我需要加密 2008 R2 服务器上的一个 3.5TB 文件夹。该文件夹是共享的,用户和应用程序都需要通过网络访问其中的文件 (pdf)。由于服务器是 VM (ESXi 5),因此不支持 Bitlocker。带有 AD CS 管理密钥的 EFS 应该可以工作。
我正在寻找以良好实施指南和实际用户/管理员体验的形式提供的输入,如果有任何人实际使用它。
我会看到多严重的性能下降?(Xeon R7-4850) 如果有更好的加密网络共享的解决方案,请告诉我。
答案1
好吧,我无法量化您会感受到的性能影响到底有多大。肯定会有一些。但关键是,如果您需要加密这些数据,那么这就是您必须做的,并且您必须承受任何潜在的性能影响。
您是否考虑过,一旦客户端访问 SMB 网络共享上的 EFS 加密文件,该文件就会在服务器上解密,然后通过网络以未加密/“明文”的形式传输?
首先,我会考虑将这个传统的文件共享迁移到 WebDAV 之类的东西,因为它允许您通过网络上受 SSL/TLS/HTTPS 保护的通道传输数据。
微软的一些相关言论:
文件共享和 Web 文件夹上的远程 EFS 操作
用户可以加密和解密存储在网络文件共享或 Web 分布式创作和版本控制 (WebDAV) Web 文件夹中的文件。与文件共享相比,Web 文件夹具有许多优势,Microsoft 建议尽可能使用 Web 文件夹来远程存储加密文件。Web 文件夹所需的管理工作量较少,而且比文件共享更安全。Web 文件夹还可以使用标准 HTTP 文件传输通过 Internet 安全地存储和传递加密文件。使用文件共享进行远程 EFS 操作需要 Windows 2000 或更高版本的域环境,因为 EFS 必须通过使用 Kerberos 委派来模拟用户,以便为用户加密或解密文件。
对存储在文件共享上的文件和存储在 Web 文件夹中的文件执行远程 EFS 操作的主要区别在于操作发生的位置。当文件存储在文件共享上时,所有 EFS 操作都发生在存储文件的计算机上。例如,如果用户连接到网络文件共享并选择打开他或她之前加密的文件,则该文件将在存储文件的计算机上解密,然后通过网络以纯文本形式传输到用户的计算机。当文件存储在 Web 文件夹中时,所有 EFS 操作都发生在用户的本地计算机上。例如,如果用户连接到 Web 文件夹并选择打开他或她之前加密的文件,则该文件在传输到用户计算机期间保持加密状态,并在用户计算机上由 EFS 解密。EFS 操作发生位置的这种差异也解释了为什么文件共享比 Web 文件夹需要更多的管理配置。
哦,还有 SMB 加密,但它是 Server 2012 和 SMB 3.0 的新功能。不过您已表明您正在使用 2008R2。