我們公司的人要求對本地 Windows 2003 檔案伺服器中發布的一些共用資料夾進行加密。要求是:
- 加密文件,因此只有用戶或群組或用戶才能打開它們
- 避免受密碼保護的文件。加密過程應該對用戶透明
- 儘管檔案已加密,備份軟體 (BackupExec) 必須能夠複製和存取二進位檔案以進行驗證
- 無法在使用者的電腦上安裝工具/軟體,他們希望它自動工作
由於我們管理伺服器的經驗很少,因此我們將不勝感激您提供的任何幫助或建議。
答案1
取消該資料夾的管理員權限。然後,如果不取得所有權並重置權限(然後可以在審核中記錄),他就無法看到該目錄。備份操作員群組可以存取所有內容,請確保此密碼設定為難以記住且不記錄的內容(再次審核密碼重設+更改該群組的成員資格)。對檔案啟用加密以保護備份免受其他使用者的侵害。
最終,管理員透過一些努力可以看到系統上的任何文件,甚至使用證書,因為他可以進入用戶的電腦並獲取它們或安裝鍵盤記錄器,從備份恢復到其他地方,重置權限等。密碼通常不會保密。當您付出如此多的努力向用戶隱藏文件時,通常會發生的情況是用戶忘記了密碼並永遠無法存取其資料。另外,使用者對 IT 的了解不夠,無法知道管理員何時可以規避他們的預防措施。
歸根結底,您必須信任管理員的資料機密性,就像您信任其他員工和公司資產/資金一樣。任何真正重要的資料都可以始終儲存在 CD/DVD/快閃記憶體上並受到實體保護。
答案2
您可以嘗試 PGP Netshare 或 SecurStar Sharecrypt。
據我所知,就滿足您的要求而言,兩種解決方案都應該允許:
- 共享資料夾中的檔案將被加密
- 單一文件不需要密碼保護。但是,您可能需要存取權限才能解密整個共用資料夾
- 備份軟體可能只會備份加密資料。這可能是一個優勢,因此即使備份磁帶丟失,也沒有人可以存取您的數據
- 您需要在最終使用者的 PC 上安裝一次該軟體。那麼他們不應該需要本地管理員權限。