Контроль за копированием файлов

Обновлено: 04.07.2024

В этой статье описывается, как Windows Explorer обрабатывает разрешения файлов и папок в различных ситуациях.

Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 310316

Сводка

В Microsoft Windows 2000, Windows Server 2003 и Windows XP у вас есть возможность использовать файловую систему FAT32 или файловую систему NTFS. При использовании NTFS вы можете предоставить разрешения папок и файлов для управления доступом к этим объектам. При копировании или перемещении файла или папки в томе NTFS в зависимости от того, копируется или перемещается объект в том же NTFS или в другой том, Windows Explorer обрабатывает разрешения на объекте.

Дополнительная информация

По умолчанию объект наследует разрешения от родительского объекта либо во время создания, либо при копировании или перемещении в родительную папку. Единственное исключение из этого правила возникает при переходе объекта в другую папку на том же томе. В этом случае исходные разрешения сохраняются.

Кроме того, обратите внимание на следующие правила:

Группе Everyone предоставляется разрешение на полный контроль корневого диска каждого диска NTFS.

Отказ в разрешении всегда имеет приоритет над разрешить разрешения.

Явные разрешения имеют приоритет над унаследованных разрешений.

Если разрешения NTFS конфликтуются, например, если разрешения групп и пользователей противоречивы, приоритет имеют наиболее либеральные разрешения.

Чтобы сохранить разрешения при копировании или перемещении файлов и папок, используйте Xcopy.exe с /O /X переключателем.

Первоначальные разрешения объекта будут добавлены к наследуемым разрешениям в новом расположении.

Чтобы добавить первоначальные разрешения объекта к наследуемым разрешениям при копировании или перемещение объекта, используйте Xcopy.exe с помощью и -O -X переключатели.

Чтобы сохранить существующие разрешения без добавления наследуемых разрешений из родительской папки, используйте утилиту Robocopy.exe, которая доступна в комплекте ресурсов 2000 Windows 2000.

Можно изменить, Windows Explorer обрабатывает разрешения при копировании или перемещении объектов в другой том NTFS. При копировании или перемещение объекта в другой том объект наследует разрешения новой папки. Однако если вы хотите изменить это поведение, чтобы сохранить исходные разрешения, измените реестр следующим образом.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.

Найдите и нажмите клавишу реестра: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer .

В меню Редактирование нажмите кнопку Добавить значение, а затем добавьте следующее значение реестра:

Имя значения: ForceCopyAclwithFile
Тип данных: DWORD
Данные значения: 1

Закройте редактор реестра.

Можно изменить, Windows Explorer обрабатывает разрешения при перемещении объектов в том же объеме NTFS. Как уже упоминалось, при перемещении объекта в том же объеме объект сохраняет свои разрешения по умолчанию. Однако если вы хотите изменить это поведение, чтобы объект наследовал разрешения родительской папки, измените реестр следующим образом:

Найдите и щелкните подки реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer .

В меню Редактирование нажмите кнопку Добавить значение, а затем добавьте следующее значение реестра:

Имя значения: MoveSecurityAttributes
Тип данных: DWORD
Данные значения: 0

Закройте редактор реестра.

Убедитесь, что учетная запись пользователя, используемая для перемещения объекта, имеет набор разрешений на изменение. Если разрешение не установлено, отдай разрешение на изменение учетной записи пользователя.

Значение реестра MoveSecurityAttributes применяется только к Windows XP и Windows Server 2003. Значение не влияет на Windows 2000.

Один из наиболее важных и полезных модулей программного комплекса StaffCop Enterprise — «Файловый контроль». Он позволяет устанавливать тщательное наблюдение за папками и файлами, содержащими критически важную информацию: коммерческую и служебную тайну, документы, базы данных. Файловый драйвер перехватывает и может делать теневые копии файлов при работе пользователя с локальной файловой системой, с сетевыми дисками, со съемными носителями.

Контроль за файлами осуществляется двумя способами:

1. Есть обычный режим, который установлен по умолчанию и используется для всех файлов. Кроме того, имеется специальный модуль «Файловый контроль», который собирает полную информацию о файлах, для которых устанавливается специальный режим.

В обычном режиме инцидентом считается пересечение файлом периметра информационной безопасности: отправление файла на внешний электронный ящик, сохранение на облачном сервисе или загрузка на , отправление личной почтой, сохранение съемном носителе. Доступна вся информация о том, кто и когда совершил эти операции с файлом, а также теневая копия. Если подключен контроль принтеров, то мы увидим, когда файл отправляется на принтер и сколько копий распечатывается.

2. Для особо важных файлов может быть установлен режим особого контроля. В последних версиях системы появилась возможность контролировать любые файловые операции с файлами, на которых есть цифровые метки. Логируются все действия с такими файлами: открытие, изменение, сохранение в другом месте, перемещение внутри компании, сохранение в буфер обмена, отправление на внутренние и внешние электронные адреса, отправление по интернету и пр. И при любой операции сохраняется теневая копия файла. Это позволяет обеспечить документоориентированную (DCSM — Data Centric Security Model) защиту для помеченных документов, а также реализовать функции предотвращения утечек конфиденциальных данных любыми пользователями, которые не были определены в политиках доступа к защищаемым файлам. Для работы функций контроля и перехвата файловых операций нужно включить следующие модули: «Файловая активность», «Теневое копирование», «Перехват файлов с внешних носителей».

Что вы получаете в итоге?

Относительно каждого файла вы видите, кто и как часто с ним работает, как файл перемещается по компании. Используя файловый контроль вместе с графом взаимосвязей, вы получите наглядную схему, как сотрудники обмениваются файлами, с указанием канала связи, которым они для этого пользуются. Программа зафиксирует фальсификацию данных или подмену сведений. Вы можете увидеть, кто интересуется файлом из сотрудников, которые не должны его открывать в рамках своих обязанностей.

Если файл был нечаянно или с умыслом изменен, вы узнаете не только, кто и когда это сделал, но и сможете восстановить первоначальный вид документа. Модуль «Файловый контроль» дает основную информацию для расследования инцидентов. Кроме всех изменений и отправок файла, вы узнаете, был инцидент совершен сотрудником в одиночку или имел место сговор. Вот несколько примеров использования файлового мониторинга.

Наиболее распространённый кейс — контроль .

Контроль съёмных носителей информации позволяет отслеживать, что и в каких объёмах пользователь копирует на . По умолчанию происходит перехват всех файлов, скопированных на и загруженных с них. Можно включить опцию листинга (перечисления с записью имён) файлов, находящихся на , а при необходимости — задействовать перехват (теневое копирование) всех файлов, которые находятся на при его подключении к ПК пользователя. В дополнение к функциям мониторинга и перехвата файлов на съёмных носителях можно задать политику блокировки доступа к функциям записи на съёмные носители и функцию полной блокировки .

Второй распространённый кейс — контроль доступа к файлам, находящимся на локальном / сетевом диске и уведомление о таких операциях офицера безопасности.

Например, политикой компании запрещён доступ в рабочее время к файлам с расширением mp3 / wma / mp4 , находящимся на локальных дисках пользователей, к файлам мультимедиа. При возникновении таких событий администратору системы высылается уведомление, в котором будет указано, какой из пользователей в какое время читал ( прослушивал / просматривал) файлы мультимедиа на рабочем месте.

Отдельный вариант этого способа — обнаружение людей, которые занимаются подработками на рабочем месте. Это возможно, если настроить оповещение о том, что пользователь начал работать с графическими файлами за пределами рабочего каталога. Это сигнализирует о том, что, возможно, пользователь в это время выполняет «левый» заказ. Такая функция актуальна для проектных организаций, где время сотрудников стоит дорого, а оборудование и ПО зачастую уникальны.

Третий вариант использования файлового мониторинга — работа с файлами по поиску похожих документов.

Поиск похожих — функция, интегрированная в интерфейс для расследования инцидентов. Она помогает найти похожие строки или документы по любым текстовым полям в событиях. Поиск осуществляется по всему накопленному архиву информации. Для загрузки документов, аналоги которых нужно найти, существует специальный интерфейс.

Поиск похожих может дать представление не только о документах, схожих по содержимому, но и визуализировать пути распространения документа в информационном потоке компании. Можно увидеть, когда документ был впервые использован, кому был передан, кем был изменён и кто к нему имел доступ. Найденные похожие документы при этом могут быть с изменённым именем или форматом относительно исходного файла, который был загружен как эталон. В случае перехвата файла можно будет увидеть и проиндексировать содержимое такого файла или файлов. С помощью этой функции решается вопрос быстрого поиска информации на основе существующего набора важных документов.

Четвёртый кейс использования файлового мониторинга -работа с помеченными файлами.

Для настройки особого контроля все файлы, которые должны быть под таким контролем, должны быть помечены специальной утилитой, поставляемой с продуктом StaffCop Enterprise. После пометки файлов в силу вступают правила работы пользователей / программ и компьютеров с помеченными файлами. Например, можно запретить читать / писать / перемещать файлы с метками для пользователей, которым нельзя работать с защищаемыми файлами, но определенным пользователям эти операции можно разрешить.

При первых признаках подозрительных действий можно установить полный контроль за действиями сотрудника с помощью функции «Удаленный доступ». Такая возможность помогает определить, действует сотрудник в рамках должностных обязанностей или совершает противоправные действия. В особых случаях «удаленный доступ» позволяет перехватить управление пользовательским компьютером и не дать совершить серьезное нарушение. На данный момент одновременно можно наблюдать за 16 рабочими станциями с помощью функции «Квадратор».

В системе StaffCop Enterprise имеются возможности, которые, будучи совмещены с файловым контролем, дают небывалый уровень расследования инцидентов практически в режиме реального времени. Например, в версии 4.4 внедрены такие инструменты, как распознавание текста и возможность выгрузки информации из StaffCop. Теперь вам не нужно тратиться на дополнительные лицензии программ распознавания текста. Эта возможность, вместе с поиском по ключевым словам, помогает искать конкретную информацию в перехваченных файлах.

Стоит отметить, что особый контроль стоит подключать только к самым важным файлам. Хранение теневых копий всех файлов, которые открывают ваши сотрудники в течение дня, занимает большой объем памяти. А если еще сохранять файлы при внесении изменений, для этого требуются весьма значительные ресурсы.

Файловый контроль — один из наиболее востребованных функциональных блоков программного комплекса StaffCop Enterprise. В сочетании с другими инструментами он дает возможность полного расследования инцидента. А с помощью гибкой настройки фильтров и мощной аналитики вы получите удобный инструмент поддержания информационной безопасности.

Используй WMI, это действительно лучше api-хука.

набор готовых скриптов:

Остается только пожелать удачи. По отзывам, Device Lock, не смотря на многолетнюю историю продукта, рекламу, сертификаты все же доставляет множество проблем, но лучшего продукта при этом нет. А вы готовы потягаться с ДиалогНаукой. :-)

Не понял, с помощью WMI можно сделать все то что я описал в начале?

Насколько, я заметил WMI позволяет отслеживать только создание, удаление и изменение файлов в указанной области. Решение задачи было бы возможно, если бы WMI позволял как-нибудь реагировать на подключение новых запоминающих устройств. Такое возможно?

А как определить самое важное - имя исходного файла? Можно путем сопостовления конечного и исходного файла. Но ведь если человек сохранит файл, скажем в Exel'e, через "Сохранить как. " и поменяет имя конечного файла, то мы в итоге получим очень размытую информацию?

Не понял, с помощью WMI можно сделать все то что я описал в начале?

Вопросы касаются исключительно vbs:

А есть метод определить копирование файла на CD? Для стандартного win-резака можно следить за папкой, куда винда временно кидает файлы (кстати, путь не напомните?), но как быть с Nero и т.п.

Сложности добавляет то, что надо отслеживать пермещение ВСЕХ файлов, а не отдельных.

На данный момент делаю:

1) создаю скрипт следящий за текущими и новыми подключенными съемными дисками, Floppy и CD приводами, ну и за локальными дисками с интерфейсом usb (для внешних хардов). Если уже подключенны такие устройства, то для какждого из них запускается скрипт описанный во втором разделе.

2) как только подключается запоминающее устройство к usb или втыкается floppy-дискета - запускается скрипт реагирующий на события записи и изменения файлов. Если таковое наступает - отпраляем данные на сервер.

3) после отключения устройства убиваю процесс.

В связи со всем этим возникает следующие вопросы:

1) как определить наличие дискеты во флопи-приводе и диска в сдруме?

2) как запустить из одного скрипта другой, запомнить id процесса и убить по id процесс?

У меня на работе есть хорошая присказка "MSDN, батенька". Произношу не я :) Я обычно говорю "Гугл".

По первому вопросу ответ, но скрипеть будет:

With CreateObject("Scripting.FileSystemObject")
Set dc = .Drives
For Each d in dc
If d.DriveLetter = "A" Then
Do While d.IsReady

А вообще у тебя задача всё больше и больше разрастается, поэтому рекомендую сделать ход конём:

Данила Полевщиков, ну если речь зашла о WMI то можно пример основаный на его объектах, а не на FSO?(достаточно указать св-во объекта для логических дисков, типа .IsReady).

Еще вопрос: 1) как можно определить какие логические диски соответствуют физическим; 2) возможно ли используя WMI и методику в ссылках на примеры приведенных выше, узнать какой именно файл был скачен (полный путь)

+ ссылка, к сожалению, мертвая.

FileControl – программа, которая представляет собой систему контроля файловой и сетевой активности. Ее основное предназначение – обеспечение высшего уровня информационной безопасности в локальных сетях. Она защищает от незаконного копирования конфиденциальных данных, вирусов и бесполезных файлов, пытающихся проникнуть в компьютер. Если случается утечка информации, помогает локализовать причину возникшей проблемы.

Основные функции

Достоинства и недостатки

бесплатность;
поддержка русского языка;
простота в использовании и настройке;
полезные подсказки;
несколько модулей, поставляемых в одном дистрибутиве;
назначение прав доступа к различным типам устройств;
запись событий в базу данных SQLite с последующей возможностью реализации удобной системы отчетов.

в пробной версии все функции программы доступны в течение 30 дней после ее установки.

Альтернативы

Spotflux VPN. Бесплатная программа, которая заботится о безопасности пользователя в сети. Она может шифровать и защищать интернет-соединение, подменять реальный IP-адрес, обеспечивать анонимность во время просмотра веб-страниц, блокировать потенциально опасные ресурсы и вредоносные программы и др.

Установка и настройка

Программа состоит из агента слежения и серверной части. Компьютер, на который устанавливается дистрибутив, служит сервером для подключения агентов. С этой целью необходимо указать порт для подключения и имя хоста.

Далее нужно ввести логин и пароль для доступа администратора к панели управления:

После окончания процесса установки откроется окно браузера, где следует ввести данные, указанные выше.

Когда сервер установлен, нужно инсталлировать на целевые компьютеры агенты слежения. Для этого в веб-интерфейсе перейдите во вкладку «Информация»:

Предложенный файл необходимо запустить на каждом целевом устройстве, после чего они появятся во вкладке интерфейса «Компьютеры».

FileControl позволит собирать детальные сведения о любой активности компьютера и предотвращать утечку информации.

Читайте также: