Enkripsi file bersama di Domain AD

Bisakah saya mengenkripsi file bersama di server windows dan hanya mengizinkan pengguna domain terotentikasi memiliki akses ke file ini?

Skenario sebagai berikut:

Saya memiliki perusahaan pengembang perangkat lunak, dan saya ingin melindungi kode sumber saya agar tidak disalin oleh programmer saya.

Satu masalah adalah bahwa beberapa programmer menggunakan laptop mereka sendiri untuk mengembangkan perangkat lunak perusahaan.

Dalam skenario ini tidak mungkin untuk mencegah pengembang menyalin kode sumber untuk laptop mereka.

Dalam hal ini saya memikirkan solusi berikut, tetapi saya tidak tahu apakah itu mungkin untuk diterapkan.

Idenya adalah untuk mengenkripsi kode sumber dan mereka dapat diakses (didekripsi) hanya ketika pengembang login ke domain AD, yaitu jika mereka tidak login ke domain AD, kode sumber akan dienkripsi menjadi tidak berguna.

Bagaimana ini bisa diimplementasikan menggunakan EFS? atau ada alat lain untuk melakukan ini?

Apa yang mencegah mereka masuk ke domain, membuka dan mendekripsi kode sumber di notepad / VS / apa pun, dan kemudian menyalin dan menempelkan konten ke file lokal?

Enkripsi tidak dimaksudkan untuk melindungi data dari pengguna yang sudah memiliki akses ke sana. Anda memiliki masalah sosial / kebijakan, bukan masalah teknis.

Masalahnya adalah begitu mereka memiliki akses ke sumber mereka hanya bisa membuat salinan dan benar-benar memotong seluruh sistem yang Anda pikirkan. Jika Anda tidak mempercayai seseorang dengan data, maka Anda tidak boleh memberikannya kepada mereka, karena begitu mereka memiliki akses mereka dapat membuat salinan dan melakukan apa pun yang mereka inginkan dengannya (selain memodifikasi salinan asli Anda).

Hal terbaik yang dapat Anda lakukan adalah mengatur firewall untuk mendeteksi apakah kode sumber sedang dikirim melalui jaringan Anda (meskipun ini digagalkan oleh enkripsi), dan tidak mengizinkan segala jenis perangkat penyimpanan.

Saya melakukan beberapa tes menggunakan domain EFS dan AD. Saya pikir solusi berikut dapat digunakan.

Saya menggunakan EFS untuk mengenkripsi folder dan memberikan izin kepada pengguna X. Ketika pengguna ini login dengan kredensial domain memiliki akses penuh ke folder ini dan dapat menyalin semua file. (file terenkripsi!)

Tetapi jika pengguna tidak login dengan kredensial domain AD, mereka tidak dapat mengakses file. Bahkan jika dia menggunakan akun administrator lokal di mesin.

Masalahnya sekarang adalah AD tetap menyimpan informasi pengguna.

Sekarang saya perlu tahu apakah Anda dapat mengkonfigurasi AD untuk mengotentikasi laptop hanya jika server sedang online dan jangan biarkan pengguna ini mendekripsi file menggunakan EFS.

Sudahkah Anda menerapkan sesuatu seperti ini?

Untuk menjawab pertanyaan Anda seperti yang dinyatakan: ya, Anda dapat mengenkripsi data menggunakan EFS dan memungkinkan beberapa pengguna AD untuk mengaksesnya. Seperti yang telah ditunjukkan beberapa orang lainnya, sementara secara teknis ini benar, secara praktis juga tidak berguna. Siapa pun yang dapat mendekripsi file dapat menyimpan, mencetak, menyalin kode sumber yang didekripsi, terutama jika Anda membiarkan mereka melakukan ini pada mesin yang tidak Anda kontrol.