האם ניתן למנוע הצגה של שמות קבצים ותיקיות בתוך תיקייה שמוצפנת עם EFS? - Windows - HWzone פורומים
עבור לתוכן
  • צור חשבון

האם ניתן למנוע הצגה של שמות קבצים ותיקיות בתוך תיקייה שמוצפנת עם EFS?

rangerman

נוצר על ידי rangerman
ב Windows

Recommended Posts

rangerman Zone Master

rangerman

פורסם
פורסם

במחשב יש משתמשים נוספים עם הרשאות אדמיניסטרטור, כך שיש להם אפשרות "לקחת בעלות" על התיקייה המוצפנת. במקרה כזה אמנם לא תהיה להם גישה למידע המוצפן (ללא הסיסמה של ה-owner המקורי), אבל כן תהיה להם אפשרות לעבור בין תיקיות ולצפות בשמות הקבצים ותת-התיקיות. האם יש דרך למנוע את זה ללא הורדת הרשאות לשאר המשתמשים וללא שימוש בכלים צד שלישי כמו TrueCrypt?

קישור לתוכן
שתף באתרים אחרים
DOGMA Zone Master

DOGMA

פורסם
פורסם

לא, לא ברמה שהם לא יוכלו לראות את זה אם הם באמת יירצו.

סתם שתדע שאם יש להם הרשאות אדמינסטרטיביות ברמה שהם יכולים להשתמש בbuilt-in administrator או ע"י זה שיש להם את הססמא או ע"י זה שהם יכולים לשנות לו את הססמא בכל רגע הצפנת הEFS לא שווה שקל. הBuilt-in Administrator בין אם זה ברמה לוקאלית על מחשב או בדומיין בדיפולט מחזיק בrecovery agent כלומר הוא יכול לפתוח כל הצפנת EFS ללא תלות באיזה משתמש הצפין אותה.

קישור לתוכן
שתף באתרים אחרים
rangerman Zone Master

rangerman

פורסם
  • מחבר
פורסם

אם משתמש אדמיניסטרטור אחד לוקח "בעלות" על הקבצים המוצפנים של משתמש אדמיניסטרטור אחר הוא יכול לגשת אליהם, אבל הם נשארים מוצפנים. זה לפחות מה שראיתי כששיחקתי עם EFS.

קישור לתוכן
שתף באתרים אחרים
DOGMA Zone Master

DOGMA

פורסם
פורסם

לא משתמש שנמצא בתוך הקבוצה של האדמיניסטרטורים, אלא האדמיניסטרטור המובנה עצמו(אפשר לשנות את זה) תקרא על איך עובד הrecovery agent בEFS(אין לזה שום קשר ללקיחת בעלות).

טוב מסתבר שהEFS RA פועל בדיפולט רק בסביבת דומיין או win 2000 בכל מקרה אם המידע חשוב לך אני מציע לך לייצר אחד.

http://support.microsoft.com/kb/887414

קישור לתוכן
שתף באתרים אחרים
rangerman Zone Master

rangerman

פורסם
  • מחבר
פורסם

לא משתמש שנמצא בתוך הקבוצה של האדמיניסטרטורים, אלא האדמיניסטרטור המובנה עצמו(אפשר לשנות את זה) תקרא על איך עובד הrecovery agent בEFS(אין לזה שום קשר ללקיחת בעלות).

הקשר פשוט. כדי למנוע מעבר בין תיקיות וצפיה בשמות הקבצים צריך להסיר את ההרשאות על התיקיה ממשתמשים אחרים במחשב, ובכללם מאדמיניסטרטורים אחרים. האחרונים אמנם יכולים לקחת בעלות על התיקיה (ואז להוסיף לעצמם כל הרשאה שיירצו), אבל הם לא יכולים לקרוא את התוכן המוצפן של הקבצים.

טוב מסתבר שהEFS RA פועל בדיפולט רק בסביבת דומיין או win 2000 בכל מקרה אם המידע חשוב לך אני מציע לך לייצר אחד.

http://support.microsoft.com/kb/887414

טוב מאוד שהוא מנוטרל. הרעיון כולו הוא למנוע ממשתמשים כלשהם, כולל אדמיניסטרטורים אחרים, לגשת למידע. הבעיה היא ש-EFS לא מונע מהם לקחת בעלות על התיקייה ולראות את שמות הקבצים, ולכן הוא לא פתרון קביל מבחינתי. כנראה שאשתמש ב-TrueCrypt במקומו.

קישור לתוכן
שתף באתרים אחרים
DOGMA Zone Master

DOGMA

פורסם
פורסם

תעיף להם את ההרשאות לקחת בעלות וזהו, שוב לא לתת אדמיניסטרטור לאף אחד, תשב כמה שעות תעבור פסיק פסיק על איזה הרשאות אם צריכים תיצור כמה קבוצות תתן את ההרשאות המתאימות לקבוצה ותוסיף לשמה אנשים.

הRA בEFS זה דבר מאוד חשוב, אם אתה לא עושה את זה לפחות תגבה את הcertים של שאר המשתמשים בשביל שאם יקרה משהו תוכל להוציא את המידע שהוצפן אחרת חבל. הצפנה זה נחמד ויפה אבל ברגע שמשהו משתבש וזה לא חייב להיות רק עקב זאת שבטעות מחקת משתמש זה יכול להיות אפילו עקב קריסה של המערכת עצמה אם ערך כלשהו משתנה, כגון סרטפיקציה שנדפקת או נמחקת תגיד שלום ולהתראות לכל המידע שלך.

RA זה דבר חובה בכל אימפלנטציה של EFS, וגיבוי הסרטפיקציות חשוב לא פחות.

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

עבור לרשימת הדיונים
×
  • צור חדש...