我可以加密 Windows 服务器上的共享文件并只允许经过身份验证的域用户访问这些文件吗?
场景如下:
我有一家软件开发公司,我想保护我的源代码不被我的程序员复制。
一个问题是一些程序员使用他们自己的笔记本电脑来开发公司的软件。
在这种情况下,不可能阻止开发人员复制其笔记本电脑的源代码。
在这种情况下,我考虑了以下解决方案,但我不知道是否可以实施。
这个想法是对源代码进行加密,只有当开发人员登录到AD域时才能访问(解密)它们,即如果他们没有登录到AD域,源代码将被加密无用。
可以这样实施吗?应该使用什么技术?
这取决于您如何理解“仅允许经过身份验证的域用户可以访问这些文件”:从“允许选定用户从 Active Directory 访问 EFS 文件”或“加密的网络流量,来自文件共享”。您的问题还有更多其他解释方式。大多数情况都是可能的,尤其是您有 Active Directory 集成 PKI。我不知道你在这方面有哪些知识。例如,您知道 EFS 工作的主要原则吗?(例如,请参阅http://go.microsoft.com/fwlink/?LinkID=85746和http://technet.microsoft.com/en-us/library/bb457116.aspx)。
因此,如果您写一个简短的问题,答案可能会更长,并且无法提供您需要的信息。
此外,stackoverflow.com 是一个仅用于软件开发的站点。可能https://serverfault.com/或https://superuser.com/更适合您的问题。
最好的祝福
UDPATED:服务器上的 EFS 确实不是最佳解决方案,因为服务器上的数据恢复存在问题。如果用户忘记了您的笔记本电脑,或者您想要恢复备份数据,或者在其他非标准情况下,您可能需要在您的公司实施新的特殊流程,以防在服务器上使用 EFS。如果您不这样做,您可能会在服务器上接收到任何人都无法读取的加密数据。由于这个问题,大多数大公司都拒绝在服务器上使用 EFS。一种在笔记本电脑上使用本地 EFS 或硬盘加密,但在服务器上仅使用设计良好的 NTFS 权限系统。
在我看来,您也可以在没有任何 EFS 的情况下解决所有权限问题。例如,您可以在服务器上创建一个对 Creator Owner 具有更改权限的目录。然后您公司的每个程序员都可以在共享上创建一个子目录,并将他的项目源复制到子目录中。他/她收到对此目录的更改权限,但没有其他人。如果您在根共享目录中为您的帐户添加域管理员权限,那么域管理员或您也将拥有对您的程序员数据的相应权限。
如果有人在一个项目上工作,您可以为该项目创建一个目录,在 Active Directory 中创建一个相应的组,将属于该项目的人员作为该组的成员,并在 NTFS 中为该组更改权限。只有该组中的人员才能访问该目录。
对不起,如果我写了一个众所周知的东西(我不知道你的知识)。我只想给您一些示例,这些示例表明您在问题中描述的所有问题都可以解决,而不是在加密方面,而只是在文件系统中授予权限。你应该选择这种方式吗?