none
Шифрование файла RRS feed

  • Вопрос

  • Всех приветствую!

    Задача: на web-севрер (IIS) периодически (программным путем) выкладывается HTML-файл с конфиденциальной информацией, предназначенной для нескольких пользователей. Необходимо чтобы этот файл при выкладывании на сервер шифровался и чтобы расшифровать его могли только те пользователи, для которых он предназначен. В организации существует инфраструктура PKI, поэтому очень хотелось бы задействовать ее в этом процессе. Существует ли решение этой задачи с помощю каких-либо стандартных средств Microsoft? Или какой-нибудь софт сторонних производителей, позволяющий, например, c помощью командной строки зашифровать файл для определенных пользователей, используя открытые ключи их PKI-сертификатов, опубликованных в AD и расшифровать этот файл на машинах этих пользователей с помощью их секретных ключей?

    Может быть есть другое решение задачи? Куда копать?

    На web-сервере располагается также SPPS 2007 - может он сможет как-то помочь?

    15 февраля 2007 г. 9:01

Ответы

  • Если рассматривать решения на основе IIS и EFS, то, на мой взгляд, лучшим может стать применение EFS over WebDAV. Преимуществом такой технологии является то, что файлы шифруются средствами EFS на клиенте и пересылаются по сети в Web-папки уже зашифрованными. Аналогично, расшифровка файлов, загружаемых из Web-папок, происходит на стороне клиента. Посмотрите раздел EFS with WebDAV Folders в статье

    http://www.microsoft.com/technet/prodtechnol/winxppro/support/dataprot.mspx

    Из других решений рассмотрите технологии шифрования на уровне дискового драйвера. В этом случае операционная система и IIS не нуждаются в особой настройке. Правда, на этапе загрузки сервера потребуется вводить пароль или использовать специальный электронный ключ. В качестве примера отечественного продукта можно привести StrongBoot.

     

    15 февраля 2007 г. 20:50
    Модератор

Все ответы

  • Вы хотите, чтобы файл на сервере лежал в зашифрованном виде (так чтобы его содержимое не было доступно администратору сервера), или чтобы он передавался по сети зашифрованным? Или и то, и другое?

     

    15 февраля 2007 г. 9:12
    Модератор
  • И то и другое. Необходимый уровень безопасности при передаче по сети может обеспечить использование HTTPS с использованием пользовательских сертификатов для аутентификации. Основная проблема заключается именно в том, что файл должен храниться на сервере в зашифрованном виде и расшифровываться на строне клиента (защита скорее не от администратора сервера, а от несакционированного физического доступа к серверу).

    Была мысль использовать связку IRM и SharePoint Portal Server 2007, но, во-первых, не хочется ради этого разворачиавть параллельную PKI инфраструктуру RMS-сертификатов (и заботиться о ее поддержке), а, во-вторых, как выяснилось, SPPS при использовании IRM все-равно хранит файлы в базе в незашифрованном виде, а шифрует их только при выдаче пользователям (http://technet2.microsoft.com/Office/f/?en-us/library/073bfc71-7b01-4b77-bdc3-ac018889d54b1033.mspx).

    15 февраля 2007 г. 9:34
  • Пока могу сказать, что такое возможно. Как пример, статья на эту тему

    http://support.microsoft.com/kb/243756

    15 февраля 2007 г. 9:47
    Модератор
  • Загадочная какая-то статья..

    Использование EFS, на мой взгляд, в этом случае неприемлимо как ни крути: эта технология работает на уровне файловой системы, т. е. шифрование/расшифровывание информации происходит непосредственно при обращении к файловой системе. Поэтому, нужно будет как и в случае использования EFS на удаленном файловом сервере хранить private ключи пользователей на сервере и давать IIS-у права на использование этих ключей (http://support.microsoft.com/kb/320044), а этого очень не хотелось бы делать...

    15 февраля 2007 г. 14:52
  • Не совсем так. Если пользователь аутентифицируется на IIS, то обращение к файловой системе будет происходить в контексте этого пользователя. Если на сервере установлена операционная система Windows 2003 Server, то нет ничего плохого в том, что закрытые ключи будут храниться локально на сервере. Ключи зашифрованы на основе паролей пользователей, и даже обнулив пароль пользователя, злоумышленник не получит доступ к зашифрованным папкам. К сожалению, это неверно для Windows 2000, установленной в модели рабочей группы.

     

    15 февраля 2007 г. 15:14
    Модератор
  • Если рассматривать решения на основе IIS и EFS, то, на мой взгляд, лучшим может стать применение EFS over WebDAV. Преимуществом такой технологии является то, что файлы шифруются средствами EFS на клиенте и пересылаются по сети в Web-папки уже зашифрованными. Аналогично, расшифровка файлов, загружаемых из Web-папок, происходит на стороне клиента. Посмотрите раздел EFS with WebDAV Folders в статье

    http://www.microsoft.com/technet/prodtechnol/winxppro/support/dataprot.mspx

    Из других решений рассмотрите технологии шифрования на уровне дискового драйвера. В этом случае операционная система и IIS не нуждаются в особой настройке. Правда, на этапе загрузки сервера потребуется вводить пароль или использовать специальный электронный ключ. В качестве примера отечественного продукта можно привести StrongBoot.

     

    15 февраля 2007 г. 20:50
    Модератор
  • Да, WebDAV+EFS - похоже лучшее решение поставленной задачи. Сам уже до него докопался вчера:-). Тем не менее, огромное спасибо за помощь!
    16 февраля 2007 г. 8:07