Запрет на копирование файлов из папки
Обновлено: 04.07.2024
А не проще вовсе не предоставлять никакой информации .
Тем более наш девиз - информация должна быть свободной!
Ответ очень простой: связать все конечности, заклеить всё пластырем, кроме глаз.
А вообще это бред! Если вы открыли файл для чтения, то уже его скопировали!
Alex H:Если ты хотел выпендриться, у тебя это не получилось. А вопрос мой, кажется мне интересным, хотя обычно такие требования ставят директора, которые нихрена не понимают, что это сделать практически не реально.
А тем ребятам которые мне посоветовали, ZORу и Александру Антипову, большое спасибо.
Задача, действительно интересная!
Начиная с того, что нужно учесть возможность принтскрина и т.п.
Господа, а куда вы предлагаете выкладывать эти защищенные ПДФ-ки ?
В расшаренную папку? или через вэб-морду?
В обоих случаях документ можно скачать и сохранить где-то в другом месте.
Или я чего-то не понимаю?
Единственный выход, который вижу - использование RMS, но как с ним обращаться я так и не разобрался + побороть активацию этого софта я так и не смог.
Если есть доки или опыт - сообщите!
Проблема защиты .xls и .doc от копирования и распечатки в данный момент очень актуальна, поэтому предагаю совместно подумать над решением.
ИМХО задача нерешаема в принципе. Потому что если Вы дали доступ к информации, то ее уже скопировали как минимум в собственную память. Если есть чтение, то есть и копирование в той или иной форме. В конце концов, кто мешает принести мобильник и отфоткать монитор. Ну или получаем замечательное сочетание «цена/качество». Представляем комнату с сильнейшим электромагнитным полем, убивающим любую электронику, кроме компьютера, в специальном защитном кожухи, без какой-либо связи с миром, а на выходе из комнаты человека заставляют выучить один том "Войны и мир", чтобы в мозгах ничего кроме не осталось.
Так что лучше думать не о такой защите, а об аудите, чтобы можно было хоть как-то сказать откуда могла быть утечка.
та ну..Давайте без фанатизма ;-)
При условии, что пользователь неограниченно умён, то Вы обсолютно правы в том, что задача не решаема..
Теперь понижая уровень знаний юзверя, можно прийти к решению:
1) Запретить "Сохранить как"
2) Залочить принтскрин
3) Обеспечить несворачиваемость программы
и практически всё готово. -)
Вот что нашел - программка CryptoCD. Идея интересная, но нужно еще подумать, как бы это организовать по сети.
Иногда у владельцев ПК возникает желание защитить свои файлы от копирования и (или) удаления. Причинами по защите от копирования являются нежелание, чтобы кто-то воспользовался файлами. Во втором случае причины понятны – никто не хочет терять нужные документы, в них зачастую вкладывается немало труда. Кроме того файл по неосторожности могут удалить дети и даже взрослые домочадцы. Ни кому не хочется делиться с кем-то конфиденциальными данными или утерять их. Хорошо, что есть способы борьбы с проблемой с помощью средств Windows и хороших программ и утилит. О них и пойдет речь дальше.
Защита файлов от копирования средствами Windows
Для защиты компьютера от копирования на съемные носители необходимо внести некоторые изменения в реестр.
Итак нужно сделать следующее:
Нажать в левом нижнем углу «Пуск» либо две клавиши Win и R;
в окошке «Открыть:» написать regedit и нажать «Ok»;
отыскать строку HKEY_LOCAL_MACHINE и открыть дерево в следующей последовательности – /SYSTEM/CurrentControlSet/Control/;
в папке Control найти подпапку StorageDevicePolicies, если ее нет, придется создать;
открыть параметр WriteProtect двойным кликом; в окошко «Значение:» на место нуля вписать единицу, нажать «Ok».
В случае собственного создания папки StorageDevicePolicies, параметра WriteProtect в ней нет и его придется создать. В редакторе реестра нажать на правую кнопку мыши и в пункте «Создать» (впрочем, он единственный) выбрать подпункт «Параметр DWORD», дать имя новому параметру «WriteProtect» и изменить его значение на «1» по вышеуказанной схеме.
Проделав все операции, закрыть редактор и совершить перезагрузку ПК. Машина стала полностью защищенной от копирования на внешние носители.
Защита файлов от удаления средствами Windows
Для защиты документов от удаления придется создать в удобном месте папку, в которую в последующем можно скидывать файлы, потеря которых нежелательна. Выполняется такой алгоритм:
правой кнопкой мыши кликнуть на папку или файл, выбрать пункт «Свойства»;
во вкладке «Безопасность» нажать на «Дополнительно»;
в появившемся окошке во вкладке «Разрешения» нажать «Изменить разрешения…»;
во вновь появившемся окне нажать «Добавить»;
в следующем окошке написать «Все» и кликнуть на «Ok»;
наконец, откроется главное окно, в котором нужно поставить галочки на нужных пунктах. В общем случае хватит следующих пунктов: в столбце разрешить – «Чтение атрибутов», «Содержание папки/ чтение данных» и «Чтение дополнительных атрибутов»; в столбце запретить – «Удаление» и «Удаление подпапок и файлов».
Потом нажать на «Ok». Во всех ранее открытых окошках также кликнуть на эту кнопку. В конце процедуры появляется окно предупреждения, в нем нужно согласиться, нажав «Да». Теперь папка защищена от удаления помещенных в нее файлов.
Защита файлов и папок от удаления и копирования с помощью программ
Помимо средств Windows, разработано достаточное количество программ, они также помогают защитить файлы от копирования и удаления.
Kaspersky Kryptostorage
Программа Kaspersky Kryptostorage выполняет функцию не только по защите от удаления, но и по защите от бесконтрольного доступа. Она не влияет на скорость компьютера, т. к. не находится постоянно в работе.
FileProtection
Очень хорошей утилитой по защите от случайного удаления является FileProtection. Программка вписывается в контекстное меню. Чтобы воспользоваться ей, нужно щелкнуть правой кнопкой мышки на папку (чтобы защитить всю папку) или файл и выбрать пункт «Protect File». Чтобы снять ограничение – выбрать пункт «Unprotect File».
Port Locker
Хорошая программа по защите от копирования на USB носители – Port Locker. Сразу после установки предлагается установить пароль для быстрой блокировки/ разблокировки. Это дает возможность владельцу блокировать доступ к сети, принтеру и всем подключенным USB носителям на время его отсутствия. Программа проста в применении, пробный период – 30 дней.
Какое средство для борьбы по защите файлов лучше, зависит в итоге от подготовленности пользователя. Тот, кто разбирается в ПК, скорее выберет вариант использования Windows. Менее подготовленные или те, кто не хочет «заморачиваться» установят программы.
Главным итогом станет то, что поубавится головной боли.
ЭТО МОЖЕТ БЫТЬ ИНТЕРЕСНОЕЩЕ ОТ АВТОРА
Как сделать страховку на автомобиль через интернет?
Диск HPE 1.8TB SAS 10K SFF SC 512e DS HDD и его характеристики
Цели в области устойчивого развития бизнеса
4 КОММЕНТАРИИ
Обзор помог мне настроить блокировку от случайного удаления папки с важными данными. На компьютере несколько пользователей и не хочется в один день остаться без неких необходимых паролей и т.п.
Если можно удалить средствами операционной системы, то не вижу необходимости в установке дополнительных программ.
Часто задаюсь подобным вопросом на работе, когда на компе что-либо исчезает. Но не поняла: 1) Как мне копировать файлы в случае необходимости? Можно ли парой кликов на время отключить функцию запрета копирования? И распространяется ли такой запрет копирования на перетягивание файлов в чат (по сети внутри предприятия)? 2) Аналогично копированию, что делать, если мне понадобится удалить файл? Тут писали выше, что можно удалить средствами операционной системы, что это значит? Программу Port Locker, да и в принципе любую другую не предлагайте, т.к. у нас на предприятии запрещено устанавливать самовольно программы, а люди в твое отсутствие могут свободно сесть на комп и делать что угодно. При этом я в любой момент тоже должна иметь возможность быстро что-то сделать в компе и, если надо, скопировать на флешку. Или кто-то другой. Но важна именно скорость и простота включения-отключения данных функций. 3) Не будут ли действия, указанные выше, противоречить тому, что на нашем предприятии запрет на использование сторонних программ?
Есть Windows Server 2008 r2, на которой расшарена общая папка.
Задали мне вопрос - а можно ли запретить копирование информации оттуда, но чтобы право на чтение при этом осталось?
Я же понимаю так, что чтение это и есть копирование. Это если в терминале работаешь, там можно отключить запись на флешку, чтобы не могли скопировать данные.
Руководство опасается, что злодеи скопируют из общей папки документы себе на флешку или распечатают и тд и тп.
Вообще, посоветуйте, какие можно принять меры относительно защиты от копирования данных?
Сам понимаю, что если захотеть, то вынести всегда можно, но все же.
Одно дело запретить доступ, другое дело запретить копировать = запретить просматривать = запретить доступ.
Одну дырку закроете 2 других появятся.
спасибо за такой ответ подробный!
плане утечек - запрещаете запуск USB-носителей на ПК (как именно запретить только носители информации, могу подсказать)еще вы сказали про файлообменники. действительно, зачем флешку пихать, когда можно слить в инет и все.
в этой ситуации как лучше поступить?
можно ли сделать запрет на сайты по принципу белого списка - т.е. дать право посещать только ограниченный нами список сайтов?
(3) Xershi, да я же понимаю, что утопия. но мне надо узнать какие варианты обойти защиту, которую хотят поставить.
я должен что-то сделать в этом направлении, но предупредить руководство о том какие дыры останутся.
ведь если я просто скажу, что забейте - мы все умрем, то это не вариант)
Не уверен, но дума - никак. Во первых, как отличить открытие от копирования, во вторых, что мешает сохранить открытое под другим именем в другом месте.
От утечек конфиденциальной информации чаще всего принимаются следущие меры:
1. Ограничиваются должным образом права на ПК.
2. Контролируется пронос и использование носителей информации (чаще всего исключается полностью, а в качестве обмена - выделенные сетевые ресурсы; либо выдаются под роспись и забираются).
3. Дополнительный контроль как в виде камер у рабочего места, так и средств, отслеживающих действия пользователей ПК.
Касаемо пункта "1.":
Обычно настраивается ограниченная учётка, ставятся дополнительные ограничения, ограничивается на ВСЁ (иногда сторонними решениями), что не нужно.
В плане утечек - запрещаете запуск USB-носителей на ПК (как именно запретить только носители информации, могу подсказать), и флешки будет бесполезно совать. Продумывается структуру сетевых папок, чтобы не было путей скинуть на 1 ПК, забрать на другом. Ограничивается интернет, чтобы не возможно было выстлать на почту или на файообменник и подключиться к тому, чему не нужно, и т.п. Т.е. чтобы были доступны только нужные ресурсы.
В этой статье описывается, как Windows Explorer обрабатывает разрешения файлов и папок в различных ситуациях.
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 310316
Сводка
В Microsoft Windows 2000, Windows Server 2003 и Windows XP у вас есть возможность использовать файловую систему FAT32 или файловую систему NTFS. При использовании NTFS вы можете предоставить разрешения папок и файлов для управления доступом к этим объектам. При копировании или перемещении файла или папки в томе NTFS в зависимости от того, копируется или перемещается объект в том же NTFS или в другой том, Windows Explorer обрабатывает разрешения на объекте.
Дополнительная информация
По умолчанию объект наследует разрешения от родительского объекта либо во время создания, либо при копировании или перемещении в родительную папку. Единственное исключение из этого правила возникает при переходе объекта в другую папку на том же томе. В этом случае исходные разрешения сохраняются.
Кроме того, обратите внимание на следующие правила:
Группе Everyone предоставляется разрешение на полный контроль корневого диска каждого диска NTFS.
Отказ в разрешении всегда имеет приоритет над разрешить разрешения.
Явные разрешения имеют приоритет над унаследованных разрешений.
Если разрешения NTFS конфликтуются, например, если разрешения групп и пользователей противоречивы, приоритет имеют наиболее либеральные разрешения.
Чтобы сохранить разрешения при копировании или перемещении файлов и папок, используйте Xcopy.exe с /O /X переключателем.
Первоначальные разрешения объекта будут добавлены к наследуемым разрешениям в новом расположении.
Чтобы добавить первоначальные разрешения объекта к наследуемым разрешениям при копировании или перемещение объекта, используйте Xcopy.exe с помощью и -O -X переключатели.
Чтобы сохранить существующие разрешения без добавления наследуемых разрешений из родительской папки, используйте утилиту Robocopy.exe, которая доступна в комплекте ресурсов 2000 Windows 2000.
Можно изменить, Windows Explorer обрабатывает разрешения при копировании или перемещении объектов в другой том NTFS. При копировании или перемещение объекта в другой том объект наследует разрешения новой папки. Однако если вы хотите изменить это поведение, чтобы сохранить исходные разрешения, измените реестр следующим образом.
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.
Найдите и нажмите клавишу реестра: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer .
В меню Редактирование нажмите кнопку Добавить значение, а затем добавьте следующее значение реестра:
- Имя значения: ForceCopyAclwithFile
- Тип данных: DWORD
- Данные значения: 1
Закройте редактор реестра.
Можно изменить, Windows Explorer обрабатывает разрешения при перемещении объектов в том же объеме NTFS. Как уже упоминалось, при перемещении объекта в том же объеме объект сохраняет свои разрешения по умолчанию. Однако если вы хотите изменить это поведение, чтобы объект наследовал разрешения родительской папки, измените реестр следующим образом:
Найдите и щелкните подки реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer .
В меню Редактирование нажмите кнопку Добавить значение, а затем добавьте следующее значение реестра:
- Имя значения: MoveSecurityAttributes
- Тип данных: DWORD
- Данные значения: 0
Закройте редактор реестра.
Убедитесь, что учетная запись пользователя, используемая для перемещения объекта, имеет набор разрешений на изменение. Если разрешение не установлено, отдай разрешение на изменение учетной записи пользователя.
Значение реестра MoveSecurityAttributes применяется только к Windows XP и Windows Server 2003. Значение не влияет на Windows 2000.
Как защитить конфиденциальную информацию компании? Такую как различные технические документы, чертежи, в общем базу знаний, которая копилась на протяжении долгих лет.
Методы бывают разные, от использования каких-то собственных решений, до приобретения продвинутых платных продуктов.
Так вот в данном видео я хотел бы поделиться одним способом защиты от утечки подобного рода документов, встроенными средствами операционной системы Windows.
План урока следующий:
- недостатки работы файлового ресурса
- разберем и настроим схему с доступом через RDP
- определимся с недостатками данной схемы
- 100% вариант защиты от утечки информации
Да, можно закрыть доступ к подключению флешек и отключить интернет, но, тогда пользователю будет довольно сложно выполнять свои обязанности, так как сейчас все очень плотно завязано на всемирной глобальной сети.
Так вот, недавно меня посетила одна интересная мысль, как можно решить данную задачу. И поможет нам в этом удаленный рабочий стол. Я покажу универсальный метод, который подходит как для сети с доменом, там и для одноранговой сети.
1) Убираем все доступы к нашему хранилищу документации (ПКМ \ Свойства \ Доступ \ Расширенная настройка \ Убираем галочку: Открыть общий доступ к этой папке \ ОК)
2) Создадим локального пользователя, под которым сотрудник будет получать доступ к файлам (Этот компьютер \ ПКМ \ Управление компьютером \ Локальные пользователи \ Пользователи \ ПКМ \ Новый пользователь \ Пользователь: doc \ Пароль \ Запретить смену пароля пользователем \ Срок действия пароля не ограничен \ Создать \ Закрыть)
3) Разрешаем подключение через удаленный рабочий стол по протоколу RDP (Этот компьютер \ Свойства \ Настройка удаленного доступа \ Разрешить удаленное подключение а этому компьютеру \ Электропитание \ Отключаем режим сна \ ОК \ Убираем галочку: Разрешить подключения только с проверкой подлинности \ Выбрать пользователей \ Добавить \ Размещение: Этот компьютер \ Пользователь: doc \ ОК \ ОК)
Запретим изменение файлов, чтобы с психа он не удалил документы или не внес какие-то изменения в техническую документацию. Да, бывают и такие сотрудники, когда их вроде как не справедливо увольняют. (Документация \ ПКМ \ Свойства \ Безопасность \ Дополнительно \ Изменить разрешения \ Удаляем лишние группы и пользователей \ Добавить \ Выберите субъект \ Размещение: Этот компьютер \ Пользователь: doc \ ОК \ ОК)
Проверим подключение через удаленный рабочий стол (Клиентский компьютер \ Пуск \ Удаленный рабочий стол \ Windows-10 \ Имя пользователя: Windows-10\doc \ Подключиться \ Создавать и удалять документы мы не можем)
Но, тут появляется ряд брешей, которыми могут воспользоваться. Если мы зайдем в параметры подключения к удаленному рабочему столу, то увидим, что в терминальный сеанс можно пробрасывать Принтеры, Буфер обмена, локальные диски и даже устройства которые буду подключены во время удаленного сеанса.
В итоге, мы можем просто скопировать файл и вставить его на наш компьютер, либо скопировать его на подключенный диск.
Поэтому данную систему нужно доработать!
Отключить проброс буфера обмена и подключение дисков можно через групповую политику (Windows-10 \ Логинимся под админом \ Win+R \ gpedit.msc \ Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Службы удалённых рабочих столов \ Узел сеансов удалённых рабочих столов \ Перенаправление устройств и ресурсов : Запрещаем все \ Перенаправление принтеров: Запрещаем все \ Win+R \ cmd \ gpupdate /force – применяем групповую политику)
Сохраняем файл rdp с нужными настройками (Подключение к удаленному рабочему столу \ Параметры \ Сохранить как… \ doc.rdp)
Подключаемся и видим, что теперь мы не можем через буфер обмена копировать файлы, а также отключились локальные диски от терминального сеанса.
Проще всего это сделать, убрав адрес шлюза из настроек сетевого подключения (Центр управления сетями и общим доступом \ Сетевое подключение \ Свойства \ IP версии 4 \ Свойства \ Шлюз \ Удаляем данные)
Проверяем доступ к интернет ресурсам (Win+R \ cmd \ ping 8.8.8.8 \ Сбой передачи)
Теперь необходимо назначить отдельного сотрудника, который будет отвечать за актуальность данных документов. Т.е. только один ответственный человек должен добавлять какие-либо документы на данный ресурс.
- скриншот экрана – можно снимать скриншотом данные с экрана, но, данный функционал можно отключить либо при помощи специального софта, либо через редактирование реестра. А лучше, повесить отправку уведомлений системному администратору, когда человек начинает слишком часто пользоваться кнопкой PrtScn. Так, мы сможем заранее определить не благонадежного сотрудника, пока он не придумал какой-то другой способ кражи.
Но, подобные уведомления настраиваются сторонним софтом.
- запись с экрана – можно записывать с экрана, но на это тоже можно настроить определенные ограничения, в любом случае у пользователя должны быть ограничены права на компьютере, чтобы он не смог устанавливать подобный софт.
- запись с телефона – он может сфотографировать или снять на видео то, что отображается на мониторе. Да, у всех телефоны не отберешь. Но, как вариант в одной компании мы делали следующим образом, база с архивом хранится на определенном компьютере на который была направленна видеокамера, записывающая в непрерывном формате. В таком случае, любые действия сотрудника записываются на видеокамеру и это дает очень хороший психологический эффект
Конечно же это не единственно возможный вариант, их может быть множество, в зависимости от различных бизнес процессов, функций сотрудника, удобства работы, схемы организации сети и других факторов.
Ну вот мы и перешли к самому интересному, это 100% вариант защиты информации от утечки.
А прикол в том, что такого варианта не существует, все ограничивается лишь желанием пользователя завладеть информацией. Лично на своем примере могу сказать, что, когда я учился и подрабатывал ночным охранником, у нас был комп с ограниченными правами. И чтобы не делал местный админ, мы всегда его взламывали, так как нам просто больше нечем было заняться, а сидеть 24 часа без компа тоже не совсем весело, учитывая то, что телефонов с интернетом и ютьюбчиком тогда не было.
Так что, все зависит от мотивации того, кто хочет взломать систему. Мы можем усложнить процесс утечки и ставить большее количество ловушек, чтобы на начальном этапе увидеть подозрительную активность и вычислить не благонадежного сотрудника, но на 100% вы все не закроете. Взять даже фильм про Сноудена, как он гениально вынес флешку с работы.
Как-то еще работал в одной конторе, не админом, а маркетологом. И руководство считало, что у них самая защищенная система в мире, поэтому даже позволяли местному сисадмину вести себя порой чересчур дерзко с пользователями и клиентами, мол у гениальных людей бывают недостатки. Однако, это никак не мешало мне приносить и уносить нужную информацию. Это никак не было связанно с их конфиденциальной информацией, просто в обеденное время я работал еще и над своими проектами.
Я даже знал, когда он подключается к моему монитору, чтобы отслеживать, что я делаю, так скажем катать компромат, для лишения премии и т.д.
Читайте также: