|
EFS - надёжно ли?
Необходимо шифровать данные на сервере (а точнее некий каталог глубоко в дереве каталогов). Контейнеры не подходят, по этому решил сделать средствами NTFS.
Растолкуйте своими словами сабж... |
Смотря что ты хочеш получить.
Для расшифровки будет достаточно заполучить профиль пользователя. |
Среди сотни пользователей в АДу, только один должен иметь доступ к шифрованной папке.
|
Для шифрования файла/папки достаточно активировать данное действие в свойствах объекта, при этом в профиле пользователя будут созданы соответствующие ключи с помощью которых и осуществиться шифрования.
В случае утери профиля пользователя или других непредвиденных обстоятельствах следует помнить что система EFS создает копию сертификата и дарит его Администратору. P.S.> Advanced EFS Data Recovery снимает на раз ;) |
Ещё, на сколько я знаю, перенос шифрованной папки на FAT32, снимает шифрование:)
Собственно, нужно зашифровать неким образом папку... Но не ложить её в контейнер, так как она должна быть доступна в сети на чтение все, но изменять - только один маст хев... Другого, пока что, ничего в голову не идёт... Права? Не подходит( |
Цитата:
А вообще самая лучшая защита данных в таком случае - ограничение физического доступа к носителю информации и локалку оттуда нафик =) Опиши более подробнее о том как необходимо организовать работу с этими данными а там гляди что-то и сообразим, ща еще "СпанжБоб" прийдет , он с виндами дружит хорошо. |
POS_troi , в корпоративном бизнесе так критично шифрование данных.
|
Цитата:
Цитата:
А прога EFS data recovery сможет восстановить данные только тогда, когда ключи(сертификат) сушествует. P.S. мои обсуждение могут быть НЕ правильным, так что если у вас есть точная информация - исправте меня пожалуйся :) |
2NaX[no]rT
А это уже зависит от начальства.. мои вот например когда-то хотели прайсы СВОИ шифровать 0_о (именно свои а не поставщиков) |
EFS достаточно надежен и прост,но для применения надо немного подготовиться.
1)Назначить агента восстановления для домена(т.к не стоит использовать доменного администратора). 2)Сгенерировать для него ключ и импиртировать в AD. 3)Экспортировать ключ на носитель и удалить ключи(при расшифровки импортируем ключ и расшифровываем). 4)Если пользователи загружают профиль с сервера,то настроить IPSEC. 5)Зашифровать TEMP. 6)Если требуется повышенная безопасность,то объяснить пользователям что надо экспортировать свои сертификаты на носитель и применять в системе при работе с файлами,в остальном случае удалить сертификат. Если у пользователя есть сертификат,то при переносе на FAT аттрибут шифрования снимается.Если просто копирование скажем с Live-cd,то файл будет зашифрован. |
Цитата:
|
SpangeBoB
Цитата:
и еще не ясно четко 4 и 5 пункт. допустим если пользователь грузит аккаунт с домена, то IPSec исключает перекват EFS ключа ? А темп шифровывать надо для того, что туда кэщируется ключи EFS ? |
Цитата:
Да IPSEC позволит шифровать данные между сервером и клиентом исключаю возможность перехвата данных(т.к сертификат пользователя хранится в профиле возможно перехватить ).Некоторые программы создают временные файлы в TEMP которые не будут шифроваться и можно получить к ним доступ. |
Благодарю :)
Осталось это пользователю объяснить...:( |
а сертификат и ключи - это разные вещи в EFS ? если шифровать файлы, и хочется переустановить систему, то место копирования профиля можно достать только ключи или сертификат и хранить в флешке? (если да, то где он находятся)
А еще мне интересно, передачи ключа по домену. если на файловом сервере шифровать данные и надо разрешить только авторизованным пользователям домена - как это будет? .. |
1)Миграция сертификатов описанно сдесь:
http://technet.microsoft.com/en-us/library/cc722147.aspx 2)Про домен : http://www.microsoft.com/windowsxp/using/security/expert/sharefilesefs.mspx http://technet.microsoft.com/en-us/library/bb457065.aspx http://technet.microsoft.com/en-us/library/cc781588(WS.10).aspx http://winsecurity.ru/articles/detail.php?ID=2227&phrase_id=1094722 |
При копировании с EFS на ФС, не поддерживающую EFS шифрование теряется (можно самому за минуту проверить это).
А вообще не понятна сама задача. Если надо супер безопасность: отключи все внешние носители и интернет и используй IPSEC и шифрование файлов на сервере. У меня лично сделано на сервере luksfs (шифрованая ФС) на которой лежат данные и через ssh -X -C username@server program запускаю проги с этого же сервера. Не слишком хороший вариант, но на скорую руку получаю шифрование ssh с неким подобием терминал сервера и шифрование данных на всех уровнях (ФС и сеть). Самое уязвимое место наверное остаётся сам сервер. С помощью RDP (поверх SSL)+EFS я думаю можно получить нечто подобное. |
Цитата:
|
[QUOTE=SpangeBoB]
Цитата:
Если я не ошибаюсь, EFS шифрует на уровне блоков ФС (NTFS), или я ошибаюсь? |
Слегка ошибаешся =)
Файл при копировании в файловую систему не поддерживаюшую EFS будет предварительно расшифрован и скопирован - при условии что у тебя имеется соответствующий сертификат если у тебя нет сертификата то и возможности снять шифрование тоже нет а значит файл останется зашифрованным в независимости куда ты его скопируеш. 2B1t.exe Цитата:
Цитата:
|
[QUOTE=isdennu]
Цитата:
Цитата:
|
[QUOTE=SpangeBoB]
Цитата:
|
| Время: 20:36 |