Como criptografar arquivos em uma unidade de rede para que nenhum administrador possa lê-lo?

Navegue suas respostas
0

Eu gostaria de fornecer um espaço dedicado em uma unidade de rede onde os arquivos podem ser criptografados e apenas um grupo limitado de usuários (configurável por arquivo ou subdir) pode lê-los. Eu já pensei em usar TrueCrypt, mas acho que isso pode suportar o acesso simultâneo via rede ...

Estou trabalhando em um ambiente do Microsoft Windows Active Directory.

Se A quiser compartilhar arquivos com segurança com B e C, apenas A, B e C devem poder acessar esses arquivos. Ninguém mais (nem mesmo administradores do sistema) deve poder ler os arquivos. (Claro, se certificado, chave e / ou senhas forem perdidas, os arquivos não serão recuperáveis. Esse é um risco que gostaríamos de levar ...)

Alguma idéia de como fazer isso?

Melhor Tom

    
por TomS 02.10.2018 / 16:31

3 respostas

1

Parece que você precisa de um software de criptografia de terceiros, como o GPG. O GPG permite criptografar um arquivo especificando quais pessoas podem descriptografá-lo. Seu administrador poderá ver os arquivos criptografados, mas eles não poderão descriptografá-los.

    
por 02.10.2018 / 18:18
5

Por design, Os administradores de domínio em um ambiente do Active Directory (assumindo todos os PCs com Windows) ou automaticamente obtêm ou podem obter controle total sobre quase tudo em seu domínio.

  • Se você usar o BitLocker, eles poderão forçar a chave de recuperação a ser armazenada no AD.
  • Se você usa o EFS, eles podem instalar um certificado 'agente de recuperação de dados'.
  • Se você usar TrueCrypt, eles podem apenas esperar até você desbloquear o volume.
  • Se você compartilhar uma pasta por meio do SMB 'Compartilhamento de arquivos', eles poderão acessar os compartilhamentos administrativos do "disco inteiro".
  • Eles podem alterar regras de firewall por meio da Política de Grupo.
  • Eles podem definir configurações arbitrárias do Registro por meio do GPO.
  • Eles podem executar comandos arbitrários no seu computador por meio de scripts de inicialização / login do GPO.

Se sua empresa contratou administradores de domínio que não podem confiar na tarefa, a única maneira de compartilhar dados com segurança é nunca revelá-los a uma máquina de domínio - isso inclui os computadores de A, B, e C.

(Bem, ele ainda pode armazenar dados criptografados, mas deve ser cego para o que os dados realmente são - todo o acesso ainda deve ser feito através de dispositivos que não sejam de domínio.)

    
por 02.10.2018 / 16:59
1

Até onde eu sei, não há como compartilhar arquivos individuais entre computadores que envolve senha e criptografia em um dos computadores e é uma prova contra administradores. Até mesmo arquivos criptografados só podem ser acessados pelo usuário que os criptografou.

Portanto, você precisaria procurar em outro lugar a sua solução, ou seja, na nuvem. Existem sites de compartilhamento de arquivos que mantêm os arquivos em formato criptografado e permitem sua partilha. Seus administradores locais não terão como forçar o acesso ao seu arquivos compartilhados na nuvem.

Um desses serviços é SpiderOak que tem uma generosa alocação de espaço em disco para contas gratuitas. Você pode compartilhar informações entre usuários, enviando-lhes URLs do arquivo ou pasta (na verdade você define uma "sala" que é um grupo de arquivos que você deseja compartilhar sob o mesmo envelope). Veja a descrição em seu artigo Compartilhar SpiderOak .

Outro é MEGA , que eu parei de usar porque tem algumas peculiaridades e mais limitações na conta gratuita.

Você também pode usar o Dropbox para compartilhar arquivos criptografados e existem produtos para fazer a criptografia.

Existem outros serviços ao lado do SpiderOak que eu tentei, mas finalmente resolvi isso como o que me deu mais flexibilidade e espaço.

    
por 02.10.2018 / 17:29

Tags

Por que a interferência de Wi-Fi afeta freqüentemente apenas alguns dispositivos, enquanto outros funcionam bem? [fechadas] Como renomeio dois arquivos ao mesmo tempo?