访问其他人的加密文件
Sna*_*ake -2 encrypting-file-system windows-server-2008-r2
为了概念验证,我正在构建一个将托管 2 个用户的服务器。
两个用户都是本地管理员,两个用户都是域用户。
用户 1 将使用 EFS 加密文件,以便他可以获得透明访问。
User2 是否可以访问这些文件?
如果是这样,是否有其他方法可以阻止访问这些文件?
谢谢!
没有。
EFS 加密不会发生在应用程序级别,而是发生在文件系统级别;因此,加密和解密过程对用户和应用程序都是透明的。如果文件夹被标记为加密,则在该文件夹中创建或移动到的每个文件都将被加密。应用程序不必了解 EFS 或管理 EFS 加密的文件与未加密的文件有任何不同。如果用户尝试打开文件并拥有这样做的密钥,则用户无需付出额外努力即可打开文件。如果用户没有密钥,他们会收到“拒绝访问”错误消息。
文件加密使用对称密钥,然后使用公钥加密对的公钥对其本身进行加密。相关的私钥必须可用才能解密文件。该密钥对与用户身份绑定,并可供拥有用户 ID 和密码的用户使用。如果私钥损坏或丢失,即使对文件进行加密的用户也无法解密。如果存在恢复代理,则该文件可能是可恢复的。如果已实现密钥存档,则可以恢复密钥,并解密文件。否则,文件可能会丢失。EFS 是一个出色的文件加密系统——没有“后门”。
有点。
EFS 密钥受用户密码保护。任何可以获得用户 ID 和密码的用户都可以作为该用户登录并解密该用户的文件。因此,强大的密码策略和强大的用户教育必须成为每个组织安全实践的组成部分,以确保保护 EFS 加密文件。
如果将 EFS 加密文件保存到远程服务器上的文件夹或从其打开,则在传输过程中不会保持加密状态。文件被解密,以明文形式遍历网络,如果保存到本地驱动器上标记为加密的文件夹,则在本地加密。如果使用 WebDAV 将 EFS 加密文件保存到 Web 文件夹,则它们可以在遍历网络时保持加密状态。这种远程存储方法不适用于 Windows 2000。
是的。
