Короче говоря, у меня есть файл конфигурации для инструмента, содержащий конфиденциальную информацию, и клиент хочет, чтобы они были зашифрованы. Я хочу использовать для этого EFS, но есть проблема: учетная запись, выполняющая установку (и, следовательно, шифрование), не может быть той же самой, на которой запущен инструмент (почему на данном этапе не важно), поэтому вот мой вопрос:
Есть ли способ передать сертификат, используемый для дешифрования, от пользователя другому на том же компьютере на сервере Windows 2012?
заранее спасибо
Вероятно, самый простой способ сделать то, что вы хотите использовать опцию обмена зашифрованными файлами для файлов, зашифрованных EFS.
Вы можете включить общий доступ к файлам EFS в расширенных свойствах зашифрованного файла, доступ к которым можно получить, нажав кнопку «Дополнительно» на вкладке «Общие» свойств файла. Прежде чем вы сможете поделиться зашифрованным файлом, он, очевидно, должен быть зашифрован. Если файл зашифрован, вы заметите, что доступна кнопка «Подробности» в дополнительных свойствах файла. При нажатии этой кнопки открывается диалоговое окно «Сведения о шифровании для…». (Кстати, в Windows Vista это диалоговое окно называется «Доступ пользователей к»). В этом диалоговом окне вы можете поделиться зашифрованным файлом с другими пользователями. Совместное использование зашифрованного файла EFS не является явной привилегией учетной записи пользователя, которая зашифровала файл и поделилась им с другим пользователем. Например, Ян мог зашифровать файл и решил поделиться им с Катриен. Катриен, в свою очередь, возможно, решила поделиться этим с Вимом. Единственное условие - пользователь, которому вы хотите предоставить доступ к зашифрованному файлу, должен иметь действующий сертификат EFS, который хранится либо в локальном хранилище сертификатов на вашем ПК, либо в Active Directory (если ваш компьютер присоединен к домену AD).
В качестве альтернативы, да, можно «поделиться» сертификатом EFS пользователя с другим пользователем - путем копирования его между хранилищами личных сертификатов пользователей.
В диалоговом окне «Выбор пользователя» вы можете получить доступ к пользовательским сертификатам EFS, которые хранятся в контейнерах сертификатов «Другие люди» и «Доверенные люди» вашего личного хранилища сертификатов. Доверенные люди - это новый контейнер сертификатов XP и Windows 2003. Он содержит сертификаты EFS всех пользователей, которые когда-либо зашифровывали файл с определенного компьютера. Если ваш компьютер является членом домена Windows AD, вы заметите, что кнопка «Найти пользователя…» включена. Нажатие этой кнопки позволяет получить доступ к пользовательским сертификатам EFS, опубликованным в AD. Обратите внимание, что в диалоговом окне «Выбор пользователя» EFS отображаются только действующие сертификаты EFS. Это означает, что в свойствах сертификата должна быть включена функция «Шифрование файловой системы», а также что сертификат должен быть действительным и срок его действия не истек. Если вы хотите поделиться зашифрованными файлами с людьми, чей сертификат EFS недоступен в одном из вышеуказанных репозиториев, вы всегда можете вручную импортировать его в AD или хранилище сертификатов.