Мне нужно зашифровать папку 3,5 ТБ на сервере 2008 R2. Папка является общей, и пользователи и приложения должны получить доступ к файлам (pdf) в ней по сети. Поскольку сервер является виртуальной машиной (ESXi 5), Bitlocker не поддерживается. EFS с управляемыми ключами AD CS должна работать.
Я ищу информацию в виде хорошего руководства по внедрению и фактического опыта пользователей / администраторов, если кто-то действительно его использует.
Насколько сильно я могу увидеть снижение производительности? (Xeon R7-4850) Если есть лучшее решение для шифрования сетевых ресурсов, пожалуйста, дайте мне знать.
Я не могу точно определить, какое влияние на производительность вы бы ощутили. Были бы некоторые. Но дело в том, что если вам необходимо зашифровать эти данные, то это то, что вы должны сделать, и вам просто нужно укусить пулю от любого потенциального воздействия на производительность.
Считали ли вы, что, как только клиент обращается к файлу, зашифрованному EFS на общем сетевом ресурсе SMB, файл расшифровывается на сервере, а затем передается незашифрованным / «открытым текстом» по сети?
Во-первых, я бы подумал о переносе этого традиционного файлового хранилища на что-то вроде WebDAV, поскольку это позволит вам передавать данные по защищенному каналу SSL / TLS / HTTPS по сети.
Несколько важных слов от Microsoft:
Удаленные операции EFS с общими файловыми ресурсами и веб-папками
Пользователи могут шифровать и расшифровывать файлы, которые хранятся в общих сетевых папках или в веб-папках Web Distributed Authoring and Versioning (WebDAV). Веб-папки имеют много преимуществ по сравнению с общими файловыми ресурсами, и Microsoft рекомендует по возможности использовать веб-папки для удаленного хранения зашифрованных файлов. Веб-папки требуют меньше административных усилий и более безопасны, чем общие файловые ресурсы. Веб-папки также могут безопасно хранить и доставлять зашифрованные файлы через Интернет с помощью стандартной передачи файлов HTTP. Использование общих файловых ресурсов для удаленных операций EFS требует доменной среды Windows 2000 или более поздней версии, поскольку EFS должна олицетворять пользователя, используя делегирование Kerberos для шифрования или дешифрования файлов для пользователя.
Основное различие между удаленными операциями EFS с файлами, хранящимися в общих файловых ресурсах, и файлами, хранящимися в веб-папках, заключается в том, где эти операции выполняются. Когда файлы хранятся в общих файловых ресурсах, все операции EFS происходят на компьютере, на котором хранятся файлы. Например, если пользователь подключается к сетевому файловому ресурсу и решает открыть файл, который он или она ранее зашифровал, файл расшифровывается на компьютере, на котором хранится файл, а затем передается в виде открытого текста по сети на компьютер пользователя. . Когда файлы хранятся в веб-папках, все операции EFS происходят на локальном компьютере пользователя. Например, если пользователь подключается к веб-папке и решает открыть файл, который он или она ранее зашифровал, файл остается зашифрованным во время передачи на компьютер пользователя и расшифровывается EFS на компьютере пользователя. Эта разница в том, где выполняются операции EFS, также объясняет, почему общие файловые ресурсы требуют большей административной настройки, чем веб-папки.
Да, еще есть шифрование SMB, но оно впервые в Server 2012 и SMB 3.0. Однако вы указали, что используете 2008R2.