Как запретить копирование файла или его частей в AD?

Question

[Дядька Серёжа]

Подскажите как бесплатно и просто запретить копировать файл или текст из файла в AD без наворотов (без IRM, СЗИ от НСД, DLP...). Исключение копирование через скриншоты.

Цель: конкретные пользователи могут читать файл, но не могут выделить текст и скопировать его, также не могут скопировать весь файл.

Предполагаемое решение (на что хватило мозгов):
Пользователь заходит в папку, запускает программу которая открывает "защищаемый файл" расположенный в подпапке недоступной пользователю, но доступной программе.
Иными словами:
Папка "А" (доступ в нее через группу AD - т.е. ограничиваем круг доступа).
//состав папки "А":
1)Программа* открывающая файл хранящийся в папке "Папка1"
2)Невидимая пользователям папка "Папка1" (ограничиваем копирование файла)
//состав подпапки "А\Папка1":
2.1) Файл "Защищаемый файл" (ограничиваем копирование текста в файле)

Будет ли такое вообще работать? Или программа не получит доступ в папку?

*самописная программа, скрипт (не проблема)...
в программе зашита статическая ссылка на файл ("\Папка1\Защищаемый файл.txt"), т.е. пользователь может копировать файл, но в любом другом месте путь "\Папка1\Защищаемый файл.txt" будет недействителен.

Answer 1

[t_q_l]

Напишите программу, которая будет работать как просмотрщик картинок, а в фоне преобразовывать открываемые файлы в изображения. Пример - виртуальные принтеры, которые выводят документы на печать в виде файлов PDF, JPG, PNG.
После окончания просмотра, очевидно, преобразованные файлы нужно удалять

Comments

[Дядька Серёжа]

Так и сделал, но как ограничить доступ к файлу, разрешив доступ к программе?
Суть то в этом.

[t_q_l]

Дядька Серёжа:
1) Создайте служебного пользователя;
1) Ограничьте доступ к ресурсам всем, кроме этого служебного пользователя.
2) Запускайте вашу утилиту/программу от имени служебного пользователя с помощью Admilink или AppLocker.

Таким образом доступ будет только при запуске утилиты (с защитой от перемещения и изменения параметров)

Ссылки
admilink.narod.ru/admilink.htm#About
https://technet.microsoft.com/ru-ru/library/ee424367(v=ws.10).aspx

Answer 2

[Евгений Хлебников]

Как один из вариантов можно предложить тонкие клиенты - бездисковые станции, раз уж вы настолько не доверяете вашим пользователям. Там попросту не будет неподконтрольного вывода данных.
Удаленная загрузка ОС с терминальным клиентом(thinstation к примеру), все необходимое ПО работает на терминальном сервере.
Копирование не запрещено, однако все данные можно сохранять только в общую сетевую папку или перемещаемые рабочий стол\документы, находящиеся на одном файловом сервере.
Доступ к почте и файловым ресурсам сотрудники СБ имеют, в случае чего атата сделают.
Имхо, это логичнее чем пытаться реализовать вышеуказанное.

Comments

[mace-ftl]

условие было "бесплатно и просто"

[Евгений Хлебников]

mace-ftl: ну, вроде как из вышеуказанного только терминальные лицензии докупать придется, если их еще нет. Остальное бесплатно можно реализовать, руками. Запрет копирования ВСЕГО в буфер обмена будет аццким адом, если пользователи работают с другими программами, кроме этой.

[mace-ftl]

1) топикстартер не писал, что у него уже есть тонкие клиенты => их надо покупать
2) ну можно запретить выделение текста, или доступ к буферу обмена только этой программе - вообще без разницы какие WinAPI фильтровать

[Дядька Серёжа]

yellowmew: запрет на копирование в буфер не предполагается, предполагается запрет копирования только конкретного файла и его частей, поэтому и такая идея с заблокированной формой.

Answer 3

[Никита]

Идея конечно интересная, но для какой цели это делать?
С таким же успехом, можно сделать PDF файл с защитой от копирования, но тоже вещь не безупречная.
И что мешает пользователю сделать скриншот?

Comments

[Дядька Серёжа]

1. Цель есть файл с базой клиентов, его могут видет некоторые, но не должен копировать никто, выбрал клиента, позвонил ему.
2. PDF позволяет копировать насколько мне известно... Хотя есть же версия PRO, надо попробовать.
3. пусть делает, но на экран будет выводиться по 4 строки из 4к строк, нужно еще строк - листай.
3.1. При на жатии на кнопку Print sreen, crl+C или crl+insrt высветится MSG: "попытка несанкционированного копирования " и в лог запишется кто и когда попытался - многих отпугнет:)
4. ну и вопрос будет ли это вообще работать?

Answer 4

[mace-ftl]

Права у программы = правам пользователя (доменным) => нельзя сделать папку которая юзверю видна, а запущенной ИМ программе нет (исключение - папки с отключенным листингом, пожалуй).

А так - просто поставьте пользователю агента, который заблокирует ему операции с буфером обмена и кнопку скриншота.

П.С. - операция "чтения" = операции "копирования", т.е. задача у Вас это запрет ЗАПИСИ в буфер обмена данных.

Comments

[Дядька Серёжа]

У пользователя есть право запустить программу т.к. имеет доступ в папку А, а программа получит доступ к подпапку с файлом?

Answer 5

[Андрей Ермаченок]

Исключение копирование через скриншоты.

И в чем смысл этой мороки, если скриншотами всё можно скопировать?

Comments

[mace-ftl]

мож топиктартер не в курсе что это тоже закрываемо...

[Дядька Серёжа]

На экран будет выводиться по 4 строки из 4к строк, нужно еще строк - листай.
3.1. При нажатии на кнопку Print sreen, crl+C или crl+insrt высветится MSG: "попытка несанкционированного копирования " и в лог запишется кто и когда попытался - многих отпугнет:)

[Дядька Серёжа]

mace-ftl: скриншот в стороннем ПО думаю не получится заблокировать, тот же OneNote

[mace-ftl]

Дядька Серёжа: легко - опыт в наличии, лубую апишку можно фильтрануть и\или залочить

[mace-ftl]

Дядька Серёжа: я вот это пользую, например, из бесплатных www.codeproject.com/Articles/44326/MinHook-The-Min...

Answer 6

[tartarelin]

У меня пока сделано так, документы в виде зашифрованных PDF (запрет на копирование и печать) с помощью сертификата, который установлен на компьютерах.
Начальство решило, что этого достаточно, учитывая средний уровень компьютерной грамотности сотрудников.

Answer 7

[athacker]

Microsoft Windows Rights Management Services: https://social.technet.microsoft.com/Forums/ru-RU/...

Comments

[mace-ftl]

отличный БЕСПЛАТНЫЙ вариант, бро!