EFS的现状

Question

我需要加密2008年R2服务器上的一个3.5TB文件夹。文件夹是共享的，用户和应用程序都需要通过网络访问其中的文件(Pdf)。因为服务器是VM (ESXi 5)，所以不支持比特锁。带有AD CS托管密钥的EFS应该可以工作。

我正在寻找一个良好的实现指南和实际的用户/管理经验的形式的输入，如果有谁真正使用它。

如果有一个更好的加密网络共享的解决方案，请告诉我。

Answer 1

嗯，我不能准确地量化你对性能的影响有多大。会有一些。但关键是，如果您需要加密这些数据，那么这就是您必须做的，并且您只需在任何潜在的性能影响上咬牙切齿。

您是否考虑过，一旦客户端访问SMB网络共享上的EFS加密文件，该文件将在服务器上解密，然后通过网络传输未加密/“明文”？

首先，我会考虑将这个传统的文件共享迁移到类似WebDAV的地方，因为这将允许您通过SSL/TLS/HTTPS保护的通道在网络上传输数据。

微软的一些相关词汇：

远程EFS对文件共享和Web文件夹的操作用户可以加密和解密存储在网络文件共享或Web分布式创作和版本控制(WebDAV) Web文件夹上的文件。与文件共享相比，Web文件夹有许多优点，Microsoft建议尽可能使用Web文件夹来远程存储加密文件。Web文件夹需要更少的管理工作，并且比文件共享更安全。通过使用标准的HTTP文件传输，Web文件夹还可以通过Internet安全地存储和传递加密文件。使用文件共享进行远程EFS操作需要Windows 2000或更高版本的域环境，因为EFS必须通过使用Kerberos委托为用户加密或解密文件来模拟用户。存储在文件共享上的文件的远程EFS操作与存储在Web文件夹上的文件之间的主要区别是操作发生的位置。当文件存储在文件共享上时，所有EFS操作都发生在存储文件的计算机上。例如，如果用户连接到网络文件共享并选择打开其先前加密的文件，则该文件将在存储该文件的计算机上解密，然后通过网络以明文形式传输到用户的计算机。当文件存储在Web文件夹中时，所有EFS操作都发生在用户的本地计算机上。例如，如果用户连接到Web文件夹并选择打开他或她以前加密过的文件，则该文件在传输到用户计算机期间仍然是加密的，并由EFS在用户的计算机上解密。EFS操作发生的地方的这种差异也解释了为什么文件共享比Web文件夹需要更多的管理配置。

哦，还有SMB加密，但它对Server 2012和SMB 3.0来说是新的。但是，您已经表明使用的是2008R2。

http://blogs.msdn.com/b/openspecification/archive/2012/10/05/encryption-in-smb-3-0-a-protocol-perspective.aspx