Запретить копирование файлов с сервера

Обновлено: 02.07.2024

Я хочу запретить пользователям на моем предприятии копировать определенные файлы Excel, а если они это делают, я хочу знать, копируют ли они (возможно, с помощью какого-либо метода сравнения, если у меня есть руководство или что-то в базе данных всех исходных файлов Excel) . Спасибо!

В будущем вы можете включить аудит на сервере, а затем просмотреть журналы сервера. Аудит не имеет обратной силы.

Все листы Excel можно заблокировать (Просмотр > Защитить книгу ] и сохранить в формате csv/pdf — это некоторая альтернатива обычному обмену файлами только для чтения. | Несмотря на все методы, лучший способ предотвратить копирование — это не поделиться им вообще. /(^_^)

1 Ответ 1

Если у пользователей есть прямой доступ к файлам Excel из операционной системы/жесткого диска/сетевого диска, у вас не будет возможности предотвратить копирование. Тем более, если им нужен доступ для чтения и записи или права администратора на компьютере.

Можно попробовать перенести данные на онлайн-платформу, например Google Таблицы, Excel для Интернета или другую онлайн-базу данных. Например, Google Sheets, вы можете запретить пользователям общего доступа делать копии, загружать, распечатывать или повторно делиться, но, вероятно, не запрещать копирование и вставку необработанных данных (например, адреса электронной почты клиентов, вставленные в блокнот).

Если это невозможно, вы должны по крайней мере защитить файл паролем. Это предотвратит доступ к данным посторонних лиц. Очевидно авторизованные пользователи (со знанием пароля) все равно могут скопировать файл и украсть данные (например, недовольный сотрудник). Чтобы предотвратить это, вы могли бы добавить код макроса VBA в файл Excel с вашими собственными методами запутывания данных и аутентификации пользователя, которые будут проверять учетные данные пользователей по сравнению с некоторыми серверами. Если сотрудник/пользователь уходит, вы можете отозвать его учетные данные. Это предотвратило бы случайную кражу данных, но целеустремленный пользователь все равно мог бы копировать и вставлять данные, сохранять копию без макросов или экспортировать в csv. Вы также можете добавить код для проверки связи с прослушивающим сервером при каждом открытии файла.

Чтобы получить очень конфиденциальные данные, вы можете запустить своего рода шпионскую программу на всех компьютерах компании. Вы можете внедрить поддельные и уникальные записи в данные и заставить программу-шпион сканировать все активно сохраненные файлы на наличие этих поддельных записей данных. Вы также можете заблокировать USB-порты, заблокировать вложения в электронных письмах и заблокировать / отфильтровать доступ в Интернет. Это расширенное решение, возможно, требующее индивидуальной разработки и специальных политик и правил ОС для любого антивирусного программного обеспечения.

Мои последние 2 цента: почти у всех компаний есть конфиденциальные или личные данные. В какой-то момент вы должны доверять своим сотрудникам и полагаться на свою политику в области ИКТ и условия найма, чтобы защитить свои данные или, по крайней мере, привлечь сотрудников к ответственности за утечку данных. В соответствии с новыми законами о конфиденциальности в большинстве стран это также будет считаться уголовным преступлением.

Здесь в моей компании я установил файловый сервер со старыми файлами (самые старые, чем 2019), и мне нужно предоставить эти файлы для консультации для всех сотрудников. Однако ни один пользователь не должен копировать эти файлы на свои рабочие столы (без разрешения на изменение). Вкратце: этот файловый сервер будет архивным сервером. Возможно ли это?

Просто измените разрешения на общий ресурс, чтобы разрешить доступ к общему ресурсу только определенной локальной группе или группе AD. Затем добавляйте/удаляйте пользователей, если им требуется доступ. Или полностью удалите общий ресурс.

7 ответов

В дополнение к комментарию DSPatrick: если вы разрешите пользователям запускать Word/Excel на своем рабочем столе и читать документы через общий файловый ресурс, тогда они смогут "сохранить файл как" и поместить его в любое место, указанное их учетной записью. доступ. Или просто используйте Проводник и выполните копирование/вставку. Вы не можете остановить его, если у пользователя есть доступ для чтения.

Вы должны удалить общую папку из пути доступа к данным.

Я не знаю, существуют ли они, но есть одна мысль: исследовать какое-нибудь стороннее программное обеспечение, реализующее вариант Word/Excel "только для отображения" в браузере. Пользователи заходили на веб-сайт, выбирали папки и просматривали файлы. Пользователи смогут видеть данные, но не будет возможности «сохранить как» для копирования данных. Для этого вашей организации может потребоваться написать собственное веб-приложение. Веб-приложение должно работать на сервере архивации, чтобы к файлу можно было получить доступ напрямую, а не через общую папку.

Есть ли у вас Citrix или терминальный сервер, на котором вы можете публиковать приложения? Я не эксперт по приложениям MS Office, но я ожидаю, что есть способ настроить меню и удалить «сохранить как». Превратите сервер архивации в сервер терминалов и запустите опубликованные версии «без сохранения как», чтобы пользователи могли читать данные через опубликованные приложения.

Вы также можете подключить RDP к серверу архивации и установить там Office. Опять же, вы бы удалили общий сетевой ресурс, и пользователи получили бы прямой доступ к файловой системе.Вам потребуется внедрить правила брандмауэра, чтобы заблокировать доступ SMB с сервера архивации к другим файловым серверам и рабочим столам пользователей.

Если вы предоставляете файлу разрешение на чтение, вы также предоставляете разрешение на его копирование.

--пожалуйста, не забудьте принять в качестве ответа, если ответ полезен--

В противном случае вам может потребоваться поиск стороннего программного обеспечения для выполнения ваших требований.

Если ответ полезен, нажмите "Принять ответ" и проголосуйте за него.

Спасибо за ответы.

Я сделал это в папках на своем файловом сервере, и все работает почти нормально. Дело в том, что с этой конфигурацией люди в компании, в которой я работаю, могут читать документы, но они не могут копировать свои файлы в свой собственный каталог (или любой другой каталог внутри сервера архива). Однако они могут копировать свои файлы на свои рабочие столы или даже на другой файловый сервер в среде. Вот в чем дело. Я не хочу разрешать эти копии. Архивный сервер должен использоваться только для консультаций. И вот в чем проблема: каждая папка имеет разрешения от разных отделов. Из-за этого разрешения NTFS должны быть сохранены, а операции копирования должны быть запрещены. Это сценарий, и я не знаю, как этого добиться. Кажется, я почти у цели.

Спасибо за ответ. Я думал, что это может быть проще.

Хорошо, я попробую найти другой способ.

Я вернулся с другим вопросом, например, противоположным: есть ли способ избежать копирования старых файлов (начиная с 31 декабря 2018 г.) на мой текущий файловый сервер? Таким образом, я избегаю копирования файлов с моего архивного сервера на файловый сервер.

Извините, я не совсем понимаю поток данных. Запускает ли пользователь процесс (explorer/word/excel) на своем рабочем столе или через RDP на файловом сервере или на сервере архивации? Они проходят через сетевую папку на сервере архивации, через сетевую папку на файловом сервере или получают доступ к локальной файловой системе где-то?

Если комбинация пользователь+процесс+компьютер имеет доступ для чтения к старым файлам и доступ для записи к новому серверу, вы не сможете ее остановить.

Вы всегда можете написать сценарий Powershell, который анализирует файлы на новом файловом сервере и предупреждает вас, если он находит файл с датой создания 31/12/2018 или более ранней. Запускайте этот сценарий ежедневно, исходя из предположения, что в обычных случаях пользователи будут подчиняться вашим правилам и не будут копировать файлы. Вам нужно будет проанализировать все ваши файлы, чтобы определить, какое свойство даты вам нужно проанализировать, и посмотреть, приведет ли какой-либо из текущих файлов к ложному совпадению.

Я не смотрел на FSRM несколько лет, но это лучший выбор для программного решения.

Как остановить (или предотвратить) массовые попытки входа в удаленный рабочий стол RDP на Windows Server

В этом посте мы увидим, как мы можем использовать консоль управления групповыми политиками Windows Server (GPMC) для глобального отключения некоторых полезных, но потенциально опасных функций, встроенных в протокол удаленного рабочего стола, таких как:

  • Перенаправление буфера обмена, которое можно использовать для вырезания/вставки текста и файлов с удаленного ПК на локальный ПК и наоборот (что позволяет копировать/загружать файлы).
  • Сопоставление/перенаправление дисков, что позволяет удаленным пользователям получать доступ к своим локальным дискам через удаленный ПК (что позволяет копировать/загружать файлы).
  • Перенаправление COM-порта, которое можно использовать, чтобы сделать некоторые локальные COM-устройства доступными для удаленного ПК.
  • Перенаправление LPT-порта, которое можно использовать, чтобы сделать некоторые локальные устройства Line Printer Terminal доступными для удаленного ПК (что позволяет локальную печать удаленных файлов).

Как мы легко можем видеть, эти функции могут быть довольно мощными, поскольку они позволяют удаленному пользователю легко получать доступ к файлам, размещенным на корпоративном ПК, различными способами: это может быть здорово, когда они (и/или компания они работают) имеют полное право собственности и права на любое обращение с ними, но это также может представлять серьезный риск несанкционированной утечки данных, если они этого не делают.

На самом деле удаленные работники редко имеют полные права собственности на документы компании: им часто разрешен доступ к ним только с корпоративных устройств, без права копировать или распечатывать их где-либо еще. Когда такие ограничения действуют, запрет этим пользователям копировать, загружать и/или распечатывать эти файлы на свой локальный ПК может быть очень полезным для соблюдения политики компании.

К счастью, консоль управления групповыми политиками Windows Server (GPMC) можно настроить таким образом, чтобы запретить эти функции для всех пользователей RDP, выполнив следующие действия:

ВАЖНО. Приведенные выше инструкции предназначены для сетей Active Directory: если у вас нет домена Windows, вы все равно можете использовать консоль управления групповыми политиками для применения этих политик, но вам придется выполнять эти действия на каждом ПК вашей компании. я хочу предотвратить их.

Как видите, чтобы запретить пользователям использовать каждую функцию, вам нужно включить групповую политику, которая активно блокирует ее, тем самым переопределяя значение по умолчанию, разрешающее ее для всех пользователей.

После того как вы настроили эти новые групповые политики, вы можете немедленно применить их везде, принудительно обновив групповые политики на всех клиентских компьютерах Windows в организационном подразделении. Чтобы узнать, как это сделать, ознакомьтесь с нашей статьей Как принудительно выполнить удаленное обновление групповой политики с помощью GPUpdate, в которой объясняется, как выполнять такую ​​задачу выборочно или глобально с помощью CMD, Powershell или консоли управления групповыми политиками (GPMC).

Выводы

Вот и все, по крайней мере на данный момент: я надеюсь, что этот пост поможет тем системным администраторам, которые ищут способ запретить своим пользователям использовать подключения RDP для копирования, загрузки и/или печати корпоративных документов из своих локальных устройство.

В этом руководстве мы рассмотрим, как предотвратить копирование файлов с USB на ПК. Чтобы предотвратить кражу документов с вашего ПК на USB-накопитель или внешний жесткий диск, вам следует знать, что вы можете заблокировать копирование документов на USB-устройства на вашем компьютере с Windows, создав два небольших ключа в реестре Windows. . Вот как это сделать.

Как предотвратить копирование файлов с USB на ПК

Шаг 1. Щелкните правой кнопкой мыши кнопку "Пуск" и выберите "Выполнить".



Шаг 2. Введите regedit и нажмите Enter, чтобы открыть редактор реестра.


Шаг 3. После этого перейдите к следующему разделу реестра:


Шаг 4. Затем создайте новый раздел Edit > New > Key и назовите его StorageDevicePolicies.



Шаг 5: Снова в меню «Правка» выберите «Создать», затем значение DWORD (32-разрядное) и назовите ключ следующим образом: WriteProtect. Дважды щелкните по нему и присвойте ему значение 1 перед проверкой.


Шаг 6. Теперь перезагрузите компьютер. Готово! Копирование файлов на внешние жесткие диски или карты памяти теперь запрещено на вашем компьютере.

Обратите внимание: если вы хотите вернуться назад и разрешить копирование с USB-устройства, установите для ключа WriteProtect значение 0.

Вам также может понравиться

Пакетный файл для удаления всех файлов в папке старше N дней

Пакетный файл для удаления всех файлов в папке старше N дней

Как изменить действие по умолчанию при подключении USB-устройства Windows 10

Как изменить действие по умолчанию при подключении USB-устройства в Windows 10

Пакетный файл для отображения всплывающего сообщения в Windows 10

Пакетный файл для отображения всплывающего сообщения в Windows 10

Оставить ответ Отменить ответ

Последние публикации

Что такое Web Worker в JavaScript

Что такое Web Worker в JavaScript?

В этом руководстве мы рассмотрим, что такое Web Worker в JavaScript? Web Worker позволяет нам

Как отсортировать массив строк в JavaScript?

О нас

Логотип


Научитесь программировать на разных языках программирования, таких как PHP, Java, Python, C/C++ и т. д., а также на таких фреймворках, как Laravel, Django, Spring и т. д.с нашими простыми в использовании учебными пособиями, примерами, упражнениями, mcq и ссылками.

Читайте также: