none
Доступ к зашифрованным данным EFS с нескольких клиентских ПК RRS feed

  • Question

  • Помогите разобраться в нескольких вопросах по EFS.

    И так есть КД (Контроллер домена) на Windows Server 2008 R2, на нем поднят ЦС (центр сертификации). В GPO настроены параметры - "Клиент служб сертификатов - политика регистрации сертификатов -> (Включена)" и "Клиент служб сертификации: автоматическая регистрация -> Включено"

    На сколько сертификат выдается пользователи при первом входе в систему и хранится в локальном профиле.

    1. Ситуация у нас такая что пользователи ходят с места на место, а все свои документы хранят на сетевом ресурсе. Нужно что бы пользователи шифровали свои данные с помощью EFS и при этом имели доступ к этим файлам с другого компьютера.

    2. Можно ли настроить так что бы сертификаты выдавались и хранились не локально в профиле пользователя а в центре сертификации и подтягивались при входе пользователя в систему, потому что нужно еще что бы данные были доступны нескольким пользователям домена.

    Не знаю насколько внятно я все написал, если нужно что то уточнить пишите буду пробовать разъяснить ситуацию пояснение

    Monday, April 30, 2012 1:06 PM

Answers

  • > 1. Ситуация у нас такая что пользователи ходят с места на место, а все свои документы хранят на сетевом ресурсе. Нужно что бы пользователи шифровали свои данные с помощью EFS и при этом имели доступ к этим файлам с другого компьютера.

    если у вас все клиентские компьютеры работают под управлением Windows Vista или более новых ОС, тогда вам уже сказали — использовать смарт-карты. Если есть более старые клиенты (Windows XP, 2003) или бюджет не позволяет внедрить смарт-карты, примените Credential Roaming Service:

    http://technet.microsoft.com/en-us/library/cc773373(WS.10).aspx

    http://technet.microsoft.com/en-us/library/cc771348.aspx

    > Можно ли настроить так что бы сертификаты выдавались и хранились не локально в профиле пользователя а в центре сертификации и подтягивались при входе пользователя в систему, потому что нужно еще что бы данные были доступны нескольким пользователям домена.

    нельзя.

    > хотя в 2008r2 можно настроить архивацию закрытых ключей

    вы так говорите, будто до 2008r2 архивирования не существовало.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki

    • Proposed as answer by Vadims PodansMVP Saturday, May 5, 2012 4:32 PM
    • Marked as answer by alavaster Thursday, May 10, 2012 12:35 PM
    Saturday, May 5, 2012 4:32 PM

All replies

  • Можно их сохранить на смарт-карты типа eToken. А экспортировать-импортировать один и тот же сертификат кажется почти возможным, но лишь почти. Сложно и небезопасно.

    Также, не забывайте, что EFS — это лишь способ хранения файлов, но не передачи (по сети). Зашифрованные на сервере файлы по сети передаются в открытом виде, в открытом же виде что-то сохраняется в пользовательский Temp и Autosave.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    Monday, April 30, 2012 6:29 PM
  • У меня еще есть вопрос.

    Почему я не вижу выданных сертификатов пользователей, а только сертификаты агентов восстановления в ЦС

    Хотя на локальном компьютере в сертификатах он отображается. Разъясните почему именно так.

    Wednesday, May 2, 2012 6:06 AM
  • Возможно ли сделать так что бы сертификаты хранились в центре сертификации? А не на локальном компьютере
    Wednesday, May 2, 2012 6:20 AM
  • сертификаты там и хранятся, без закрытых ключей, иначе теряется весь смысл сертификатов. хотя в 2008r2 можно настроить архивацию закрытых ключей, но это для других целей.

    чтобы данные были доступны нескольким людям, их надо шифровать ключами всех кто должен иметь доступ.

    Wednesday, May 2, 2012 9:55 PM
  • > 1. Ситуация у нас такая что пользователи ходят с места на место, а все свои документы хранят на сетевом ресурсе. Нужно что бы пользователи шифровали свои данные с помощью EFS и при этом имели доступ к этим файлам с другого компьютера.

    если у вас все клиентские компьютеры работают под управлением Windows Vista или более новых ОС, тогда вам уже сказали — использовать смарт-карты. Если есть более старые клиенты (Windows XP, 2003) или бюджет не позволяет внедрить смарт-карты, примените Credential Roaming Service:

    http://technet.microsoft.com/en-us/library/cc773373(WS.10).aspx

    http://technet.microsoft.com/en-us/library/cc771348.aspx

    > Можно ли настроить так что бы сертификаты выдавались и хранились не локально в профиле пользователя а в центре сертификации и подтягивались при входе пользователя в систему, потому что нужно еще что бы данные были доступны нескольким пользователям домена.

    нельзя.

    > хотя в 2008r2 можно настроить архивацию закрытых ключей

    вы так говорите, будто до 2008r2 архивирования не существовало.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki

    • Proposed as answer by Vadims PodansMVP Saturday, May 5, 2012 4:32 PM
    • Marked as answer by alavaster Thursday, May 10, 2012 12:35 PM
    Saturday, May 5, 2012 4:32 PM
  • Во всем разобрался.

    Если новый пользователь первый раз заходит в систему сертификат ему естественно не выдается. Но при попытке зашифровать файл  идет запрос в цент сертификации и автоматически выдается сертификат по шаблону который я сделал. Так вот если этот пользователь сядет за другой компьютер и зайдет под своей учетной записью сертификат ему подтянется автоматически (настроил при помощи включения в GPO Credential Roaming Service). Все как бы хорошо и работает. Но есть один нюанс. Пользователи должны хранить свои файлы на файловом сервере. При попытке зашифровать файл по сети возникает ошибка:

    А при попытке скопировать уже зашифрованный файл получаю вот такую ошибку:

    Как можно разрешить шифрование файлов на сетевом ресурсе?

    Wednesday, May 9, 2012 9:13 AM
  • Почему вы обращаетесь к сетевому ресурсу по IP-адресу?

    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    Wednesday, May 9, 2012 12:06 PM
  • Та даже не знаю что и ответить. А что есть какая я то разница как обращаться к сетевому ресурсу?
    Wednesday, May 9, 2012 1:05 PM
  • > А что есть какая я то разница как обращаться к сетевому ресурсу?

    конечно. Если обращаетесь по имени к доменному ресурсу, тогда будет работать аутентификация кербероса (и, скорее всего решит вашу проблему). А если по IP, тогда только NTLM и шифрование по сети скорее всего не будет работать как положено.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki

    Wednesday, May 9, 2012 1:19 PM
  • При обращении к ресурсу по имени возникает та же ошибка

    Wednesday, May 9, 2012 1:51 PM
  • Ну тут возможны варианты. Например, учётная запись файлового сервера доверена для делегирования (на вкладке Delegation переключатель должен быть установлен в trust this computer for kerberos delegation.

    В вашем случае, когда файл шифруется в сетевой папке, на файловом сервере создаётся/загружается профиль пользователя, запрашивается сертификат EFS и шифруются данные. После этого профиль выгружается. Если сервер не доверен для делегирования, ничего у вас не выйдет. А локальный сертификат EFS в этом случае не используется.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki

    Wednesday, May 9, 2012 6:12 PM
  • > Например, учётная запись файлового сервера доверена для делегирования (на вкладке Delegation переключатель должен быть установлен в trust this computer for kerberos delegation.

    в каком месте я тут говорил про учётную запись пользователя?


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    Windows PKI reference: on TechNet wiki

    Thursday, May 10, 2012 5:59 AM
  • Всем огромное спасибо за помощь. Все получилось, все настроил
    Thursday, May 10, 2012 12:35 PM