Необходимо шифровать данные на сервере (а точнее некий каталог глубоко в дереве каталогов). Контейнеры не подходят, по этому решил сделать средствами NTFS. Растолкуйте своими словами сабж...
Для шифрования файла/папки достаточно активировать данное действие в свойствах объекта, при этом в профиле пользователя будут созданы соответствующие ключи с помощью которых и осуществиться шифрования. В случае утери профиля пользователя или других непредвиденных обстоятельствах следует помнить что система EFS создает копию сертификата и дарит его Администратору. P.S.> Advanced EFS Data Recovery снимает на раз
Ещё, на сколько я знаю, перенос шифрованной папки на FAT32, снимает шифрование Собственно, нужно зашифровать неким образом папку... Но не ложить её в контейнер, так как она должна быть доступна в сети на чтение все, но изменять - только один маст хев... Другого, пока что, ничего в голову не идёт... Права? Не подходит(
а почему не подходит? неужели так критично шифрование данных? А вообще самая лучшая защита данных в таком случае - ограничение физического доступа к носителю информации и локалку оттуда нафик =) Опиши более подробнее о том как необходимо организовать работу с этими данными а там гляди что-то и сообразим, ща еще "СпанжБоб" прийдет , он с виндами дружит хорошо.
эта информация точная, или подозрения ? Как то читал, что при утечке ключей - невозможно становится расшифровка данных?.. А прога EFS data recovery сможет восстановить данные только тогда, когда ключи(сертификат) сушествует. P.S. мои обсуждение могут быть НЕ правильным, так что если у вас есть точная информация - исправте меня пожалуйся
2NaX[no]rT А это уже зависит от начальства.. мои вот например когда-то хотели прайсы СВОИ шифровать 0_о (именно свои а не поставщиков)
EFS достаточно надежен и прост,но для применения надо немного подготовиться. 1)Назначить агента восстановления для домена(т.к не стоит использовать доменного администратора). 2)Сгенерировать для него ключ и импиртировать в AD. 3)Экспортировать ключ на носитель и удалить ключи(при расшифровки импортируем ключ и расшифровываем). 4)Если пользователи загружают профиль с сервера,то настроить IPSEC. 5)Зашифровать TEMP. 6)Если требуется повышенная безопасность,то объяснить пользователям что надо экспортировать свои сертификаты на носитель и применять в системе при работе с файлами,в остальном случае удалить сертификат. Если у пользователя есть сертификат,то при переносе на FAT аттрибут шифрования снимается.Если просто копирование скажем с Live-cd,то файл будет зашифрован.
SpangeBoB А если нет сертификата, то не сможет копировать или на FAT всеравно не будет читатся ? че то не очень понимаю.. в противном случае можно украсть и расшифровать переместив на FAT том. и еще не ясно четко 4 и 5 пункт. допустим если пользователь грузит аккаунт с домена, то IPSec исключает перекват EFS ключа ? А темп шифровывать надо для того, что туда кэщируется ключи EFS ?
Допустим удалось попасть за компьютер пользователя,но пользователь удалил сертификат,то доступ на копировании будет запрещен.Перемещение и дешифрование возможно только при наличии сертификата,в остальном файл будет также зашифрован не зависимо куда копируется. Да IPSEC позволит шифровать данные между сервером и клиентом исключаю возможность перехвата данных(т.к сертификат пользователя хранится в профиле возможно перехватить ).Некоторые программы создают временные файлы в TEMP которые не будут шифроваться и можно получить к ним доступ.
а сертификат и ключи - это разные вещи в EFS ? если шифровать файлы, и хочется переустановить систему, то место копирования профиля можно достать только ключи или сертификат и хранить в флешке? (если да, то где он находятся) А еще мне интересно, передачи ключа по домену. если на файловом сервере шифровать данные и надо разрешить только авторизованным пользователям домена - как это будет? ..
1)Миграция сертификатов описанно сдесь: http://technet.microsoft.com/en-us/library/cc722147.aspx 2)Про домен : http://www.microsoft.com/windowsxp/using/security/expert/sharefilesefs.mspx http://technet.microsoft.com/en-us/library/bb457065.aspx http://technet.microsoft.com/en-us/library/cc781588(WS.10).aspx http://winsecurity.ru/articles/detail.php?ID=2227&phrase_id=1094722
При копировании с EFS на ФС, не поддерживающую EFS шифрование теряется (можно самому за минуту проверить это). А вообще не понятна сама задача. Если надо супер безопасность: отключи все внешние носители и интернет и используй IPSEC и шифрование файлов на сервере. У меня лично сделано на сервере luksfs (шифрованая ФС) на которой лежат данные и через ssh -X -C username@server program запускаю проги с этого же сервера. Не слишком хороший вариант, но на скорую руку получаю шифрование ssh с неким подобием терминал сервера и шифрование данных на всех уровнях (ФС и сеть). Самое уязвимое место наверное остаётся сам сервер. С помощью RDP (поверх SSL)+EFS я думаю можно получить нечто подобное.
Слегка ошибаешся =) Файл при копировании в файловую систему не поддерживаюшую EFS будет предварительно расшифрован и скопирован - при условии что у тебя имеется соответствующий сертификат если у тебя нет сертификата то и возможности снять шифрование тоже нет а значит файл останется зашифрованным в независимости куда ты его скопируеш. 2B1t.exe Читай внимательнее пост №4
