Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > Операционные системы > Windows
Регистрация

Восстановить пароль
Повторная активизация e-mail

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 27.02.2018, 09:27   #1
v4567
Пользователь
 
Регистрация: 06.07.2008
Сообщений: 91
По умолчанию запрет на выгрузку файлов на файлообменник

На работе возникла такая задача.
Необходимо запретить выкладывать файлы на файлообменники, но при этом разрешить использование интернета, причём без фильтрации сайтов. То есть сайты все разрешены, (в идеале ещё что бы можно было скачивать файлы из интернета), а вот выкладывать файлы на файлообменники что бы было нельзя.
Это связанно с воровством служебной документации, как прикрытие одного из способов воровства служебных документов, на ряду с другими способами - запрет usb - флешки, почта только разрешённым пользователям и т. д.
Как некоторые говорят, что это не проблема системного администратора, а проблема юридическая. Сотрудник подписывает соответствующие бумаги о неразглашении, но они не решают суть проблемы, ну подписал он бумаги, а сам взял и выложил в интернет документы, то кто надо скачал, потом удалили документы, аккаунты и пойди найди кто скачал и кто выложил.
Вопрос к форумчанам, как это можно реализовать? Может есть какие нибудь браузеры у которых есть такие настройки, что можно запретить вызов окна с файловой системой. То есть пользователь вошёл на файлообменник но окно на его компьютере с файловой системой не открывается. Понятно что тогда это окно не откроется даже если он захочет что нибудь скачать с интернета, но устроит и такой вариант, что бы вообще запретить с браузера открытие такого окна.
Запретить на сетевом фильтре шлюза файлообменники, не вариант, так как все не запретишь.
Можно полностью закрыть ftp протокол, но останутся файлообменники с веб-интерфейсом.
Один из вариантов решения такой задачи, это vnc сервер, на котором открывается только одна виндовая папка на виндовом сервере, она под паролем, пароль знают только пользователи которым разрешено этой папкой пользоваться, то есть у них есть разрешение на выкладывание файлов в интернет. Но vnc потребляет много ресурсов, с десяток пользователей заняли 20 Гб оперативки и 20 Гб файла подкачки, а если таких пользователе 100, это надо ставить 10 серверов vnc.... То же не совсем нормальное решение.
Я вижу решение в браузере в котором есть настройка запрещающая открытие окна с файлами, но я таких браузеров не знаю, может кто из форумчан знает подскажите пожалуйста. Или какие нибудь системные настройки в windows xp, windows 7, windows 10 которые позволять это реализовать.
За помощь заранее благодарен!
v4567 вне форума Ответить с цитированием
Старый 27.02.2018, 09:46   #2
waleri
Старожил
 
Регистрация: 13.07.2012
Сообщений: 6,493
По умолчанию

Цитата:
Сообщение от v4567 Посмотреть сообщение
она под паролем, пароль знают только пользователи которым разрешено этой папкой пользоваться
Вообще-то это можно решить штатными средствами операционки, но это не решит проблемы, когда документ выкладывает тот, кто с ним работает.
Ваш единственный шанс это анализ трафика и перекрытия всех неизвестных протоколов. Еще можно физически разделить локальную сеть , где лежат документы, и Интернет.

С другой стороны, даже если перекроете все, я просто сфоткаю документ на телефон и все.
waleri вне форума Ответить с цитированием
Старый 27.02.2018, 10:46   #3
min@y™
Цифровой кот
Старожил
 
Аватар для min@y™
 
Регистрация: 29.08.2014
Сообщений: 7,656
По умолчанию

Цитата:
Необходимо запретить выкладывать файлы на файлообменники, но при этом разрешить использование интернета, причём без фильтрации сайтов. То есть сайты все разрешены, (в идеале ещё что бы можно было скачивать файлы из интернета), а вот выкладывать файлы на файлообменники что бы было нельзя.
Это невозможно в принципе.
Расскажу я вам, дружочки, как выращивать грибочки: нужно в поле утром рано сдвинуть два куска урана...
min@y™ вне форума Ответить с цитированием
Старый 27.02.2018, 10:50   #4
v4567
Пользователь
 
Регистрация: 06.07.2008
Сообщений: 91
По умолчанию

Цитата:
Вообще-то это можно решить штатными средствами операционки, но это не решит проблемы, когда документ выкладывает тот, кто с ним работает.
Сделать полный запрет на работу с файлом, тогда и выложить его не получится, правильно я понимаю?
Если да, то не подходит.

Цитата:
Ваш единственный шанс это анализ трафика и перекрытия всех неизвестных протоколов.
Это наверное практически не реально сделать.

Цитата:
Еще можно физически разделить локальную сеть , где лежат документы, и Интернет.
Не получится так как с компьютера с которого должна быть видна локальная сеть, должен быть виден и интернет. Даже если поставить на рабочий компьютер две сетёвки и запретить форвардинг на этом компьютере. То можно файлы с локальной сети скинуть на этот компьютер, а с компьютера уже скинуть в интернет. Если так то тогда надо запретить скидывание файлов с локальной сети на этот компьютер.

Цитата:
С другой стороны, даже если перекроете все, я просто сфоткаю документ на телефон и все.
Это уже другой вопрос, можно изымать телефоны на входе - на охране и отдавать при выходе, но то же полумера, сотрудник может спрятать второй телефон и его не отдать.
v4567 вне форума Ответить с цитированием
Старый 27.02.2018, 11:14   #5
Pavia
Лис
Старожил
 
Аватар для Pavia
 
Регистрация: 18.09.2015
Сообщений: 2,409
По умолчанию

v4567
Вам всего лишь нужен межсетевой экран с функций глубиннго анализа трафика.
Гуглить по IDS, IPS
Вот что первое попалось в гугле:
https://www.sonicwall.com/en-us/supp...70505852676491
Хорошо поставленный вопрос это уже половина ответа. | Каков вопрос, таков ответ.
У дзен программиста программа делает то что он хотел, а не то что он написал .
Pavia вне форума Ответить с цитированием
Старый 27.02.2018, 11:18   #6
min@y™
Цифровой кот
Старожил
 
Аватар для min@y™
 
Регистрация: 29.08.2014
Сообщений: 7,656
По умолчанию

Да херня это всё. Если у юзера есть файл на компе, то при надобности он его 1хрен вынесет. Хоть ты тресни.
Расскажу я вам, дружочки, как выращивать грибочки: нужно в поле утром рано сдвинуть два куска урана...
min@y™ вне форума Ответить с цитированием
Старый 27.02.2018, 11:18   #7
waleri
Старожил
 
Регистрация: 13.07.2012
Сообщений: 6,493
По умолчанию

Цитата:
Сообщение от v4567 Посмотреть сообщение
Сделать полный запрет на работу с файлом,
Давать доступ только кому надо.
Цитата:
Сообщение от v4567 Посмотреть сообщение
Это наверное практически не реально сделать.
Реально, люди делают.
Даже если не найти готового решения до допилить какой нибудь прокси сервер на предмет запрета закачки файлов - вполне реально.

Цитата:
Сообщение от v4567 Посмотреть сообщение
Не получится так как с компьютера с которого должна быть видна локальная сеть, должен быть виден и интернет
Вполне хватит двух сетевых карт и разграничением прав доступа.
Если надо очень секьюрно - поставьте два компьютера.
На том что в локальной сети - запрет на флешки.
Если надо перекидывать данные - только доверенные лица и с доступом только для записи.
waleri вне форума Ответить с цитированием
Старый 27.02.2018, 11:40   #8
min@y™
Цифровой кот
Старожил
 
Аватар для min@y™
 
Регистрация: 29.08.2014
Сообщений: 7,656
По умолчанию

Щас ещё и окажется, что локальная сеть - это ВНЕЗАПНО WiFi...
Да, чувак?
Расскажу я вам, дружочки, как выращивать грибочки: нужно в поле утром рано сдвинуть два куска урана...
min@y™ вне форума Ответить с цитированием
Старый 27.02.2018, 21:03   #9
pu4koff
Старожил
 
Аватар для pu4koff
 
Регистрация: 22.05.2007
Сообщений: 9,520
По умолчанию

Какой странный подход к безопасности секретных данных.
Так не бывает, что всем всё можно, но никто ничего не стащил.
В итоге обойдут ограничения при помощи домашнего VPN, какой-нибудь прокси и т.д. и т.п. Да банально откроют секретный файл в hex-редакторе и будут себе письма писать с кусками файла в виде текста, а дома склеят.
Если уж так хочется всем интернет дать, тогда уж на сервак не скупиться.
Поднять, например, терминальный сервер, опубликовать через какой-нибудь RemoteApp любимый браузер, сервер отрезать от локалки, а компы все от интернета. Пущай сёрфят в сети с компа, который доступа к секретным данным в принципе не имеет. Но оперативки таки много понадобится, браузеры сейчас прожорливые.
pu4koff вне форума Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Запрет кеширование конкретных файлов браузером Illusiony PHP 15 16.10.2015 12:55
Запрет на сохранение и закрытие производных файлов Salta-301 Microsoft Office Excel 0 10.04.2015 11:36
Запрет на запуск *.exe файлов из Opera octoplar Безопасность, Шифрование 3 18.01.2015 09:24
Отправка файлов на файлообменник (Delphi) babka_s_metloi Помощь студентам 6 03.03.2012 14:46
Запрет на скачивания торрет файлов serres Безопасность, Шифрование 1 16.11.2010 15:48