Solicitar senha do certificado ao acessar compartilhamentos EFS

2

Meu chefe deseja configurar compartilhamentos de arquivos criptografados usando o EFS em caixas do Windows Server 2012 R2 acessadas por clientes do Windows 8.1. Consegui definir o DRA padrão, emitir certificados em casos de teste e assim por diante. Então, o EFS funciona. No entanto, ele também deseja que o usuário seja solicitado a fornecer sua senha de certificado (a senha gerada quando você cria o certificado pela primeira vez) quando:

  1. O usuário primeiro faz login / acessa um arquivo criptografado
  2. Após um tempo limite quando eles acessam o arquivo.
  3. Se o usuário bloquear sua tela.

Configurei uma política de grupo para limpar o cache a cada 240 minutos e quando eles bloqueiam a tela. Eu também configurei o registro de máquina local e o GP de domínio para exigir uma proteção strong de chaves privadas. No entanto, isso não parece realmente fazer o que ele está procurando. É o que ele quer possível sem usar uma segunda forma de autenticação (cartão inteligente, etc). Se sim, onde estou me atrapalhando?

    
por Brian McElraft 30.10.2014 / 20:35

1 resposta

1

Não é possível através de mecanismos incorporados.

Um pouco de teoria: proteção strong de chave privada solicita entrada somente quando o material de chave privada é acessado.

Um pouco de prática: quando você criptografa / descriptografa arquivos no compartilhamento remoto, o certificado remoto é usado para executar essas operações. Ou seja, o EFS carrega o perfil do usuário em um servidor de hospedagem de compartilhamento de arquivos, carrega o certificado e executa ações (criptografar e descriptografar). E o prompt de diálogo será exposto em um servidor remoto e nunca será exposto a você e ninguém poderá digitar a senha lá.

    
por 30.10.2014 / 21:37