Posso criptografar arquivos compartilhados no Windows Server e permitir que somente usuários do domínio autenticados tenham acesso a esses arquivos?
O cenário da seguinte forma:
Eu tenho uma empresa de desenvolvimento de software e gostaria de proteger meu código-fonte de ser copiado pelos meus programadores.
Um problema é que alguns programadores usam seus próprios laptops para desenvolver o software da empresa.
Nesse cenário, é impossível impedir que os desenvolvedores copiem o código-fonte de seus laptops.
Neste caso, pensei na seguinte solução, mas não sei se é possível implementar.
A ideia é criptografar o código-fonte e eles são acessíveis (descriptografados) somente quando os desenvolvedores estiverem conectados ao domínio do AD, ou seja, se eles não estiverem conectados ao domínio do AD, o código-fonte será criptografado.
Como isso pode ser implementado usando o EFS? ou Existem outras ferramentas para fazer isso?
O que impede que eles efetuem login no domínio, abrindo e descriptografando o código-fonte no bloco de notas / VS / whatever e copiando e colando o conteúdo em um arquivo local?
A criptografia não é destinada a proteger dados de usuários que já têm acesso a eles. Você tem um problema social / político, não técnico.
O problema é que, uma vez que tenham acesso à fonte, podem fazer uma cópia e simplesmente ignorar completamente todo esse sistema em que você está pensando. Se você não confia em alguém com dados, não deve dar a eles, porque assim que eles tiverem acesso, poderão fazer cópias e fazer o que quiserem com eles (além de modificar sua cópia original).
A melhor coisa que você pode fazer é configurar um firewall para detectar se o código-fonte está sendo transmitido através de sua rede (embora isso seja frustrado por criptografia) e não permitir qualquer tipo de dispositivo de armazenamento.
Eu fiz alguns testes usando o domínio EFS e AD. Eu acho que a seguinte solução pode ser usada.
Eu usei o EFS para criptografar uma pasta e dei permissão a um usuário X. Quando esse login de usuário com credenciais de domínio tiver acesso total a essa pasta e puder copiar todos os arquivos. (arquivos criptografados!)
Mas se o usuário não fizer login com as credenciais do domínio do AD, ele não poderá acessar os arquivos. Mesmo se ele estiver usando a conta de administrador local na máquina.
O problema agora é que o AD permanece com informações do usuário armazenadas em cache.
Agora, preciso saber se você pode configurar o AD para autenticar os laptops apenas se o servidor estiver on-line e não permitir que esses usuários descriptografem os arquivos usando o EFS.
Você já implementou algo assim?
Para responder à sua pergunta conforme indicado: sim, você pode criptografar dados usando o EFS e permitir que vários usuários do AD acessem-na. Como vários outros já apontaram, embora isso seja tecnicamente verdade, também é praticamente inútil. Qualquer um que possa descriptografar o arquivo pode salvar, imprimir, copiar o código-fonte descriptografado, especialmente se você estiver permitindo que ele faça isso em máquinas que você não controla.