Desabilitando o EFS - o que fazer se houver algum arquivo criptografado?

3

Estou no processo de retirar uma CA integrada do Windows antiga e disponibilizar on-line uma nova configuração adequada (na verdade, várias). A maioria dos nossos sistemas não consegue usar o EFS graças à Diretiva de Grupo ... mas devido a algumas configurações incorretas, alguns usuários do domínio puderam registrar automaticamente os certificados EFS. Até agora, nenhum dos usuários tem conhecimento de nenhum arquivo que tenha criptografado, e pesquisar em seus arquivos com cipher /u /n não está encontrando nada ... mas não posso ter certeza de que existem arquivos. sem arquivos criptografados que perdemos.

Eu preciso aposentar essa CA em breve, então terei que revogar os certificados EFS e garantir que o EFS seja totalmente desativado para esses usuários. Eu realmente não posso migrar a CA antiga para uma nova, por vários motivos. Então, quais são as minhas opções para desligar o EFS para aqueles que podem tê-lo usado sem perder seus dados?

    
por ewall 15.08.2011 / 18:45

2 respostas

1

Mais pesquisas revelaram que os certificados EFS continuarão a ler qualquer arquivo criptografado, desde que o usuário tenha o certificado ... mesmo que os certificados sejam revogados e a CA seja desativada .

O que os usuários não podem fazer após a revogação dos certificados é (re) criptografar todos os arquivos ... o que não queremos que eles façam de qualquer maneira.

Portanto, não precisei usar a assinatura de CRL ou qualquer outra tática para manter a CA antiga em suporte vital; agora está totalmente descomissionado e os usuários (e quaisquer arquivos que possam ter criptografado antes) estão intactos.

(P.S. Eventualmente, posso ter um problema se essas contas de usuário precisarem ser migradas para outro domínio na floresta, já que os certificados antigos do EFS podem não ser migrados ...)

    
por 02.12.2011 / 18:11
2

Primeiro, pensei que você gostaria de criar um Agente de recuperação de domínio . Então me lembrei que, (e não posso confirmar isso), acredito que um DRA só é bom para recuperar arquivos criptografados que foram criptografados depois que o agente foi criado. Além disso, revogar o certificado pode complicar algumas coisas. No entanto, considere o que você pode fazer com o Domain Recovery Agent.

No entanto, parece que você fez tudo o que é razoável para discernir se algum arquivo foi criptografado. Obtenha a lista de todos os usuários que tiveram certificados emitidos para eles, certifique-se de que eles entendem o que está prestes a acontecer, faça com que eles assinem documentos que reconheçam a situação e que tenham sido testemunhados por um gerente. Em seguida, puxe o pino e deixe o antigo CA flutuar no mar.

    
por 15.08.2011 / 21:21