O EFS pode ser definido por grupo?

3

Fui solicitado a criar alguns repositórios de arquivos para nossos diretores que contêm informações confidenciais. Eles pediram que não seja possível que outros administradores leiam os dados.

Pensei imediatamente no EFS, mas parece que lembro que isso só pode ser feito por usuário.

No momento, estamos executando o Server 2003, mas provavelmente migraremos para o Server 2008 (possivelmente R2) em um futuro próximo.

Alguém mais recebeu uma solicitação semelhante e, em caso afirmativo, como você lidou com isso?

    
por Bryan 05.07.2009 / 13:10

3 respostas

3

É possível conceder a vários usuários acesso a um arquivo criptografado com EFS, contanto que você esteja usando o Windows XP ou superior em clientes e o servidor 2003 ou superior no servidor. Você não pode fazer isso por um grupo, você precisará adicionar cada usuário individual.

O ponto principal com o qual você deve estar ciente é que o (s) usuário (s) que deseja conceder acesso ao arquivo criptografado EFS deve ter um certificado EFS válido armazenado no Active Directory. Você pode adicionar vários usuários aos direitos de acesso ao arquivo criptografado EFS:

    
por 05.07.2009 / 13:33
1

Has anyone else been tasked with a similar request, and if so, how did you deal with it?

Se eles não quiserem que os administradores de sistema tenham acesso, não importa se você usa as permissões EFS ou NTFS - a resposta curta é que se você quiser que os dados sejam salvos em backup, os administradores precisam de acesso . É impossível ter acesso ao que você não pode ler - então, se eles estão preocupados com o que você pode conseguir ... talvez seja hora de conversar sobre o que eles realmente temem de.

Ou ... eles não vão entender de qualquer maneira, então você pode deslumbrá-los com um novo acrônimo, o EFS cuidará disso, e a resposta de Sam é a correção. ;)

    
por 05.07.2009 / 16:50
0

Esta é uma ótima desculpa para começar a garantir que seu ambiente seja seguro por padrão. O EFS não ajudará você, a menos que o agente de recuperação seja apenas sua conta pessoal. isso pode ser um risco aceitável para os negócios a que eles deveriam estar cientes. Se este não for um sistema portátil (um disco rígido removível ou laptop), as ACLs regulares serão suficientes. A negação da ACL aos outros administradores garantirá que eles não possam lê-la e se você empregar ABE outros os administradores não conseguem ver o arquivo. Não se esqueça de também configurar o isolamento de domínio e servidor . Os operadores de backup também podem ter acesso ao backup do arquivo sem receber acesso para restaurar o arquivo. Esse privilégio substituirá as permissões do arquivo, para que os administradores não tenham acesso ao backup do arquivo e garantam que não poderão ler o arquivo caso decidam tentar restaurá-lo em outro sistema. (isso significa que sim, a equipe de backup e a equipe de restauração serão duas pessoas separadas). Observe que, se eu for um administrador em seu domínio, com acesso físico ao servidor, você poderá lançar tudo isso pela janela. O acesso físico ao servidor permitirá que eu ignore todo o possível. Se isso for que importante, então colocá-lo em uma chave USB em uma gaveta trancada não é uma idéia tão ruim assim. Eu concordo com Kara que uma discussão franca sobre o que eles temem está em ordem, se eles são paranóicos sobre isso. Suspeito que você tenha configurado o domínio e o isolamento do servidor e mostre a eles que, mesmo que alguém tenha as permissões certas, eles só poderão acessar o arquivo de uma estação de trabalho de diretores, o que deve ser suficiente para impressioná-los.

para referências, consulte:

Práticas recomendadas para delegar a administração do Active Directory

Práticas recomendadas para segurança

    
por 05.07.2009 / 18:35