Запрашивать пароль сертификата при доступе к общим ресурсам EFS
Мой начальник хочет настроить зашифрованные общие файловые ресурсы с помощью EFS на Windows Server 2012 R2 Boxes, к которым получают доступ клиенты Windows 8.1. Я смог установить DRA по умолчанию, выдавать сертификаты в тестовых случаях и так далее. Итак, EFS работает. Однако он также хочет, чтобы у пользователя запрашивался пароль сертификата (пароль, сгенерированный при первом создании сертификата), когда:
- Пользователь сначала входит в систему / получает доступ к зашифрованному файлу
- После периодического истечения времени, когда они идут, чтобы получить доступ к файлу.
- Если пользователь блокирует свой экран.
Я настроил групповую политику для очистки кэша каждые 240 минут и когда они блокируют свой экран. Я также настроил реестр локальной машины и домен GP, чтобы требовать надежной защиты закрытых ключей. Тем не менее, похоже, он не делает то, что ищет. Это то, что он хочет, возможно без использования второй формы аутентификации (смарт-карта и т. Д.). Если да, то где я все испортил?
1 ответ
Это невозможно с помощью встроенных механизмов.
Немного теории: сильная защита закрытого ключа запрашивает ввод только при доступе к материалу закрытого ключа.
Немного практики: при шифровании / дешифровании файлов на удаленном общем ресурсе для выполнения этих операций используется удаленный сертификат. Таким образом, EFS загружает профиль пользователя на сервер хостинга общих файлов, загружает сертификат и выполняет действия (шифрование и дешифрование). И диалоговое окно будет выставлено на удаленном сервере и никогда не будет вам открыто, и никто не сможет там ввести пароль.