Funktioner och funktioner och funktioner för kryptering av filsystem (EFS) på en server styrs genom en kombination av faktorer:
* EFS -certifikatägaren: Användar- eller datorkontot som ursprungligen krypterade filen har den primära rätten att dekryptera och komma åt den. Även om användarens konto raderas eller behörigheter ändras, behåller ägaren i allmänhet åtkomst (såvida inte specifika återställningsförfaranden finns).
* administratörer: Domänadministratörer och lokala administratörer har full kontroll över EFS-krypterade filer och kan dekryptera dem, även om de inte är de ursprungliga ägarna.
* Återställningsagenter: En återställningsagent är en användare eller grupp som är utsedd för att få åtkomst till EFS-krypterade filer om den ursprungliga ägaren inte är tillgänglig. Detta är avgörande för dataåterställning och företagskontinuitet. Återställningsagentens åtkomst definieras under EFS -konfigurationen. Utan ett återhämtningsagent kan uppgifterna potentiellt vara oåterkalleliga om ägarens referenser går förlorade.
* delegerad åtkomst (begränsad): Även om det inte är så direkt inneboende som ovanstående, spelar fil- och mappbehörigheter fortfarande. Även om en användare är *inte *ägaren eller en återställningsagent, kan de fortfarande kunna komma åt en EFS-krypterad fil om deras användarkonto har lämplig läsning eller ändra åtkomstbehörigheter till *som innehåller mapp *. Filen kommer att förbli krypterad, men de kan öppna den om deras åtkomstbehörigheter och certifikatkedja möjliggör dekryptering. Observera att denna situation är knepig. Användaren måste ha lämplig åtkomst till *-filens mapp *, och certifikatkedjan måste ge dekrypteringsförmågor.
* Data Recovery Agent (DRA): Om det är konfigurerat har dataåterställningsagentet tillgång till dekrypterade filer som är krypterade av alla användare på servern.
Kort sagt, det är inte bara en enkel åtkomstkontrolllista (ACL). EFS Security förlitar sig på ett komplext samspel mellan certifikatägande, administrativa privilegier, beteckningar för återhämtningsagent och standardfilsystembehörigheter. Korrekt planering och hantering av dessa aspekter är avgörande för att säkerställa både säkerhets- och dataåtervinningsbarhet.
