我的老板想要在Windows 8.1客户端访问的Windows Server 2012 R2 Box上使用EFS设置encryption文件共享。 我已经能够设置默认的DRA,在testing用例中发布证书等等。 所以,EFS的作品。 但是,他还希望在以下情况下提示用户input其证书密码(首次创build证书时生成的密码)
我已经configuration了一个组策略,每隔240分钟清除一次caching,并locking屏幕。 我还设置了本地计算机registry和域GP,要求对私钥进行强有力的保护。 但是,这似乎并不是他所追求的。 没有使用第二种forms的authentication(智能卡等),他想要什么? 如果是这样,我在哪里搞乱?
这是不可能的,通过内置的机制。
一点理论:私钥强保护只有在私钥资料被访问时才提示input。
一些做法:当你在远程共享上encryption/解密文件时,使用远程证书来执行这些操作。 也就是说,EFS在文件共享托pipe服务器上加载用户configuration文件,加载证书并执行操作(encryption和解密)。 对话框提示将暴露在远程服务器上,永远不会被暴露给你,没有人能够在那里input密码。