none
segurança, como posso fazer isso?

    Question

  • Bom dia! E um forte a braço a todos...

     

    Na paz Leandro!!!

     

    Estou com uma série de problemas na rede que administro e mais uma vez venho pedir ajuda a todos os usuários do fórum.

     

     

    Hoje em dia sabemos que é de suma importância o administrador

    ter todo sistema em suas mãos, Onde ele sabe quem mexeu, quem modificou, quem tentou troca os arquivos... etc.

     

    O dono legitima me pediu para ter auditoria e impedir que certo

    usuário modificasse um arquivo com o nome especifico. Ex: saulo.mdb. Até ai tudo bem...

    Vou explicar o cenária e o que fiz já.

    -------------------------------------------------------------------------------------------------------------

    Primeiro problema:

     

    Esses arquivos *.mdbs são base de dados de outros programas. (Bradesco seguros, Liberty seguros, etc..) onde eles armazenam o seu conteúdo,  onde os mesmo não oferecem restrições alguma e se tem são facilmente tiradas

     

    Obs.: todos precisam que esteja mapeado uma unidade para o servidor poder

    Funcionar.

     

     

    Primeira solução:

     

    No gpedit.msc bloqueei todo acesso a essa unidade, assim impedindo que ele abra o arquivo.

     

    1ª problema:

     

    Se ele for em qualquer lugar e botar \\caminhodoservidor\pastacompartilhada ele vai ter acesso mesmo se tiver o culta com ($) com isso o bloqueio a cima nada tem efeito.

     

                                                           ------------------------------

     

    Segunda solução:

     

    Dei atributo ao usuário só de leitura e gravação e nas estações fazendo uso do gpedit.msc fiz o seguinte:

     

    Diretiva Computador Local, Configurações do Windows, Configurações de Seguranças,

    Diretivas de Restrições de Softwar--à Nova diretivas de Restrição de software à

    Regras Adicionais -à Nova Regra de Caminho nesse local simplesmente botei o nome

    Do arquivo nome.mdb.

     

    1ª problema: se ele mudar o nome do arquivo vai acessar

     

    2 ª problema quando se clica nele aparece um pop-up dizendo:

     

    “O Windows não pode abri este programa devido a uma diretiva de restrição de

    Software. Para obter mais informações, abra o recurso “Visualizar eventos” ou

    Contate o administrador do sistema.”

     

    OBs.: sobre esse pop-up tem como eu modificar ele e botar o que eu quero dizer, se tiver vai ser showw pois não vai dar dica o cara para altera... Na frente explico porque isso.

     

     

    3ª problema:

     

    Quando ele renomear o arquivo e fizer alteração simplesmente  renomeia de volta o arquivo para o nome original e depois só botar \\endereçodosevidor\compartilamento e colar ele vai substituir o original , pois esta com atributo de gravação onde o mesmo não pode ser tirado... Se assim fizer como o programa vai alimentar a base?.

     

    Obs.: se alguém souber como ele não substituir o arquivo é uma solução, lembrando que tem que ter atributo de gravação... outra coisa se ele tentar renomear o arquivo dentro do compartilhamento ele diz que não tem permissão só copiar e colar...

     

    Tudo isso poderia ser feito no meu AD ou fazendo uso de usuários restritos mais... infelizmente não pode pois eles são colaboradores da empresa, Não vou explicar aqui o porque seria até falta de ética minha,  só para esclarece os micros deles não podem ter bloqueio algum... Só em algo que seja pertinente ao nosso servidor... tipo mapeamento, etc.

     

    Venho pedir a ajuda de todos que poderem por favor me ajudar nisso ou me passar uma soluções ou dicas... peço mesmo a todos vocês, É que estou em um beco quase sem saída... e no futuro bem breve poderei ser prejudicado por esse rapaz...

     

     

     

    Um forte abraço e que Deus der tudo em dobro a todos vocês.

    Friday, July 06, 2007 11:42 AM

Answers

  • bom dia...

     

     muito obrigado a todos que responderam... grato mesmo...

     

     

    acho que achei uma solução... vou postar aqui é que estou meio sem tempo...

     

    ainda essa semana digo o que fiz... mesmo sendo uma gambiarra... poxa!!! Sad

    Thursday, July 12, 2007 8:32 AM

All replies

  • bom dia
    Luciano, esse é o problema dos famigerados programas desenvolvidos para acessar via \\
    malditos programas mal elaborados, pois se a pessoa tem que acessar via zz. ela tem acesso direto a base, se ela tem acesso direto a base, ela (usuario da rede) precisa ao menos ter acesso a leitura para poder funcionar o sistema, mas se ela precisa trabalhar e alimentar a base de dados, no minimo permissão de gravação e com isso, foi embora todo o processo de segurança, ainda mais se tratando de bancos MDB. com esse cenario que voce nos passou fica realmente complicado voce retirar certos privilegios,e manter o bom funconamento do ambiente, fica estremamente complicado, o que voce poderia fazer, e não sei se irá funcionar, é ocultar a unidades mapeadas por GPO, a opção de mapear unidade de rede, assim ele não consequiria ter acesso aos arquivos, mas tambem não se como se comportaria o sistema

    realmente um ambiente complicado, espero alguem com mais experiencia poder te dar uma luz, no momento é o que lembro e acho que da para fazer

    se foi util, marque para o bom funcionamento od forum
    Friday, July 06, 2007 12:24 PM
  • Luciano, bom dia,

    O que voce pode implementar na rede é, voce tem que analizar toda a estrutura se premissões do seu driver de rede.

    Mesmo sendo computadores dos colaboradores, eles tem que usar um login e uma senha para acessar o a rede nesses computadores correto? Caso sim siga assim.

    Voce precisa analizar como esta distribuidos as OU's no AD, afim de saber em quais OU's serão propagadas as GPO's e acabar não dando problemas de aplicação de GPO onde não deveria.

    Voce pode separar os arquivo de banco de dados (.mdb) para que eles sejam colocados em locais, onde voce pode definir as permissões sobre o uso deles sem que outros aquirvos recebam as mesmas configurações, e vice-versa. Detra formas os arquivos de banco de dados não sofrerão alterações das que forem colocadas nos outros arquivos..

    Um conselho, NUNCA configure Politicas localmente, como voce citou que usou o gpedit.msc,sempre use o AD para propagar configurações nas estações. Além de ter centenas de mais configurações, voce tem um controle maior do que é feito.

    É mais simples do que voce passa em seu texto esse quadro, só que voce tem que impor certas restrições a quem for preciso se eles querem certa segurança e controle, sem isso, qualquer trabalho feito será frágil.

    Outra coisa, não importa que os colaboradores são fulano e beltrano, se eles estão usando a rede privada, eles tem que submeter as normas de controle e segurança aplicada nela, e isso voce deve impor ai, pq ficar nesse chove-não-molha nao vira nessa área.


    OBS.: Para melhor uso do forum, procure não postar as mesmas dúvidas em locais diferentes, pois esse quadro encontra-se aqui postado por voce: http://forums.microsoft.com/Technet-BR/ShowPost.aspx?PostID=1819925&SiteID=29


    Abraços
    Friday, July 06, 2007 1:32 PM
  • bom dia...

     

     muito obrigado a todos que responderam... grato mesmo...

     

     

    acho que achei uma solução... vou postar aqui é que estou meio sem tempo...

     

    ainda essa semana digo o que fiz... mesmo sendo uma gambiarra... poxa!!! Sad

    Thursday, July 12, 2007 8:32 AM