Запрет на копирование из расшаренной папки. Защита от воровства данных.

Есть Windows Server 2008 r2, на которой расшарена общая папка.
Задали мне вопрос — а можно ли запретить копирование информации оттуда, но чтобы право на чтение при этом осталось?
Я же понимаю так, что чтение это и есть копирование. Это если в терминале работаешь, там можно отключить запись на флешку, чтобы не могли скопировать данные.
Руководство опасается, что злодеи скопируют из общей папки документы себе на флешку или распечатают и тд и тп.

Вообще, посоветуйте, какие можно принять меры относительно защиты от копирования данных?
Сам понимаю, что если захотеть, то вынести всегда можно, но все же.

спасибо за такой ответ подробный!

подскажите конечно.
я то нашел ссылку
http://dontreg.ru/kak-zapretit-zapis-dannykh-na-fleshku-sredstvami-windows
но где-то прочел, что, когда вставляется новая флешка (когда ставятся новые драйвера), то такая блокировка перестает работать.

еще вы сказали про файлообменники. действительно, зачем флешку пихать, когда можно слить в инет и все.
в этой ситуации как лучше поступить?
можно ли сделать запрет на сайты по принципу белого списка — т.е. дать право посещать только ограниченный нами список сайтов?

(3) Xershi, да я же понимаю, что утопия. но мне надо узнать какие варианты обойти защиту, которую хотят поставить.
я должен что-то сделать в этом направлении, но предупредить руководство о том какие дыры останутся.
ведь если я просто скажу, что забейте — мы все умрем, то это не вариант)

Не уверен, но дума — никак. Во первых, как отличить открытие от копирования, во вторых, что мешает сохранить открытое под другим именем в другом месте.

От утечек конфиденциальной информации чаще всего принимаются следущие меры:
1. Ограничиваются должным образом права на ПК.
2. Контролируется пронос и использование носителей информации (чаще всего исключается полностью, а в качестве обмена — выделенные сетевые ресурсы; либо выдаются под роспись и забираются).
3. Дополнительный контроль как в виде камер у рабочего места, так и средств, отслеживающих действия пользователей ПК.

Касаемо пункта «1.»:
Обычно настраивается ограниченная учётка, ставятся дополнительные ограничения, ограничивается на ВСЁ (иногда сторонними решениями), что не нужно.
В плане утечек — запрещаете запуск USB-носителей на ПК (как именно запретить только носители информации, могу подсказать), и флешки будет бесполезно совать. Продумывается структуру сетевых папок, чтобы не было путей скинуть на 1 ПК, забрать на другом. Ограничивается интернет, чтобы не возможно было выстлать на почту или на файообменник и подключиться к тому, чему не нужно, и т.п. Т.е. чтобы были доступны только нужные ресурсы.

Касаемо USB-портов, так-же можно опечатать.

Запрет копирования с сервера на клиент при условии, что буфер обмена и маппинг дисков останутся включенными

Добрый день уважаемые форумчане .
Вопрос не раз поднимался . но хотел бы изложить свои мысли . и попросить вашего мнения .

Задача такая — Server 2008 rdp (1c). База файловая. sql поставить не сможем.
у пользователя полные права на файл базы — иначе он не сможет с ней работать.
Сама база на сервере — не расшарена конечно .

— Нужно чтобы юзер мог со своего компьютера из буфера обмена найти наименование покупателя и вставить это наименование в rdp 1c (то есть своего файла ексель копирует букавы и вставляет в программу 1с)
— Так же нужно чтобы мог прикреплять другие файлы находящиеся на его компьютере в 1с.

— При этом нужно запретить пользователю скачать базу .

Понимаю что можно расшаривать папки на каждом клиенте и на сервере подключать эти папки как сетевые диски, а на сервере запретить входящие соеденения 136 — 138, 445 — но руководство об этом слышать не хочет (типа лишнее движение постоянно копировать в расшаренную папку) . так же при этом останется возможность воспользоваться буфером обмена .

Я нашел такое решение — скрыть папки. Заводить пользователей rdp на сервере как админов редактировать им gpedit для пользователя ( «Удалить команду «Свойства папок» из меню «Сервис»»,) чтобы пользователь не мог увидеть скрытую папку с базой; После этого конечно убирать пользователей из группы Админов.

1 вариант — Хотел через gpedit разрешить для пользователей запуск на сервере только 1с через параметр «запускать только определенные приложения»
— но при опробывании на notepad.exe — у меня все ок — то есть пользователь может открыть только блокнот ;
а для 1с прописывал и 1cv8.exe и 1cv8с.exe и 1cv8s.exe И C:\Program Files (x86)\1cv8\ххх\bin\1cv8.exe — c кавычками и без кавычек — результат один — борода .

Может кто сталкивался что я делаю не правильно в данной ситуации ?

2 вариант запретить через gpedit запуск powershell, cmd . но останется возможность скопировать на сервер portable Total Commander и скачать через него .

Как тогда запретить запуск portable программ на сервере ?

И как на ваш взгляд 1,2 вариант жизнеспособны ?
Какие возможности останутся у пользователя для скачивания базы ?
Какой вариант вы можете предложить (при условии что буфер обмена и мапинг дисков останутся включенными , и пользователь имеет полные права на файл базы)?

Заранее огромное спасибо .

Запрет копирования из терминал-сессии (RDP) данных через буфер обмена

Создаем в домене группу тех, кому можно это делать и добавляем ее в этот список. Права выставляем «Чтение«и «Чтение и выполнение«

Всё, при следующем логоне только члены новой группы могут обмениваться данными через буфер обмена.

Еще записи по тегу «Компьютизмы»

Будни сапорта

В компании на общем ресурсе создали имя папки 230 символов, да имя файла . суммарно 278 символов И возмущаются, что у них ругается софт на длинное…

Письмо в поддержку

Привожу дословно заявку Прошу срочно подключить XXX этот ролик И всё. Вся заявка

Переносим Консультант Плюс с одного сервера на другой

Переносим Консультант Плюс с одного сервера на другой 1. Копируем папку Consultant на новый сервер. 2. Отдаем папку Consultant в общий доступ с…

Создаем периодическую структуру в файловой системе с тонкой раздачей прав доступа

Создаем периодическую структуру в файловой системе с тонкой раздачей прав доступа Создаем общий ресурс Public. В одном из каталогов громадная…

Уровень везения — БОГ

Нам хакнули бэкапер в ЦОДе. Зашифровали, взломав ILO Клиенту понадобился бэкап с того сервера. У нас лежал старый сервак этого клиента. Там отвалился…

Насколько эффективна дедупликация в Windows Server 2016/2019

Многие, наверное, слышали такое модное слово — ДЕДУПЛИКАЦИЯ. Что это такое и с чем ее едят знают не все. Смысл в следующем — на диске наводится…

Есть сервер Windows Server 2008 SP2 с папкой, предназначенной для обмена файлами в локальной сети.

1. Пользователи используют сетевую папку не для обмена файлами, а для их длительного хранения.
2. Пользователи используют сетевую папку для обмена файлами не связанными с их служебной деятельностью. В связи с этим размер сетевой папки постоянно растет.

Соответственно напрашиваются две задачи:

1. Как ограничить размер сетевой папки для каждого подразделения?
2. Как запретить пользователям хранить в ней ненужные по служебной деятельности файлы?

Для решения задачи воспользуемся стандартными средствами Windows Server 2008 SP2. Для этого нам понадобится «Диспетчер ресурсов файлового сервера» (FSRM — File Server Resource Manаger).
Если FSRM отсутствует на вашем сервере, то его необходимо установить.

Для установки FSRM используем оснастку Диспетчер сервера (Manage Your Server), добавляем роль «Файловые службы» (File Server role) на сервере. При добавлении этого пункта будут установлены необходимые службы.

Для установки FSRM, необходимо в окне «Мастер добавления ролей» выбрать установку роли «Файловые службы».

Далее, выбираем службу «Файловый сервер».

Для того, чтобы обеспечить возможность контроля за содержимым сервера, нам необходимо установить службу «Диспетчер ресурсов файлового сервера». Выбираем эту службу.

Выбираем диск, за которым необходимо вести наблюдение.

Настраиваем параметры отчета. Для этого необходимо, чтобы в сети уже был сервер для отправки почты (SMTP-сервер). Я не настраивал.

Подтверждаем выбранные параметры нажатием кнопки «Установить».

После окончания установки, выбираем «Пуск – Администрирование – Диспетчер ресурсов файлового сервера».

Выбираем раздел «Управление квотами».

Есть два способа организации квоты для папки. Применить готовый шаблон или создать свое правило квотирования.
Советую, в начале, ознакомится с шаблонами квот в разделе «Шаблоны квоты». Возможно, там есть тот шаблон, который вам нужен. В моем случае был создан новый шаблон.

Создаем новый шаблон.

Нажимаем правой кнопкой на «Шаблоны квоты» и выбираем «Создать шаблон квоты».

В окне «Создание шаблона квоты» настраиваем параметры под себя. Для удобства работы можно воспользоваться кнопкой «Копировать», быстро заполнить поля из выбранного шаблона и далее их редактировать.

Создаем шаблон квоты для себя.

Для себя выбрал режим «Мягкая квота» и больший размер.

Итак, шаблон создан. Далее создаем квоту.

Нажимаем правой кнопкой на «Квоты» и выбираем «Создать квоту».

В окне «Создание квоты» изменяем параметры, выбираем необходимый шаблон и нажимаем кнопку создать.

В дальнейшем квоту всегда можно изменить. Для себя выбрал квоту 5 Гб.

Для этого выбираем раздел «Управление блокировкой файлов – Фильтры блокировки».
Нажимаем правой кнопкой на «Фильтры блокировки файлов» и выбираем «Создать фильтр блокировки файлов».

В окне Создание фильтра блокировки файлов заполняем необходимые поля:

• в поле Путь фильтра выбираем нужную папку;
• выбираем «Задать настраиваемые свойства фильтра блокировки файлов» и нажимаем копку «Настраиваемые свойства»;

• на вкладке «Параметры» выбираем на свое усмотрение Тип блокировки и блокируемые группы файлов;

• при необходимости можно создать свою группу файлов – кнопка «Создать»;
• на остальных вкладках я отключил оповещение по почте, запись в журнал событий и создание отчета. Мне это не нужно;
• После настройки параметров жмем копку «ОК» и далее «Создать».

Себе мы сделаем исключение на эти ограничения.

Нажимаем правой кнопкой на «Фильтры блокировки файлов» и выбираем «Создать исключение для фильтра блокировки файлов».

В окне «Создание исключения для фильтра блокировки файлов» заполняем необходимые поля:

• в поле «Путь к папке исключений» выбираем нужную папку;
• выбираем все группы файлов, которые не будут блокироваться;

• нажимаем копку ОК.

В дальнейшем в эту папку можно будет копировать все.

Обойти ограничение по маске файлов можно, изменив расширение файла, но в нашей организации не каждый пользователь об этом знает.

Запрет копирования windows server

Общие обсуждения

Добрый день, коллеги!

Задача такая: есть DMZ-сервер Win2k8R2Std с закрытой информацией для ознакомления. Групповыми политиками разрешено использование буфера обмена только некоторым, которые занимаются пополнением и изменением контента. Однако выносить с сервера файлы, равно как и копировать их туда никому нельзя. В протоколе RDP начиная с версии 6.1 появилась «приятная» возможность обеспечить более высокий уровень интерактивности терминальной сессии — обмен файлами с клиентской машиной. В нашем конкретном случае это неприемлемо. Отключать полностью возможность использования буфера обмена также нельзя, так как контент-специалисты у нас работают с большими объёмами текстовых данных, передавая их в базу на сервере через буфер обмена.

Мною было предпринято всестороннее изучение предмета. Его плоды:

1. Рекомендации по отключению использования сопоставления дисков также оказались бесполезны — копирование работает даже при отключённом сопоставлении. Сочетание сопоставления дисков и буфера обмена с патчем rdpclip_hotfix дают возможность копирования файлов в протоколе RDP версии 6 и ниже, по-умолчанию этой функции там нет. Ну не покупать же лицензии Windows 2003 R2 ради этого!

2. Ограничить пользователей целевыми папками с правами только на чтение я также не могу, поскольку у любого, даже самого ограниченного в правах пользователя всегда есть папки с неограниченным доступом непосредственно ему: это папки пользовательского профиля.

Если на сервере rdpclip.exe устновить версию 5.2, то проблема решается автоматически, так как в этой версии отсутствует возможность копирования файлов.

Существует ли какое-нибудь еще альтернативное решение этой проблемы?