为了验证概念,我正在构建一个可容纳 2 个用户的服务器。
两个用户都是本地管理员,并且两个用户都是域用户。
User1 将使用 EFS 加密文件,以便他可以获得透明访问权限。
User2 可以访问这些文件吗?
如果是这样,还有其他方法可以阻止访问这些文件吗?
谢谢!
答案1
不。
EFS 加密不是在应用程序级别进行,而是在文件系统级别进行;因此,加密和解密过程对用户和应用程序都是透明的。如果文件夹标记为加密,则在该文件夹中创建或移动到该文件夹的每个文件都将被加密。应用程序不必了解 EFS,也不必以与未加密文件不同的方式管理 EFS 加密文件。如果用户尝试打开文件并拥有密钥,则该文件无需用户额外操作即可打开。如果用户没有密钥,则会收到“拒绝访问”错误消息。
文件加密使用对称密钥,然后使用公钥加密对中的公钥对对称密钥进行加密。必须提供相关的私钥才能解密文件。此密钥对与用户身份绑定,并提供给拥有用户 ID 和密码的用户。如果私钥损坏或丢失,即使是加密文件的用户也无法解密。如果存在恢复代理,则文件可能可以恢复。如果已实施密钥存档,则可以恢复密钥并解密文件。如果没有,则文件可能会丢失。EFS 是一种出色的文件加密系统 - 没有“后门”。
有点。
EFS 密钥受用户密码保护。任何能够获得用户 ID 和密码的用户都可以以该用户身份登录并解密该用户的文件。因此,强密码策略以及强大的用户教育必须成为每个组织安全实践的一部分,以确保 EFS 加密文件的保护。
如果将 EFS 加密文件保存到远程服务器上的文件夹或从远程服务器上的文件夹打开,则在传输过程中文件不会保持加密状态。文件将被解密,以纯文本形式在网络中传输,如果保存到标记为加密的本地驱动器文件夹中,则文件将在本地加密。如果使用 WebDAV 将 EFS 加密文件保存到 Web 文件夹中,则在网络中传输时文件可以保持加密状态。这种远程存储方法不适用于 Windows 2000。
是的。
答案2
我不敢相信这个答案竟然被投票通过,而且没有人纠正它。
是的。Server 2008 R2 上的 EFS 支持多个用户访问加密文件。
http://windowsitpro.com/security/efs-and-encrypted-file-sharing