Сотрудники нашей компании попросили зашифровать некоторые общие папки, опубликованные на локальном файловом сервере Windows 2003. Требования следующие:
- Зашифруйте файлы, чтобы их могли открыть только пользователь, группа или пользователи.
- Избегайте файлов, защищенных паролем. Процесс шифрования должен быть прозрачным для пользователей.
- Хотя файлы зашифрованы, программное обеспечение для резервного копирования (BackupExec) должно иметь возможность копировать и получать доступ к двоичным файлам для проверки.
- Невозможно установить инструменты/программное обеспечение на ПК пользователя, они хотят, чтобы это работало автоматически.
Поскольку у нас очень мало опыта в управлении серверами, мы будем благодарны за любую помощь или предложение.
решение1
Заберите у администратора разрешение на доступ к папке. Тогда он не сможет увидеть каталог, не взяв на себя ответственность и не сбросив разрешения (что затем может быть зафиксировано в аудите). Группа операторов резервного копирования имеет доступ ко всему, убедитесь, что этот пароль установлен на что-то труднозапоминающееся и не записанное (опять же сбросы паролей аудита + изменение членства в этой группе). Включите шифрование файлов, чтобы защитить резервные копии от других пользователей.
В конце дня администратор, приложив некоторые усилия, может увидеть любой файл в системе, даже используя сертификаты, потому что он может зайти на компьютер пользователя и схватить их или установить кейлоггеры, восстановить из резервных копий в другом месте, сбросить разрешения и т. д. И общие пароли часто не остаются в секрете. Что обычно происходит, когда вы прилагаете столько усилий, чтобы скрыть от них файлы, так это то, что пользователь забывает свой пароль и навсегда лишается доступа к своим данным. Плюс пользователи недостаточно разбираются в ИТ, чтобы знать, когда администратор мог обойти их меры предосторожности.
В конце концов, вам придется доверять своим администраторам конфиденциальность данных, как и другим сотрудникам и активам/деньгам компании. Любые действительно важные данные всегда можно сохранить на cd/dvd/flash и физически защитить.
решение2
Вы можете попробовать PGP Netshare или SecurStar Sharecrypt.
Насколько мне известно, оба решения должны отвечать вашим требованиям:
- Файлы будут зашифрованы в общей папке.
- Отдельные файлы не нуждаются в защите паролем. Однако вам может потребоваться доступ для расшифровки всей общей папки
- Программное обеспечение для резервного копирования, скорее всего, будет делать резервные копии только зашифрованных данных. Это может быть преимуществом, так что даже если резервная лента будет утеряна, никто не сможет получить доступ к вашим данным
- Вам нужно будет установить программное обеспечение на ПК конечных пользователей один раз. Затем им не потребуются права локального администратора.