Необходимо шифровать данные на сервере (а точнее некий каталог глубоко в дереве каталогов). Контейнеры не подходят, по этому решил сделать средствами NTFS.
Растолкуйте своими словами сабж...

Смотря что ты хочеш получить.
Для расшифровки будет достаточно заполучить профиль пользователя.

Среди сотни пользователей в АДу, только один должен иметь доступ к шифрованной папке.

Для шифрования файла/папки достаточно активировать данное действие в свойствах объекта, при этом в профиле пользователя будут созданы соответствующие ключи с помощью которых и осуществиться шифрования.

В случае утери профиля пользователя или других непредвиденных обстоятельствах следует помнить что система EFS создает копию сертификата и дарит его Администратору.

P.S.> Advanced EFS Data Recovery снимает на раз ;)

Ещё, на сколько я знаю, перенос шифрованной папки на FAT32, снимает шифрование:)

Собственно, нужно зашифровать неким образом папку... Но не ложить её в контейнер, так как она должна быть доступна в сети на чтение все, но изменять - только один маст хев...

Другого, пока что, ничего в голову не идёт...

Права? Не подходит(

Права? Не подходит(

а почему не подходит? неужели так критично шифрование данных?
А вообще самая лучшая защита данных в таком случае - ограничение физического доступа к носителю информации и локалку оттуда нафик =)

Опиши более подробнее о том как необходимо организовать работу с этими данными а там гляди что-то и сообразим, ща еще "СпанжБоб" прийдет , он с виндами дружит хорошо.

POS_troi , в корпоративном бизнесе так критично шифрование данных.

Ещё, на сколько я знаю, перенос шифрованной папки на FAT32, снимает шифрование
эта информация точная, или подозрения ?
В случае утери профиля пользователя или других непредвиденных обстоятельствах следует помнить что система EFS создает копию сертификата и дарит его Администратору.
P.S.> Advanced EFS Data Recovery снимает на раз
Как то читал, что при утечке ключей - невозможно становится расшифровка данных?..
А прога EFS data recovery сможет восстановить данные только тогда, когда ключи(сертификат) сушествует.

P.S. мои обсуждение могут быть НЕ правильным, так что если у вас есть точная информация - исправте меня пожалуйся :)

2NaX[no]rT

А это уже зависит от начальства.. мои вот например когда-то хотели прайсы СВОИ шифровать 0_о (именно свои а не поставщиков)

EFS достаточно надежен и прост,но для применения надо немного подготовиться.
1)Назначить агента восстановления для домена(т.к не стоит использовать доменного администратора).
2)Сгенерировать для него ключ и импиртировать в AD.
3)Экспортировать ключ на носитель и удалить ключи(при расшифровки импортируем ключ и расшифровываем).
4)Если пользователи загружают профиль с сервера,то настроить IPSEC.
5)Зашифровать TEMP.
6)Если требуется повышенная безопасность,то объяснить пользователям что надо экспортировать свои сертификаты на носитель и применять в системе при работе с файлами,в остальном случае удалить сертификат.

Если у пользователя есть сертификат,то при переносе на FAT аттрибут шифрования снимается.Если просто копирование скажем с Live-cd,то файл будет зашифрован.

Если требуется повышенная безопасность,то объяснить пользователям что надо экспортировать свои сертификаты на носитель и применять в системе при работе с файлами,в остальном случае удалить сертификат.

а это какраз и будет самым сложным в подготовке =(

SpangeBoB
Если у пользователя есть сертификат,то при переносе на FAT аттрибут шифрования снимается.Если просто копирование скажем с Live-cd,то файл будет зашифрован.
А если нет сертификата, то не сможет копировать или на FAT всеравно не будет читатся ? че то не очень понимаю.. в противном случае можно украсть и расшифровать переместив на FAT том.

и еще не ясно четко 4 и 5 пункт. допустим если пользователь грузит аккаунт с домена, то IPSec исключает перекват EFS ключа ?
А темп шифровывать надо для того, что туда кэщируется ключи EFS ?

SpangeBoB

А если нет сертификата, то не сможет копировать или на FAT всеравно не будет читатся ? че то не очень понимаю.. в противном случае можно украсть и расшифровать переместив на FAT том.

и еще не ясно четко 4 и 5 пункт. допустим если пользователь грузит аккаунт с домена, то IPSec исключает перекват EFS ключа ?
А темп шифровывать надо для того, что туда кэщируется ключи EFS ?
Допустим удалось попасть за компьютер пользователя,но пользователь удалил сертификат,то доступ на копировании будет запрещен.Перемещение и дешифрование возможно только при наличии сертификата,в остальном файл будет также зашифрован не зависимо куда копируется.

Да IPSEC позволит шифровать данные между сервером и клиентом исключаю возможность перехвата данных(т.к сертификат пользователя хранится в профиле возможно перехватить ).Некоторые программы создают временные файлы в TEMP которые не будут шифроваться и можно получить к ним доступ.

Благодарю :)

Осталось это пользователю объяснить...:(

а сертификат и ключи - это разные вещи в EFS ? если шифровать файлы, и хочется переустановить систему, то место копирования профиля можно достать только ключи или сертификат и хранить в флешке? (если да, то где он находятся)
А еще мне интересно, передачи ключа по домену. если на файловом сервере шифровать данные и надо разрешить только авторизованным пользователям домена - как это будет? ..

1)Миграция сертификатов описанно сдесь:
http://technet.microsoft.com/en-us/library/cc722147.aspx

2)Про домен :
http://www.microsoft.com/windowsxp/using/security/expert/sharefilesefs.mspx
http://technet.microsoft.com/en-us/library/bb457065.aspx
http://technet.microsoft.com/en-us/library/cc781588(WS.10).aspx

http://winsecurity.ru/articles/detail.php?ID=2227&phrase_id=1094722

При копировании с EFS на ФС, не поддерживающую EFS шифрование теряется (можно самому за минуту проверить это).
А вообще не понятна сама задача.
Если надо супер безопасность: отключи все внешние носители и интернет и используй IPSEC и шифрование файлов на сервере.
У меня лично сделано на сервере luksfs (шифрованая ФС) на которой лежат данные и через ssh -X -C username@server program запускаю проги с этого же сервера. Не слишком хороший вариант, но на скорую руку получаю шифрование ssh с неким подобием терминал сервера и шифрование данных на всех уровнях (ФС и сеть). Самое уязвимое место наверное остаётся сам сервер.
С помощью RDP (поверх SSL)+EFS я думаю можно получить нечто подобное.

При копировании с EFS на ФС, не поддерживающую EFS шифрование теряется (можно самому за минуту проверить это).

Только если есть сертификат в остальных случаях шифрование не теряется.

[QUOTE=isdennu]При копировании с EFS на ФС, не поддерживающую EFS шифрование теряется (можно самому за минуту проверить это).
QUOTE]
Только если есть сертификат в остальных случаях шифрование не теряется.

Получается что шифрование будет не на уровне ФС, а просто файл зашифрованым останется (например для случая с FAT)?

Если я не ошибаюсь, EFS шифрует на уровне блоков ФС (NTFS), или я ошибаюсь?

Слегка ошибаешся =)

Файл при копировании в файловую систему не поддерживаюшую EFS будет предварительно расшифрован и скопирован - при условии что у тебя имеется соответствующий сертификат если у тебя нет сертификата то и возможности снять шифрование тоже нет а значит файл останется зашифрованным в независимости куда ты его скопируеш.

2B1t.exe

А прога EFS data recovery сможет восстановить данные только тогда, когда ключи(сертификат) сушествует.

Читай внимательнее пост №4

В случае утери профиля пользователя или других непредвиденных обстоятельствах следует помнить что система EFS создает копию сертификата и дарит его Администратору.

[QUOTE=SpangeBoB]

Получается что шифрование будет не на уровне ФС, а просто файл зашифрованым останется (например для случая с FAT)?

Если я не ошибаюсь, EFS шифрует на уровне блоков ФС (NTFS), или я ошибаюсь?
На уровне файлов шифрование,но возможно только на NTFS.Если есть сертификат и копируем на том FAT,то автоматически расшифровывается.Без сертификата из ОС доступ на копирование будет запрещен.Из под live-cd файл так и будет зашифрован.


Читай внимательнее пост №4
В случае утери профиля пользователя или других непредвиденных обстоятельствах следует помнить что система EFS создает копию сертификата и дарит его Администратору.

В 2000 было так ,в Xp требуется назначить REcovery Agent в ручную.Только на первом контроллере домена по умолчанию создается Recovery Agent.

[QUOTE=isdennu]
На уровне файлов шифрование,но возможно только на NTFS.Если есть сертификат и копируем на том FAT,то автоматически расшифровывается.Без сертификата из ОС доступ на копирование будет запрещен.Из под live-cd файл так и будет зашифрован.


Ну с livecd то понятно дело файл будет шифрованым :). Иначе смысл шифрования...