这是一个创建于 2949 天前的主题,其中的信息可能已经有所发展或是发生改变。
场景:公司有台电脑,平时有 4 个兼职的 sales 会轮流使用,大家各自会在机器上存一些比较敏感的资料(客户信息相关资料),所有 sales 都会物理接触该电脑,但是按照公司要求,任何情况下他们不应该能各自看到对方的文件(哪怕是文件名)
系统: win10
硬盘情况:一个装着系统的 256GB SSD+4TB HDD 仓库盘
求解决方案
系统: win10
硬盘情况:一个装着系统的 256GB SSD+4TB HDD 仓库盘
求解决方案
 |
1
hellommd 2016-10-27 09:53:07 +08:00  1
新建标准用户就可以了,人手一个账号。
最好不要分盘符,就一个系统 C 盘,免得使用者把文件放到其他盘符去了。默认存放用户的“文档”文件夹下,标准用户权限的无法访问他人目录。 |
|
2
hellommd 2016-10-27 09:56:09 +08:00 1
如果楼主要求是资料要放 “仓库盘”,就建立对应目录给他们,利用 NTFS 权限功能控制。
|
 |
3
3yvsye 2016-10-27 09:57:03 +08:00 1
分别建立 4 个子账户和独立密码,客户文件放在各自账户文件夹中,如果要访问其他账户信息就需要管理员密码。
|
 |
4
wevsty 2016-10-27 10:10:28 +08:00 1
既然有物理接触的情况,光靠账户权限是不行的,人家 PE 启动一下数据就一览无余。
如果要系统自带的解决方案,除了得每个人一个账户外,需要设置对文档启用 EFS 加密才行,这样才有可能阻止数据被拷贝走。不过使用 EFS 依然不能解决文件名需要保密的问题, PE 启动后需要虽然不能复制或者访问文件内容,但是文件名还是可以看到的。 剩下的备选方案就是,用系统自带的 bitlocker 每个人给他们新建 VHD ,然后对 VHD 分区启用 bitlocker 。 或者使用第三方解决方案,比如 VeraCrypt , EncfsMP |
 |
5
titanium98118 2016-10-27 10:19:10 +08:00 1
开启 bitlocker ,为每位 sales 建一个标准用户,文档放在各自用户名的目录下就行了。
|
 |
6
shlabc 2016-10-27 10:57:14 +08:00 1
|
 |
7
8e47e42 OP @titanium98118 我一直以为所有用户是用同个密匙的!学习了
@wevsty 我有想过这个问题,我其实是想直接 VHD 加密后自动挂载,但是公司这种 sales 流动性比较大,经常需要增加用户, windows 10 似乎又没 template 新建标准用户,怕用户量增加了不好维护 @shlabc 因为不是国内公司, terminal server 不管是用哪个 windows server 的正版都太贵了(还要 CAL )。。我们其他部门系统的确是用 thin client+terminal server 的,但是这个 senario 估计老板不会批 |
|
8
wevsty 2016-10-27 12:36:26 +08:00 1
@8e47e42 @titanium98118
这里有几个误区,前面说加账户就行的这个实际上是不对的。因为可以通过 PE 一类无视权限进行拷贝。即使是对系统盘开启 bitlocker 然后再建立标准用户存放数据仍然是不能保证安全的,因为 bitlocker 的密钥一旦共享出去就跟没有加密一样, PE 下面一样可以解开 bitlock 然后无视权限拷贝走数据。 只有每个人一个独立的加密密钥才可以保证安全,账户设置的太多是个麻烦事,其实直接使用 EncfsMP 这样的第三方解决方案是最合适楼主需求的。 EncfsMP 开源产品提供文件级的加密,不需要加密磁盘分区,很适合储存共享空间,并且可以提供文件名加密的功能,有 GUI ,谁来了自己输入密码挂载一下就行了。 最后为什么一定要是 Windows ? 如果没有特殊需求, Linux 可能更适合楼主。简单的文档办公 Linux 是可以胜任的, Encfs 也是可以在 Linux 下面使用的。而且不用考虑 MS 的授权问题。 |
Select Language