我可以加密Windows服务器上的共享文件,并且只允许经过身份验证的域用户访问这些文件吗?
方案如下:
我有一家软件开发公司,我希望保护我的源代码不被我的程序员复制。
一个问题是一些程序员使用他们自己的笔记本电脑来开发公司的软件。
在这种情况下,不可能阻止开发人员复制其笔记本电脑的源代码。
在这种情况下,我考虑了以下解决方案,但我不知道是否可以实施。
这个想法是加密源代码,只有当开发人员登录到AD域时才能访问(解密)它们,即如果他们没有登录到AD域,源代码将被加密是无用的。
可以实现吗? 应该使用什么技术?
答案 0 :(得分:1)
这取决于您如何理解“仅允许经过身份验证的域用户访问这些文件”:来自“允许选定的用户访问Active Directory访问EFS文件”或“加密的网络流量,来自文件共享”。您的问题还有更多其他解释方式。大多数情况都是可能的,尤其是您有Active Directory集成的PKI。我不知道你所在地区有哪些知识。您是否知道EFS如何工作的主要原则? (例如,参见http://go.microsoft.com/fwlink/?LinkID=85746和http://technet.microsoft.com/en-us/library/bb457116.aspx)。
因此,如果你写一个简短的问题,答案可能会更长,并且不能提供你需要的信息。
此外,stackoverflow.com是一个仅用于软件开发的站点。可能https://serverfault.com/或https://superuser.com/更适合您的问题。
祝你好运
UDPATED :由于服务器上的数据恢复问题,服务器上的EFS确实不是最佳解决方案。如果用户忘记了您的笔记本电脑,或者您想要恢复备份数据,或者在其他非标准情况下,您可能需要在服务器上使用EFS时在您的公司中实施新的特殊过程。如果不这样做,您可以在服务器上接收无人可读的加密数据。由于这个问题,大多数大公司拒绝服务器上的EFS。一个在笔记本电脑上使用本地EFS或硬盘加密,但在服务器上只使用设计良好的NTFS权限系统。
在我看来,您可以在没有任何EFS的情况下解决所有权限问题。例如,您可以在服务器上创建具有创建者所有者更改权限的目录。然后,公司的每个程序员都可以在共享上创建一个子目录,并在子目录中复制他的项目源。他/她收到此目录的更改权限,但没有其他人。如果您向根共享目录添加了对您的帐户的域管理员的权限,那么域管理员或您也将拥有相应的程序员数据权限。
如果某些人在一个项目上工作,您可以为项目创建一个目录,在Active Directory中创建一个相应的组,将属于该项目的人员作为该组的成员,并在NTFS中为此创建一个更改权限组。只有该组中的人员才能访问该目录。
很抱歉,如果我写了一个众所周知的事情(我不知道你的知识)。我只想给你一些例子,它们表明你在问题中描述的所有问题都可以解决而不是加密,而只是在文件系统中授予权限。你应该选择这种方式吗?