cbone
@cbone
Серверная инфраструктура

Как защитить данные в домене Windows?

Всем привет. Есть домен Windows, в котором хочется защитить данные на рабочих станциях от утечки за пределы домена.
Интересует защита именно от выноса на внешних накопителях (USB, CD). CD-ROM можно в принципе запретить политиками. Вижу следующий сценарий: пользователь вставляет разрешенную флешку в USB (или кард-ридер) доменного компа, происходит проверка разрешено ли использовать устройство с текущим ID и если всё хорошо, то он получает доступ к накопителю и может скинуть на него свои файлы (можно реализовать через GPO). Но нужно предусмотреть, чтобы пользователь не смог вынести эту информацию за пределы домена на разрешенной флешке. На ум приходит только шифрование информации на этом устройстве. Причём ключик для дешифровки, также должен быть распространён на все компы домена и пользователь ничего не заметит, если вставит в доменный комп.
Рабочие станции преимущественно Windows 7, 8.1 а сервера 2012R2
  • Вопрос задан
  • 1417 просмотров
Пригласить эксперта
Ответы на вопрос 5
MaxDukov
@MaxDukov
впишусь в проект как SRE/DevOps.
На ум приходит только шифрование информации на этом устройстве. Причём ключик для дешифровки, также должен быть распространён на все компы домена и пользователь ничего не заметит, если вставит в доменный комп.
Рабочие станции преимущественно Windows 7, 8.1 а сервера 2012R2

ну если 7 и 8 везде - то смотрите в сторону BitLocker. Он умеет шифровать флэшки. Если есть XP (надеюсь, уже нет),
то посмотрите не TrueCrypt. Аналогично - шифрует диски/флэшки.
Есть еще SecretNet, вроде и он умеет что-то такое. Но, собака, недешев. Зато с сертификатом ФСТЭК
Ответ написан
Комментировать
opium
@opium
Просто люблю качественно работать
Глупости пишите, сделайте шары и запретите флешки, по шаре можно раздать файло внутри сети, флешки не нужны.
Ответ написан
NeiroNx
@NeiroNx
Программист
Запретить пользователям устанавливать новые устройства(вообще), предварительно натроив все имеющиеся, убрать пишущие приводы из пк пользоваталей. Отключить вообще любые СОМ порты - по RS-232 тоже можно подключить модем и утянуть достаточно много, не обладая правами админа и не ставя никаких драйверов.
Ответ написан
eapeap
@eapeap
Сисадмин, Беларусь
InfoWatch в числе прочего может и это.
Ответ написан
Комментировать
да все же давно вынесли и продали ,

нужно передавать большие объёмы информации, а канал не такой широкий
расширяйте
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы