none
Impedire furto file RRS feed

  • Domanda

  • Buongiorno,

    vorrei sapere quale sistema devo adottare per consentire agli utenti, all'interno di un Dominio (DC 2003 e 2008), di poter accedere a tutti i file consentiti ma di impedire l'apertura dei file qualora vengano aperti da un pc non connesso al dominio. In pratica devo poter impedire che i dipendenti portino all'esterno i file su cui hanno il diritto di lavorare all'interno dell'azienda. Tutti i pc sono fissi (windows 10, 8 e 7), pertanto non ho il problema di dati che possano essere messi su portatili.

    Allo stesso modo se i file vengono inviati per posta elettronica ad un'email (o anche su chiavetta) successivamente aperta da un pc senza join al dominio, questo dovrà risulterà impossibile.

    E' fattibile come intervento?

    Grazie Davide S.

    mercoledì 13 marzo 2019 13:03

Risposte

  • Ti consiglio anche la lettura di queste pagine che parlano di AD RMS (locale) e Azure Information Protection (cloud):
    https://docs.microsoft.com/it-it/azure/information-protection/what-is-information-protection

    https://social.technet.microsoft.com/wiki/contents/articles/435.how-ad-rms-works.aspx
    https://docs.microsoft.com/it-it/azure/information-protection/compare-on-premise

    Entrambe queste tecnologie sono valide per impedire un utilizzo non autorizzato di file aziendali.


    mercoledì 13 marzo 2019 19:43
    Moderatore
  • Ciao,

    beh, facciamo chiarezza. Un esterno non può entrare in azienda col suo portatile e "collegarsi al dominio" erenditando così policy, permessi alle condivisioni, ecc. Solo l'amministratore IT ha le password per poter agganciare un pc al dominio (dubito che tutti i tuoi colleghi in azienda abbiano tali password, giusto?). Quindi devi eventualmente rivedere e restringere le ACL alle condivisioni del tuo File Server.

    [CUT]

    Correggiamo le affermazioni, qualsiasi utente del dominio può "agganciare" un massimo di 10 computer, l'administrator si differenzia, perchè  non ha questo limite 

    Aggiungo che un utente che arriva con il suo portatile (non in dominio) se è in possesso di un utente e password potrà copiare tutto ciò su cui ha i diritti di lettura,  infatti questa è l'ACL minima per poter "almeno vedere" il contenuto di un file e quindi copiarlo... e poi volendo possono sempre usare il loro cellulare per fotografare lo schermo :))) e a quel punto, non c'è software che tenga.

    Ciao Gastone


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    mercoledì 13 marzo 2019 22:56
    Moderatore
  • Breve storia triste:

    i tuoi utenti hanno un telefonino? fine del problema del furto file. A meno che non ritiri i cellulari alla gente quando entra in azienda. Sono file excel? basta una foto. Sono word? basta una foto. Sono progetti critici? basta una foto. Certo non hai il file originale, ma non è un problema così grave, un progetto protetto da copyright nelle mani di qualcuno che capisce il progetto è facilmente ricostruibile.

    Le chiavette? blocchi tutte le chiavette? blocchi anche i proxy https? E le webmail? ed i servizi wetransfer?

    Bloccare l'estrazione files è pressochè impossibile senza misure preventive importanti anche fisiche ed investimenti ingenti in suite varie. Con solo quello che offre Windows ci fai i cin cin a carnevale. Scusa la franchezza, ma una parte del mio lavoro è fare esfiltrazione autorizzata...e per fermarla è veramente dura.

    L'unico modo è: tenere la gente fuori dalla rete. Se sono dipendenti autorizzati all'accesso dati ad arginare l'esfiltrazione non ce la fai e nella mia esperienza chi porta fuori dati è SEMPRE un dipendente nel 99% delle volte.

    ciao.

    A.  

    venerdì 15 marzo 2019 09:54
    Moderatore

Tutte le risposte

  • Ciao,

    beh, facciamo chiarezza. Un esterno non può entrare in azienda col suo portatile e "collegarsi al dominio" erenditando così policy, permessi alle condivisioni, ecc. Solo l'amministratore IT ha le password per poter agganciare un pc al dominio (dubito che tutti i tuoi colleghi in azienda abbiano tali password, giusto?). Quindi devi eventualmente rivedere e restringere le ACL alle condivisioni del tuo File Server.

    Detto questo, riguardo gli utenti "esterni", risolvi facilmente creando una rete di tipo "Guest" (con delle VLAN o come meglio credi), per SEPARARE la rete per gli ospiti dalla rete aziendale. 

    Riguardo alla Data Loss Prevention, puoi affidarti a software di terze parti per gestire i dispositivi removibili, piuttosto che l'uscita di dati "sensibili" con altre vie (anche tramite allegati) tramite apposite policy.

    Un software che uso con successo presso un paio di clienti è questo ad esempio: https://www.endpointprotector.com/solutions/content-aware-data-loss-prevention

    Ciao

    _____________________________________

    Please mark the reply as an answer if you find it is helpful.


    mercoledì 13 marzo 2019 17:05
  • Ti consiglio anche la lettura di queste pagine che parlano di AD RMS (locale) e Azure Information Protection (cloud):
    https://docs.microsoft.com/it-it/azure/information-protection/what-is-information-protection

    https://social.technet.microsoft.com/wiki/contents/articles/435.how-ad-rms-works.aspx
    https://docs.microsoft.com/it-it/azure/information-protection/compare-on-premise

    Entrambe queste tecnologie sono valide per impedire un utilizzo non autorizzato di file aziendali.


    mercoledì 13 marzo 2019 19:43
    Moderatore
  • Ciao,

    beh, facciamo chiarezza. Un esterno non può entrare in azienda col suo portatile e "collegarsi al dominio" erenditando così policy, permessi alle condivisioni, ecc. Solo l'amministratore IT ha le password per poter agganciare un pc al dominio (dubito che tutti i tuoi colleghi in azienda abbiano tali password, giusto?). Quindi devi eventualmente rivedere e restringere le ACL alle condivisioni del tuo File Server.

    [CUT]

    Correggiamo le affermazioni, qualsiasi utente del dominio può "agganciare" un massimo di 10 computer, l'administrator si differenzia, perchè  non ha questo limite 

    Aggiungo che un utente che arriva con il suo portatile (non in dominio) se è in possesso di un utente e password potrà copiare tutto ciò su cui ha i diritti di lettura,  infatti questa è l'ACL minima per poter "almeno vedere" il contenuto di un file e quindi copiarlo... e poi volendo possono sempre usare il loro cellulare per fotografare lo schermo :))) e a quel punto, non c'è software che tenga.

    Ciao Gastone


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    mercoledì 13 marzo 2019 22:56
    Moderatore
  • Di default è come dice Gastone, però bisogna dire che in genere viene comunque consigliata la disabilitazione del join per gli utenti standard portando il conteggio da 10 a 0.
    Ovviamente anche le tecnologie RMS possono essere aggirate mediante delle foto...ma in ogni caso un conto è scattare una foto per ogni schermata (che è più difficile da attuare di nascosto e che richiede spesso una ricostruzione manuale dei file) e un altro è una semplice copia su supporto esterno. Ovviamente bisogna sempre capire in che contesto ci troviamo, magari l'utilizzo di queste tecnologie può risultare quasi "spropositato" in alcuni casi.
    giovedì 14 marzo 2019 08:22
    Moderatore
  • Grazie per la precisazione Gastone che ho dimenticato di omettere. L'ho data per scontata questa modifica ma evidetemente non è così! 

    giovedì 14 marzo 2019 09:01
  • Breve storia triste:

    i tuoi utenti hanno un telefonino? fine del problema del furto file. A meno che non ritiri i cellulari alla gente quando entra in azienda. Sono file excel? basta una foto. Sono word? basta una foto. Sono progetti critici? basta una foto. Certo non hai il file originale, ma non è un problema così grave, un progetto protetto da copyright nelle mani di qualcuno che capisce il progetto è facilmente ricostruibile.

    Le chiavette? blocchi tutte le chiavette? blocchi anche i proxy https? E le webmail? ed i servizi wetransfer?

    Bloccare l'estrazione files è pressochè impossibile senza misure preventive importanti anche fisiche ed investimenti ingenti in suite varie. Con solo quello che offre Windows ci fai i cin cin a carnevale. Scusa la franchezza, ma una parte del mio lavoro è fare esfiltrazione autorizzata...e per fermarla è veramente dura.

    L'unico modo è: tenere la gente fuori dalla rete. Se sono dipendenti autorizzati all'accesso dati ad arginare l'esfiltrazione non ce la fai e nella mia esperienza chi porta fuori dati è SEMPRE un dipendente nel 99% delle volte.

    ciao.

    A.  

    venerdì 15 marzo 2019 09:54
    Moderatore
  • Certo, come dicevo il controllo "fisico" dei dipendenti è comunque necessario. Diciamo che RMS e similari possono solo essere di supporto impedendo le azioni più rapide che possono essere più complesse da monitorare.
    venerdì 15 marzo 2019 10:23
    Moderatore
  • Certo Fabri,

    è solo per sfatare il mito della protezioni dati ed evitare che uno investa giornate in implementazioni per poi sentirsi sicuro mentre basta poco di più per bypassare la cosa.

    Come dico sempre coi miei clienti, il livello di sicurezza è pari al valore del dato da proteggere + il rischio che questo dato arrivi in possesso di chi lo può sfruttare. A implementare soluzioni vanno via dei 30-50.000€ come niente e comunque non hai nessuna garanzia totale, abbassi solo la percentuale ma a 0 non ci puoi arrivare.

    Poi entra in gioco tutto un discorso etico di fiducia e gestione del personale...e li puoi mettere delle pezze con delle NDA o contratti blindati..ma comunque, rendiamoci conto che per quanto possa essere brutto, tutto ha un prezzo, basta capire l'asticella dove si ferma.

    A.

    venerdì 15 marzo 2019 10:38
    Moderatore