Контроль за копированием файлов
Статья описывает, как в домашних условиях создавать надежные резервные копии ценой минимальных затрат. Текст рассчитан на не-специалистов ИТ, понимающих основы работы с компьютером, а также на профи, которым нужно простое решение для неспециалистов-родственников и знакомых. Целевая операционная система – Windows 10.
Итак, начнем с аксиомы: все люди делятся на тех, кто уже терял данные, и тех, кто еще не терял. Что такое «данные»? Тексты, таблицы, рисунки, фотографии и все прочее, что нажито непосильным трудом. Современные жесткие диски и иные носители достаточно надежны, но сами по себе от потери данных не защищают.
Правила: Файлы - Особый контроль¶
Разрешить - внесённый список файлов копируется при любом действии над файлом. При чтении/копировании/доступе и других операциях с файлами делается теневая копия файла.
Теневые копии файлов будут записаны в соответствующую операцию в типе событий - «Файл - Операция» в конструкторе отчётов.
При интенсивном использовании, например, имени папки, может сформироваться очень много теневых копий файлов.
2. Что потребуется?
- Дополнительный жесткий диск в ПК (очень желательно, чтобы их было минимум два).
- Две или более флэшки достаточного объема (32/64/128 Гб и более). Рекомендуется USB3 (и удостоверьтесь, что это истинная скорость, а не цифирки на интерфейсе к улиточно-медленной памяти, как у самых дешевых моделей).
- привод DVD-RW.
- Подключение к облачному хранилищу типа Google Drive, Microsoft OneDrive или аналогичным.
9. Защита пятая: а ты кто такой?
Как? Контролируемый доступ к папкам с данными на запись.
Зачем? Чтобы максимально обезопасить рабочий набор данных.
Что? Любые данные на рабочем диске.
Данный метод не относится к резервному копированию. Наоборот, он предназначен для максимальной защиты рабочих данных от вирусов, ворующих и шифрующих данные. Он специфичен для компьютеров под управлением Windows 10, защищенных антивирусом Windows Defender (бесплатен, встроен в ОС).
Важно! Категорически не рекомендуется держать в одной операционной системе два и более антивирусов, работающих в режиме защиты в реальном времени. Если вы хотите применить этот метод, но у вас на компьютере установлен другой антивирус, его следует удалить и включить защиту Windows Defender.
Основной проблемой с защитой от вирусов-шифраторов является то, что они действуют от вашего имени. Они имеют тот же самый доступ к файлам, что и вы сами. Если вам не повезло поймать свеженький шифратор, еще не известный антивирусу, он сможет сделать с вашими данными все, что ему заблагорассудится. Даже контроль доступа правами NTFS (если вы знаете, что это такое) и эвристика антивируса вас не спасут.
Поэтому в новых версиях Windows 10 встроенный антивирус имеет опцию, позволяющую разграничивать доступ на уровне процессов. Иными словами, вы можете разрешить доступ на запись к папке с документами пакету MS Office, но не разрешить всем остальным. Вирус-шифратор обычно создает свой собственный процесс, а потому при попытке что-то изменить в защищенной директории будет остановлен антивирусом, даже если тот не знает, что это вирус.
Контроль доступа к данным в Дефендере изначально отключен, его нужно включать вручную. По умолчанию защищается папка «Мои документы» и еще несколько предопределенных мест. Свои папки вам нужно добавлять вручную.
Важно! Каждый раз, обнаружив доступ нового процесса к защищенной папке, Дефендер спросит вас, что с этим делать. Вопросы появляются на панели оповещений Windows. В полноэкранном приложении (например в играх) они могут остаться незамеченными. Пока вы явно не разрешите доступ приложения к папке, приложение будет сообщать об ошибках во время записи (например, игра не сможет сохраниться), а иногда не будет, но сохранение все равно не произойдет. Хотя это и выглядит изрядным геморроем на первых порах, впоследствии система стабилизируется, отвечать на вопросы становится нужным все реже и реже.
Правила: Файловый мониторинг - Приложения¶
Запретить - отключает отслеживание файловых операций на основе имени исполняемого файла или списка исполняемых файлов. Все остальные файловые операции от всех остальных приложений отслеживаются.
Разрешить - включает отслеживание файловых операций только указанного исполняемого файла или списка исполняемых файлов, все остальные файловые операции других приложений не отслеживаются.
7. Защита третья: Старший Брат помнит о вас
Как? Копирование архивов на облачный диск.
Зачем и что? То же самое, что и в предыдущем пункте.
Имея архив, скопированный на флэшку, копируем его также в облачное хранилище (типа OneDrive). Точно так же можно держать там несколько последовательных архивов одной и той же папки.
Зачем вообще нужны флэшки, если можно просто скопировать файлы в облако? Очень просто: данные в облаке часто синхронизируются с вашим компьютером. Если вирус или злоумышленник получит доступ к вашему компьютеру, он удалит или зашифрует данные в облаке точно так же, как и на локальном компьютере. Кроме того, данные в облаке (особенно в бесплатном) вам не принадлежат. Вы не знаете, кто и как может получить к ним доступ и удалить их. Вы также можете банально утратить доступ к своему аккаунту из-за потери пароля, хакерского взлома или принуждения раскрыть пароль со стороны правоохранительных органов. Флэшка в шкафу у тещи этим проблемам не подвластна.
Важно! Всегда убеждайтесь, что копия архива успешно скопирована в облако.
Правила: Перехват файлов с внешних носителей¶
Разрешить - в правило вносятся маски для перехвата файлов с внешних накопителей.
Поддерживаемый формат записей:
*.docx - перехват всех файлов с указанным расширением.;
name.* - перехват файлов по имени;
*.* - перехват всех файлов с носителя.
Будьте аккуратны с правилом *.*, оно может повлечь за собой большую нагрузку на сервер.
Добрый день.
Есть задача - защитить все файлы баз данных. Каким софтом можно отслеживать локальное копирование, копирование на флешку, копирование по сети, а так же выгрузку в Интернет? Интересуют только определенные файлы, довольно большого размера с определенным расширением.
Надо мониторить Windows Server 2008 R2, и NAS Netgear, там линукс с веб-мордой стоит. Вот на них лежат базы, надо взять под контроль.
Есть шлюз на FreeBSD 10.2 - но по нему можно остлеживать, полагаю, только выгрузку в Интернет.
файлы бд и бэкапы на отдельный NAS и запретить к нему доступ всем, кроме приложений, работающих с бд.
Никак
Кто может читать, может и копировать, поэтому запретить копирование, значит запретить чтение и соответственно всякую работу с БД.
Самое простое - дать права на чтение только программе которая работает с БД, а всем остальным запретить.
Самый простой вариант (а кстати, как разрешить доступ не пользователю, а конкретной программе?) это найти в программе файловый диалог, например "Сохранить как. " и через него получить доступ к файловой системе. У программы доступ на чтение есть, копируй@вставляй, уноси гусей.
apreobr: По поводу как разрешить конкретной программе - запускайте эту программу под пользователем у которого есть права на чтение и запись.
По поводу диалога - если правильно все сделано, диалог не поможет.
Вот к примеру 1с -
С базой должен работать пользователь Вася - запрещаем ему доступ к папке где хранится БД.
Заводим пользователя BD - даем этому пользователю доступ к папке с БД, и к своему профилю, больше никуда.
В итоге сервер БД имеет все необходимые права на папку с БД, а пользователь Вася запускает интерфейс от своего имени, который общается с сервером БД.
Если Вася вызовет диалог "Сохранить как" то он откроется с правами Васи, т.к интерфейс запущен от имени пользователя Вася.
apreobr: Ну так же и с файловыми.
Пользователь работает с тонким клиентом или с браузером, а с самой файловой базой работает веб сервер, или серверная dll.
apreobr: Ну с семеркой редко кто работает, мало осталось таких.
А если стал вопрос о защите данных, то ради такого дела можно и софт обновить, и MSSQL прикупить.
А у мелких клиентов работающих с файловой таких вопросов не возникает, я такого не видел.
АртемЪ: просто я чего и зацепился, у меня как раз такой кейс был: семёрка с файловой бд, пол сотни клиентов через рдп, директор-параноик и одинэсник, утверждающий, что при переносе базы на sql всему куёкн.
apreobr: Файловая с полусотней юзеров? А как же блокировки?
Один работает с таблицей, остальные 49 нервно курят?
АртемЪ: там понапередописана конфигурация была чуть более, чем полностью. Но точно файловая и точно никто не курил. Видать, какие-то хитрости с блокировками.
AntohaRomaha: Разница есть.
У вас с файлом базы работает SQL сервер - от имени пользователя который имеет право на чтение и запись в этот файл.
А вот пользователь 1с с этим файлом не работает и у него можно отобрать права на чтение и запись в этот файл.
Получатели инфы кто? Ваши работники или конечные подльзователи? Если первое - проще, наверное, отслеживать у них. Если второе. Пожалуй, и не знаю.
Это умеет делать (частично) аудит файлов в windows. Ну или secret net какой-нибудь.
А вообще, права доступа настройте как следует. Негоже сотрудникам доступ ко файлам баз иметь.
Запрет копирования конкретных файлов имеет смысл только как одна из многих точек защиты. Базу можно вытащить через почту, заархивировав в многотомный архив с нестандартным расширением и скопировав по сети на компьютер, которому разрешен доступ к публичным мэйл-серверам. Ближе всего к универсальному решению - разграничение прав доступа.
— У нас было 2 контроллера домена, 75 групповых политик, 5 журналов учёта доступа, половина схемы ИБ предприятия и целое множество утилит для блокировки USB, а также антивирусник, DIP, ящик видеокамер, запрет доступа к файлам по расширению и и начальник отдела безопасности. Не то что бы это был необходимый запас для того, чтобы защитить базу данных. Но если начал заниматься ИБ, становится трудно остановиться. Единственное что вызывало у меня опасение - это расширения. Нет ничего более беспомощного, безответственного и испорченного, чем фильтрация доступа по расширению. Я знал, что рано или поздно мы перейдем и на эту дрянь.
Защитить от копирования файловую базу данных без промежуточного слоя в общем случае невозможно. Можно несколько затруднить данную операцию. Но если пользователь может работать с данной базой, то может и скопировать.
Доброе время суток!
Необходимо сделать следующую вещь:
позволять пользователю просматривать файлы, но запретить их копировать.
Насколько я представляю и просмотр и копирование реализуется одной и той же функцией API?
И вообще возможно ли такое сделать?
Цитата |
---|
Michael пишет: отчасти тебе может помочь Windows Rights Management Service |
Отчасти - значит не совсем?
А можно ли маленько по конкретнее описать что он может или ссылку кинуть?
Я не совсем в курсе возможностей предоставляемых Win API.
Заране спасибо за помощь.
Цитата |
---|
Евгений пишет: А можно ли маленько по конкретнее описать что он может или ссылку кинуть? |
Это сработает, только как защита от ламеров.
Если пользователь может просматривать, то сможет и копировать
Цитата |
---|
Кан Шао пишет: Если пользователь может просматривать, то сможет и копировать |
Цитата |
---|
угу. только с использованием RMS унести далеко не сможет |
тебе необходимо эта организация просмотра без копирования только программно или с возможнстью привязки к аппаратуре (например CD-ROM, и прочее).
впринципе очень легко можно реализовать и без всяких драйверов .
ты перехватываешь CopyFile ( а лучше чего нить повыше из ntdll ) и не даешь человеку копировать файлы . теперь вопрос если он может просматривать . как он может скопировать его содержимое . например через буфер обмена . соответственно и его надо перехватить . и действовать по следующиму алгоритму .
1. пользователь открыл файл на просмотр . ты выставляешь какой нить флаг .
2. пользователь копирует что то в буфер объмена .
3. елси флаг включен и в буфере кусок из файла . берешь и чистишь буфер объмена .
Цитата |
---|
el- пишет: 1. пользователь открыл файл на просмотр . ты выставляешь какой нить флаг . 2. пользователь копирует что то в буфер объмена . 3. елси флаг включен и в буфере кусок из файла . берешь и чистишь буфер объмена . |
хм нереально и главное легко обходится, напр DragDrop
попробуй прочитать вордовский файл и найти его кусок в буфере обмена 8)
.
пишем прогу которая тупо читает файл побайтно, ксорит и пишет в другой.
попробуй перехватить
5. Защита первая: никто не забыт и ничто не забыто
Как? Путем фонового запуска программы, создающей зеркальную онлайн-копию на другом диске.
Зачем? Защищаемся от физических и логических сбоев на основном диске.
Важно! Метод не защищает от вирусов и утраты компьютера.
В Интернете можно найти много программ, позволяющих зеркалить данные на втором диске. Задания резервного копирования могут выполняться как вручную, так и автоматически. Здесь, однако, я опишу простейший способ, опирающийся только на встроенные инструменты ОС: команду robocopy и Планировщик заданий.
а) Создаем на диске Е: текстовый файл с расширением .cmd. Записываем в него набор команд robocopy в формате
robocopy D:\РАБОЧАЯ_ПАПКА E:\РЕЗЕРВНАЯ_ПАПКА /xo /e /purge
Команда полностью синхронизирует содержимое рабочей и резервной папки, копируя в резервную папку изменившиеся файлы и удаляя из нее те, что отсутствуют в рабочей. Возможная проблема: из-за разнобоя в кодировках robocopy может не распознать кириллическое имя папки. В этом случае придется называть папку латиницей. На рабочем столе можно сделать ярлык на нее, названный по-русски.
При желании можно усложнить команду, добавив, например, сохранение протокола копирования в файл. Robocopy /? вам в помощь.
б) В Планировщике заданий создаем новое задание, заключающееся в вызове этого cmd-файла. Частота исполнения задания зависит от ответа на вопрос, заданный в предыдущем разделе: сколько именно своей работы вы можете потерять? Однако помните, что если вам потребуется вернуться к старой версии только что измененного файла, при слишком частом копировании она уже может оказаться затертой. Ищите баланс.
Важно! Следует пометить флажок исполнения задания независимо от того, вошли ли вы в данный момент в систему.
Вообще говоря, есть альтернативное решение: указывать параметры robocopy прямо в параметрах задания, обойдясь без cmd-файла. Однако это позволит копировать только одну папку в одном задании, что усложняет управление.
Данный метод можно применять и в том случае, если у вас нет второго жесткого диска, но на существующем достаточно места для создания дополнительного раздела (т.е. C:, D: и E: будут на одном физическом носителе). Однако это не защищает от сбоя самого диска.
10. Краткое резюме
Итак, мы имеем четыре метода резервного копирования и один дополнительной защиты:
- зеркальная копия на другом диске/разделе;
- архив на флэшке;
- архив в облаке;
- зеркальная копия на DVD;
- контроль доступа к файлам Windows Defender.
При этом совершенно не обязательно использовать все имеющиеся способы для защиты каждой категории данных. Например, установочные пакеты программ, которые можно в любой момент скачать из Интернета, защищать вообще не обязательно, или же можно включить для них только зеркалирование. В то же время, возможно, для некоторых категорий важных данных стоит задействовать полный арсенал. Например, хранить множество последовательных архивов – каждый на своей флешке, спрятанной в нескольких разных физических локациях (особо актуально для тех, кто занимается политической деятельностью в России). Решение зависит только от вас.
Да, и не путайте резервное копирование данных с обеспечением отказоустойчивости работы. Хотя в чем-то они пересекаются, в целом это абсолютно разные задачи.
Удачи. Желаю, чтобы вам никогда не пришлось проверять, насколько надежно вы на самом деле себя защитили.
Один из наиболее важных и полезных модулей программного комплекса StaffCop Enterprise — «Файловый контроль». Он позволяет устанавливать тщательное наблюдение за папками и файлами, содержащими критически важную информацию: коммерческую и служебную тайну, документы, базы данных. Файловый драйвер перехватывает и может делать теневые копии файлов при работе пользователя с локальной файловой системой, с сетевыми дисками, со съемными носителями.
Контроль за файлами осуществляется двумя способами:
1. Есть обычный режим, который установлен по умолчанию и используется для всех файлов. Кроме того, имеется специальный модуль «Файловый контроль», который собирает полную информацию о файлах, для которых устанавливается специальный режим.
В обычном режиме инцидентом считается пересечение файлом периметра информационной безопасности: отправление файла на внешний электронный ящик, сохранение на облачном сервисе или загрузка на , отправление личной почтой, сохранение съемном носителе. Доступна вся информация о том, кто и когда совершил эти операции с файлом, а также теневая копия. Если подключен контроль принтеров, то мы увидим, когда файл отправляется на принтер и сколько копий распечатывается.
2. Для особо важных файлов может быть установлен режим особого контроля. В последних версиях системы появилась возможность контролировать любые файловые операции с файлами, на которых есть цифровые метки. Логируются все действия с такими файлами: открытие, изменение, сохранение в другом месте, перемещение внутри компании, сохранение в буфер обмена, отправление на внутренние и внешние электронные адреса, отправление по интернету и пр. И при любой операции сохраняется теневая копия файла. Это позволяет обеспечить документоориентированную (DCSM — Data Centric Security Model) защиту для помеченных документов, а также реализовать функции предотвращения утечек конфиденциальных данных любыми пользователями, которые не были определены в политиках доступа к защищаемым файлам. Для работы функций контроля и перехвата файловых операций нужно включить следующие модули: «Файловая активность», «Теневое копирование», «Перехват файлов с внешних носителей».
Что вы получаете в итоге?
Относительно каждого файла вы видите, кто и как часто с ним работает, как файл перемещается по компании. Используя файловый контроль вместе с графом взаимосвязей, вы получите наглядную схему, как сотрудники обмениваются файлами, с указанием канала связи, которым они для этого пользуются. Программа зафиксирует фальсификацию данных или подмену сведений. Вы можете увидеть, кто интересуется файлом из сотрудников, которые не должны его открывать в рамках своих обязанностей.
Если файл был нечаянно или с умыслом изменен, вы узнаете не только, кто и когда это сделал, но и сможете восстановить первоначальный вид документа. Модуль «Файловый контроль» дает основную информацию для расследования инцидентов. Кроме всех изменений и отправок файла, вы узнаете, был инцидент совершен сотрудником в одиночку или имел место сговор. Вот несколько примеров использования файлового мониторинга.
Наиболее распространённый кейс — контроль .
Контроль съёмных носителей информации позволяет отслеживать, что и в каких объёмах пользователь копирует на . По умолчанию происходит перехват всех файлов, скопированных на и загруженных с них. Можно включить опцию листинга (перечисления с записью имён) файлов, находящихся на , а при необходимости — задействовать перехват (теневое копирование) всех файлов, которые находятся на при его подключении к ПК пользователя. В дополнение к функциям мониторинга и перехвата файлов на съёмных носителях можно задать политику блокировки доступа к функциям записи на съёмные носители и функцию полной блокировки .
Второй распространённый кейс — контроль доступа к файлам, находящимся на локальном / сетевом диске и уведомление о таких операциях офицера безопасности.
Например, политикой компании запрещён доступ в рабочее время к файлам с расширением mp3 / wma / mp4 , находящимся на локальных дисках пользователей, к файлам мультимедиа. При возникновении таких событий администратору системы высылается уведомление, в котором будет указано, какой из пользователей в какое время читал ( прослушивал / просматривал) файлы мультимедиа на рабочем месте.
Отдельный вариант этого способа — обнаружение людей, которые занимаются подработками на рабочем месте. Это возможно, если настроить оповещение о том, что пользователь начал работать с графическими файлами за пределами рабочего каталога. Это сигнализирует о том, что, возможно, пользователь в это время выполняет «левый» заказ. Такая функция актуальна для проектных организаций, где время сотрудников стоит дорого, а оборудование и ПО зачастую уникальны.
Третий вариант использования файлового мониторинга — работа с файлами по поиску похожих документов.
Поиск похожих — функция, интегрированная в интерфейс для расследования инцидентов. Она помогает найти похожие строки или документы по любым текстовым полям в событиях. Поиск осуществляется по всему накопленному архиву информации. Для загрузки документов, аналоги которых нужно найти, существует специальный интерфейс.
Поиск похожих может дать представление не только о документах, схожих по содержимому, но и визуализировать пути распространения документа в информационном потоке компании. Можно увидеть, когда документ был впервые использован, кому был передан, кем был изменён и кто к нему имел доступ. Найденные похожие документы при этом могут быть с изменённым именем или форматом относительно исходного файла, который был загружен как эталон. В случае перехвата файла можно будет увидеть и проиндексировать содержимое такого файла или файлов. С помощью этой функции решается вопрос быстрого поиска информации на основе существующего набора важных документов.
Четвёртый кейс использования файлового мониторинга -работа с помеченными файлами.
Для настройки особого контроля все файлы, которые должны быть под таким контролем, должны быть помечены специальной утилитой, поставляемой с продуктом StaffCop Enterprise. После пометки файлов в силу вступают правила работы пользователей / программ и компьютеров с помеченными файлами. Например, можно запретить читать / писать / перемещать файлы с метками для пользователей, которым нельзя работать с защищаемыми файлами, но определенным пользователям эти операции можно разрешить.
При первых признаках подозрительных действий можно установить полный контроль за действиями сотрудника с помощью функции «Удаленный доступ». Такая возможность помогает определить, действует сотрудник в рамках должностных обязанностей или совершает противоправные действия. В особых случаях «удаленный доступ» позволяет перехватить управление пользовательским компьютером и не дать совершить серьезное нарушение. На данный момент одновременно можно наблюдать за 16 рабочими станциями с помощью функции «Квадратор».
В системе StaffCop Enterprise имеются возможности, которые, будучи совмещены с файловым контролем, дают небывалый уровень расследования инцидентов практически в режиме реального времени. Например, в версии 4.4 внедрены такие инструменты, как распознавание текста и возможность выгрузки информации из StaffCop. Теперь вам не нужно тратиться на дополнительные лицензии программ распознавания текста. Эта возможность, вместе с поиском по ключевым словам, помогает искать конкретную информацию в перехваченных файлах.
Стоит отметить, что особый контроль стоит подключать только к самым важным файлам. Хранение теневых копий всех файлов, которые открывают ваши сотрудники в течение дня, занимает большой объем памяти. А если еще сохранять файлы при внесении изменений, для этого требуются весьма значительные ресурсы.
Файловый контроль — один из наиболее востребованных функциональных блоков программного комплекса StaffCop Enterprise. В сочетании с другими инструментами он дает возможность полного расследования инцидента. А с помощью гибкой настройки фильтров и мощной аналитики вы получите удобный инструмент поддержания информационной безопасности.
Файловая активность - модуль отслеживания файловую активность на компьютере. Перехватывает операции чтения, записи, удаления и др.
Неправильная конфигурация данного модуля может привести к просадкам производительности на рабочих станциях пользователей. Если не стоит задачи контроля за файловой активностью, отключите этот модуль для снижения нагрузки.
FTP - модуль мониторинга соединений по протоколу FTP.
Теневое копирование - модуль перехвата теневых копий файлов. Поддерживает перехват файлов:
отправленных по электронной почте (в том числе используя веб-почту);
отправленных на съемные запоминающие устройства (USB-накопители);
оправленных на печать;
перехват файлов отправленных через браузер на google drive.
Перехват файлов с внешних носителей - модуль перехвата листинга файлов с подключенных USB-носителей и теневое копирование файлов при наличии правил «Правила: Перехват файлов с внешних носителей»
Перехват файлов с мобильных устройств (WPD) - модуль перехвата листинга файлов с мобильных устройств и теневое копирование файлов при наличии правил «Правила: Перехват файлов с внешних носителей»
Выполнять теневые копии для файлов не более - Теневое копирование осуществляется только в случае, если размер перехватываемого файла не превышает указанное значение. Это ограничение защищает от перегрузки контролируемые ПК, каналы передачи, сервер в случае массовой передачи объемных файлов.
Кэширование SMB - Если в вашей сети используется много файловых серверов, то рекомендуем включить данную опцию для быстрой обратки файлов.
Нормализовывать имена файлов - Расширяет все короткие имена файлов. Данная опция может замедлять доступ к файловым серверам.
1. От чего защищаемся?
- Физические сбои: мертвый жесткий диск или SSD-носитель.
- Логические сбои: случайное удаление или неверная правка, повреждение приложением, сбой файловой системы.
- Вирусы, уничтожающие данные (как классические вандалы, так и современные шифраторы).
- Полная утрата компьютера (пожар, затопление, кража, изъятие полицией и т.п.).
Правила: Файловый мониторинг - Пути и маски¶
Запретить – отключает отслеживание файловых операций по указанному пути или путям.
Разрешить - отслеживает файловые операции только по указанным в фильтре путям. Вся остальная файловая активность по любым путям не отслеживается.
Поддерживаются спецсимволы - звездочка «*», которая означает любое количество символов до или после указанной строки и вопросительный знак «?», который означает указание одного любого символа строки.
Для файлового мониторинга на Linux необходимо указать путь, которые необходимо отслеживать. Для мониторинга всех операций с файлами указываем «/». Для папок «/folder/». Если ничего выбрано, то сбор файловых операций для агента linux осуществляться не будет.
3. Как защищаемся? Общие концепции
Создаем резервные копии данных как на внешних носителях, так и в облаке. Таких копий должно быть минимум две (в дополнение к оригиналу).
Данные в облаке и на флэшках обязательно должны быть зашифрованы, если только вы не собираетесь их показывать публично. Вы не знаете, кто и как имеет доступ к облаку, а также как и куда они могут утечь в результате, например, взлома облачного провайдера. Флэшку же можно банально посеять, или ее могут украсть. Аксиома: все непубличные данные, что находятся за пределами вашей квартиры, должны быть зашифрованы. Это несложно. Данный пункт будет подчеркнут еще раз в соответствующих разделах.
4. С чего начнем?
Первый и очень важный шаг: анализ и реструктуризация своих данных.
Типичная ошибка в домашних условиях – использование «Моих документов» и рабочего стола для хранения данных. Категорически не следует этого делать. Во-первых, эти локации являются частью индивидуального профиля пользователя. В определенных случаях (таких как полная переустановка или сброс ОС, необходимость форматирования системного раздела) он может быть утрачен вместе со всеми данными. Во-вторых, каша в этих локациях ведет к невозможности быстро и эффективно создавать резервные копии.
Для хранения данных следует создать отдельные директории, полностью независимые от операционной системы. Если в компьютере есть только один диск C:, его следует сократить до разумного минимума (оптимально для Windows 10 – 80-100 Гб) с помощью Disk Management. Высвободившееся место отдаем под новый раздел – D:.
На новом разделе создаем папки для хранения данных. Следует выделить две их категории: меняющиеся и не меняющиеся (архив). Для чего? Подходы к копированию этих данных разные.
- Меняющиеся: разнообразные документы (статьи, отчеты, презентации, графика и т.п.) Размер папок с такими данными обычно не превышает нескольких гигабайт. Если больше – задумайтесь над структурой еще раз.
- Не меняющиеся или меняющиеся редко: например фотографии или библиотека.
Скачайте и установите на компьютер архиватор 7-Zip или аналогичный. Формат архивации должен поддерживать шифрование как содержимого, так и имен файлов (имена файлов невозможно зашифровать, например, в zip-архиве).
Последнее, что нужно для подготовки – установка в ПК дополнительного жесткого диска и его форматирование как E: В ноутбуке это обычно невозможно, так что данный шаг придется пропустить. Как вариант, вместе с ним можно использовать внешний постоянно доступный дисковый накопитель (домашняя NAS-система, жесткий диск USB и т.п.), если это для вас приемлемо.
Перед тем, как продолжать, задумайтесь над очень важным вопросом: сколько своей работы вы можете себе позволить потерять? Ни одна система резервного копирования не обеспечивает полную защиту от потери данных. Весь вопрос только в том, сколько именно вы потеряете. Для кого-то критична потеря даже часа, а кого-то устроит неделя и даже месяц. От ответа напрямую зависит частота создания резервных копий на следующих шагах.
Правила: Файловый мониторинг - Чтение¶
Запретить - запрещает отслеживать файловые операции ЧТЕНИЯ от указанного списка исполняемых файлов.
Разрешить - разрешает отслеживать файловые операции ЧТЕНИЯ только от указанного списка исполняемых файлов.
8. Защита четвертая: зеркало вечности
Как? Копирование на внешние DVD-R диски.
Зачем? Баланс между ценой и надежностью хранения объемных данных.
Что? Неизменяемые данные большого объема (например фотографии).
В современном мире носители информации достаточно дешевы. Тем не менее, в ситуациях, когда объемы даже личных данных типа фото- и видеоархивов могут свободно достигать терабайтных размеров, запись на матрицу DVD-R по-прежнему остается вне конкуренции по соотношению цена/объем. Для записи можно использовать бесплатное ПО типа ImgBurn. С учетом того, что многие модели современных системных блоков, равно как и ноутбуки, не поддерживают встроенные DVD-приводы, может потребоваться покупка внешнего с интерфейсом USB. При этом особенно гнаться за скоростью передачи данных незачем: основным ограничением является скорость записи на диск. USB2 вполне достаточно.
Те, кто генерирует такие объемы данных, и без того знают о DVD-R, так что здесь метод приведен только для комплекта.
Важно! DVD-диски неустойчивы к огню и дыму. Следует хранить их в герметично закрываемых емкостях либо индивидуальных пластиковых конвертах. Емкость с центральным шпинделем следует располагать так, чтобы диски стояли вертикально. В противном случае они могут банально слипнуться (особенно если не трогать их несколько лет), а слой носителя окажется поврежденным при их разделении.
Правила: Файловый мониторинг - Пути и маски - Чтение¶
Запретить – отключает отслеживание операции чтения по указанному пути или путям.
Разрешить - отслеживает операции чтения только по указанным в фильтре путям. Вся остальная файловая активность по любым путям не отслеживается.
Данная опция влияет на работу DLP-модуля. Если в глобальной конфигурации в «Файловый мониторинг - Пути и маски - Чтение» установлена «*», тогда для указанных путей и масок не будут отслеживаться операции чтения. Соответственно, всё блокируется на этом уровне и файловые операции (Чтение, Создание, Удаление, Перемещение, Переименование, Копирование) не отображаются в Линзе событий, то есть файловые операции, связанные с блокировками не отображаются, так как вначале система читает файл.
1. От чего защищаемся?
- Физические сбои: мертвый жесткий диск или SSD-носитель.
- Логические сбои: случайное удаление или неверная правка, повреждение приложением, сбой файловой системы.
- Вирусы, уничтожающие данные (как классические вандалы, так и современные шифраторы).
- Полная утрата компьютера (пожар, затопление, кража, изъятие полицией и т.п.).
6. Защита вторая: все свое ношу с собой
Как? Оффлайн-копии архивов данных на внешних флэшках.
Зачем? Защищаемся от всех угроз.
Что? Только меняющиеся данные.
Важно! Флешку запросто можно потерять, а потерянное может найти кто-то другой. Все данные на флэшке должны быть зашифрованы.
Важно! Флешку для резервного копирования категорически нельзя использовать для других целей. Никогда не подключайте ее к другим компьютерам, например, для переноса данных с домашнего ПК.
Данный метод очень прост:
а) Создаем полный архив папки с данными средствами 7-Zip или иного архиватора. При архивировании обязательно выбираем опции шифрования как содержимого, так и имен файлов.
б) Копируем архив на две или более съемных флэшки.
Почему на две? Потому что одна флэшка может внезапно умереть или потеряться как раз в тот момент, когда вам понадобятся данные с нее. Вероятность одновременной утери или смерти двух флэшек, сочетающейся с необходимостью восстановления, настолько мала, что ей можно пренебречь.
Кроме того, одну флэшку можно держать дома в столе или в сейфе, а вторую всегда носить с собой (предохраняемся от пожара, затопления, обыска в ваше отсутствие). Если есть возможность, одну из флэшек стоит хранить за пределами квартиры (например на работе, если политика компании позволяет приносить свои носители, или в шкафу у тещи).
Наконец, можно держать на флэшке не только новый архив, но также и несколько предыдущих его версий. Это позволит вытащить старую копию файла, которая давно уже оказалась затерта в других местах. Например – если редко используемый файл испортился месяц назад, но вы только что это заметили, когда попытались его открыть.
Как часто? С одной стороны, это зависит от ответа на тот же вопрос: сколько вы можете себе позволить потерять? С другой – не следует слишком усердствовать, особенно если вы храните несколько последовательных архивов. Для часто меняемых данных, вероятно, достаточно делать оффлайн-копию раз в неделю, в то время как для архивных данных может хватить и раза в полгода. Для упрощения ситуации можно заранее продумать структуру папок (где какие данные хранятся), чтобы делать отдельные архивы для разных категорий данных.
Примечание для продвинутых. В этом разделе мы создаем полную копию данных. Даже если файл не изменился с предыдущего цикла, он все равно войдет в новую копию, занимая место. Существуют также другие методы бэкапа: дифференциальный (только файлы, изменившиеся со времени последнего полного бэкапа) и инкрементальный (только файлы, изменившиеся со времени последнего полного или инкрементального бэкапа). Они позволяют существенно уменьшить объем резервных копий, но усложняют управление ими и восстановление данных. Обычно они применяются в корпоративных автоматизированных системах. Однако в некоторых ситуациях их вполне можно применять и дома. Если интересно, поисковые системы вам в помощь.
Читайте также: