Зашифруйте совместно используемые файлы на AD Домене
Я могу зашифровать совместно используемые файлы на Windows Server и позволить только аутентифицируемым пользователям домена, имеют доступ к этим файлам?
Сценарий следующим образом:
У меня есть компания по разработке программного обеспечения, и я хотел бы защитить свой исходный код от того, чтобы быть скопированным моими программистами.
Одна проблема состоит в том, что некоторые программисты используют свои собственные ноутбуки для разработки программного обеспечения компании.
В этом сценарии невозможно препятствовать тому, чтобы разработчики копировали исходный код для своих ноутбуков.
В этом случае я думал о следующем решении, но я не знаю, возможно ли реализовать.
Идея состоит в том, чтобы зашифровать исходный код, и они доступны (дешифровал) только, когда разработчики зарегистрированы в домен AD, т.е. если бы они не зарегистрированы в домен AD, исходный код был бы зашифрован быть бесполезным.
Как может быть реализован это использование EFS? или Есть ли другие инструменты, чтобы сделать это?
4 ответа
Что должно препятствовать тому, чтобы они вошли в систему домена, открывшись и дешифровав исходный код в notepad/VS/whatever, и затем копируя и вставляя содержание в локальный файл?
Шифрование не предназначено для защиты данных от пользователей, которые уже имеют доступ к нему. У Вас есть социальная проблема / проблема политики, не техническая.
Проблема состоит в том что, после того как у них есть доступ к источнику, они могли просто сделать копию и просто полностью обойти эту целую систему, о которой Вы думаете. Если Вы не доверяете кому-то данные затем, Вы не должны давать их им, потому что, как только у них есть доступ, они могут сделать копии и сделать что-либо, что они хотят с ними (кроме изменения Вашего оригинала).
Лучшая вещь, которую можно сделать, установить брандмауэр, чтобы обнаружить, если исходный код передается через сеть (хотя этому мешает шифрование), и не позволяют любой вид устройств хранения.
Я сделал некоторые тесты с помощью домена EFS и AD. Я думаю, что следующее решение может использоваться.
Я использовал EFS для шифрования папки и дал разрешение пользователю X. Когда этот пользовательский вход в систему с доменными учетными данными имеет полный доступ к этой папке и может скопировать все файлы. (зашифрованные файлы!)
Но если пользователь не входит в систему с учетными данными домена AD, они не могут получить доступ к файлам. Даже если он использует учетную запись локального администратора на машине.
Проблема теперь состоит в том, что AD остается кэшируемой информацией о пользователе.
Теперь я должен знать, можно ли настроить AD для аутентификации этого ноутбуки, только если сервер онлайн, и не позволяйте этим пользователям для дешифрования файлов с помощью EFS.
Вы уже реализовали что-то вроде этого?
Отвечать на Ваш вопрос, как указано: да, можно зашифровать данные с помощью EFS и позволить нескольким AD пользователям получать доступ к нему. Как несколько других уже указали, в то время как это технически верно, что это также практически бесполезно. Любой, который может дешифровать файл, может сохранить, распечатать, скопировать дешифрованный исходный код, особенно если Вы позволяете им сделать это на машинах, Вы не управляете.