Estado atual do EFS

Navegue suas respostas
2

Eu preciso criptografar uma pasta de 3,5 TB no servidor 2008 R2. A pasta é compartilhada e os usuários e aplicativos precisam acessar os arquivos (pdf) nela pela rede. Como o servidor é uma VM (ESXi 5), o Bitlocker não é suportado. EFS com chaves gerenciadas do AD CS deve funcionar.
Estou à procura de informações em forma de um bom guia de implementação e de experiências reais de usuário / administrador, se houver alguém realmente usando-o.
Quão ruim da degradação de desempenho eu veria? (Xeon R7-4850) Se houver uma solução melhor para criptografar compartilhamentos de rede, informe-nos.

    
por user2828557 24.11.2013 / 15:52

1 resposta

1

Bem, não posso quantificar exatamente quanto impacto no desempenho você sentiria. Haveria alguns. Mas o ponto é, se você for obrigado a criptografar esses dados, então é isso que você tem que fazer, e você só tem que morder a bala em qualquer impacto potencial no desempenho.

Você considerou que, uma vez que um cliente acessa um arquivo criptografado com EFS em um compartilhamento de rede SMB, que o arquivo é descriptografado no servidor e transmitido sem criptografia / "texto não criptografado" pela rede?

Primeiro, considero migrar esse compartilhamento de arquivo tradicional para algo como o WebDAV, pois isso permitirá que você transfira os dados por um canal protegido por SSL / TLS / HTTPS pela rede.

Algumas palavras relevantes da Microsoft:

Remote EFS Operations on File Shares and Web Folders

Users can encrypt and decrypt files that are stored on network file shares or on Web Distributed Authoring and Versioning (WebDAV) Web folders. Web folders have many advantages compared to file shares, and Microsoft recommends the use of Web folders whenever possible for remote storage of encrypted files. Web folders require less administrative effort and are more secure than file shares. Web folders can also securely store and deliver encrypted files over the Internet by using standard HTTP file transfers. Using file shares for remote EFS operations requires a Windows 2000 or later domain environment because EFS must impersonate the user by using Kerberos delegation to encrypt or decrypt files for the user.

The primary difference between remote EFS operations on files stored on file shares and files stored on Web folders is where the operations occur. When files are stored on file shares, all EFS operations occur on the computer on which the files are stored. For example, if a user connects to a network file share and chooses to open a file that he or she previously encrypted, the file is decrypted on the computer on which the file is stored and then transmitted in plaintext over the network to the user’s computer. When files are stored on Web folders, all EFS operations occur on the user’s local computer. For example, if a user connects to a Web folder and chooses to open a file that he or she previously encrypted, the file remains encrypted during transmission to the user’s computer and is decrypted by EFS on the user’s computer. This difference in where EFS operations occur also explains why file shares require more administrative configuration than Web folders.

Ah, e também há criptografia SMB, mas ela é nova no Server 2012 e no SMB 3.0. Você indicou que você está usando 2008R2 no entanto.

link

    
por 24.11.2013 / 17:47

Tags

Suprimir mensagem específica de erro / aviso no fantoche? expor porta contêiner do docker para eth0