Подмножеству моих пользователей нужен способ совместного использования зашифрованной папки на файловом сервере. Безопасность является самым важным, за ним следует простота использования. Похоже, что TrueCrypt проще настроить. Есть ли у EFS какие-либо преимущества перед TC, чтобы оправдать дополнительную настройку?
Windows Server 2003 и XP, Active Directory, 100 пользователей LAN.
Изменить: изначально я пропустил ограничение однопользовательского доступа для чтения и записи для Truecrypt. Похоже, что EFS лучше, когда я закончу настройку.
Раздел о Обмен по сети из руководства пользователя TrueCrypt выглядит так, будто у вас есть пара решений: монтирование общего файла, содержащего том, локально на компьютерах или монтирование файла, содержащего том, на сервере. Большая разница между ними заключается в том, что содержимое тома будет доступно для чтения и записи для всех клиентских компьютеров, когда оно будет установлено на серверном компьютере и будет совместно использоваться (хотя доступ к данным будет пересекать провод "в открытом виде") по сравнению с тем, который является монтируется только для чтения на всех компьютерах при локальном подключении на каждом компьютере.
Если вашим пользователям нужен беспрепятственный доступ для чтения / записи к зашифрованным файлам, то, вероятно, лучшим выбором будет установка TrueCrypt на стороне сервера или EFS. Данные по-прежнему будут передаваться в открытом виде с EFS, как с TrueCrypt и монтированием на стороне сервера.
Некоторым людям очень нравится EFS, но я думаю, что он заполняет нишу и решает проблему. Он хорошо спроектирован для того, что есть, но проблему, которую он пытается решить, принципиально неудобно решать.
Настроить EFS в среде AD действительно несложно. Самая сложная часть - это сосредоточиться на функциях агента восстановления и экспортировать ключ восстановления в безопасное автономное место. Вам понадобится PKI, но службы сертификации Microsoft могут автоматизировать большую часть процесса выдачи сертификатов пользователям (информацию об автоматической регистрации в Windows XP см. Здесь: http://technet.microsoft.com/en-us/library/bb456981.aspx)
Взгляните на документы от Microsoft: http://technet.microsoft.com/en-us/library/cc962122.aspx (и еще один в http://technet.microsoft.com/en-us/library/bb457116.aspx)
Многопользовательский доступ к файлам EFS - это своего рода «бородавка» со стороны Microsoft, но с этим не так уж сложно справиться. Есть очень хороший ответ Вот re: многопользовательский доступ к файлам, зашифрованным EFS.
EFS позволит вам использовать существующие учетные данные AD и Kerberos для доступа к зашифрованным данным.
Truecrypt не поддерживает многопользовательский доступ и не может хранить учетные данные для доступа в каталоге. Кроме того, Truecrypt не прошел проверку на соответствие стандарту FIPS 140-2, поэтому, если вы выполняете шифрование для защиты от несанкционированного доступа к личной информации, это не тот инструмент.
Также рассмотрите коммерческие продукты, такие как шифрование файлов и папок McAfee.
Я бы рекомендовал использовать TrueCrypt для этого сценария. Вероятно, в этом случае это будет проще, чем EFS.