На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! Правила раздела Windows
1. Указывайте версию Вашей ОС.
2. Запрещается размещать запросы и ссылки на кряки, серийники и т.п., а также вопросы нарушения лицензии ПО и его взлома.
3. Не разрешается давать советы из разряда "Поставь Linux".
4. Переустановка ОС - крайнее и безотказное лекарство, которое знают все. В таких советах никто не нуждается.
5. При публикации скриптов пользоваться тегами code. Тип подсветки кода выбирать строго в соответствии с языком публикуемого кода.
6. Прежде чем задать вопрос, обязательно загляните в FAQ и следуйте написанным рекомендациям для устранения проблемы. И если не помогло, а поиск по разделу не дал результатов - только тогда задавайте вопрос на форуме.
7. Вопросы, связанные с проблемами ПО, задавайте в разделе Программное обеспечение
Модераторы: Akina
  
> запрет на выгрузку файлов на файлообменник
    На работе возникла такая задача.
    Необходимо запретить выкладывать файлы на файлообменники, но при этом разрешить использование интернета, причём без фильтрации сайтов. То есть сайты все разрешены, (в идеале ещё что бы можно было скачивать файлы из интернета), а вот выкладывать файлы на файлообменники что бы было нельзя.
    Это связанно с воровством служебной документации, как прикрытие одного из способов воровства служебных документов, на ряду с другими способами - запрет usb - флешки, почта только разрешённым пользователям и т. д.
    Как некоторые говорят, что это не проблема системного администратора, а проблема юридическая. Сотрудник подписывает соответствующие бумаги о неразглашении, но они не решают суть проблемы, ну подписал он бумаги, а сам взял и выложил в интернет документы, то кто надо скачал, потом удалили документы, аккаунты и пойди найди кто скачал и кто выложил.
    Вопрос к форумчанам, как это можно реализовать? Может есть какие нибудь браузеры у которых есть такие настройки, что можно запретить вызов окна с файловой системой. То есть пользователь вошёл на файлообменник но окно на его компьютере с файловой системой не открывается. Понятно что тогда это окно не откроется даже если он захочет что нибудь скачать с интернета, но устроит и такой вариант, что бы вообще запретить с браузера открытие такого окна.
    Запретить на сетевом фильтре шлюза файлообменники, не вариант, так как все не запретишь.
    Можно полностью закрыть ftp протокол, но останутся файлообменники с веб-интерфейсом.
    Один из вариантов решения такой задачи, это vnc сервер, на котором открывается только одна виндовая папка на виндовом сервере, она под паролем, пароль знают только пользователи которым разрешено этой папкой пользоваться, то есть у них есть разрешение на выкладывание файлов в интернет. Но vnc потребляет много ресурсов, с десяток пользователей заняли 20 Гб оперативки и 20 Гб файла подкачки, а если таких пользователе 100, это надо ставить 10 серверов vnc.... То же не совсем нормальное решение.
    Я вижу решение в браузере в котором есть настройка запрещающая открытие окна с файлами, но я таких браузеров не знаю, может кто из форумчан знает подскажите пожалуйста. Или какие нибудь системные настройки в windows xp, windows 7, windows 10 которые позволять это реализовать.
    За помощь заранее благодарен!
      v4567
      Технически это можно сделать только введением белого списка сайтов. Потому что скачать из интернета можно что угодно, в том числе то, что сольет все документы в автоматическом режиме. Тут проблема больше в самих пользователях (или руководстве фирмы), которые хотят это сделать вместо того, чтобы быть лояльными фирме.
        Всё это борьба с мельницами. На техническом уровне подобные запреты всё равно обходятся, причём не так уж и сложно (а хоть бы и отправкой по почте). Опять же всякие надстройки от файлообменников, или просто Drag-n-Drop... и перекрывать доступ к файловой системе бессмысленно - ничто не мешает пользователю сунуть файл для отправки в папку, скажем, кэша IE или в %Temp%... мне даже на глаза пару лет назад попадалась тулза, которая пересылала файл пингами (ICMP-туннель). В общем, кому надо - отправит, а ты ни ухом ни мордой...

        Так что белый список сайтов - нормальное решение. Открывается пара десятков самых ходовых (те же, скажем, поисковики, но не связанные с ними веб-интерфейсы почты) да реально нужные по работе, а все остальные - по служебке с обоснованием.
          Цитата Akina @
          Так что белый список сайтов - нормальное решение. Открывается пара десятков самых ходовых (те же, скажем, поисковики, но не связанные с ними веб-интерфейсы почты)


          Не обижайтесь, но... гугл у меня работает, но результаты поиска я открыть не смогу? ПрЭлестно, прЭлестно! (с) :D

          Если стоИт задача предупредить утечку документов, то иначе как уровнем изоляции это не решается. Т.е. отдельно машина для интернета, и отдельно - машина для работы с секретными документами. Т.е. имеем защищённый контур сети, не связанынй с интернетом (и машины с заблокированными USB-и-всё-такое). Надо перенести что-то с интернетовской машины? Есть в защищённой сети спец-папочка для incoming files (доступная как read-only в защищённой сети, т.е. пробросить через неё наружу - ничего не выйдет).

          Т.е. разруливать именно на уровне маршрутизации сети, чтобы даже попытка накатать малварь на защищённую машину ничего не дала в плане утечки наружу.
            Цитата Mr.Delphist @
            гугл у меня работает, но результаты поиска я открыть не смогу? ПрЭлестно, прЭлестно! (с)

            Если результат поиска находится на том сервере, который находится в белом списке - сможешь. Нет - значит, нет, пиши служебку. Или, если разрешено, смотри в гуглокэше.
            Цитата Mr.Delphist @
            иначе как уровнем изоляции это не решается

            Это да... но с учётом наличия физического доступа к железу это тоже не окончательное решение. А стоимость защищённого от таких вывертов решения способна огорчить кого угодно...
              Цитата Mr.Delphist @
              Если стоИт задача предупредить утечку документов, то иначе как уровнем изоляции это не решается. Т.е. отдельно машина для интернета, и отдельно - машина для работы с секретными документами. Т.е. имеем защищённый контур сети, не связанынй с интернетом (и машины с заблокированными USB-и-всё-такое). Надо перенести что-то с интернетовской машины? Есть в защищённой сети спец-папочка для incoming files (доступная как read-only в защищённой сети, т.е. пробросить через неё наружу - ничего не выйдет).

              Т.е. разруливать именно на уровне маршрутизации сети, чтобы даже попытка накатать малварь на защищённую машину ничего не дала в плане утечки наружу.

              Решение супер ;)
              А чувак прийдёт и с экрана на мобилу всё отфоткает.
                Согласен с коллегами, что если у человека есть доступ к информации он ее унесет, есть миллионы способов.
                  Элементарно нащёлкать экран на телефон, упаковать в архив, запаролить, переименовать, засунуть в глубины андроида. Всё.

                  Добавлено
                  Затем распознать через OCR. И никак вы не защититесь от этого

                  Добавлено
                  Если объект режимный, то шансы ещё есть. Административка + отдельный контур лвс/интернеты + отсутствие всяких разъёмов под носители + запреты телефонов + геркон на вскрытие корпуса + глушилка эфира. И то не факт.
                  Если не режимный, объясните руководству что административные задачи технически не решаются.

                  Добавлено
                  Цитата cppasm @
                  А чувак прийдёт и с экрана на мобилу всё отфоткает.

                  Во
                  Сообщение отредактировано: Gonarh -
                    Цитата Gonarh @
                    + запреты телефонов +
                    При том, что охрана даже режимного объекта не имеет права без оснований обыскивать человека на наличие запрещённых к проносу вещей, вроде телефонов или даже фотоаппаратов. Они осматривают только сумки. Можно поставить какой-нибудь детектор, но что мешает человеку воспользоваться древним китайским изобретением - бумагой, и немногим менее древней палочкой для письма - карандашом?
                      У меня такая же проблема. Сделал всё как сказано но при двойном нажатии на файл Ассоциация файлов выдает ошибку " редактирование реестра запрещено администратором системы " помогите пожалуйста.
                      Прикреплённый файлПрикреплённый файл184.gif (3,55 Кбайт, скачиваний: 526)
                        Цитата ArturoRhype @
                        Прикреплённый файл
                        Зачем нужен этот маленький кадр из "Матрицы" на мониторе.
                        Цитата ArturoRhype @
                        при двойном нажатии на файл Ассоциация файлов выдает ошибку " редактирование реестра запрещено администратором системы "
                        Можно написать служебную администратору (кто там за групповые политики отвечает), пусть сам ассоциирует файлы. Оставить себе копию, и жаловаться начальству, что администрация сети мешает работать. Не исключено, если это попытка сделать что-то нарушающее режим, что за этим последует увольнение (если не что похуже).
                          Невозможно. Будут стенографировать в картинку и постить в инстаграм...
                          0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                          0 пользователей:


                          Рейтинг@Mail.ru
                          [ Script execution time: 0,0426 ]   [ 18 queries used ]   [ Generated: 19.03.24, 09:47 GMT ]