Как защитить конфиденциальную информацию компании? Такую как различные технические документы, чертежи, в общем базу знаний, которая копилась на протяжении долгих лет.

Методы бывают разные, от использования каких-то собственных решений, до приобретения продвинутых платных продуктов.

Так вот в данном видео я хотел бы поделиться одним способом защиты от утечки подобного рода документов, встроенными средствами операционной системы Windows.

PDF мануал "Защита файлов от копирования по локальной сети"

План урока следующий:

- недостатки работы файлового ресурса

- разберем и настроим схему с доступом через RDP

- определимся с недостатками данной схемы

- 100% вариант защиты от утечки информации

Собственно, задача следующая. У компании есть какие-то документы и нужно сделать так, чтобы пользователи могли просматривать эти данные, но не могли их скопировать себе на компьютер, а, следовательно, вынести или отправить через интернет.

Как обычно у нас работает подобный файловый ресурс?

Обычно файловый ресурс работает по следующей схеме. На рабочей станции или на сервере открывается доступ к определенной папке и назначаются права доступа для определенных сотрудников (ПКМ \ Создать \ Папку: Документация \ ПКМ \ Свойства \ Доступ \ Общий доступ \ Поиск пользователей \ Игорь Фирсов \ Добавить \ Чтение \ Поделиться \ Готово)

И вроде все отлично, пользователь может работать с документами, и они так же скрыты от других сотрудников. Он не может удалять и редактировать документы, но он может их скопировать. Откуда мы знаем, что этот сотрудник чист на руку и не захочет отправить их конкурентам?

Да, можно закрыть доступ к подключению флешек и отключить интернет, но, тогда пользователю будет довольно сложно выполнять свои обязанности, так как сейчас все очень плотно завязано на всемирной глобальной сети.

Как решить данный вопрос?

Так вот, недавно меня посетила одна интересная мысль, как можно решить данную задачу. И поможет нам в этом удаленный рабочий стол. Я покажу универсальный метод, который подходит как для сети с доменом, там и для одноранговой сети.

1) Убираем все доступы к нашему хранилищу документации (ПКМ \ Свойства \ Доступ \ Расширенная настройка \ Убираем галочку: Открыть общий доступ к этой папке \ ОК)

2) Создадим локального пользователя, под которым сотрудник будет получать доступ к файлам (Этот компьютер \ ПКМ \ Управление компьютером \ Локальные пользователи \ Пользователи \ ПКМ \ Новый пользователь \ Пользователь: doc \ Пароль \ Запретить смену пароля пользователем \ Срок действия пароля не ограничен \ Создать \ Закрыть)

3) Разрешаем подключение через удаленный рабочий стол по протоколу RDP (Этот компьютер \ Свойства \ Настройка удаленного доступа \ Разрешить удаленное подключение а этому компьютеру \ Электропитание \ Отключаем режим сна \ ОК \ Убираем галочку: Разрешить подключения только с проверкой подлинности \ Выбрать пользователей \ Добавить \ Размещение: Этот компьютер \ Пользователь: doc \ ОК \ ОК)

Запрет на изменение файлов

Запретим изменение файлов, чтобы с психа он не удалил документы или не внес какие-то изменения в техническую документацию. Да, бывают и такие сотрудники, когда их вроде как не справедливо увольняют. (Документация \ ПКМ \ Свойства \ Безопасность \ Дополнительно \ Изменить разрешения \ Удаляем лишние группы и пользователей \ Добавить \ Выберите субъект \ Размещение: Этот компьютер \ Пользователь: doc \ ОК \ ОК)

Подключаемся через RDP

Проверим подключение через удаленный рабочий стол (Клиентский компьютер \ Пуск \ Удаленный рабочий стол \ Windows-10 \ Имя пользователя: Windows-10\doc \ Подключиться \ Создавать и удалять документы мы не можем)

Но, тут появляется ряд брешей, которыми могут воспользоваться. Если мы зайдем в параметры подключения к удаленному рабочему столу, то увидим, что в терминальный сеанс можно пробрасывать Принтеры, Буфер обмена, локальные диски и даже устройства которые буду подключены во время удаленного сеанса.

В итоге, мы можем просто скопировать файл и вставить его на наш компьютер, либо скопировать его на подключенный диск.

Поэтому данную систему нужно доработать!

Отключаем проброс буфера обмена и подключение локальных дисков

Отключить проброс буфера обмена и подключение дисков можно через групповую политику (Windows-10 \ Логинимся под админом \ Win+R \ gpedit.msc \ Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Службы удалённых рабочих столов \ Узел сеансов удалённых рабочих столов \ Перенаправление устройств и ресурсов : Запрещаем все \ Перенаправление принтеров: Запрещаем все \ Win+R \ cmd \ gpupdate /force – применяем групповую политику)

Сохраняем файл rdp с нужными настройками (Подключение к удаленному рабочему столу \ Параметры \ Сохранить как… \ doc.rdp)

Подключаемся и видим, что теперь мы не можем через буфер обмена копировать файлы, а также отключились локальные диски от терминального сеанса.

Отключить доступ в интернет

Как вы видите, этот компьютер подключен к сети Интернет, а значит он может из самого терминального сеанса отправить файлы по почте или загрузить на какой-нибудь облачный сервис. Значит доступ в интернет нужно тоже обрубить.

Проще всего это сделать, убрав адрес шлюза из настроек сетевого подключения (Центр управления сетями и общим доступом \ Сетевое подключение \ Свойства \ IP версии 4 \ Свойства \ Шлюз \ Удаляем данные)

Проверяем доступ к интернет ресурсам (Win+R \ cmd \ ping 8.8.8.8 \ Сбой передачи)

Запрещаем доступ локальную сеть

Так же, пользователь может попытаться сохранить файлы на каком-нибудь общедоступном ресурсе, а потом забрать их на свой компьютер. Поэтому, мы должны запретить взаимодействие данной машины с локальной сетью, а сделать это можно отключив службу NetBIOS, которая отвечает за подобное взаимодействие (Входим в рабочую станцию под админом либо запустим оснастку упрвления службами через проводник C:\Windows\System32\services.msc \ ПКМ \ Запустить от имени администратора \ Модуль поддержки NetBIOS через TCP/IP \ Тип запуска: Отключена; Состояние: Остановить \ ОК).

Все, теперь пользователь не сможет ни скопировать файлы себе на компьютер, ни отправить их через Интернет или локальную сеть.

Как обслуживать данную систему?

Теперь необходимо назначить отдельного сотрудника, который будет отвечать за актуальность данных документов. Т.е. только один ответственный человек должен добавлять какие-либо документы на данный ресурс.

Какие недостатки данной системы?

- скриншот экрана – можно снимать скриншотом данные с экрана, но, данный функционал можно отключить либо при помощи специального софта, либо через редактирование реестра. А лучше, повесить отправку уведомлений системному администратору, когда человек начинает слишком часто пользоваться кнопкой PrtScn. Так, мы сможем заранее определить не благонадежного сотрудника, пока он не придумал какой-то другой способ кражи.

Но, подобные уведомления настраиваются сторонним софтом.

- запись с экрана – можно записывать с экрана, но на это тоже можно настроить определенные ограничения, в любом случае у пользователя должны быть ограничены права на компьютере, чтобы он не смог устанавливать подобный софт.

- запись с телефона – он может сфотографировать или снять на видео то, что отображается на мониторе. Да, у всех телефоны не отберешь. Но, как вариант в одной компании мы делали следующим образом, база с архивом хранится на определенном компьютере на который была направленна видеокамера, записывающая в непрерывном формате. В таком случае, любые действия сотрудника записываются на видеокамеру и это дает очень хороший психологический эффект

Конечно же это не единственно возможный вариант, их может быть множество, в зависимости от различных бизнес процессов, функций сотрудника, удобства работы, схемы организации сети и других факторов.

100% вариант защиты от утечки

Ну вот мы и перешли к самому интересному, это 100% вариант защиты информации от утечки.

А прикол в том, что такого варианта не существует, все ограничивается лишь желанием пользователя завладеть информацией. Лично на своем примере могу сказать, что, когда я учился и подрабатывал ночным охранником, у нас был комп с ограниченными правами. И чтобы не делал местный админ, мы всегда его взламывали, так как нам просто больше нечем было заняться, а сидеть 24 часа без компа тоже не совсем весело, учитывая то, что телефонов с интернетом и ютьюбчиком тогда не было.

Так что, все зависит от мотивации того, кто хочет взломать систему. Мы можем усложнить процесс утечки и ставить большее количество ловушек, чтобы на начальном этапе увидеть подозрительную активность и вычислить не благонадежного сотрудника, но на 100% вы все не закроете. Взять даже фильм про Сноудена, как он гениально вынес флешку с работы.

Как-то еще работал в одной конторе, не админом, а маркетологом. И руководство считало, что у них самая защищенная система в мире, поэтому даже позволяли местному сисадмину вести себя порой чересчур дерзко с пользователями и клиентами, мол у гениальных людей бывают недостатки. Однако, это никак не мешало мне приносить и уносить нужную информацию. Это никак не было связанно с их конфиденциальной информацией, просто в обеденное время я работал еще и над своими проектами.

Я даже знал, когда он подключается к моему монитору, чтобы отслеживать, что я делаю, так скажем катать компромат, для лишения премии и т.д.

Так что, 100% варианта нет, но стремиться к 100% в любом случае стоит