我的一部分用户需要一种在文件服务器上共享加密文件夹的方法。安全性是最重要的,其次是易用性。TrueCrypt 似乎更容易设置。EFS 是否比 TC 有任何优势来证明额外设置的合理性?
Windows Server 2003 和 XP、Active Directory、100 个用户 LAN。
编辑:我最初错过了 Truecrypt 的单用户 R/W 访问限制。一旦我通过设置,看起来 EFS 会更好。
AskOverflow.Dev
我的一部分用户需要一种在文件服务器上共享加密文件夹的方法。安全性是最重要的,其次是易用性。TrueCrypt 似乎更容易设置。EFS 是否比 TC 有任何优势来证明额外设置的合理性?
Windows Server 2003 和 XP、Active Directory、100 个用户 LAN。
编辑:我最初错过了 Truecrypt 的单用户 R/W 访问限制。一旦我通过设置,看起来 EFS 会更好。
TrueCrypt 用户指南中关于通过网络共享的部分让您看起来有几个解决方案——在计算机上本地安装托管卷的共享文件或在服务器计算机上安装托管卷的文件。两者之间的最大区别在于,当卷的内容安装在服务器计算机上并共享(尽管对数据的访问将“以明文方式”通过线路)时,所有客户端计算机都可以读写访问卷的内容,而卷的内容是当在每台计算机上本地安装时,在所有计算机上以只读方式安装。
如果您的用户需要对加密文件进行无缝读/写访问,那么 TrueCrypt 服务器端挂载或 EFS 可能是更好的选择。与 TrueCrypt 和服务器端挂载一样,数据仍将通过 EFS 明文传输。
有些人对 EFS 非常失望,但我认为它填补了一个利基并解决了一个问题。它的设计很好,但它试图解决的问题从根本上难以解决。
在 AD 环境中配置 EFS 确实并不难设置。最困难的部分是将您的注意力集中在恢复代理功能上并将恢复密钥导出到安全的离线位置。您将需要 PKI,但 Microsoft 的证书服务可以自动执行大部分向用户颁发证书的过程(查看此处了解有关 Windows XP 中自动注册的信息:http ://technet.microsoft.com/en-us/library/ bb456981.aspx)
看看微软的文档:http ://technet.microsoft.com/en-us/library/cc962122.aspx (另一个在http://technet.microsoft.com/en-us/library/bb457116 .aspx )
对 EFS 文件的多用户访问对 Microsoft 来说有点“麻烦”,但处理起来并不难。这里有一个很好的答案:多用户访问 EFS 加密文件。
EFS 将允许您使用现有的 AD 和 kerberos 凭据来访问加密数据。
Truecrypt 不支持多用户访问,并且无法将访问凭据存储在目录中。此外,Truecrypt 尚未经过 FIPS 140-2 验证,因此如果您正在加密以保护自己免受个人识别信息的破坏,那么它不是正确的工具。
还可以考虑商业产品,例如 McAfee 文件和文件夹加密。
对于这种情况,我建议使用 TrueCrypt。在这种情况下,它可能会比 EFS 更容易。