Как запретить выгрузку файлов в браузер?

Question

[Всеволод Калошин]

На компе Windows 7. Стоят Chrome и Internet Explorer.

Как запретить пользователю выгрузку файлов в браузер?
Пример: Заходит пользователь в Яндекс почту и отправляет кому-то файл с данными. Надо сделать так, чтобы он не мог загрузить или отправить этот файл. Также всякие социальные сети, другие почты, файлообменики и тп.

Comments

[Всеволод Калошин]

Также этот пользователь находится в домене

[Всеволод Калошин]

Это нужно для того, чтобы не выгружались данные с 1С. Но всегда можно сделать скриншот и его выгрузить.

Answer 1

[FeNUMe]

В сбу доводилось чинить комп с конфиденциальными данными: отключены любые внешние коммуникации, отключены/заблокированы дискеты/сидюки/флешки. на самой машине стоит какой-то специальный пакет софта блокирующего "все и вся"... у окна стоит глушилка определенных частот. В вашем случае думаю достаточно этой машине запретить доступ в инет, или сделать доступ по "белому" списку, если все же нужно куда-то по работе лазить. почту гонять только через свой сервер с сохранением всех исходящих, иногда просматривать не отправлял ли сотрудник ничего запрещенного. Если отправлял то наказывать уже по подписанному трудовому договору. Естественно сотрудник должен быть ознакомлен с тем что все контролируется, чтобы даже не возникало желания рискнуть.

Answer 2

[Евгений]

Бесполезная затея, потому что уязвимость не на уровне протокола хттп а на уровне прослойки между стулом и монитором )

Comments

[Всеволод Калошин]

Я надеюсь понимаете, что невозможно все время смотреть что она делает :) Просто интересно как это делается в больших организациях, когда приезжает какой то человек, работает с конфидициальными данными.

Answer 3

[Николай Турнавиотов]

запретить на проксе, например x-type file
и вообще на компе с конфиденциальными данными интернета быть не должно
потому что проксей, торов и социалок с вебпочтами - до чертиков

Answer 4

[Andrewww]

Поднимите терминалку и выложите браузер в RemoteApp. Пользователю ставится такой браузер, отключается обмен файлами с терминальным сервером. У гугла есть набору GPO который применяется не сервере. Ну и собственно всё. Работает вполне сносно, правда при большом кол-ве пользователей сервер должен быть с большим кол-вом ОЗУ. если нужно скачивать файлы из интернета - решается сетевой шарой с правами доступа. костыльно, грубо, но с задачей справляется :)

Answer 5

[DrgPlate]

Ну не совсем костыльно. Тут и ряд преимуществ есть.
Если словят вирус по уязвимости флеша или браузера, то словит его только терминал. Вынос сервера rapp в изолированную зону будет гарантировать сохранность вашей сети. Да и восстановить бразуер-машину с бэкапа дело нескольких манипуляций. С поиском и удаления зловреда тоже. Компы пользователей будут работать шустрее, ибо сто пицот вкладок будут открывать не у себя на компе.
Доступ к файлам прозрачно: через GPO выносим папку Документы, Загрузки (любую другую) на сервер. При подключении пользователь на сервере rapp увидит именно свою папку с документами, соответственно все что он скачал будет на его компе тоже.