我的部分用户需要一种在文件服务器上共享加密文件夹的方法。安全性是最重要的,其次是易用性。看来 TrueCrypt 更容易设置。EFS 是否比 TC 有任何优势,可以证明额外设置是合理的?
Windows Server 2003 和 XP、Active Directory、100 个用户 LAN。
编辑:我最初没有注意到 Truecrypt 的单用户 R/W 访问限制。看来,一旦我完成设置,EFS 会更好。
答案1
关于通过网络共享TrueCrypt 用户指南中说,您似乎有两个解决方案——在计算机上本地安装托管卷的共享文件,或在服务器计算机上安装托管卷的文件。两者之间的最大区别在于,当卷安装在服务器计算机上并共享时,所有客户端计算机都可以读写卷的内容(尽管对数据的访问将“以明文形式”通过网络进行),而当卷在每台计算机上本地安装时,所有计算机都只能以只读方式安装卷。
如果您的用户需要无缝读取/写入加密文件,TrueCrypt 服务器端挂载或 EFS 可能是更好的选择。使用 EFS,数据仍将以明文形式传输,就像使用 TrueCrypt 和服务器端挂载一样。
有些人对 EFS 非常失望,但我认为它填补了一个空白并解决了一个问题。它的设计很好,但它试图解决的问题从根本上来说很难解决。
在 AD 环境中配置 EFS 确实不太难。最困难的部分是了解恢复代理功能并将恢复密钥导出到安全的离线位置。您将需要 PKI,但 Microsoft 的证书服务可以自动执行向用户颁发证书的大部分流程(有关 Windows XP 中自动注册的信息,请参见此处:http://technet.microsoft.com/en-us/library/bb456981.aspx)
看一下微软的文档:http://technet.microsoft.com/en-us/library/cc962122.aspx(还有另一个http://technet.microsoft.com/en-us/library/bb457116.aspx)
多用户访问 EFS 文件对于 Microsoft 来说有点“缺点”,但处理起来并不难。这里有一个很好的答案这里回复:多用户访问 EFS 加密文件。
答案2
EFS 将允许您使用现有的 AD 和 kerberos 凭据来访问加密数据。
Truecrypt 不支持多用户访问,也无法将访问凭证存储在目录中。此外,Truecrypt 尚未通过 FIPS 140-2 验证,因此如果您要加密以保护自己免受个人身份信息泄露,它并不是合适的工具。
还可以考虑像 McAfee 文件和文件夹加密这样的商业产品。
答案3
对于这种情况,我建议使用 TrueCrypt。在这种情况下,它可能比 EFS 更容易。