запрет на выгрузку файлов на файлообменник -> Форум на Исходниках.RU [Powered by Invision Power Board]

Версия для печати
Нажмите сюда для просмотра этой темы в оригинальном формате

Форум на Исходниках.RU > Windows > запрет на выгрузку файлов на файлообменник

Автор: v4567 27.02.18, 06:26

На работе возникла такая задача.
Необходимо запретить выкладывать файлы на файлообменники, но при этом разрешить использование интернета, причём без фильтрации сайтов. То есть сайты все разрешены, (в идеале ещё что бы можно было скачивать файлы из интернета), а вот выкладывать файлы на файлообменники что бы было нельзя.
Это связанно с воровством служебной документации, как прикрытие одного из способов воровства служебных документов, на ряду с другими способами - запрет usb - флешки, почта только разрешённым пользователям и т. д.
Как некоторые говорят, что это не проблема системного администратора, а проблема юридическая. Сотрудник подписывает соответствующие бумаги о неразглашении, но они не решают суть проблемы, ну подписал он бумаги, а сам взял и выложил в интернет документы, то кто надо скачал, потом удалили документы, аккаунты и пойди найди кто скачал и кто выложил.
Вопрос к форумчанам, как это можно реализовать? Может есть какие нибудь браузеры у которых есть такие настройки, что можно запретить вызов окна с файловой системой. То есть пользователь вошёл на файлообменник но окно на его компьютере с файловой системой не открывается. Понятно что тогда это окно не откроется даже если он захочет что нибудь скачать с интернета, но устроит и такой вариант, что бы вообще запретить с браузера открытие такого окна.
Запретить на сетевом фильтре шлюза файлообменники, не вариант, так как все не запретишь.
Можно полностью закрыть ftp протокол, но останутся файлообменники с веб-интерфейсом.
Один из вариантов решения такой задачи, это vnc сервер, на котором открывается только одна виндовая папка на виндовом сервере, она под паролем, пароль знают только пользователи которым разрешено этой папкой пользоваться, то есть у них есть разрешение на выкладывание файлов в интернет. Но vnc потребляет много ресурсов, с десяток пользователей заняли 20 Гб оперативки и 20 Гб файла подкачки, а если таких пользователе 100, это надо ставить 10 серверов vnc.... То же не совсем нормальное решение.
Я вижу решение в браузере в котором есть настройка запрещающая открытие окна с файлами, но я таких браузеров не знаю, может кто из форумчан знает подскажите пожалуйста. Или какие нибудь системные настройки в windows xp, windows 7, windows 10 которые позволять это реализовать.
За помощь заранее благодарен!

Автор: Pacific 27.02.18, 06:45

v4567
Технически это можно сделать только введением белого списка сайтов. Потому что скачать из интернета можно что угодно, в том числе то, что сольет все документы в автоматическом режиме. Тут проблема больше в самих пользователях (или руководстве фирмы), которые хотят это сделать вместо того, чтобы быть лояльными фирме.

Автор: Akina 27.02.18, 08:58

Всё это борьба с мельницами. На техническом уровне подобные запреты всё равно обходятся, причём не так уж и сложно (а хоть бы и отправкой по почте). Опять же всякие надстройки от файлообменников, или просто Drag-n-Drop... и перекрывать доступ к файловой системе бессмысленно - ничто не мешает пользователю сунуть файл для отправки в папку, скажем, кэша IE или в %Temp%... мне даже на глаза пару лет назад попадалась тулза, которая пересылала файл пингами (ICMP-туннель). В общем, кому надо - отправит, а ты ни ухом ни мордой...

Так что белый список сайтов - нормальное решение. Открывается пара десятков самых ходовых (те же, скажем, поисковики, но не связанные с ними веб-интерфейсы почты) да реально нужные по работе, а все остальные - по служебке с обоснованием.

Автор: Mr.Delphist 27.02.18, 10:11

Цитата Akina @ 27.02.18, 08:58

Так что белый список сайтов - нормальное решение. Открывается пара десятков самых ходовых (те же, скажем, поисковики, но не связанные с ними веб-интерфейсы почты)

Не обижайтесь, но... гугл у меня работает, но результаты поиска я открыть не смогу? ПрЭлестно, прЭлестно! (с)

Если стоИт задача предупредить утечку документов, то иначе как уровнем изоляции это не решается. Т.е. отдельно машина для интернета, и отдельно - машина для работы с секретными документами. Т.е. имеем защищённый контур сети, не связанынй с интернетом (и машины с заблокированными USB-и-всё-такое). Надо перенести что-то с интернетовской машины? Есть в защищённой сети спец-папочка для incoming files (доступная как read-only в защищённой сети, т.е. пробросить через неё наружу - ничего не выйдет).

Т.е. разруливать именно на уровне маршрутизации сети, чтобы даже попытка накатать малварь на защищённую машину ничего не дала в плане утечки наружу.

Автор: Akina 27.02.18, 11:05

Цитата Mr.Delphist @ 27.02.18, 10:11

гугл у меня работает, но результаты поиска я открыть не смогу? ПрЭлестно, прЭлестно! (с)

Если результат поиска находится на том сервере, который находится в белом списке - сможешь. Нет - значит, нет, пиши служебку. Или, если разрешено, смотри в гуглокэше.

Цитата Mr.Delphist @ 27.02.18, 10:11

иначе как уровнем изоляции это не решается

Это да... но с учётом наличия физического доступа к железу это тоже не окончательное решение. А стоимость защищённого от таких вывертов решения способна огорчить кого угодно...

Автор: cppasm 27.02.18, 14:28

Цитата Mr.Delphist @ 27.02.18, 10:11

Решение супер

А чувак прийдёт и с экрана на мобилу всё отфоткает.

Автор: ^D^ima 27.02.18, 14:58

Согласен с коллегами, что если у человека есть доступ к информации он ее унесет, есть миллионы способов.

Автор: Gonarh 27.02.18, 18:12

Элементарно нащёлкать экран на телефон, упаковать в архив, запаролить, переименовать, засунуть в глубины андроида. Всё.

Добавлено 27.02.18, 18:14
Затем распознать через OCR. И никак вы не защититесь от этого

Добавлено 27.02.18, 18:15
Если объект режимный, то шансы ещё есть. Административка + отдельный контур лвс/интернеты + отсутствие всяких разъёмов под носители + запреты телефонов + геркон на вскрытие корпуса + глушилка эфира. И то не факт.
Если не режимный, объясните руководству что административные задачи технически не решаются.

Добавлено 27.02.18, 18:18

Цитата cppasm @ 27.02.18, 14:28

А чувак прийдёт и с экрана на мобилу всё отфоткает.

Во

Автор: amk 27.02.18, 18:57

Цитата Gonarh @ 27.02.18, 18:12

+ запреты телефонов +

При том, что охрана даже режимного объекта не имеет права без оснований обыскивать человека на наличие запрещённых к проносу вещей, вроде телефонов или даже фотоаппаратов. Они осматривают только сумки. Можно поставить какой-нибудь детектор, но что мешает человеку воспользоваться древним китайским изобретением - бумагой, и немногим менее древней палочкой для письма - карандашом?

Автор: ArturoRhype 26.06.18, 19:57

У меня такая же проблема. Сделал всё как сказано но при двойном нажатии на файл Ассоциация файлов выдает ошибку " редактирование реестра запрещено администратором системы " помогите пожалуйста.

184.gif (, : 529)

Автор: amk 27.06.18, 16:36

Цитата ArturoRhype @ 26.06.18, 19:57

Прикреплённый файл

Зачем нужен этот маленький кадр из "Матрицы" на мониторе.

Цитата ArturoRhype @ 26.06.18, 19:57

при двойном нажатии на файл Ассоциация файлов выдает ошибку " редактирование реестра запрещено администратором системы "

Можно написать служебную администратору (кто там за групповые политики отвечает), пусть сам ассоциирует файлы. Оставить себе копию, и жаловаться начальству, что администрация сети мешает работать. Не исключено, если это попытка сделать что-то нарушающее режим, что за этим последует увольнение (если не что похуже).

Автор: Виталь 29.06.18, 00:14

Невозможно. Будут стенографировать в картинку и постить в инстаграм...