Я хотел бы предоставить выделенное место на сетевом диске, где файлы могут быть зашифрованы, и только ограниченная группа пользователей (настраивается для каждого файла или подкаталога) может их прочитать. Я уже думал об использовании TrueCrypt, но я думаю, что это может поддерживать одновременный доступ через сеть ...

Я работаю в среде Microsoft Windows Active Directory.

Если A хочет безопасно обмениваться файлами с B и C, только A, B и C должны иметь доступ к этим файлам. Никто другой (даже системные администраторы) не сможет читать файлы. (Конечно, если сертификат, ключ и / или пароли будут потеряны, файлы не будут восстановлены. Это риск, который мы хотели бы взять на себя ...)

Есть идеи, как это сделать?

Лучший Том

|источник

3 ответа3

5

В принципе, администраторы домена в среде Active Directory (при условии использования компьютеров под управлением Windows) либо автоматически, либо могут быстро получить полный контроль почти над всем в своем домене.

  • Если вы используете BitLocker, они могут принудительно сохранить ключ восстановления в AD.
  • Если вы используете EFS, они могут установить сертификат "агента восстановления данных".
  • Если вы используете TrueCrypt, они могут просто подождать, пока вы не разблокируете громкость.
  • Если вы предоставляете общий доступ к папке через SMB "Общий доступ к файлам", они могут получить доступ к административным общим ресурсам "всего диска".
  • Они могут изменять правила брандмауэра через групповую политику.
  • Они могут устанавливать произвольные настройки реестра через GPO.
  • Они могут запускать произвольные команды на вашем компьютере через сценарии загрузки / входа в GPO.

Если ваша компания наняла администраторов домена, которым нельзя доверять эту задачу, единственный способ безопасного обмена данными - никогда не раскрывать их на доменном компьютере - это включает компьютеры A, B и C.

(Ну, он по-прежнему может хранить зашифрованные данные, но он должен не понимать, что это за данные на самом деле - доступ по-прежнему должен осуществляться через устройства, не входящие в домен.)

|источник
1

Насколько я знаю, нет никакого способа обмениваться отдельными файлами между компьютерами, который использует пароль и шифрование на одном из компьютеров и защищает от администраторов. Даже зашифрованные файлы могут быть доступны только пользователю, который зашифровал их.

Поэтому вам нужно искать решение в другом месте, то есть в облаке. Существуют файлообменные сайты, которые хранят файлы в зашифрованном виде и разрешают их обмен. Ваши локальные администраторы не смогут принудительно получить доступ к вашим общим облачным файлам.

Одним из таких сервисов является SpiderOak, который имеет щедрое распределение дискового пространства для бесплатных учетных записей. Вы можете обмениваться информацией между пользователями, отправляя им URL-адреса файла или папки (на самом деле вы определяете "комнату", которая представляет собой группу файлов, которыми вы хотите поделиться в одном конверте). Смотрите описание в своей статье SpiderOak Share.

Другой - это MEGA, который я перестал использовать, поскольку у него есть некоторые особенности и больше ограничений для бесплатного аккаунта.

Вы также можете использовать Dropbox для обмена зашифрованными файлами, и есть продукты для шифрования.

Помимо SpiderOak есть и другие подобные сервисы, которые я попробовал, но в итоге остановился на них, которые предоставили мне больше гибкости и пространства.

|источник
1

Похоже, вам нужно стороннее программное обеспечение для шифрования, например, GPG. GPG позволяет вам зашифровать файл, указав, кому разрешено его расшифровывать. Ваш администратор сможет видеть зашифрованные файлы, но не сможет их расшифровать.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .