Firemná sieť: ako zabrániť kopírovaniu súborov?
Ahoj všetkým. Najprv by som chcel podotktnúť, že nie som sieťovým guru a ani administrátor sietí. 
Potreboval by som nejakým spôsobom zamedziť kopírovaniu "citlivých" údajov z vnútropodnikového serveru.
Situácia - Firemná sieť: Server Windows 2003, klienti/pracovníci sa pripájajú na server cez doménu.
Na serveri je aplikácia, ktorú si užívatelia spúšťajú zo zdieľaného adresára. Táto aplikácia má vlastnú úroveň ochrany dát, cez heslá a práva k jednotlivým úlohám tejto aplikácii. App využíva iba jeden dátový súbor, v ktorom sú citlivé údaje.
Je možné nejakým spôsobom zamedziť, aby si niekto, kto má prístup k spusteniu danej aplikácii -túto, resp. daný dátový súbor nemohol skopírovať a odniesť napr. domov?
Neviem ako to riešiť, pretože ak sa aj práva nad súborom nastavia pre užívateľov iba na čítanie, potom môžu aj kopírovať...
Ak poznáte nejaké riešenie, prípadne ste toto už nejakým spôsobom riešili, prosím skúste ma "nakopnúť" správnym smerom.
Vďaka.
Budto to muzes vyresit na urovni te aplikace - co jak jsem pochopil asi moc nepujde, nebo se takove situace resi rizenim zdroju kterymi muzou takova data unikat. Tj. zakazat pouzivani externich medii, content filtering emailove komunikace, content filtering webu, atd.
I kdyz nikdy nezabranis aby si nekdo nevzal sebou fotak a neudelal fotku obrazovky :)
Edit: Googluj "Data leakage protection"
Tú aplikáciu som robil ja (DELPHI)... Už som vyriešil šifrovanie dát, logovanie na úrovní userov - čo kto robí, kto sa kedy prihlásil, kto a čo kedy vytlačil... Dokonca som vyriešil sledovanie a zákaz Print screen obrazovky... Jasné, že kto chce si donesie foťák a odfotí obrazovku, ale až tak zlé to nebude...
Napadla ma ešte jedna myšlienka: dorobiť do aplikácii hardwarovú kontrolu - napr. seriové číslo BIOSU si dokážem zistiť a kontrolovať, či sa zhoduje s autorizovaným číslom BIOSU PC - inak sa aplikácia nespustí...
naco ti bude kontrola kto to vyniesol von, ked uz to vonku bude... = zbytocne. ak chces zabranit vykopirovaniu toho suboru, tak do adresara skade sa to taha musi mat pristup len ta app a nic ine, nesmie sa tam dat dostat cez prieskumnika windows a podobne. takisto vsade zablokovat pouzivanie usb, cdrw a pod.
Aha, toto sa mi zdá najrozumnejšie... Ako toho docieliť? App bude v zdielanom adresári, kam majú klienti prístup, aby si mohli danú app spustiť a súbor s dátami dať do iného adresára, kde bude mať prístup iba admin siete a daná app?
Chápem správne?
to nezajistíš - ta aplikace běží pod kontextem uživatele, tudíž daný uživatel tam musí mít přístup.
Řešívá se to následovně:
1.varianta: Data (nikoli aplikaci) umístíš na skrytý share (sdílení s "dolarem"), přičemž cestu natvrdo "schováš" v exáči aplikace
2. varianta (to nejlepší řešení): aplikaci rozdělíš na klientskou a serverovou část. Jen serverová "vidí" celá data.
3. varianta: aplikaci provozuješ lokálně na citrix terminálovém serveru jako publikovanou, přičemž v politikách zakážeš použití clipboardu
Máš pravdu, app beží pod konkrétnym užívateľom a ten musí mať prístup k dátam...
1.varianta vyskúšam - najjednoduchšie...
2.varianta - premyslím koľko času by zabralo "prerobenie" už hotovej app
3.varianta - asi to u nás nepôjde
Uprimne receno opravdu nesnasim kdyz o sobe nejaka aplikace tvrdi, ze je sitova a pritom bezi ze zdileneho disku lokalne (jako treba ekonomicky system pohoda, fuj hnus).
Struktura server-client se mnohem lepe zabezpecuje a osetruje na konflikty. Take, pokud je dobre vytvorena miva mnohem mensi prenost dat mezi serverem a stanici.
Musim suhlasit s tebou toto je problem, ktory ja riesim uz cez 2 roky.
Takmer vsetky sw, s ktorymi sa stretavam a tvrdia o sebe, ze su sietove bezia zo zdielaneho adresara.
A Pohoda? To je naoazaj najvacsi hnus aky som zazil na sieti. Nielenze bezi ako zdielana hoci sa instaluje akasik "klientska" cast na pc (ktora mimochodom potom nejde korektne odinstalovat pokial nie je user v tej sieti), ale ma neuveritelny rezijny traffic na sieti a prenasa sa tam snad pri kazdej blbosti cela databaza. Tento sw nevedel spolahlivo fungovat na 54Mb internej sieti a ako tak fungoval az na 100Mb metalike a aj tam dochadza sem k tak sietovym lagom.
Fuj, fuj, fuj.
Tak dodělej šifrování obsahu toho souboru a aplikaci uprav aby běžela jen na tom serveru. Nebo jednodušeji udělej umněle ten soubor k*revsky velkej a plnej kravin aby nešel zabalit a odnést.
Takže som nad tým trochu podumal a najvhodnejšie riešenie je určite SERVER-CLIENT
aplikácia.
Bohužiaľ mne by prerobenie zabralo veľa času, tak uvažujem aspoň takto:
Táto aplikácia využíva databázu, v ktorej je momentálne do 15 tabuliek navzájom poprepájaných a tiež indexovaných minimálne podľa primárneho kľúča. Všetko je to uložené iba v 1 súbore !!! Celkový počet záznamov je momentálne niečo cez 500, neuvažujem viac ako 1000-1500. Veľkosť dátového súboru je momentálne 561 KB... Čiže ak sa aj celý súbor s dátami "natiahne" do pamäte na klientský PC - všetko beží rýchlo a svižne. Triedenie, filtrovanie záznamov atď je okamžité.. Sieť sa nepreťažuje požiadavkami klientov apod.
Čiže chcem to urobiť aspoň takto:
Na serveri bude bežať malá aplikácia-server. Užívateľ si spustí aplikáciu, tá otestuje prítomnosť serverovej časti - dostane odpoveď - všetko OK - aplikácia sa spustí...
Akonáhle by niekto chcel spustiť aplikáciu doma - mimo firemnej siete - má smolu.
Je aspoň toto riešenie môjho pôvodného dotazu ?
Vďaka.
Timto zabranis tomu, aby si nekdo odnesl a pouzil aplikaci domu. Pokud jso udata sifroavana a nedostane se k nim jinak nez pres aplikaci, bude to dostatecne.
Ale porad nezabranis tomu, ze si nekdo v praci ofoti obrazovky apod.
Tomu uz nelze zabranit jednoduchym zpusobem. Na to uz je treba komplexni software, nejaky endpoint protection, terminalove reseni nebo neco podobneho.
To mu nelze zabranit nijak. Přinesu foťák nebo mobil s foťákem a fotím...
To je fakt, ale hur se to pak zpracovava
Zalezi jen na tom, kolik tomu ten dotycny chce venovat usili.