Текущее состояние EFS

Question

Текущее состояние EFS

Мне нужно зашифровать папку 3,5 ТБ на сервере 2008 R2. Папка является общей, и пользователям и приложениям необходим доступ к файлам (pdf) в ней по сети. Поскольку сервер является виртуальной (ESXi 5), Bitlocker не поддерживается. EFS с ключами, управляемыми AD CS, должна работать.
Я ищу информацию в форме хорошего руководства по внедрению и реальных впечатлений пользователя / администратора, если есть кто-то, кто действительно использует его.
Насколько я могу увидеть снижение производительности?(Xeon R7-4850) Если есть лучшее решение для шифрования сетевых ресурсов, пожалуйста, дайте мне знать.

2

active-directory windows-server-2008-r2 encrypting-file-system

Источник

user2828557 24 ноя '13 в 14:52

1 ответ

Другие вопросы по тегам active-directory windows-server-2008-r2 encrypting-file-system

Ryan Ries 24 ноя '13 в 16:47 2013-11-24 16:47 · Answer 1 · 2013-11-24 16:47

Ну, я не могу точно определить, какое влияние вы окажете на производительность. Там будут некоторые. Но дело в том, что если вам необходимо зашифровать эти данные, то это то, что вам нужно сделать, и вам просто нужно укусить пулю за любое потенциальное влияние на производительность.

Рассматривали ли вы, что, как только клиент получает доступ к файлу, зашифрованному EFS, на общем сетевом ресурсе SMB, этот файл дешифруется на сервере и затем передается незашифрованным /"открытым текстом" по сети?

Во-первых, я хотел бы рассмотреть перенос этого традиционного общего файлового ресурса на что-то вроде WebDAV, поскольку это позволит вам передавать данные по защищенному каналу SSL/TLS/HTTPS через сеть.

Несколько важных слов от Microsoft:

Удаленные операции EFS с общими файлами и веб-папками
Пользователи могут шифровать и дешифровать файлы, которые хранятся в общих сетевых папках или в веб-папках Web Distributed Authoring and Versioning (WebDAV). Веб-папки имеют много преимуществ по сравнению с общими файлами, и Microsoft рекомендует по возможности использовать веб-папки для удаленного хранения зашифрованных файлов. Веб-папки требуют меньше административных усилий и более безопасны, чем общие папки. Веб-папки также могут безопасно хранить и доставлять зашифрованные файлы через Интернет с помощью стандартной передачи файлов HTTP. Для использования общих файловых ресурсов для удаленных операций EFS требуется среда домена Windows 2000 или новее, поскольку EFS должна выдавать себя за пользователя, используя делегирование Kerberos для шифрования или дешифрования файлов для пользователя.
Основное различие между удаленными операциями EFS над файлами, хранящимися в общих папках, и файлами, хранящимися в веб-папках, заключается в том, где выполняются операции. Когда файлы хранятся в общих папках, все операции EFS выполняются на компьютере, на котором хранятся файлы. Например, если пользователь подключается к общей сетевой папке и решает открыть ранее зашифрованный файл, этот файл дешифруется на компьютере, на котором он хранится, а затем передается в виде открытого текста по сети на компьютер пользователя., Когда файлы хранятся в веб-папках, все операции EFS выполняются на локальном компьютере пользователя. Например, если пользователь подключается к веб-папке и решает открыть ранее зашифрованный файл, он остается зашифрованным во время передачи на компьютер пользователя и расшифровывается с помощью EFS на компьютере пользователя. Эта разница в том, где выполняются операции EFS, также объясняет, почему общие папки требуют больше административной настройки, чем веб-папки.

О, и есть также шифрование SMB, но оно является новым для Server 2012 и SMB 3.0. Однако вы указали, что используете 2008R2.

http://blogs.msdn.com/b/openspecification/archive/2012/10/05/encryption-in-smb-3-0-a-protocol-perspective.aspx