EFS 远程加密

EFS 远程加密

我们一直在尝试在我们的域中设置 EFS。不幸的是,通过网络共享读取/写入文件不起作用,我们收到“访问被拒绝”错误。

另一个令人担忧的事实是,我设法让它在一台机器上工作,但在其他机器上却无法工作。

这些机器都是Windows 2008R2,作为ESXi主机下的VM运行。

根据:http://technet.microsoft.com/en-us/library/bb457116.aspx#EHAA

  • 我们设置了相关的机器,以便进行委托
  • 用户不受限制并且可以被信任进行委派。
  • 用户已在两侧登录,并且可以在本地无问题地读取/写入加密文件。

我在注册表中启用了 Kerberos 日志记录,这是我在包含加密文件的机器上获取的相关日志。对于用户拥有的所有证书(仅密钥名称更改),如下:

事件 ID 5058:审核成功,“其他系统事件”

Key file operation.
Subject:
    Security ID:        {MyDOMAIN}\{MyID}
    Account Name:       {MyID}
    Account Domain:     {MyDOMAIN}
    Logon ID:       0xbXXXXXXX

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: Not Available.
    Key Name:   {CE885431-9B4F-47C2-8415-2D766B999999}
    Key Type:   User key.

Key File Operation Information:
    File Path:  C:\Users\{MyID}\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-4585646465656-260371901-2912106767-1207\66099999999991e891f187e791277da03d_dfe9ecd8-31c4-4b0f-9b57-6fd3cab90760

        Operation:  Read persisted key from file.
    Return Code:    0x0[/code]

事件 ID 5061:审核失败,“系统完整性”

[code]Cryptographic operation.
Subject:
Security ID:        {MyDOMAIN}\{MyID}
    Account Name:       {MyID}
    Account Domain:     {MyDOMAIN}
    Logon ID:       0xbXXXXXXX

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   {CE885431-9B4F-47C2-8415-2D766B999999}
    Key Type:   User key.

Cryptographic Operation:
    Operation:  Open Key.
    Return Code:    0x8009000b

这可能与来自 CryptAcquireContext 函数

NTE_BAD_KEY_STATE 0x8009000BL 
The user password has changed since the private keys were encrypted.

问题是我当前使用的用户无法更改他们的密码。

答案1

与 MS 支持人员交谈后。

必须使用 IP 地址而不是主机名来访问文件共享。

Instead of:
\\{MyServerName}\C$\hahaFolder

Use:
\\{MyServerIP}\C$\hahaFolder

这将强制启动 Kerberos 身份验证...

相关内容