Запретить копирование файлов с сервера
Есть Windows Server 2008 r2, на которой расшарена общая папка.
Задали мне вопрос - а можно ли запретить копирование информации оттуда, но чтобы право на чтение при этом осталось?
Я же понимаю так, что чтение это и есть копирование. Это если в терминале работаешь, там можно отключить запись на флешку, чтобы не могли скопировать данные.
Руководство опасается, что злодеи скопируют из общей папки документы себе на флешку или распечатают и тд и тп.
Вообще, посоветуйте, какие можно принять меры относительно защиты от копирования данных?
Сам понимаю, что если захотеть, то вынести всегда можно, но все же.
(1) El_Loco, ну а кто отменял сканы документа в виде фоток со смартфона?
Одно дело запретить доступ, другое дело запретить копировать = запретить просматривать = запретить доступ.
Одну дырку закроете 2 других появятся.
спасибо за такой ответ подробный!
плане утечек - запрещаете запуск USB-носителей на ПК (как именно запретить только носители информации, могу подсказать)
еще вы сказали про файлообменники. действительно, зачем флешку пихать, когда можно слить в инет и все.
в этой ситуации как лучше поступить?
можно ли сделать запрет на сайты по принципу белого списка - т.е. дать право посещать только ограниченный нами список сайтов?
(3) Xershi, да я же понимаю, что утопия. но мне надо узнать какие варианты обойти защиту, которую хотят поставить.
я должен что-то сделать в этом направлении, но предупредить руководство о том какие дыры останутся.
ведь если я просто скажу, что забейте - мы все умрем, то это не вариант)
Не уверен, но дума - никак. Во первых, как отличить открытие от копирования, во вторых, что мешает сохранить открытое под другим именем в другом месте.
От утечек конфиденциальной информации чаще всего принимаются следущие меры:
1. Ограничиваются должным образом права на ПК.
2. Контролируется пронос и использование носителей информации (чаще всего исключается полностью, а в качестве обмена - выделенные сетевые ресурсы; либо выдаются под роспись и забираются).
3. Дополнительный контроль как в виде камер у рабочего места, так и средств, отслеживающих действия пользователей ПК.
Касаемо пункта "1.":
Обычно настраивается ограниченная учётка, ставятся дополнительные ограничения, ограничивается на ВСЁ (иногда сторонними решениями), что не нужно.
В плане утечек - запрещаете запуск USB-носителей на ПК (как именно запретить только носители информации, могу подсказать), и флешки будет бесполезно совать. Продумывается структуру сетевых папок, чтобы не было путей скинуть на 1 ПК, забрать на другом. Ограничивается интернет, чтобы не возможно было выстлать на почту или на файообменник и подключиться к тому, чему не нужно, и т.п. Т.е. чтобы были доступны только нужные ресурсы.
Касаемо USB-портов, так-же можно опечатать.
Верно, только этого не достаточно, требуется ещё убрать несколько inf-файлов.
Вобщем написал скрипты для автоматизации процесса включения/отключения USB для носителей информации. См. прикреплённый файл. Для отключения/включения, запускаем с правами администратора "Disable.bat" или "Enable.bat" соответственно.
Данный метод действует на все сеансы. Ни на какое другое оборудование, кроме носителей информации, не влияет. Давно использую данный способ, пока проблем не выявлено.
Согласен и не согласен. Если поставить цель, можно всё. Хоть смотрящего человека (конвой людей) к спине приставить. Не всегда требование нужно выполнять буквально. Смотря на сколько конфиденциально. Во многих случаях достаточно ограничить программно, и таким образом полность перекрыть нежелательную утечку документов сотрудниками, которая будет производиться не из корыстных целей, а от нечего делать.
Если так важно, можно веб-камеру поставить около ПК, даже не следить, что там происходит, морально будет действовать, что следят. ;)
Ну а если кому конкретно нужно что-то слить - всегда можно пути найти, хоть своего сотрудника/сотрудников устроить, хоть организовать кражу ПК, хоть написать серьёзные вирусы и т.п.
Надо запретить пользователям копировать (и удалять) файлы м папки с их содержимым, при этом чтобы они могли открывать их и изменять. Какие средства в XP или сторонние для этого существуют и как это сделать?
Все ответы
К сожалению, общего решения не существует, все зависит от приложений, работающих с файлами. Да, вы можете убрать разрешение Delete из детальных разрешений NTFS. Но если приложение, модифицируя файл, сначала удаляет его, а затем создает и записывает новый файл с тем же именем, или если приложение создает, а затем удаляет временные файлы, то ничего не получится.
да, на самом деле не получилось Ну с удалением ладно, еще можно повоевать, а как насчет запрета на копирование? У меня вообще никаких идей нет
Напишите исходную задачу, может быть, на нее нужно посмотреть с другой стороны. Например, если вы опасаетесь, чтобы пользователи не уносили информацию на флешках, то такая задача решается, но по-другому, не запретами на копирование. Либо рассмотрите терминальные технологии - тогда пользователи будут работать с информацией только через заданные приложения (установленные на терминальных серверах), без возможности скопировать информацию куда-либо еще. Правда, возможность сфотографировать экран никто не отменял.
Никак. Копирование невозможно запретить без запрета открытия файла.
Задача довольно противоречивая: заказчик хочет, после недавнего инцидента, обезопасить свою информацию, предотвратить ее уничтожение и утечку, в то же время, пользователи, от которых нужно обезопасить, должны работать с этой информацией, имея возможность вносить измениния, выводить на печать - вот и дыра, которая будет в любом заборе, который тут можно нагородить. Я-то сторонник вообще другого подхода к этой проблеме - людей надо набирать надежных и обращаться с ними по-человечески.
Но что касается технических мер: отключить возможность использования устр. внеш. хр. данных во-первых не решит проблему - можно воспользоваться сетью (кстати, домена нет и нет сервера терминалов, серверных ОС вообще нет), во-вторых, возможность использования флешки надо оставить, хотя бы на чтение.
Думаю, в моем случае, важнее добиться психологического эффекта - не столько обезопасить, сколько успокоить. Вот и надо что-то такое сочинить. Будут идеи - пишите
Если в браузере на вкладке с сайтом нажать сохранить как, (вебстраница полностью) то сохраняются все файлы, Js, css, картинки. Можно ли как то установить запрет на сохранение файлов? хотябы js, или хотя бы сделать так, чтоб все скрипты перестали работать?
- Вопрос задан более трёх лет назад
- 1673 просмотра
Простой 6 комментариев
сделайте скрипт, который будет перенаправлять на ваш сайт, притом раскидайте его составные части внутри самого важного файла
но добрые люди всё-равно доберутся рано или поздно до вашего скрипта.
Страшная новость: в тот момент, когда вы видите страничку в браузере, она уже скачана на ваш компьютер вместе со всеми ресурсами.
aliasst, сохранение в браузере ничем не отличается от закачки страницы с помощью curl\wget или обычного браузера
systemctl stop nginx.service
А если серьезно, то никак. Усложнить можно, варианты написали вам в ответах. Но даже в обфусцированном файле можно проследить логику работы. Что касается изображений, я думаю игра не стоит свеч.
Для чего вам это? Вы разработали новую инновационную систему, у которой нет аналогов? И вам кажется, что ваш гениальный скрипт кто-то украдет и наживется на этом?
Если да, то сделайте тройную обфускацию скриптов; а всё, что можно выполнить на сервере, вытаскивайте из скриптов и передавайте в работу на сервер.
Однако, что-то мне подсказывает, что вам просто показалось, что кому-то есть дело до ваших скриптов и стилей. Так может лучше потратить своё время на что-то более приятное? Выучить новый язык или фреймворк, например))
да нет.. не страдаю такой ерундой.. .для демонстрации заказчику. был опыт что просто воровали без оплаты
aliasst, тогда просто показывай другим способом. Или используй бандлеры и не отдавай исходники (с бандлом заказчик особо не попляшет)
aliasst, а, так тогда всё можно упростить.
действительно можно обфусцировать разок.
antimodern, что есть бандлеры? можно увидеть ссылку на сабж?
Это делается элементарно -
Сайт на локальном хостинге, заказчику даете доступ к удаленному рабочему столу RDP на виндовс машине в той же локальной сети.
Он может зайти на эту машину, открыть сайт в браузере, работать с ним, смотреть, делать что угодно.
А вот скопировать не сможет - клипборд запрещен настройками RDP, доступ в интернет запрещен вообще (кроме RDP).
И ничего не надо обфусцировать.
Своровать можно телевизор, кирпич.
А вот информацию своровать нельзя, при всем желании. Это просто невозможно.
Скопировать - сколько угодно, а своровать невозможно!
Лучше всего установить бэкдор. Если заказчик свалит с сайтом без оплаты, то вы сможете откатывать всё до нужной версии, то есть, если заказчик посмотрел и исчез без оплаты, сматывайте проект до той версии, где к примеру неправильные ссылки на скрипты и стили. Кто бы не внёс правки, вы снова откатываете сайт через бэкдор и там нихера не работает.
Хороший урок для тех кто хочет на халяву получить чужой труд. Проблема копипаста из интернета уже стара как мир, опытные программисты прячут репозиторий от исходного проекта как могут, чтобы после скачивания ничего не отображалось, но есть и те, кто может посмотреть "Sourcer" в инспекторе кода, и благополучно всё скачать. Есть ещё один способ, спасёт только от шоколаты, которая ещё не шарит в этом, программист это обойдёт:
Не хотите чтобы стащили из интернета, не выкладывайте. Делайте сайты на локальном сервере. Показывайте к примеру через "скайп" или "тимвивер" - последнее подойдёт если заказчик хочет "пощупать" сайт, ну вы поняли. А вообще, если к этому подходить без шуток, делайте себе лицензию, открывайте ИП, заключайте договор с заказчиком, и тогда правда будет на вашей стороне. Выбор конечно за вами. Либо оставаться в пролёте, пытаясь заработать копейки на фрилансе, либо иметь юридическую силу, на тот случай если вас нагло поимели по проекту. С последним конечно движухи лишней больше, но зато деньги всегда есть. Успехов вам.
Чтобы посмотреть файл с сайта его нужно для начала скопировать на компьютер пользователя, после чего его можно отобразить в браузере пользователя.
Копирование и сохранение происходит до просмотра информации пользователем.
Поэтому запретить очень просто - остановите веб сервер на котором работает ваш сайт, чтобы он не отдавал информацию пользователю.
Если вам нужно демонстрировать заказчику, то передавайте ему изображение, а не сам сайт:
а) технически простой: приезжаете к нему и даёте тестировать при вас, следите чтобы не скопировал.
б) продвинутый: поднимаете RDP или VNC до своей [виртуальной] машины, на ней рубите исходящие соединения ко всему, кроме вашего сайта (любые порты и протоколы, а то ещё вспомнят времена www4mail).
Чтоб совсем сложно было - ищете скрипты ломающие отладчик браузера, чтобы и в отладчике не посмотрел.
Ответ: запретить сохранение нельзя никак.
Комментарий: Зачем вам это нужно? Если вы боитесь, что заказчик сбежит не заплатив - на это есть авторское право, по умолчанию вы владеете всеми правами на ваш труд. Если заказчик не подписал акт приёмки - сайт ваш, если он попытается его без вас поднять где-то - подаёте на него в суд и доказываете в суде, что исходники были созданы вами. Он тогда не только за работу вам заплатит, но и компенсацию вреда. То же самое касается и других разработчиков. Если вы не опубликовали ваши скрипты под открытой (open source) лицензией, то их нельзя без вашего ведома использовать.
Как защитить конфиденциальную информацию компании? Такую как различные технические документы, чертежи, в общем базу знаний, которая копилась на протяжении долгих лет.
Методы бывают разные, от использования каких-то собственных решений, до приобретения продвинутых платных продуктов.
Так вот в данном видео я хотел бы поделиться одним способом защиты от утечки подобного рода документов, встроенными средствами операционной системы Windows.
План урока следующий:
- недостатки работы файлового ресурса
- разберем и настроим схему с доступом через RDP
- определимся с недостатками данной схемы
- 100% вариант защиты от утечки информации
Да, можно закрыть доступ к подключению флешек и отключить интернет, но, тогда пользователю будет довольно сложно выполнять свои обязанности, так как сейчас все очень плотно завязано на всемирной глобальной сети.
Так вот, недавно меня посетила одна интересная мысль, как можно решить данную задачу. И поможет нам в этом удаленный рабочий стол. Я покажу универсальный метод, который подходит как для сети с доменом, там и для одноранговой сети.
1) Убираем все доступы к нашему хранилищу документации (ПКМ \ Свойства \ Доступ \ Расширенная настройка \ Убираем галочку: Открыть общий доступ к этой папке \ ОК)
2) Создадим локального пользователя, под которым сотрудник будет получать доступ к файлам (Этот компьютер \ ПКМ \ Управление компьютером \ Локальные пользователи \ Пользователи \ ПКМ \ Новый пользователь \ Пользователь: doc \ Пароль \ Запретить смену пароля пользователем \ Срок действия пароля не ограничен \ Создать \ Закрыть)
3) Разрешаем подключение через удаленный рабочий стол по протоколу RDP (Этот компьютер \ Свойства \ Настройка удаленного доступа \ Разрешить удаленное подключение а этому компьютеру \ Электропитание \ Отключаем режим сна \ ОК \ Убираем галочку: Разрешить подключения только с проверкой подлинности \ Выбрать пользователей \ Добавить \ Размещение: Этот компьютер \ Пользователь: doc \ ОК \ ОК)
Запретим изменение файлов, чтобы с психа он не удалил документы или не внес какие-то изменения в техническую документацию. Да, бывают и такие сотрудники, когда их вроде как не справедливо увольняют. (Документация \ ПКМ \ Свойства \ Безопасность \ Дополнительно \ Изменить разрешения \ Удаляем лишние группы и пользователей \ Добавить \ Выберите субъект \ Размещение: Этот компьютер \ Пользователь: doc \ ОК \ ОК)
Проверим подключение через удаленный рабочий стол (Клиентский компьютер \ Пуск \ Удаленный рабочий стол \ Windows-10 \ Имя пользователя: Windows-10\doc \ Подключиться \ Создавать и удалять документы мы не можем)
Но, тут появляется ряд брешей, которыми могут воспользоваться. Если мы зайдем в параметры подключения к удаленному рабочему столу, то увидим, что в терминальный сеанс можно пробрасывать Принтеры, Буфер обмена, локальные диски и даже устройства которые буду подключены во время удаленного сеанса.
В итоге, мы можем просто скопировать файл и вставить его на наш компьютер, либо скопировать его на подключенный диск.
Поэтому данную систему нужно доработать!
Отключить проброс буфера обмена и подключение дисков можно через групповую политику (Windows-10 \ Логинимся под админом \ Win+R \ gpedit.msc \ Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Службы удалённых рабочих столов \ Узел сеансов удалённых рабочих столов \ Перенаправление устройств и ресурсов : Запрещаем все \ Перенаправление принтеров: Запрещаем все \ Win+R \ cmd \ gpupdate /force – применяем групповую политику)
Сохраняем файл rdp с нужными настройками (Подключение к удаленному рабочему столу \ Параметры \ Сохранить как… \ doc.rdp)
Подключаемся и видим, что теперь мы не можем через буфер обмена копировать файлы, а также отключились локальные диски от терминального сеанса.
Проще всего это сделать, убрав адрес шлюза из настроек сетевого подключения (Центр управления сетями и общим доступом \ Сетевое подключение \ Свойства \ IP версии 4 \ Свойства \ Шлюз \ Удаляем данные)
Проверяем доступ к интернет ресурсам (Win+R \ cmd \ ping 8.8.8.8 \ Сбой передачи)
Теперь необходимо назначить отдельного сотрудника, который будет отвечать за актуальность данных документов. Т.е. только один ответственный человек должен добавлять какие-либо документы на данный ресурс.
- скриншот экрана – можно снимать скриншотом данные с экрана, но, данный функционал можно отключить либо при помощи специального софта, либо через редактирование реестра. А лучше, повесить отправку уведомлений системному администратору, когда человек начинает слишком часто пользоваться кнопкой PrtScn. Так, мы сможем заранее определить не благонадежного сотрудника, пока он не придумал какой-то другой способ кражи.
Но, подобные уведомления настраиваются сторонним софтом.
- запись с экрана – можно записывать с экрана, но на это тоже можно настроить определенные ограничения, в любом случае у пользователя должны быть ограничены права на компьютере, чтобы он не смог устанавливать подобный софт.
- запись с телефона – он может сфотографировать или снять на видео то, что отображается на мониторе. Да, у всех телефоны не отберешь. Но, как вариант в одной компании мы делали следующим образом, база с архивом хранится на определенном компьютере на который была направленна видеокамера, записывающая в непрерывном формате. В таком случае, любые действия сотрудника записываются на видеокамеру и это дает очень хороший психологический эффект
Конечно же это не единственно возможный вариант, их может быть множество, в зависимости от различных бизнес процессов, функций сотрудника, удобства работы, схемы организации сети и других факторов.
Ну вот мы и перешли к самому интересному, это 100% вариант защиты информации от утечки.
А прикол в том, что такого варианта не существует, все ограничивается лишь желанием пользователя завладеть информацией. Лично на своем примере могу сказать, что, когда я учился и подрабатывал ночным охранником, у нас был комп с ограниченными правами. И чтобы не делал местный админ, мы всегда его взламывали, так как нам просто больше нечем было заняться, а сидеть 24 часа без компа тоже не совсем весело, учитывая то, что телефонов с интернетом и ютьюбчиком тогда не было.
Так что, все зависит от мотивации того, кто хочет взломать систему. Мы можем усложнить процесс утечки и ставить большее количество ловушек, чтобы на начальном этапе увидеть подозрительную активность и вычислить не благонадежного сотрудника, но на 100% вы все не закроете. Взять даже фильм про Сноудена, как он гениально вынес флешку с работы.
Как-то еще работал в одной конторе, не админом, а маркетологом. И руководство считало, что у них самая защищенная система в мире, поэтому даже позволяли местному сисадмину вести себя порой чересчур дерзко с пользователями и клиентами, мол у гениальных людей бывают недостатки. Однако, это никак не мешало мне приносить и уносить нужную информацию. Это никак не было связанно с их конфиденциальной информацией, просто в обеденное время я работал еще и над своими проектами.
Я даже знал, когда он подключается к моему монитору, чтобы отслеживать, что я делаю, так скажем катать компромат, для лишения премии и т.д.
Создаем в домене группу тех, кому можно это делать и добавляем ее в этот список. Права выставляем "Чтение"и "Чтение и выполнение"
Всё, при следующем логоне только члены новой группы могут обмениваться данными через буфер обмена.
Еще записи по тегу "Компьютизмы"
Ошибка 0x0000011b при установке сетевого принтера
Иногда, при попытке установить драйвера принтера с сервера печати возникает ошибка 0x0000011b. В зтом виновато обновление от 6 июля 2021 года…
Мой комментарий к записи «Будни цифрового концлагеря» от vitalidrobishev
Уже давно все под полным контролем Паспорт есть у всех. Без него только на автобусе можно в другой город уехать. Да и там засветишься кредиткой,…
Выгрузка контейнеров КриптоПро из реестра
Иногда приходится доставать данные из реестра убитого сервера и переносить их в реестр нового. Притом сделать это надо для какого-то пользователя.…
RuToken и RDP
С января 2022 года все подписи при передаче отчетности, и электронные ключи для доступа в налоговую и в госуслуги потребуют аппаратного ключа с…
PowerShell. Замена строки во множестве файлов в каталоге и подкаталогах
PowerShell. Замена строки во множестве файлов в каталоге и подкаталогах gci D:\UserData\ibases.v8i -recurse | ForEach < (Get-Content -Encoding…
Hide My Name и ресурсы в локалке
Есть сеть из двух сегментов - сервера в ЦОДе, принтера в офисе. Если в ЦОДе на RDSе работает Hide My Name, то доступ до локалки офиса закрыт.…
Информация об этом журнале
- Цена размещения 10 жетонов
- Социальный капитал 53
- В друзьях у 373
- Длительность 24 часа
- Минимальная ставка 10 жетонов
Частенько меня спрашивают: "Как ты так быстро всё ищешь в интернете?" Не понимаю, почему кто-то считает, что я быстро ищу. Это же элементарно. Посмотрим как это будет. Давайте попробуем найти с помощью разных поисковых систем одно и то же. Например описание тизерной рекламной компаннии Camel.…
Читайте также: