我们最近收到了一些客户合同,要求所有客户文件必须始终加密。我们面临的挑战是共享加密文件和在网络共享上同时访问。
有数千个文件需要保持加密状态,并由不同的用户和服务访问。在 Windows XP 下,微软的加密对我们来说效果不佳,并且为一个文件分配多个证书以便多个人可以访问它们既麻烦又容易出错。
我们当前在客户端文件夹上使用 PGP NetShare,但是当多个人访问一个文件(例如 Microsoft Access)或查看一个文件夹中的数千个文件时会遇到问题(列表不断刷新,将您的视图返回到顶部,Windows 资源管理器)。
我们正在就这些问题联系 PGP,但我认为这是找出实际可行的方法的好时机;其他人提出了哪些解决方案来处理网络共享上的选择性文件加密。
我们的基本需求是将文件访问权限限制为仅允许那些被允许访问给定客户端的文件的用户。此限制将基于目录,因此同一目录中不会存在加密和未加密的文件。文件存储在 Windows Server 2008 存储服务器上,可通过 Windows 共享进行访问。在最佳情况下,我们将能够允许服务(使用网络凭据/用户)访问和解密共享上的文件。PGP NetShare 无法做到这一点(可以访问,但不能解密)。
答案1
文件是否需要加密?或者是否需要阻止未经授权的人访问?这是两个不同的要求。
我会考虑对文件使用系统级加密,在 Server 2008 计算机上,BitLocker 可能效果很好。然后使用 IPSec 加密 LAN 流量。并且只使用常规访问控制进行授权。
答案2
EFS 是必经之路:http://wikipedia.org/wiki/Encrypting_File_System
您可以允许多个用户访问加密文件(即 Windows 将为他们动态加密/解密文件)
在 Win7/Windows 2008 上运行良好。