我的老板想要在 Windows Server 2012 R2 Boxes 上使用 EFS 设置加密文件共享,供 Windows 8.1 客户端访问。我已经能够设置默认 DRA、在测试用例中颁发证书等等。因此,EFS 可以正常工作。但是,他还希望在以下情况下提示用户输入证书密码(首次创建证书时生成的密码):
- 用户首先登录/访问加密文件
- 在他们访问文件时经过一段定期超时的时间。
- 如果用户锁定屏幕。
我配置了组策略,每 240 分钟清除一次缓存,并在用户锁定屏幕时清除缓存。我还设置了本地计算机注册表和域 GP,以要求对私钥进行强保护。但是,这似乎并没有真正实现他想要的效果。不使用第二种身份验证形式(智能卡等)是否能实现他想要的效果?如果可以,我哪里做错了?
答案1
通过内置机制不可能实现。
一点理论:仅当访问私钥材料时,私钥强保护才会提示输入。
一点实践:当您加密/解密远程共享上的文件时,将使用远程证书来执行这些操作。也就是说,EFS 在文件共享托管服务器上加载用户配置文件,加载证书并执行操作(加密和解密)。对话框提示将暴露在远程服务器上,永远不会暴露给您,而且没有人能够在那里输入密码。