хочется странного 2

Andrew Kant написал(а) к Oleg Redut в Dec 17 08:20:43 по местному времени:

Нello Oleg!

Friday December 08 2017 12:08, Oleg Redut wrote to Eugene Muzychenko:

AM>>> только распечатывать, прошнуровывать и выдавать под роспись, как
AM>>> это делают военные с секретной документацией.

EM>> Как это спасет от фотокопирования?

OR> Вход в читальный зал через сканер.
А если мальчик с феноменальной памятью?

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Stukov Pavel написал(а) к Andrey Mundirov в Dec 17 11:23:36 по местному времени:

Привет, Andrey!

Ответ на сообщение Andrey Mundirov (2:5059/38) к Stukov Pavel, написанное 07 дек 17 в 20:02:

SP>> Понятно, что решений в сущности уйма, мониторинг траффика на
SP>> предмет пересылки живительной инфы, блокировка УСБ портов, и
SP>> разнообразное анальное огораживание вплоть до обысков на входе,
SP>> как это делают на разных Гознаках. Увы, не доросла контора до
SP>> такого пока. Вот и интересуюсь, как бы с имеющимся сделать так,
SP>> чтоб смотреть было можно, а спереть нет.
AM> При таком раскладе только распечатывать, прошнуровывать и выдавать под
AM> роспись, как это делают военные с секретной документацией.

Ну да, старая, добрая, бумажная бюрократия. :-)) Опечатанные несгораемые шкафы, охрана из пенсионеров ВОХР...

SP>> Пока из здравых идей, унести архив с инфой на отдельную машину,
SP>> напилить пачку терминальных юзверей, юзверям в терминале зарезать
SP>> всё и вся политиками. Жмякнули по иконке RDP, зашли на машину с
SP>> архивом, посмотрели чо надо, вышли. Но как-то неизящно, что ли...

AM> Вполне изящно. И относительно дешево по сравнению с DLP решениями.
AM> Можно даже буфер обмена отключить, чтобы ничего не скопипастили. На
AM> одном терминальном сервере заделать дыры всегда проще, чем на
AM> множестве пользовательских машин.

И вот тогда вопрос по делу. Есть ли возможность избирательно настроить буфер обмена в RDP? Ну то есть опять же, грубо говоря, чтоб документ целиком скопировать на локальную машину было нельзя, но элемент из открытого документа вполне через буфер копировался? То есть понятно, что буфер он и есть буфер, либо есть, либо нет, но мало ли, есть опять же какая то магия?

DLP системы например очень тонко работают с траффиком, и аггрятся только на конфиденциальную информацию. Так может и в таком случае как-то извернуться? Ну чтоб открыть документ, посмотреть, и утянуть какой нибудь узел для текущего проекта было можно, а отак, грубо и цинично, Ctrl+A Ctrl+C и вся база налево нельзя?

С уважением - Stukov
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)

Stukov Pavel написал(а) к Dmitri Kamenski в Dec 17 11:32:52 по местному времени:

Привет, Dmitri!

Ответ на сообщение Dmitri Kamenski (2:5023/24.1) к Stukov Pavel, написанное 07 дек 17 в 21:34:
SP>> Чёрт. Несколько раз перечитал, проверил, увы не догнал. Ну то
SP>> есть вот, я на шаре создаю папку. Ставлю на неё права только на
SP>> чтение + исполнение, как в случае с удаленным доступом, так и с
SP>> локальным для соответствующих пользователей. Пользователи, заходя
SP>> удаленно на шару, не могут переименовать, удалить, или перенести
SP>> эти файлы в рамках шары. Защита от дурака.
DK> Копирование является чтением с одного ресурса_ (сервера) + запись на
DK> другой_ (рабочая станция). Без запрета на чтение с сервера, невозможно
DK> осуществить запрет на изготовление копии, при условии что на локальном
DK> компьютере сотрудника разрешена запись.

Ну да, это собственно и было изначальной посылкой в треде. Запретить запись на локальной машине я не могу, а раз так, то право на чтение автоматически становится и правом на копирование.


С уважением - Stukov
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)

Stukov Pavel написал(а) к Sergey Kosaretskiy в Dec 17 11:36:06 по местному времени:

Привет, Sergey!

Ответ на сообщение Sergey Kosaretskiy (2:5020/830.25) к Stukov Pavel, написанное 07 дек 17 в 21:53:
SP>> зашел на шару, и запродать, грубо говоря, конкурентам. Защита от
SP>> вора нужна.

SP>> Вот и интересуюсь, как бы с имеющимся сделать так, чтоб смотреть
SP>> было можно, а спереть нет. Пока из здравых идей, унести архив с
SP>> инфой на отдельную машину, напилить пачку терминальных юзверей,
SP>> юзверям в терминале зарезать всё и вся политиками. Жмякнули по
SP>> иконке RDP, зашли на машину с архивом, посмотрели чо надо,
SK> сделали printscreen/фотку экpана мобильником.
SP>> вышли. Но как-то неизящно, что ли...
SK> и бесполезно.

Понятно, что на сто процентов не прикрыть, без комплекса мероприятий, но хоть сделать процесс тыринга максимально гиморным. Правда, тут, конечно возникает другой момент, не сделать слишком гиморным процесс использования искомого архива. :-))


С уважением - Stukov
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)

Stukov Pavel написал(а) к Oleg Levkin в Dec 17 11:41:44 по местному времени:

Привет, Oleg!

Ответ на сообщение Oleg Levkin (2:5053/56) к Stukov Pavel, написанное 07 дек 17 в 23:37:

OL> 2017 Stukov Pavel и All травили байки про хочется странного 2:
SP>> Приветствую, благородные доны.
OL> И тебе того же.
:-)) Это Фидо. Здесь таки, неистребимо особая атмосфера.

SP>> Грубо говоря, чтоб посмотреть могли, а спереть нет? Поправьте
SP>> меня, если ошибаюсь, просмотр неотделим от копирования?
OL> Не ошибаешься. Такие вещи решаются в бОльшей части административным
OL> регламентом (правила пользования ВТ, правила внутреннего трудового
OL> распорядка, подписка о неразглашении коммерческой тайны и т.п.) и в
OL> меньшей - техническими средствами (журналирование доступа, сбор логов
OL> с рабочих станций, политики разграничения пользования сменными
OL> носителями).

Тогда, если несложно, ткните носом, какую литературу покурить по этим вот вопросам:

>>журналирование доступа,
>>сбор логов с рабочих станций,
>>политики разграничения пользования сменными носителями



С уважением - Stukov
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)

Stukov Pavel написал(а) к Eugene Muzychenko в Dec 17 11:46:00 по местному времени:

Привет, Eugene!

Ответ на сообщение Eugene Muzychenko (2:5000/14) к Andrey Mundirov, написанное 08 дек 17 в 10:37:
AM>> только распечатывать, прошнуровывать и выдавать под роспись, как
AM>> это делают военные с секретной документацией.
EM> Как это спасет от фотокопирования?

Очевидно, что без комплекса мероприятий никак. Но собственно у меня тут не военный завод, просто крупная по меркам 5054 меркам проектная контора. Маловероятно, чтоб кто-то заморочится вот так прям, скриншотингом пары тысяч разнообразных чертежей. Но сотрудники привлеченные более зелеными полями, вполне встречаются.
Не берусь давать моральную оценку естественному желанию на прощание спилить по максимуму инфы из архива, но по долгу службы, соображаю как максимально затруднить реализацию сего желания.


ЗЫ. От завернул то :-)))

С уважением - Stukov
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)

Andrey Mundirov написал(а) к Eugene Muzychenko в Dec 17 16:43:32 по местному времени:

Здравствуй, Eugene!

Ответ на сообщение Eugene Muzychenko (2:5000/14) к Andrey Mundirov, написанное 08 дек 17 в 10:37:


AM>> только распечатывать, прошнуровывать и выдавать под роспись, как
AM>> это делают военные с секретной документацией.

EM> Как это спасет от фотокопирования?

Если уж начали мутить "секретную часть", то конечно же все устройства
надо сдавать на входе.

С наилучшими пожеланиями, Andrey

--- GoldED+/LNX 1.1.5-b20161221

Oleg Levkin написал(а) к Stukov Pavel в Dec 17 01:18:02 по местному времени:

Я рад пообщаться с тобой, Stukov!

Однажды, сидя за компутером и покуривая бамбук, увидел я как 08 Дек 2017 Stukov Pavel и я травили байки про Re: хочется странного 2:

[УНИЧТОЖИЛА ЯДРЁНАЯ БОМБА]

SP> Тогда, если несложно, ткните носом, какую литературу покурить по этим
SP> вот вопросам:
>>> журналирование доступа,
Встроенная справка Windows по групповым политикам. Здесь надо подходить с умом: выбирать что именно отслеживать, иначе получим просадку по производительности (когда выбирают отслеживать все успешные и неудачные события).

>>> сбор логов с рабочих станций,
Статья на английском:
https://technet.microsoft.com/en-us/.../cc748890.aspx

Статья на русском (с картинками):
http://mcp.su/windows-server-2008/ev...s-server-2008/

Пример скрипта для разбора журнала аудита:
https://habrahabr.ru/post/150149/

>>> политики разграничения пользования сменными носителями
Таже самая встроенная справка по групповым политикам (политика сменных носителей). Это в случае "грубой" защиты.
Тонкая настройка делается сторонними программами. Из обзора программ защиты сразу же рекомендую исключить DeviceLock DLP - на этой неделе на Хабре опубликовали статью про то, как обычный пользователь (даже не Advanced, и уж тем более не Administrator) может отключить эту программу (и соответственно получить неограниченный доступ к съемным носителям).

За SIMM прощаюсь, пишите письма
Oleg
ин зе хоум

Team [Квакеров&Думеров - Давить!] [Мультфильмы - RULEZ FOREVER!]

... Лапша - пища ПиАрщиков (с) К.Левкин
--- Принц Гадский/W32 1.1.5

Aleksey Matyuk написал(а) к Stukov Pavel в Dec 17 04:48:06 по местному времени:

../++==""^^~~ Привет, Stukov! ~~^^""==++\..
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

08 Дек 17 11:23, ты писал(а) Andrey Mundirov:


SP> И вот тогда вопрос по делу. Есть ли возможность избирательно настроить
SP> буфер обмена в RDP? Ну то есть опять же, грубо говоря, чтоб документ
SP> целиком скопировать на локальную машину было нельзя, но элемент из
SP> открытого документа

Элемент? Что такое "элемент"? Кусок текста? Но в таком случае можно как кусок текста скопировать и весь документ, будет большой такой кусок текста...
Как (по твоему предположению) система отличит - является ли выделенный фрагмент частью документа, или человек открыл документ, нажал Ctrl+A и пытается скопировать?

SP> вполне через буфер копировался? То есть понятно,
SP> что буфер он и есть буфер, либо есть, либо нет, но мало ли, есть опять
SP> же какая то магия?

Я не знаю, но у меня как-то раз был один глюк: при подключении по RDP буфер обмена работал не полностью: куски текста через него копировались,
а вот файлы скопировать - не получалось.

В свойствах подключения RDP стояла галка "буфер обмена",
но были сняты все остальные галки, которые касаются локальных устройств и дисков.

Я попробовал решить эту проблему так: в "локальных устройствах" поставил галку напротив одного из диска, чтобы он подключался в удалёнку и можно было скопировать файл на этот диск. Но вот что странно: подключённый диск уже не понадобился, так как после этого действия - буфер чудесным образом заработал полноценно (о как бывает!).

Сервер и клиент RDP находились в разных подсетях.

В случае их нахождения в одной подсети - таких глюков буфера не наблюдалось вообще.



WBR, Aleksey Matyuk E-mail: soft-cat@mail.ru
--- GoldED+/W32-MINGW 1.1.5-b20060703

Aleksandr Volosnikov написал(а) к Eugene Muzychenko в Dec 17 19:29:43 по местному времени:

Добpого вpемени суток, Eugene!
08 декабpя 17 года в 10:37 Eugene* *Muzychenko* писал в RU.WINDOWS.XP для *Andrey* *Mundirov с темой "хочется стpанного 2"

AM>> только pаспечатывать, пpошнуpовывать и выдавать под pоспись, как это
AM>> делают военные с секpетной документацией.
EM> Как это спасет от фотокопиpования?
Ты же говоpил, что у тебя была фоpма допуска. Или на твой объект pазpешалось пpоносить фототехнику?

За диакpитическим знаком над "е" пpава на жизнь не пpизнаю. IMCO
С наилучшими пожеланиями, Александp, IP-поинт из Куpгана
--- [!] [SIEMENS GSM] [SIEMENS DECT] [РЖД] [СБ РФ]