TrueCrypt还是EFS？

Question

我的用户子集需要一种方法来共享文件服务器上的加密文件夹。安全是最重要的，其次是易用性。TrueCrypt似乎更容易设置。EFS比TC有什么优势来证明额外的设置是合理的吗？

Windows 2003和XP，，100个用户局域网。

编辑:我最初错过了对Truecrypt单用户R/W访问的限制。看来，一旦我通过了设置，EFS就更好了。

Answer 1

网络共享用户指南中有关TrueCrypt的部分使您看起来有几种解决方案--将共享文件在计算机上本地承载卷，或者将承载卷的文件安装在服务器计算机上。两者之间的最大区别是，当卷安装在服务器计算机上并共享时(尽管对数据的访问将“透明”地穿过线路)与安装在每台机器上的所有计算机上的只读版本相比，卷的内容将是可访问的读写。

如果您的用户需要对加密文件进行无缝读写访问，那么TrueCrypt服务器端挂载或EFS可能是一个更好的选择。与TrueCrypt和服务器端挂载一样，数据仍将在EFS中通过。

有些人真的很喜欢EFS，但我认为它填补了一个利基，解决了一个问题。它设计得很好，但它寻求解决的问题从根本上说是难以解决的。

在AD环境中配置EFS实际上并不难设置。最困难的部分是围绕恢复代理功能，并将恢复密钥导出到安全的脱机位置。您将需要PKI，但微软的证书服务可以自动化向用户颁发证书的大部分过程(在这里查看有关Windows：http://technet.microsoft.com/en-us/library/bb456981.aspx中自动注册的信息)

看一下Microsoft的文档：http://technet.microsoft.com/en-us/library/cc962122.aspx (另一个在http://technet.microsoft.com/en-us/library/bb457116.aspx)

对于微软来说，多用户访问EFS文件有点“麻烦”，但处理起来并不难。有一个非常好的答案，这里 re:多用户访问EFS加密的文件。

Answer 2

EFS将允许您使用现有的AD和kerberos凭据访问加密数据。

Truecrypt不支持多用户访问，也无法在目录中存储访问凭据。另外，Truecrypt还没有被FIPS 140-2验证，所以如果你是在加密以保护自己免受个人识别信息的破坏，那就不是正确的工具。

还可以考虑商业产品，如McAfee文件和文件夹加密。

Answer 3

我建议在这个场景中使用TrueCrypt。在这种情况下，它可能比EFS更容易。