TrueCryptまたはEFS?
ユーザーのサブセットには、ファイルサーバー上の暗号化されたフォルダーを共有する方法が必要です。セキュリティが最も重要であり、次に使いやすさが続きます。 TrueCryptの方がセットアップが簡単なようです。追加のセットアップを正当化するために、EFSにはTCよりも優れた利点がありますか?
Windows Server 2003およびXP、Active Directory、100ユーザーLAN。
編集:私はもともとTruecryptのシングルユーザーR/Wアクセスの制限を見逃していました。セットアップを通過すると、EFSの方が優れているようです。
TrueCryptユーザーガイドの ネットワークを介した共有 のセクションでは、ボリュームをローカルにホストしている共有ファイルをコンピューターにマウントするか、ボリュームをホストしているファイルをコンピューターにマウントするという、いくつかの解決策があるように見えます。サーバーコンピューター。 2つの大きな違いは、ボリュームのコンテンツがサーバーコンピューターにマウントされて共有されると、すべてのクライアントコンピューターが読み取り/書き込みにアクセスできることです(ただし、データへのアクセスは「平文で」ネットワークを通過します)。各マシンにローカルにマウントされている場合、すべてのコンピューターに読み取り専用でマウントされます。
ユーザーが暗号化されたファイルへのシームレスな読み取り/書き込みアクセスを必要とする場合は、TrueCryptサーバー側マウントまたはEFSのいずれかがおそらくより良い選択です。 TrueCryptやサーバー側のマウントと同様に、データはEFSを使用して平文でネットワークを通過します。
EFSに夢中になっている人もいますが、それはニッチを埋め、問題を解決すると思います。それはそれが何であるかのためにうまく設計されていますが、それが解決しようとしている問題は根本的に解決するのが難しいです。
AD環境でEFSを構成することは、実際にはセットアップがそれほど難しくありません。最も難しいのは、リカバリエージェントの機能に頭を悩ませ、リカバリキーを安全なオフラインの場所にエクスポートすることです。 PKIが必要になりますが、MicrosoftのCertificate Servicesは、ユーザーに証明書を発行するプロセスのほとんどを自動化できます(Windows XPでの自動登録については、こちらをご覧ください: http://technet.Microsoft.com/en- us/library/bb456981.aspx )
Microsoftのドキュメントをご覧ください: http://technet.Microsoft.com/en-us/library/cc962122.aspx (および http:// technet。 Microsoft.com/en-us/library/bb457116.aspx )
EFSファイルへのマルチユーザーアクセスは、Microsoftの側では少し「いぼ」ですが、対処するのはそれほど難しくありません。非常に良い答えがあります ここ re:EFS暗号化ファイルへのマルチユーザーアクセス。
EFSを使用すると、既存のADおよびKerberosの資格情報を使用して暗号化されたデータにアクセスできます。
Truecryptはマルチユーザーアクセスをサポートしておらず、アクセス資格情報をディレクトリに保存する方法がありません。さらに、TruecryptはFIPS 140-2検証されていないため、個人を特定する情報の侵害から身を守るために暗号化する場合、それは適切なツールではありません。
McAfee File&Folder暗号化などの商用製品も検討してください。
このシナリオではTrueCryptを使用することをお勧めします。この場合、おそらくEFSよりも簡単になるでしょう。