Я нахожусь в процессе вывода из эксплуатации старого центра сертификации, интегрированного с Windows, и запуска нового, правильно настроенного (на самом деле нескольких). Большинство наших систем не могут использовать EFS из-за групповой политики ... но из-за некоторой неправильной конфигурации несколько пользователей домена смогли автоматически подать заявку на сертификаты EFS. Пока ни один из пользователей не знает о каких-либо файлах, которые они зашифровали, и просматривает свои файлы с помощью cipher /u /n ничего не находит ... но я не могу конечно что мы не пропустили зашифрованных файлов.
Я должен в ближайшее время исключить этот ЦС, поэтому мне придется отозвать сертификаты EFS и убедиться, что EFS полностью отключена для этих пользователей. Я действительно не могу перенести старый центр сертификации на новый по нескольким причинам. Итак, какие у меня варианты отключения EFS для тех, кто, возможно, использовал его без потери своих данных?
Сначала я подумал, что вы захотите создать Агент восстановления домена. Затем мне напомнили, что (и я не могу это подтвердить), я считаю, что DRA подходит только для восстановления зашифрованных файлов, которые были зашифрованы. после агент был создан. Кроме того, отмена сертификата может несколько усложнить ситуацию. Тем не менее, подумайте, что вы можете делать с агентом восстановления домена.
Однако похоже, что вы сделали все, что разумно, чтобы определить, были ли какие-либо файлы зашифрованы. Получите список всех пользователей, которым выданы сертификаты, убедитесь, что они понимают, что должно произойти, попросите их подписать документы, подтверждающие ситуацию, и пусть это засвидетельствует руководитель. Затем вытащите штифт и дайте старому СА выплыть в море.
Дальнейшие исследования показали, что Сертификаты EFS будут продолжать читать любые зашифрованные файлы, пока у пользователя есть сертификат ... даже если сертификаты отозваны, а ЦС списан.
Что пользователи не могут сделать после отзыва сертификатов, так это (повторно) зашифровать любые файлы ... чего мы все равно не хотим.
Таким образом, мне не пришлось использовать подписывание списков отзыва сертификатов или какие-либо другие тактики, чтобы поддерживать работу старого центра сертификации; теперь он полностью выведен из эксплуатации, а пользователи (и любые файлы, которые они могли зашифровать ранее) не повреждены.
(P.S. У меня может возникнуть проблема, если эти учетные записи пользователей необходимо перенести в другой домен в лесу, так как старые сертификаты EFS могут не быть перенесены ...)