Att ge ytterligare användare åtkomst till EFS (kryptering av filsystem) krypterade mappar och filer beror starkt på ditt operativsystem och den åtkomstnivå du vill tillhandahålla. Det finns ingen enda, universell metod. Här är en uppdelning för Windows, eftersom EFS främst är en Windows -funktion:
Metoder för att ge åtkomst till EFS-krypterade filer och mappar:
* Dela mappen (minst säker): Detta är den enklaste metoden men erbjuder minsta säkerhet. Du delar mappen normalt via Windows -fildelning och ger lämpliga behörigheter (läs, skriv, etc.). Men * alla * som har tillgång till aktien kan komma åt den dekrypterade uppgifterna. Detta är endast lämpligt om du litar på alla användare med åtkomst till den dekrypterade data.
* beviljar individuella åtkomsträttigheter (säkrare): Denna metod erbjuder bättre säkerhet än att bara dela mappen. Du kan uppnå detta genom dessa tillvägagångssätt:
* Använda EFS avancerade behörigheter: Högerklicka på den krypterade mappen eller filen, välj "Egenskaper", gå till fliken "Säkerhet" och sedan "avancerad." Du kan sedan lägga till användare och tilldela specifika behörigheter (läs, skriva, ändra, full kontroll). Detta utsätter dock dig fortfarande för potentiella sårbarheter om mottagarens dator komprometteras.
* med ett certifikat (säkrast): Detta är den säkraste metoden, eftersom endast användare med rätt certifikat kan dekryptera data. Du måste använda certifikat för att kryptera uppgifterna initialt. Varje användare behöver sitt eget certifikat. Denna process är mer involverad och kräver ofta Active Directory Integration och Management Tools. Du måste skapa certifikat för varje mottagare och sedan använda dessa certifikat för att kryptera filerna. Endast de med relevant privatnyckel (associerad med deras certifikat) kan dekryptera uppgifterna.
Viktiga överväganden:
* återhämtning: Om användaren som krypterade filerna förlorar tillgången till sin privata nyckel (t.ex. de förlorar sina referenser) kan du behöva ett återställningsagent. Att ställa in ett återhämtningsagent är avgörande för att förhindra dataförlust i sådana scenarier.
* Active Directory: Om din organisation använder Active Directory blir hantering av EFS -behörigheter och återhämtningsagenter betydligt mer hanterbar.
* Dataförlustförebyggande (DLP): Tänk på om du behöver ytterligare DLP -åtgärder på plats tillsammans med EFS för att säkerställa säker hantering och åtkomstkontroll av dina krypterade data.
steg (exempel med individuella åtkomsträttigheter med avancerade behörigheter):
1. hitta den krypterade mappen eller filen.
2. Högerklicka på objektet och välj "Egenskaper."
3. Gå till fliken "Säkerhet".
4. Klicka på "Avancerad."
5. Klicka på "Lägg till."
6. Ange användarnamnet eller säkerhetsgruppen för den användare du vill ge åtkomst till (t.ex. `domän \ användarnamn ').
7. Klicka på "Kontrollera namn" för att verifiera användarnamnet.
8. Klicka på "OK."
9. Välj lämpliga behörigheter för användaren (läs, skriv osv.). Överväg noggrant de åtkomsträttigheter du beviljar - mindre är mer ur ett säkerhetsperspektiv.
10. Klicka på "OK" på alla öppna dialogrutor.
Rekommendation:
För de flesta situationer ger metoden med avancerade behörigheter (steg 1-10) en god balans mellan säkerhet och användbarhet. Men om du har ett stort antal användare eller behöver högre säkerhet, kommer ett certifikatbaserat tillvägagångssätt eller förlita sig på en välskötad Active Directory-miljö vara det bättre valet. Prioritera alltid säkra metoder och granska regelbundet dina inställningar för åtkomstkontroll.
