Защита данных на сервере от копирования с помощью KSC

[Трофим]

На сервере есть данные которые подлежат защите, эти данные не будут пересылаться на внешнюю почту и файловые хранилища. Мне нужно защитить всю информацию которую пользователь скопирует к себе на рабочий стол. На сколько это реализуемо?

[Трофим]

На сервере есть данные которые подлежат защите, эти данные не будут пересылаться на внешнюю почту и файловые хранилища. Мне нужно защитить всю информацию которую пользователь скопирует к себе на рабочий стол с помощью настройки политики через KSC. На сколько это реализуемо и самое главное как обеспечить защиту(возможно шифрование или какие-либо другие способы)?

[Kommunist7304]

KSC управляет, а не является непосредственно средством защиты. KES не является средством защиты от копирования. В вашем конкретном случае нужна комплексная защита с нескольких направлений:

1) настройка прав пользователя в ОС (как персональная, так и групповая). Например запрет проброса дисков и буфера обмена, запрет доступа к сетевым ресурсам и прочее.

2) настройка КЕС на блокирование доступа к внешним ресурсам и флешкам (используйте версию KES 11.8 на стандартной лицензии или покупайте расширенную лицензию чтобы иметь расширенные возможности на серверной ОС).

3) Шифрование раздела (подойдет и встроенное шифрование ОС) если есть у пользователей физический доступ к серверу (например стоит в кабинете на столе).

Данная настройка - это "для бедных". В реальности нужна полноценная DLP, которая стоит денег. Если информация действительно нуждается в защите, то нужно продумывать полноценно, а не "затыкать дыры".

Edited June 24, 2022 by Kommunist7304

[Трофим]

@Kommunist7304, Я Вас понял. Тогда вопрос следующий: можно ли при помощи настройки политики в KES сделать файлы скаченные с сервера доступными для пользователей  (просмотра или ,возможно, редактирования) которые находятся в одной группе в "управляемых устройств". То есть информация скаченная с сервера на корпоративный компьютер должна быть недоступна при её передачи извне(перенос на телефон, флешку, почту. В общем она должна оставаться на корп. компах и, естественно, на сервере.)
И как все будет работать при отключении от сервера? Или это не связано?

[Трофим]

И еще хотел уточнить, правильно ли я понимаю что при данных выставленных настройках, ВСЕ файлы которые находятся на компьютере при передачи через сеть на компьютер находящийся в другой группе управляемых устройств и, в целом, другим компьютерам не попадающие под политику, в которой я настроил следующие настройки шифрования файлов, будут недоступны для чтения(зашифрованы)

[Kommunist7304]

Тут 2 момента:

1) Средствами ОС На сервере под каждого отдельного пользователя для доступа к файлам надо заводить отдельную ограниченную учетную запись (встречал я индивидуумов заводящих 1 учетку на полсотни ПК). Соответственно для каждой учётки разграничиваются права (например раскидыванием по группам). Желательно использовать AD, хотя я обходился и без него.

2) KES должен стоять и на клиенте и на сервере и должны политики ограничивающие доступ к флешкам/сайтам/хостам быть везде. Также настроить контроль программ на разрешение запуска программ только из разрешенного списка.

Я бы рекомендовал отказаться от идеи обработки информации на АРМ пользователей и постараться обрабатывать всю информацию ограниченного доступа на сервере (например при помощи RDP|RemoteAPP), а у пользователей на хостах чтобы было только отображение конечной информации (т.е. чтобы база/документы не тягалась так или иначе на АРМ) - так гораздо безопаснее и в конечном итоге проще контроллировать периметр.

Если обработка на АРМ неибежна, то её придется защищать более придирчиво, т.к. пользователь имеет доступ к оборудованию (жд) и наличие блока на доступ к сайту не запретит ему загрузиться с флешки и скопировать данные с нешифрованного ЖД.

Что сервер, что клиент требуют настройки в первую очередь средствами ОС, а уже потом дополнительно защищаться KES.

 

(Update) ширование локально, при отправке по сети передается без участия данного шифрования. Учитывая ваши вопросы я бы рекомендовал найти местного айтишника, чтобы он на пальцах рассказал что можно делать, а что нельзя. Какие методы защит эффективны, а какие в вашем случае бесполезны.

Edited June 24, 2022 by Kommunist7304