする方法に過ぎず、それ自体に固有のセキュリティがないことです。

— GS-モニカに謝罪

@Ganesh Sittampalamはもちろん、ディスク自体が完全にハードウェア暗号化された本質的なセキュリティを持っているかもしれません。

— クリスマリシック