我们公司有人要求加密本地 Windows 2003 文件服务器中发布的一些共享文件夹。要求如下:
- 加密文件,以便只有用户或组或用户才能打开它们
- 避免使用密码保护的文件。加密过程应该对用户透明
- 虽然文件已加密,但备份软件(BackupExec)必须能够复制和访问二进制文件以进行验证
- 无法在用户的电脑上安装工具/软件,他们希望它能够自动运行
由于我们在管理服务器方面经验很少,因此我们将非常感激任何提供的帮助或建议。
答案1
取消管理员对该文件夹的权限。然后,如果不取得所有权并重置权限(然后可以记录在审计中),他就无法查看目录。备份操作员组可以访问所有内容,请确保将此密码设置为难以记住且不被记录的内容(再次审计密码重置 + 该组成员身份的更改)。对文件启用加密以保护备份不被其他用户访问。
最终,管理员只需付出一些努力,就可以查看系统上的任何文件,甚至使用证书,因为他可以进入用户的 PC 并获取它们或安装键盘记录器、从备份恢复到其他地方、重置权限等。而且共享密码通常不会保密。当你花费大量精力向他们隐藏文件时,通常会发生的情况是用户忘记了密码并永远无法访问他们的数据。此外,用户对 IT 的了解程度不够,不知道管理员何时可以绕过他们的预防措施。
归根结底,您必须信任管理员,让他们妥善保管数据,就像信任其他员工和公司资产/资金一样。任何真正重要的数据都可以存储在 CD/DVD/闪存上,并进行物理保护。
答案2
您可以尝试 PGP Netshare 或 SecurStar Sharecrypt。
为了满足您的要求,据我所知,这两种解决方案都应该允许:
- 共享文件夹中的文件将被加密
- 单个文件不需要密码保护。但是,您可能需要访问权限才能解密整个共享文件夹
- 备份软件可能只会备份加密数据。这可能是一个优势,因此即使备份磁带丢失,也没有人可以访问您的数据
- 您需要在最终用户的电脑上安装一次该软件。然后他们就不需要本地管理员权限了。