хочется странного 2

Stukov Pavel написал(а) к All в Dec 17 19:59:48 по местному времени:

Приветствую, благородные доны.

Сабж.
Дано: есть сетевая шара на базе Win 2016. В шаре валяется некоторое значительное количество живительной инфы. Права на редактирование и запись есть только у одного человека, право на просмотр есть у всех заинтересованных. Есть ли какая-то магия позволяющая отделить права на просмотр от прав на копирование? Грубо говоря, чтоб посмотреть могли, а спереть нет? Поправьте меня, если ошибаюсь, просмотр неотделим от копирования?



С уважением - Stukov
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)

Dmitry Bakhrov написал(а) к Stukov Pavel в Dec 17 00:22:36 по местному времени:

Пpиветствую, Stukov!

Как-то pаз Stukov Pavel писал к All:

SP> Есть ли какая-то магия
SP> позволяющая отделить права на просмотр от прав на копирование?

На компе, где лежат материалы, дать права людям, кто приходит по шаре только на просмотр папок/исполнение файлов, делать надо локально и с того компа, где оно лежит. локальный acl всегда перекроет удалённый.

Dmitry Bakhrov
...
--- EchoEdit 2.0

Stukov Pavel написал(а) к Dmitry Bakhrov в Dec 17 19:51:04 по местному времени:

Привет, Dmitry!

Ответ на сообщение Dmitry Bakhrov (2:5015/255.1) к Stukov Pavel, написанное 07 дек 17 в 00:22:

SP>> Есть ли какая-то магия
SP>> позволяющая отделить права на просмотр от прав на копирование?

DB> На компе, где лежат материалы, дать права людям, кто приходит по шаре
DB> только на просмотр папок/исполнение файлов, делать надо локально и с
DB> того компа, где оно лежит. локальный acl всегда перекроет удалённый.

Чёрт. Несколько раз перечитал, проверил, увы не догнал. Ну то есть вот, я на шаре создаю папку. Ставлю на неё права только на чтение + исполнение, как в случае с удаленным доступом, так и с локальным для соответствующих пользователей. Пользователи, заходя удаленно на шару, не могут переименовать, удалить, или перенести эти файлы в рамках шары. Защита от дурака.

Но ничего не мешает пользователю помимо того, чтобы просмотреть содержимое файла, тупо скопировать его к себе на комп, с которого зашел на шару, и запродать, грубо говоря, конкурентам. Защита от вора нужна.

Понятно, что решений в сущности уйма, мониторинг траффика на предмет пересылки живительной инфы, блокировка УСБ портов, и разнообразное анальное огораживание вплоть до обысков на входе, как это делают на разных Гознаках. Увы, не доросла контора до такого пока. Вот и интересуюсь, как бы с имеющимся сделать так, чтоб смотреть было можно, а спереть нет.

Пока из здравых идей, унести архив с инфой на отдельную машину, напилить пачку терминальных юзверей, юзверям в терминале зарезать всё и вся политиками. Жмякнули по иконке RDP, зашли на машину с архивом, посмотрели чо надо, вышли. Но как-то неизящно, что ли...

С уважением - Stukov
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)

Andrey Mundirov написал(а) к Stukov Pavel в Dec 17 20:02:58 по местному времени:

Здравствуй, Stukov!

Ответ на сообщение Stukov Pavel (2:5020/2141.461) к Dmitry Bakhrov, написанное 07 дек 17 в 19:51:

SP> Понятно, что решений в сущности уйма, мониторинг траффика на предмет
SP> пересылки живительной инфы, блокировка УСБ портов, и разнообразное
SP> анальное огораживание вплоть до обысков на входе, как это делают на
SP> разных Гознаках. Увы, не доросла контора до такого пока. Вот и
SP> интересуюсь, как бы с имеющимся сделать так, чтоб смотреть было можно,
SP> а спереть нет.

При таком раскладе только распечатывать, прошнуровывать и выдавать под роспись,
как это делают военные с секретной документацией.

SP> Пока из здравых идей, унести архив с инфой на отдельную машину,
SP> напилить пачку терминальных юзверей, юзверям в терминале зарезать всё
SP> и вся политиками. Жмякнули по иконке RDP, зашли на машину с архивом,
SP> посмотрели чо надо, вышли. Но как-то неизящно, что ли...

Вполне изящно. И относительно дешево по сравнению с DLP решениями. Можно даже
буфер обмена отключить, чтобы ничего не скопипастили. На одном терминальном
сервере заделать дыры всегда проще, чем на множестве пользовательских машин.

С наилучшими пожеланиями, Andrey

--- GoldED+/LNX 1.1.5-b20161221

Dmitri Kamenski написал(а) к Stukov Pavel в Dec 17 21:34:37 по местному времени:

Нi Stukov!

07 декабря 2017 19:51, Stukov Pavel писал Dmitry Bakhrov:

DB>> На компе, где лежат материалы, дать права людям, кто приходит по
DB>> шаре только на просмотр папок/исполнение файлов, делать надо
DB>> локально и с того компа, где оно лежит. локальный acl всегда
DB>> перекроет удалённый.

SP> Чёрт. Несколько раз перечитал, проверил, увы не догнал. Ну то есть
SP> вот, я на шаре создаю папку. Ставлю на неё права только на чтение +
SP> исполнение, как в случае с удаленным доступом, так и с локальным для
SP> соответствующих пользователей. Пользователи, заходя удаленно на шару,
SP> не могут переименовать, удалить, или перенести эти файлы в рамках
SP> шары. Защита от дурака.

Копирование является чтением с одного ресурса_ (сервера) + _запись на другой (рабочая станция). Без запрета на чтение с сервера, невозможно осуществить запрет на изготовление копии, при условии что на локальном компьютере сотрудника разрешена запись.

SP> Но ничего не мешает пользователю помимо того, чтобы просмотреть
SP> содержимое файла, тупо скопировать его к себе на комп, с которого
SP> зашел на шару, и запродать, грубо говоря, конкурентам. Защита от вора
SP> нужна.

Bye Stukov!

--- BBS telnet | NEWS nntp | FECНO ftp | WEB http | wfido.ru

Sergey Kosaretskiy написал(а) к Stukov Pavel в Dec 17 21:53:58 по местному времени:

Нello Stukov!

Thursday December 07 2017 19:51, Stukov Pavel sent a message to Dmitry Bakhrov:

SP> Но ничего не мешает пользователю помимо того, чтобы просмотреть содержимое
SP> файла, тупо скопировать его к себе на комп, с которого зашел на шару, и
SP> запродать, грубо говоря, конкурентам. Защита от вора нужна.
SP>
SP> Понятно, что решений в сущности уйма, мониторинг траффика на предмет
SP> пересылки живительной инфы, блокировка УСБ портов, и разнообразное
SP> анальное огораживание вплоть до обысков на входе, как это делают на разных
SP> Гознаках. Увы, не доросла контора до такого пока.

тогда никак. совсем.

SP> Вот и интересуюсь, как бы с имеющимся сделать так, чтоб смотреть
SP> было можно, а спереть нет. Пока из здравых идей, унести архив с инфой
SP> на отдельную машину, напилить пачку терминальных юзверей, юзверям в
SP> терминале зарезать всё и вся политиками. Жмякнули по иконке RDP,
SP> зашли на машину с архивом, посмотрели чо надо,

сделали printscreen/фотку экpана мобильником.

SP> вышли. Но как-то неизящно, что ли...

и бесполезно.

■ Exit light, Enter night...
See you,
Сергей.

--- GoldED/2 2.50.Beta5+

Oleg Levkin написал(а) к Stukov Pavel в Dec 17 23:37:54 по местному времени:

Я рад пообщаться с тобой, Stukov!

Однажды, сидя за компутером и покуривая бамбук, увидел я как 06 Дек 2017 Stukov Pavel и All травили байки про хочется странного 2:
SP> Приветствую, благородные доны.
И тебе того же.

SP> Дано: есть сетевая шара на базе Win 2016. В шаре валяется некоторое
SP> значительное количество живительной инфы. Права на редактирование и запись
SP> есть только у одного человека, право на просмотр есть у всех
SP> заинтересованных. Есть ли какая-то магия позволяющая отделить права на
SP> просмотр от прав на копирование? Грубо говоря, чтоб посмотреть могли, а
SP> спереть нет? Поправьте меня, если ошибаюсь, просмотр неотделим от
SP> копирования?
Не ошибаешься. Такие вещи решаются в бОльшей части административным регламентом (правила пользования ВТ, правила внутреннего трудового распорядка, подписка о неразглашении коммерческой тайны и т.п.) и в меньшей - техническими средствами (журналирование доступа, сбор логов с рабочих станций, политики разграничения пользования сменными носителями).

За SIMM прощаюсь, пишите письма
Oleg
ин зе хоум

Team [Квакеров&Думеров - Давить!] [Мультфильмы - RULEZ FOREVER!]

... Лапша - пища ПиАрщиков (с) К.Левкин
--- FidoNet обарзеватель/W32 1.1.5

Victor Sudakov написал(а) к Stukov Pavel в Dec 17 06:53:18 по местному времени:

Dear Stukov,

07 Dec 17 23:37, Oleg Levkin wrote to you:
OL> Не ошибаешься. Такие вещи решаются в бОльшей части административным
OL> регламентом (правила пользования ВТ, правила внутреннего трудового
OL> распорядка, подписка о неразглашении коммерческой тайны и т.п.) и в
OL> меньшей - техническими средствами (журналирование доступа, сбор логов
OL> с рабочих станций, политики разграничения пользования сменными
OL> носителями).

Есть системы, которые персонализируют показываемые документы в зависимости от того, кто аутентифицировался перед просмотром. Например вставляют малозаметные точечки, или буквы сдвигают уникальным образом и т.п. Это не мешает сфотографировать на телефон и т.п., но в случае утечки документа можно хотя бы предположить, через кого она произошла. Не знаю, есть ли реальный прок, но наверное есть: пользователь знает, что хотя бы теоретически скопировавшего можно вычислить.

Я имел дело c такой, сделана в виде браузерного плагина на Java.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Eugene Muzychenko написал(а) к Andrey Mundirov в Dec 17 10:37:49 по местному времени:

Привет!

07 Dec 17 20:02, you wrote to Stukov Pavel:

AM> только распечатывать, прошнуровывать и выдавать под роспись, как это
AM> делают военные с секретной документацией.

Как это спасет от фотокопирования?

Всего доброго!
Евгений Музыченко
eu-gene@muzy-chen-ko.net (все дефисы убрать)

--- GoldED+/W32-MSVC 1.1.5-b20170303

Oleg Redut написал(а) к Eugene Muzychenko в Dec 17 12:08:30 по местному времени:

Доброе (current) время суток, Eugene!

AM>> только распечатывать, прошнуровывать и выдавать под роспись, как
AM>> это делают военные с секретной документацией.

EM> Как это спасет от фотокопирования?

Вход в читальный зал через сканер.

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MSVC 1.1.5-b20161221 (пока работает)