שלום לכולם,

ברצוני לנהל תיקייה "Raed only" ברשת על גבי שרת קבצים מבוסס Windows, באמצעות הרשאות NTFS וכולי, עד כאן הכל טוב וברור

אממה.. איני רוצה שאפשר יהיה להעתיק את החומרים מן התיקייה הזו לא לנתיבים אחרים ברשת ולא למדיה נתיקה.

האם יש פיתרון פשוט לכך?

תודה רבה,

סימה

על איזה שרת (מערכת הפעלה) זה מאורח?

בעולם חלונות (סביר להניח שאולי יש פתרון בעולם הקוד הפתוח) אין כזה דבר.

קריאה משמעותה העתקה, במיוחד כשמדובר במערכת ההרשאות של קבצים של חלונות.

ניתן ליישם active directory right management, אבל זה מצריך ידע.

ניתן לחסום כתיבה להתקנים ניידים, או למנוע קריאה. או אם מדובר באופיס אז להטמיע SharePoint וגם adrms.

זה לא פשוט ליישם... מציע שתשקול פתרון אחר.או שתשתף את הבעיה.

2003 Server R2

אני לא רוצה למנוע כתיבה להתקנים ניידים באופן כללי, אך ורק מתיקייה מסויימת.

והטמעת Share point בשביל עניין כל כך "פעוט"..

אין איזו תוכנת צד שלישי שתוכל לעשות את זה בשבילי? משהו כמו "כספת וירטואלית"? (שם מצחיק, אני יודעת -פשוט זוכרת משהו כזה מתקופת הצבא)

גם כספת, אחרי אימות משתמש תאפשר העתקה, קריאה בבסיס מאפשרת העתקה.

לא אפשרי ברמת NTFS.

עצם העובדה שהתוכן נטען לRAM מאפשר להעתיק אותו לאנשהו.

ב 2003 R2 אין שום פתרון לבעיות מהסוג הזה.

התוכן אמור להיות מופעל בצד שרת ולא צד לקוח וצריך לקוות שלא יהיה ניתן פשוט לבצע screen capture בצד לקוח.

TERMINAL SERVER, זה אולי פתרון.

איך כן אם לא ברמת הNTFS?

איך בTerminal server? הרי משתמש שעושה Login -יכול להעתיק לכל מיפוי שיבחר להעתיק אליו (כונן רשת / מיפוי על המחשב שלו)

אפשר למנוע CLIPBOARD \ כוננים

http://technet.microsoft.com/en-us/library/cc775863%28v=ws.10%29.aspx

אבל בגדול - אם מידע ניתן לקריאה הוא ניתן גם להעתקה

את יכול להקשות על העתקה - אבל למנוע - "תשכחי מזה" (אני אשב עם מצלמה שהבאתי בתיק ואצלם את החומר... תנסי למנוע את זה...)

NTFS, זה בדיוק הבעיה. לא ניתן בNTFS. רשמתי על ADRMS או SP שיעזרו לגבי סוגי קבצים ספציפים. לגבי TS בטח שניתן, הTS יוכל לגשת לקבצים אבל לא תהיה לו גישה לשאר הרשת, הם יוכלו להעתיק מקומית כמובן, אבל לא לרשת ולא להתקנים. וכמובן לא יוכלו להעתיק מהTS אל המחשב המקומי שלהם דרך קליפבורד.

אם יש אנטיוירוס עסקי בחברה - אני יודע שיש פתרונות לכך ברמת האנטיוירוס - לפחות באנטיוירוס אחד שאני מכיר (מקאפי) יש דבר שנקרא DLP, ואת יכולה לאמר באמצעות הDLP שלא יהיה אפשר להוציא נתונים מתוך תיקייה או אפילו מסמך שרשום שם מאפיין מסויים (כמו תעודת זהות לדוגמא) - אומנם לא הטמעתי לעולם את הפתרון הזה אז יכול להיות שהוא מוטמע באנטיוירוס עצמו או שיש AGENT מסויים שצריכים להתקין במחשבים ולמנוע למשתמשים הרגילים גישה אליו .

בהנחה שאין לך אנטיוירוס מקאפי - את יכולה לבדוק עם חברת האנטיוירוס שקשורה אליכם אם יש פתרון דומה שאפשר להטמיע בלי יותר מידי כאב ראש - אולי זאת תהיה אופציה שתתאים לך .

^ מעניין. מישהו יודע אם הדבר באמת עובד ?

לגבי TS בטח שניתן, הTS יוכל לגשת לקבצים אבל לא תהיה לו גישה לשאר הרשת, הם יוכלו להעתיק מקומית כמובן, אבל לא לרשת ולא להתקנים. וכמובן לא יוכלו להעתיק מהTS אל המחשב המקומי שלהם דרך קליפבורד.

הכל בהנחה שה TS ממש מבודד מכל השאר. אם יש מה TS גישה לדואר לדוגמה, אז הוא פשוט יכול לשלוח את הקובץ לעצמו.

לצורך העניין הרעיון שלך אומר ליצור רשת נפרדת לחלוטין שמנותקת מהרשת הרגילה ומהאינטרנט. ורק פורט 3389 פתוח, עבור התחברות ב RDP מכיוון הרשת הרגילה.

^ מעניין. מישהו יודע אם הדבר באמת עובד ?

עובד .

אצלי מסתיים עוד מעט פיילוט של הDLP ובקרוב יהפוך לנחלת כלל המשתמשים בAD.

איך זה עובד? איך ניגשים לתיקיה ומה קורה כשמנסים להעתיק? או נגיד כאשר פותחים מסמך וורד מאותה תיקיה, מה מונע מהמשתמש לשמור את אותו מסמך במיקום אחר ?

- - - תגובה אוחדה: - - -

דבר נוסף, מדובר בפיתרון נפרד ממוצר ה AV שלהם, לא ? זאת אומרת, ניתן להתקין בנוסף לפיתרון AV אחר?

ניתן לבצע חסימת התקנים איתו וגם לחסום ולאפשר תנאים מסויימים ברמת קבצים כגון דוגמת קובץ הוורד שנתת, אני יכול לאפשר לך לראות את הקובץ אבל לא להעתיק אותו ואפילו לא לאפשר לך לעשות print screen. ניתן להחיל הרשאות הן ברמת משתמש והן ברמת מחשב.

מה קורה בפועל מאחורי הקלעים? לא ירדתי לרמה הזאת. אנסה לבדוק מול אנשי מקאפי.

הרישוי הוא נפרד מהרישוי הבסיסי.