Запрет на копирование из расшаренной папки. Защита от воровства данных.
Есть Windows Server 2008 r2, на которой расшарена общая папка.
Задали мне вопрос - а можно ли запретить копирование информации оттуда, но чтобы право на чтение при этом осталось?
Я же понимаю так, что чтение это и есть копирование. Это если в терминале работаешь, там можно отключить запись на флешку, чтобы не могли скопировать данные.
Руководство опасается, что злодеи скопируют из общей папки документы себе на флешку или распечатают и тд и тп.
Вообще, посоветуйте, какие можно принять меры относительно защиты от копирования данных?
Сам понимаю, что если захотеть, то вынести всегда можно, но все же...
Задали мне вопрос - а можно ли запретить копирование информации оттуда, но чтобы право на чтение при этом осталось?
Я же понимаю так, что чтение это и есть копирование. Это если в терминале работаешь, там можно отключить запись на флешку, чтобы не могли скопировать данные.
Руководство опасается, что злодеи скопируют из общей папки документы себе на флешку или распечатают и тд и тп.
Вообще, посоветуйте, какие можно принять меры относительно защиты от копирования данных?
Сам понимаю, что если захотеть, то вынести всегда можно, но все же...
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
спасибо за такой ответ подробный!
подскажите конечно.
я то нашел ссылку
но где-то прочел, что, когда вставляется новая флешка (когда ставятся новые драйвера), то такая блокировка перестает работать.
еще вы сказали про файлообменники. действительно, зачем флешку пихать, когда можно слить в инет и все.
в этой ситуации как лучше поступить?
можно ли сделать запрет на сайты по принципу белого списка - т.е. дать право посещать только ограниченный нами список сайтов?
(3) Xershi, да я же понимаю, что утопия. но мне надо узнать какие варианты обойти защиту, которую хотят поставить.
я должен что-то сделать в этом направлении, но предупредить руководство о том какие дыры останутся.
ведь если я просто скажу, что забейте - мы все умрем, то это не вариант)
плане утечек - запрещаете запуск USB-носителей на ПК (как именно запретить только носители информации, могу подсказать)
подскажите конечно.
я то нашел ссылку
но где-то прочел, что, когда вставляется новая флешка (когда ставятся новые драйвера), то такая блокировка перестает работать.
еще вы сказали про файлообменники. действительно, зачем флешку пихать, когда можно слить в инет и все.
в этой ситуации как лучше поступить?
можно ли сделать запрет на сайты по принципу белого списка - т.е. дать право посещать только ограниченный нами список сайтов?
(3) Xershi, да я же понимаю, что утопия. но мне надо узнать какие варианты обойти защиту, которую хотят поставить.
я должен что-то сделать в этом направлении, но предупредить руководство о том какие дыры останутся.
ведь если я просто скажу, что забейте - мы все умрем, то это не вариант)
Не уверен, но дума - никак. Во первых, как отличить открытие от копирования, во вторых, что мешает сохранить открытое под другим именем в другом месте.
От утечек конфиденциальной информации чаще всего принимаются следущие меры:
1. Ограничиваются должным образом права на ПК.
2. Контролируется пронос и использование носителей информации (чаще всего исключается полностью, а в качестве обмена - выделенные сетевые ресурсы; либо выдаются под роспись и забираются).
3. Дополнительный контроль как в виде камер у рабочего места, так и средств, отслеживающих действия пользователей ПК.
Касаемо пункта "1.":
Обычно настраивается ограниченная учётка, ставятся дополнительные ограничения, ограничивается на ВСЁ (иногда сторонними решениями), что не нужно.
В плане утечек - запрещаете запуск USB-носителей на ПК (как именно запретить только носители информации, могу подсказать), и флешки будет бесполезно совать. Продумывается структуру сетевых папок, чтобы не было путей скинуть на 1 ПК, забрать на другом. Ограничивается интернет, чтобы не возможно было выстлать на почту или на файообменник и подключиться к тому, чему не нужно, и т.п. Т.е. чтобы были доступны только нужные ресурсы.
Касаемо USB-портов, так-же можно опечатать.
От утечек конфиденциальной информации чаще всего принимаются следущие меры:
1. Ограничиваются должным образом права на ПК.
2. Контролируется пронос и использование носителей информации (чаще всего исключается полностью, а в качестве обмена - выделенные сетевые ресурсы; либо выдаются под роспись и забираются).
3. Дополнительный контроль как в виде камер у рабочего места, так и средств, отслеживающих действия пользователей ПК.
Касаемо пункта "1.":
Обычно настраивается ограниченная учётка, ставятся дополнительные ограничения, ограничивается на ВСЁ (иногда сторонними решениями), что не нужно.
В плане утечек - запрещаете запуск USB-носителей на ПК (как именно запретить только носители информации, могу подсказать), и флешки будет бесполезно совать. Продумывается структуру сетевых папок, чтобы не было путей скинуть на 1 ПК, забрать на другом. Ограничивается интернет, чтобы не возможно было выстлать на почту или на файообменник и подключиться к тому, чему не нужно, и т.п. Т.е. чтобы были доступны только нужные ресурсы.
Касаемо USB-портов, так-же можно опечатать.
подскажите конечно. я то нашел ссылку...
Верно, только этого не достаточно, требуется ещё убрать несколько inf-файлов.
Вобщем написал скрипты для автоматизации процесса включения/отключения USB для носителей информации. См. прикреплённый файл. Для отключения/включения, запускаем с правами администратора "Disable.bat" или "Enable.bat" соответственно.
Данный метод действует на все сеансы. Ни на какое другое оборудование, кроме носителей информации, не влияет. Давно использую данный способ, пока проблем не выявлено.
...можно ли сделать запрет на сайты по принципу белого списка...
Да.
Одну дырку закроете 2 других появятся.
Согласен и не согласен. Если поставить цель, можно всё. Хоть смотрящего человека (конвой людей) к спине приставить. Не всегда требование нужно выполнять буквально. Смотря на сколько конфиденциально. Во многих случаях достаточно ограничить программно, и таким образом полность перекрыть нежелательную утечку документов сотрудниками, которая будет производиться не из корыстных целей, а от нечего делать.
Если так важно, можно веб-камеру поставить около ПК, даже не следить, что там происходит, морально будет действовать, что следят. ;)
Ну а если кому конкретно нужно что-то слить - всегда можно пути найти, хоть своего сотрудника/сотрудников устроить, хоть организовать кражу ПК, хоть написать серьёзные вирусы и т.п....
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот