Criptografar arquivos compartilhados no Domínio AD

0

Posso criptografar arquivos compartilhados no Windows Server e permitir que somente usuários do domínio autenticados tenham acesso a esses arquivos?

O cenário da seguinte forma:

Eu tenho uma empresa de desenvolvimento de software e gostaria de proteger meu código-fonte de ser copiado pelos meus programadores.

Um problema é que alguns programadores usam seus próprios laptops para desenvolver o software da empresa.

Nesse cenário, é impossível impedir que os desenvolvedores copiem o código-fonte de seus laptops.

Neste caso, pensei na seguinte solução, mas não sei se é possível implementar.

A ideia é criptografar o código-fonte e eles são acessíveis (descriptografados) somente quando os desenvolvedores estiverem conectados ao domínio do AD, ou seja, se eles não estiverem conectados ao domínio do AD, o código-fonte será criptografado.

Como isso pode ser implementado usando o EFS? ou Existem outras ferramentas para fazer isso?

    
por Walter 28.05.2010 / 19:31

4 respostas

3

O que impede que eles efetuem login no domínio, abrindo e descriptografando o código-fonte no bloco de notas / VS / whatever e copiando e colando o conteúdo em um arquivo local?

A criptografia não é destinada a proteger dados de usuários que já têm acesso a eles. Você tem um problema social / político, não técnico.

    
por 28.05.2010 / 20:07
1

O problema é que, uma vez que tenham acesso à fonte, podem fazer uma cópia e simplesmente ignorar completamente todo esse sistema em que você está pensando. Se você não confia em alguém com dados, não deve dar a eles, porque assim que eles tiverem acesso, poderão fazer cópias e fazer o que quiserem com eles (além de modificar sua cópia original).

A melhor coisa que você pode fazer é configurar um firewall para detectar se o código-fonte está sendo transmitido através de sua rede (embora isso seja frustrado por criptografia) e não permitir qualquer tipo de dispositivo de armazenamento.

    
por 28.05.2010 / 20:08
0

Eu fiz alguns testes usando o domínio EFS e AD. Eu acho que a seguinte solução pode ser usada.

Eu usei o EFS para criptografar uma pasta e dei permissão a um usuário X. Quando esse login de usuário com credenciais de domínio tiver acesso total a essa pasta e puder copiar todos os arquivos. (arquivos criptografados!)

Mas se o usuário não fizer login com as credenciais do domínio do AD, ele não poderá acessar os arquivos. Mesmo se ele estiver usando a conta de administrador local na máquina.

O problema agora é que o AD permanece com informações do usuário armazenadas em cache.

Agora, preciso saber se você pode configurar o AD para autenticar os laptops apenas se o servidor estiver on-line e não permitir que esses usuários descriptografem os arquivos usando o EFS.

Você já implementou algo assim?

    
por 28.05.2010 / 21:41
0

Para responder à sua pergunta conforme indicado: sim, você pode criptografar dados usando o EFS e permitir que vários usuários do AD acessem-na. Como vários outros já apontaram, embora isso seja tecnicamente verdade, também é praticamente inútil. Qualquer um que possa descriptografar o arquivo pode salvar, imprimir, copiar o código-fonte descriptografado, especialmente se você estiver permitindo que ele faça isso em máquinas que você não controla.

    
por 28.05.2010 / 23:43