Назад | Перейти на главную страницу

Запрос пароля сертификата при доступе к общим ресурсам EFS

Мой босс хочет настроить зашифрованные общие файловые ресурсы с помощью EFS на ящиках Windows Server 2012 R2, к которым имеют доступ клиенты Windows 8.1. Мне удалось установить DRA по умолчанию, выдавать сертификаты в тестовых случаях и так далее. Итак, EFS работает. Однако он также хочет, чтобы пользователю предлагалось ввести пароль сертификата (пароль, сгенерированный при первом создании сертификата), когда:

  1. Пользователь сначала входит / получает доступ к зашифрованному файлу
  2. После периодического тайм-аута, когда они обращаются к файлу.
  3. Если пользователь блокирует свой экран.

Я настроил групповую политику для очистки кеша каждые 240 минут и при блокировке экрана. Я также настроил реестр локального компьютера и GP домена так, чтобы требовалась надежная защита закрытых ключей. Однако, похоже, это не совсем то, что он ищет. Возможно ли то, что он хочет, без использования второй формы аутентификации (смарт-карты и т. Д.). Если да, то где я напортачил?

Это невозможно с помощью встроенных механизмов.

Немного теории: сильная защита закрытого ключа запрашивает ввод только при доступе к материалу закрытого ключа.

Немного практики: когда вы шифруете / дешифруете файлы на удаленном ресурсе, для выполнения этих операций используется удаленный сертификат. То есть EFS загружает профиль пользователя на сервер хостинга файлового ресурса, загружает сертификат и выполняет действия (шифрование и дешифрование). И диалоговое окно будет отображаться на удаленном сервере и никогда не будет доступно вам, и никто не сможет ввести пароль там.