Мой босс хочет настроить зашифрованные общие файловые ресурсы с помощью EFS на ящиках Windows Server 2012 R2, к которым имеют доступ клиенты Windows 8.1. Мне удалось установить DRA по умолчанию, выдавать сертификаты в тестовых случаях и так далее. Итак, EFS работает. Однако он также хочет, чтобы пользователю предлагалось ввести пароль сертификата (пароль, сгенерированный при первом создании сертификата), когда:
Я настроил групповую политику для очистки кеша каждые 240 минут и при блокировке экрана. Я также настроил реестр локального компьютера и GP домена так, чтобы требовалась надежная защита закрытых ключей. Однако, похоже, это не совсем то, что он ищет. Возможно ли то, что он хочет, без использования второй формы аутентификации (смарт-карты и т. Д.). Если да, то где я напортачил?
Это невозможно с помощью встроенных механизмов.
Немного теории: сильная защита закрытого ключа запрашивает ввод только при доступе к материалу закрытого ключа.
Немного практики: когда вы шифруете / дешифруете файлы на удаленном ресурсе, для выполнения этих операций используется удаленный сертификат. То есть EFS загружает профиль пользователя на сервер хостинга файлового ресурса, загружает сертификат и выполняет действия (шифрование и дешифрование). И диалоговое окно будет отображаться на удаленном сервере и никогда не будет доступно вам, и никто не сможет ввести пароль там.