우리 회사 사람들은 로컬 Windows 2003 파일 서버에 게시된 공유 폴더 중 일부를 암호화해 달라고 요청했습니다. 요구사항은 다음과 같습니다.
- 사용자나 그룹 또는 사용자만 파일을 열 수 있도록 파일을 암호화합니다.
- 비밀번호로 보호된 파일은 피하세요. 암호화 프로세스는 사용자에게 투명해야 합니다.
- 파일이 암호화되더라도 백업 소프트웨어(BackupExec)는 검증을 위해 바이너리를 복사하고 액세스할 수 있어야 합니다.
- 사용자의 PC에 도구/소프트웨어를 설치할 수 없으며 자동으로 작동하기를 원합니다.
우리는 서버 관리 경험이 거의 없기 때문에 제공되는 도움이나 제안에 감사드립니다.
답변1
폴더에 대한 관리자 권한을 제거합니다. 그런 다음 소유권을 가져오고 권한을 재설정하지 않으면 디렉터리를 볼 수 없습니다(그런 다음 감사에 기록될 수 있음). 백업 운영자 그룹은 모든 것에 액세스할 수 있으므로 이 비밀번호가 기억하기 어렵고 기록되지 않는 비밀번호로 설정되어 있는지 확인하십시오(다시 비밀번호 재설정 감사 + 이 그룹의 멤버십 변경). 다른 사용자로부터 백업을 보호하려면 파일 암호화를 활성화하십시오.
결국 관리자는 사용자의 PC에 가서 해당 파일을 가져오거나 키로거를 설치하고, 백업에서 다른 위치로 복원하고, 권한을 재설정할 수 있기 때문에 인증서를 사용하더라도 시스템의 모든 파일을 볼 수 있습니다. 그리고 공유된 비밀번호는 비밀로 유지되지 않는 경우가 많습니다. 파일을 숨기려고 너무 많은 노력을 기울일 때 일반적으로 발생하는 일은 사용자가 비밀번호를 잊어버리고 데이터가 영원히 잠기는 것입니다. 게다가 사용자는 관리자가 언제 예방 조치를 우회할 수 있었는지 알 수 있을 만큼 IT에 대해 충분히 알지 못합니다.
결국 다른 직원 및 회사 자산/돈과 마찬가지로 데이터 기밀성을 보장하는 관리자를 신뢰해야 합니다. 매우 중요한 데이터는 항상 CD/DVD/플래시에 저장하고 물리적으로 보호할 수 있습니다.
답변2
PGP Netshare 또는 SecurStar Sharecrypt를 사용해 볼 수 있습니다.
귀하의 요구 사항을 충족하는 한, 제가 아는 한 두 솔루션 모두 다음을 허용해야 합니다.
- 공유 폴더의 파일이 암호화됩니다.
- 개별 파일에는 비밀번호 보호가 필요하지 않습니다. 그러나 전체 공유 폴더의 암호를 해독하려면 액세스가 필요할 수 있습니다.
- 백업 소프트웨어는 암호화된 데이터만 백업할 가능성이 높습니다. 이는 장점이 될 수 있으므로 백업 테이프가 손실되더라도 누구도 귀하의 데이터에 액세스할 수 없습니다.
- 최종 사용자 PC에 소프트웨어를 한 번 설치해야 합니다. 그러면 로컬 관리자 권한이 필요하지 않습니다.