Задать вопрос
cbone
@cbone
Серверная инфраструктура
шифрование

Как защитить данные в домене Windows?

Всем привет. Есть домен Windows, в котором хочется защитить данные на рабочих станциях от утечки за пределы домена.
Интересует защита именно от выноса на внешних накопителях (USB, CD). CD-ROM можно в принципе запретить политиками. Вижу следующий сценарий: пользователь вставляет разрешенную флешку в USB (или кард-ридер) доменного компа, происходит проверка разрешено ли использовать устройство с текущим ID и если всё хорошо, то он получает доступ к накопителю и может скинуть на него свои файлы (можно реализовать через GPO). Но нужно предусмотреть, чтобы пользователь не смог вынести эту информацию за пределы домена на разрешенной флешке. На ум приходит только шифрование информации на этом устройстве. Причём ключик для дешифровки, также должен быть распространён на все компы домена и пользователь ничего не заметит, если вставит в доменный комп.
Рабочие станции преимущественно Windows 7, 8.1 а сервера 2012R2
  • Вопрос задан
  • 1436 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 5
MaxDukov
@MaxDukov
впишусь в проект как SRE/DevOps.
На ум приходит только шифрование информации на этом устройстве. Причём ключик для дешифровки, также должен быть распространён на все компы домена и пользователь ничего не заметит, если вставит в доменный комп.
Рабочие станции преимущественно Windows 7, 8.1 а сервера 2012R2

ну если 7 и 8 везде - то смотрите в сторону BitLocker. Он умеет шифровать флэшки. Если есть XP (надеюсь, уже нет),
то посмотрите не TrueCrypt. Аналогично - шифрует диски/флэшки.
Есть еще SecretNet, вроде и он умеет что-то такое. Но, собака, недешев. Зато с сертификатом ФСТЭК
Ответ написан
Комментировать
Комментировать
opium
@opium
Просто люблю качественно работать
Глупости пишите, сделайте шары и запретите флешки, по шаре можно раздать файло внутри сети, флешки не нужны.
Ответ написан
1 комментарий
1 комментарий
NeiroNx
@NeiroNx
Программист
Запретить пользователям устанавливать новые устройства(вообще), предварительно натроив все имеющиеся, убрать пишущие приводы из пк пользоваталей. Отключить вообще любые СОМ порты - по RS-232 тоже можно подключить модем и утянуть достаточно много, не обладая правами админа и не ставя никаких драйверов.
Ответ написан
1 комментарий
1 комментарий
eapeap
@eapeap
Сисадмин, Беларусь
InfoWatch в числе прочего может и это.
Ответ написан
Комментировать
Комментировать
oia
@oia
да все же давно вынесли и продали ,

нужно передавать большие объёмы информации, а канал не такой широкий
расширяйте
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Декодер/приемник AES потока
СОФИТ
от 100 000 ₽
Product designer 🔥
Fundraise Up
от 3 200 до 5 300 $
IT Sales manager/Менеджер по продажам IT услуг
MakeDifference
от 60 000 до 200 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработка лэндинга-визитки для юридической компании
25 нояб. 2024, в 11:40
10000 руб./за проект
Сделать интеграцию amoCRM + Яндекс.Метрика по API
25 нояб. 2024, в 11:09
4000 руб./за проект
Разработка бота рассылок в Telegram
25 нояб. 2024, в 10:16
7000 руб./за проект
Ещё заказы