标题基本上是该论坛上发布的一个旧问题的复制,但由于存在不太适用的情况,旧 OP 尚未回答该问题。
我可以加密 Windows Server 上的共享文件夹并仅允许经过身份验证的域用户访问这些文件吗?
我的主要目标是防止文件被我的域网络之外的机器打开/读取。
我真的很担心勒索软件攻击,而且我已经做好了备份,所以数据丢失不是我主要担心的问题。但是,如果勒索软件攻击将我们的文件复制到云端,并将它们泄露出去,那就太糟糕了。
我们启用了 BitLocker,但据我所知,它只能防止对驱动器的物理访问,并且在运行时,服务器上的所有内容都已解密并可读取/复制。因此 BitLocker 不是解决方案。
我的想法是使用通过 GPO 安装在我们网络上的计算机上的证书/密钥来加密共享文件夹和文件。如果用户使用 AD 登录,它将获取密钥,并且可以读取/写入文件,但如果将其(显然是文件,而不是内容)复制到外部位置,它将根本无法读取。
这是防止数据泄露的可行解决方案吗?或者还有其他方法对这种特定情况更有效?
答案1
答案2
我可以加密 Windows 服务器上的共享文件夹并仅允许经过身份验证的域用户访问这些文件吗?
加密并不能防止文件被可以解密文件的用户泄露,并且为了(查看和修改)文件,您可以这样做。 这意味着如果用户想要将网络共享上的文件复制到可移动闪存设备,则该文件的副本未加密。
我真的很担心勒索软件攻击,而且我已经做好了备份,所以数据丢失不是我主要担心的问题。但是,如果勒索软件攻击将我们的文件复制到云端,并将它们泄露出去,那就太糟糕了。
使用 BitLocker 保护网络共享不会阻止勒索软件加密用户具有写访问权限的任何文件,因为勒索软件通常会尝试加密运行它的用户有权访问的任何文件。
我们已经启用了 BitLocker,但据我了解,它只能防止对驱动器的物理访问,并且在运行时,服务器上的所有内容都已解密并可读取/复制
BitLocker 确实是为了防止将物理磁盘驱动器连接到另一台计算机而设计的。
我的想法是使用通过 GPO 安装在我们网络上的计算机上的证书/密钥来加密共享文件夹和文件。如果用户使用 AD 登录,它将获取密钥,并且可以读取/写入文件,但如果将其(显然是文件,而不是内容)复制到外部位置,它将根本无法读取。
EFS 将阻止复制文件。但是,用户可以解密文件,因为他们对文件副本具有写权限。但是,EFS 不会阻止勒索软件加密同一个文件。
这是防止数据泄露的可行解决方案吗?或者还有其他方法对这种特定情况更有效?
EFS 和 BitLocker 无法阻止将数据复制到外部可移动设备。该问题有解决方案。 EFS 和 BitLocker 并不是解决方案。
我的主要目标是防止文件被我的域网络之外的机器打开/读取
作为恶意攻击者,不能简单地插入一台机器并连接到 AD 域。必须将系统配置为连接到域,并且 Active Directory 域必须确认它可以访问它。
此外,您的网络无法被外部访问,物理攻击是您唯一真正的风险。因此,请将交换机端口配置为默认禁用,除非解锁,否则端口将锁定到特定机器,并使用适当的工具(2FA)保护所有制造商的帐户(如果这些交换机是远程配置的)。
BitLocker 使得无法将硬盘从机器上取下并放入另一台设备。即使发生这种情况,他们也无法访问您的网络共享,因为需要具有适当权限的域帐户。
如果他们可以物理访问这些终端,那么 BitLocker 和强密码规则会阻止他们访问您的网络。EFS 将加密用户配置文件中的文件,这意味着,如果出于某种原因,他们可以绕过并解密整个驱动器,他们仍然需要证书和密码才能访问文件。
同时,由于需要域中的一台机器并且需要作为具有权限的用户帐户进行身份验证,因此共享驱动器仍然受到限制。
如果 AD 域外的计算机使用域中的帐户访问网络共享,则它们可以访问网络共享上的文件。这意味着该计算机已添加到 Active Directory 域。否则,将文件复制到外部驱动器是唯一的其他方法。
我想防止文件(如果已上传)在未进入我们本地网络域的机器上打开。
资源保护制度是存在的,但是加密文件并不是那种保护。如果您域中的用户将文件复制到闪存设备并在笔记本电脑上打开它,他们可以轻松复制该文件。