我想在网络驱动器上提供一个专用空间,可以对文件进行加密,并且只有有限的一组用户(可按文件或子目录配置)可以读取它们。我已经考虑过使用 TrueCrypt,但我猜这可以支持通过网络进行并发访问...
我在 Microsoft Windows Active Directory 环境中工作。
如果 A 想要安全地与 B 和 C 共享文件,则只有 A、B 和 C 才能访问这些文件。其他人(甚至系统管理员)都不能读取这些文件。(当然,如果证书、密钥和/或密码丢失,文件将无法恢复。这是我们愿意承担的风险……)
关于如何完成这件事您有什么想法吗?
最好的汤姆
答案1
听起来您需要第三方加密软件,例如 GPG。GPG 允许您加密文件并指定哪些人可以解密。您的管理员将能够看到加密的文件,但他们不应该能够解密它们。
答案2
根据设计,Active Directory 环境中的域管理员(假设所有 Windows PC)可以自动拥有或可以快速获得对其域中几乎所有内容的完全控制权。
- 如果您使用 BitLocker,他们可以强制将恢复密钥存储在 AD 中。
- 如果您使用 EFS,他们可以安装“数据恢复代理”证书。
- 如果您使用 TrueCrypt,他们只需等到您解锁卷即可。
- 如果您通过 SMB“文件共享”共享文件夹,他们可以访问管理“整个磁盘”共享。
- 他们可以通过组策略更改防火墙规则。
- 他们可以通过 GPO 设置任意注册表设置。
- 他们可以通过 GPO 启动/登录脚本在您的计算机上运行任意命令。
如果你的公司雇佣了不值得信任的域管理员,那么安全共享数据的唯一方法就是永远不要将数据泄露给域计算机——这包括 A、B 的计算机,和C。
(嗯,它仍然可以店铺加密数据,但必须不知道数据的实际内容——所有访问仍然必须通过非域设备进行。
答案3
据我所知,没有办法在计算机之间共享单个文件,这需要在其中一台计算机上设置密码和加密,并且管理员无法访问。即使是加密文件也只能由加密它们的用户访问。
因此,您需要在其他地方寻找解决方案,也就是在云端。有些文件共享网站会将文件保存为加密格式并允许共享。您的本地管理员无法强制访问您的云共享文件。
其中一项服务是蜘蛛橡树 它为免费帐户提供了充足的磁盘空间。您可以通过向用户发送文件或文件夹的 URL 来共享信息(实际上,您定义了一个“房间”,即您希望在同一信封下共享的一组文件)。请参阅他们文章中的描述 SpiderOak 分享。
另一个是兆,我停止使用它,因为它有一些特殊之处,而且免费帐户有更多限制。
您还可以使用 Dropbox 共享加密文件,并且有用于进行加密的产品。
除了 SpiderOak 之外,我还尝试过其他类似的服务,但最终选择了它,因为它给了我最大的灵活性和空间。