我可以加密 Windows 服务器上的共享文件并只允许经过身份验证的域用户访问这些文件吗?
场景如下:
我有一家软件开发公司,我想保护我的源代码不被程序员复制。
一个问题是,一些程序员使用自己的笔记本电脑来开发公司的软件。
在这种情况下,不可能阻止开发人员复制其笔记本电脑的源代码。
在这种情况下我想到以下解决方案,但我不知道是否可以实现。
这个想法是加密源代码,只有当开发人员登录到 AD 域时才可以访问(解密),即如果他们没有登录到 AD 域,则加密的源代码将毫无用处。
如何使用 EFS 实现这一点?或者是否有其他工具可以做到这一点?
答案1
什么可以阻止他们登录域,在记事本/VS/whatever 中打开和解密源代码,然后将内容复制并粘贴到本地文件中?
加密并非旨在保护数据不被已有访问权限的用户获取。您面临的是社会/政策问题,而不是技术问题。
答案2
问题是,一旦他们获得源代码,他们就可以复制一份,完全绕过你正在考虑的整个系统。如果你不信任某人的数据,那么你不应该把数据交给他们,因为一旦他们获得源代码,他们就可以复制并对其进行任何他们想做的事情(除了修改你的原始副本)。
您能做的最好的事情是设置防火墙来检测源代码是否通过您的网络传输(尽管这可以通过加密来阻止),并且不允许任何类型的存储设备。
答案3
我使用 EFS 和 AD 域做了一些测试。我认为可以使用以下解决方案。
我使用 EFS 加密一个文件夹并授予用户 X 权限。当该用户使用域凭据登录时,可以完全访问该文件夹并可以复制所有文件。(加密文件!)
但是,如果用户没有使用 AD 域的凭据登录,他们就无法访问文件。即使他使用的是计算机上的本地管理员帐户。
现在的问题是AD保留了缓存的用户信息。
现在我需要知道您是否可以配置 AD 以仅在服务器在线时对笔记本电脑进行身份验证,并且不允许这些用户使用 EFS 解密文件。
你已经实施过类似的事情了吗?
答案4
回答你的问题:是的,你可以使用 EFS 加密数据并允许多个 AD 用户访问它。正如其他几个人已经指出的那样,虽然这在技术上是正确的,但实际上也是无用的。任何可以解密文件的人都可以保存、打印、复制解密的源代码,特别是如果你让他们在你无法控制的机器上这样做的话。