Kategorie szkoleń | Egzaminy | Kontakt

Pytanie

Szyfrowanie plików EFS na udziale sieciowym

  • 1
  • 1
  • 368

W firmie jest zainstalowany i skonfigurowany serwer certyfikatów. Użytkownicy korzystają z możliwości szyfrowania plików na swoich stacjach roboczych. Została podjęta decyzja stworzenia na serwerze udostępnionego katalogu, w którym użytkownicy będą również mogli zapisywać pliki zaszyfrowane, zostały ustawione odpowiednie uprawnienia. Ale nie działa. Użytkownik może zapisać plik, ale jak go chce zaszyfrować dostaje komunikat Access Denied. Co jest nie tak?

  • Zapytał
  • @ | 13.06.2013
  • TRENER ALTKOM AKADEMII
Zaloguj się aby zadać pytanie
Pokrewne

Odpowiedź (1)

  • 9

System szyfrowania plików (EFS, Encrypting File System) chroni dane, szyfrując je w wybranych plikach i folderach systemu plików NTFS. Jest on zintegrowany z systemem plików, więc jest łatwy w zarządzaniu, odporny na ataki i przezroczysty dla użytkownika.

Ale wykorzystuje on również mechanizmy PKI, certyfikaty i klucze publiczne, zrozumienie zależności pomiędzy nimi jest kluczem do prawidłowej implementacji rozwiązania.

Szyfrowanie plików można scharakteryzować następująco:

  • Każdy plik ma unikatowy klucz szyfrowania pliku, który jest później wykorzystywany do odszyfrowywania danych znajdujących się w pliku.
  • Klucz szyfrowania pliku jest również zaszyfrowany — jest chroniony przez klucz publiczny odpowiadający certyfikatowi użytkownika.
  • Aby odszyfrować plik, należy wcześniej odszyfrować klucz szyfrowania pliku. Klucz szyfrowania pliku jest odszyfrowywany, jeśli użytkownik ma klucz prywatny, który pasuje do klucza publicznego.


Jeśli użytkownik posiada certyfikat umożliwiający szyfrowanie plików, jest on wykorzystywany.

Jeśli użytkownik nie posiada certyfikatu, musi on zostać dostarczony na stację roboczą:

  • Firma nie posiada urzędu certyfikatów (CA) - certyfikat do szyfrowania jest generowany automatycznie przez system operacyjny – jest to zwany certyfikat samopodpisany.
  • Urząd jest zainstalowany i skonfigurowany i jest to urząd typu Enterprise - certyfikat jest wystawiany automatycznie na podstawie poświadczeń użytkownika przesłanych w jego imieniu przez system do urzędu.

I w tym procesie tkwi problem, serwer plików nie ma takich uprawnień, trzeba je nadać:

  1. W Active Directory Users and Computers należy znaleźć konto serwera
  2. W jego właściwościach na zakładce Delegation zaznaczyć Trust this computer for delegation to any service (Kerberos only) lub Trust this computer for delegation to specified services only.


To rozwiązanie ma pewne wady:

  • Użytkownik ma 2 certyfikaty – jeden na serwerze, a drugi na stacji roboczej.
  • Plik jest szyfrowany dopiero w momencie zapisania do na serwerze transmisja odbywa się odkrytym tekstem.


Alternatywnym rozwiązaniem pozbawionym tych wad jest zainstalowanie na serwerze IIS i wykorzystanie WebDav na serwerze plików.

  • Odpowiedział
  • @ | 19.06.2013
  • TRENER ALTKOM AKADEMII

POWIĄZANE
w bazie wiedzy

webinarium

StorSimple 1200 - nowa (tańsza) wersja starej metody na zabezpieczenie danych w firmie

  • Windows Server
blog

Windows Admin Center

Event Viewer, Device Manager, Disk Management, Task Manager, Server Manager, MMC… Można długo wymieniać różne narzędzia, używane w codziennej pracy administratora IT. A gdyby tak zamienić je wszystkie w jedno narzędzie?
  • Windows Server
quiz

Quiz wiedzy Windows Server 2012

Sprawdź wiedzę

  • Windows Server 2012/2012 R2
  • Windows Server