EFS - como proibir arquivos criptografados no compartilhamento de rede?

1

Eu tenho dois servidores, ambos no domínio, ambos do Windows Server 2008 R2, aos meus olhos, quase identicamente configurados.

Server1 permite copiar arquivos criptografados para seus compartilhamentos de rede, Server2 dá erro ao tentar copiar o arquivo criptografado: "Você está copiando o arquivo para um destino que não suporta criptografia" (ação preferencial).

Ambos os servidores têm a entrada de registro NtfsDisableEncryption definida como 0.

Revisei o GPO e não consigo ver nada relacionado ao EFS. Nem me lembro de definir.

Onde posso encontrar a opção responsável por este comportamento?

Como / onde posso encontrar diferença entre esse servidor que determina esse comportamento?

    
por toffitomek 26.09.2014 / 14:51

1 resposta

2

Eu não sabia a resposta para isso, mas parecia interessante, então pensei em tentar replicar o problema.

Com uma instalação padrão do 2012 R2 (não tive 2008 R2 à mão), recebi o mesmo erro ao tentar copiar um arquivo criptografado do EFS de uma máquina associada ao domínio para um compartilhamento em outro.

O Google acabou me levando a este artigo;

link

Answer

In Active Directory Users & Computers, locate the machine account for the failing server. Open the properties window, on the Delegation tab tick "Trust this computer for delegation to any service (Kerberos only)".

Reboot the server.

You should now be able to copy EFS encrypted files to the file share remotely.

Isso resolveu para mim; espero que seja para você também.

A pista que eventualmente me levou a isso foi tentar criptografar um arquivo remoto existente; isso também falha, mas a mensagem de erro é muito mais útil "A operação solicitada não pode ser concluída. O computador deve ser confiável para delegação e a conta de usuário atual deve ser configurada para permitir a delegação."

O motivo (pelo que entendi) que isso é necessário é por causa da maneira como a cópia de arquivo funciona na rede. Ao transmitir o arquivo do CIFS / SMB, o arquivo é descriptografado na máquina de origem, transmitido em texto simples e criptografado novamente no destino. Para que o servidor de arquivos remoto recriptografe o arquivo na chegada, o serviço EFS deve representar a conta do usuário que iniciou a cópia do arquivo.

Deve-se observar que há vários outros problemas que devem ser levados em conta se você permitir que os arquivos do EFS sejam armazenados em compartilhamentos de arquivos remotos; o link que eu postei acima delineia alguns destes com algum detalhe - o artigo vale a pena ser lido.

    
por 05.10.2014 / 21:54