none
Impedire copia in locale dal Server 2016 RRS feed

  • Domanda

  • Ciao,

    vorrei configurare sul Server 2016 la Policy che impedisce agli utenti, tranne l'Admin, di copiare in locale sul proprio PC, qualunque file, cartella "oggetto".

    Grazie, Gianni

    martedì 19 novembre 2019 14:07

Risposte

  • Mi sa che quello che vuoi fare, non sia realizzabile, dovresti impedire la scrittura in locale di files e cartelle, cioè un pc read only che non può fare nulla... se fosse anche possibile: apro un primo file word dal server e ne apro un secondo in locale , copio il contenuto dal priimo al secondo, salvo. FINE. Aggirato l'ostacolo!!!

    Spiega meglio.


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    martedì 19 novembre 2019 19:58
    Moderatore

Tutte le risposte

  • Mi sa che quello che vuoi fare, non sia realizzabile, dovresti impedire la scrittura in locale di files e cartelle, cioè un pc read only che non può fare nulla... se fosse anche possibile: apro un primo file word dal server e ne apro un secondo in locale , copio il contenuto dal priimo al secondo, salvo. FINE. Aggirato l'ostacolo!!!

    Spiega meglio.


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    martedì 19 novembre 2019 19:58
    Moderatore
  • Grazie Gastone,

    ho già esperito quanto da te descritto il copia-incolla e ne approfitto per questo tuo spunto.

    Come in diversi siti é impedito il copia-incolla (da codice...) anche per la conferma della password ad esempio, come puoi impedire su qualsiasi Pc il print screen o utilizzo di devices non autorizzati, Sw etc...mi sembra assurdo che non sia possibile una Policy nell'AD di Windows Server di operare in tal senso.

    Stesso "buco" con Dropbox, ti trascini le cartelle in locale e le puoi sharare con chi non aveva gli stessi privilegi su Web....

    Non mi piace...!

    Esattamente per ragioni di sicurezza, come Citrix MetaFrame Server/Presentation Server, preferirei sotto determinate condizioni, che gli utenti fossero come dei "terminali".

    Grazie, Gianni

    lunedì 25 novembre 2019 17:57
  • "Come in diversi siti é impedito il copia-incolla (da codice...) anche per la conferma della password ad esempio, come puoi impedire su qualsiasi Pc il print screen" ciò che citi sono restrizioni immediatamente bypassibili da un utente smaliziato (non ho detto sistemista), mi preoccopa che tu li porti quali esempi...

    Il sistema operativo è stato progettato: per leggere, copiare, modificare, per essere uno strumento polivalente,  multiprogrammato...

    Negare la lettura, impedisce la copia, ma anche la visualizzazione, quindi l'utilizzo

    Negare l'esecuzione di un SW, ne impedisce la sua fruzione

    Impedendo l'accesso a un device, ne consegue l'impossibilità di utilizzarlo

    Purtroppo, in window, se hai la lettura di un oggetto puoi copiarlo; se stai lavorando  su "Citrix Virtual Apps and Desktops" o "Remote Desctop", su quel server avrai gli stessi vincoli/libertà, anche se hai blindato con le gpo, mentre, il client (citrix o rdp) ha il controllo totale di ciò che passa nel canale rdp/ica (impedire la copia/l'audio/la stampa in locale/ controllo sulla clipboard etc.)

    ciao Gastone


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    lunedì 25 novembre 2019 21:15
    Moderatore
  • Grazie Gastone,

    il focus rimane quello

    Impedire copia in locale dal Server 2016 RRS feed

    che in ambiente UNIX e like UNIX puoi fare, vedi comando chattr +i, scrivendo qualche riga di codice per renderlo operativo quando serve...oltre a varie ed eventuali modalità di restrizioni.

    Per il resto dovrei argomentare oltre il mio obbiettivo, e la mia di "preoccupazione" é quella di ridurre al minimo l'esfiltrazione dei dati.

    Target arduo, perché vi sono implicazioni ed attività impegnative, oltre a conflittualità ed alcune infattibilità a te certamente note...

    Vedrò, proverò altri bypass.

    Ciao, Gianni


    martedì 26 novembre 2019 14:32
  • Sei ancora fuori strada (uso unix da prima che arrivasse windows server), il chattr +i rende il file read only, ma rimane sempre copiabile, per di più perdendo l'attributo di immutabilità,
    cp fileimmutabile filemodificabile  

      Aggiungo, anche esfiltrabile su un server remoto usando scp ./fileimmutabile gas@pcremoto:/tmp,  il bello di una porta 22 remot.

    Ecco un piccolo esempio per creare un file immutabile.
    Rispetto linux sono necessari due comandi uno per il container del file
    e uno per il file

    echo off
    REM immutabile.cmd
    REM ma copiabile come chattr +i cls set file="c:\test\immutabile_o_quasi" mkdir %file%\.. echo cambiami >%file% icacls %file%\.. /inheritance:r /grant:r "everyone":Rx system:f icacls %file% /inheritance:r /grant:r "everyone":R system:f pushd %file%\.. start .

    Se hai paura di data breach, anche semplici, rivolgiti ad un consulente esperto.

    Ciao



    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    martedì 26 novembre 2019 22:27
    Moderatore
  • Problema risolto con Team Msoft.

    Quanto al cp in locale, prova i seguenti passaggi:

    1) S.O. Ubuntu,  mount disco esterno NTFS Win

    2) Su Win creo File con attributi già attivati da Win, non modifico alcunché

    3) Mi porto in locale su Ubuntu il file da Win, lo modifico in read-only

    4) Ne eseguo una cp sempre su Ubuntu

    5) Provo a modificare > permission denied

    Win non é un S.O. e dovresti saperlo...

    Conclusa la discussione

    Be soft...

    Gianni

    mercoledì 27 novembre 2019 01:13
  • Purtroppo ho capelli bianchi e ho iniziato con a lavorare con SunOS, Ultrix, aix/6000, solaris, slackware, poi red hat, suse, fino a diventare un FAN di DEBIAN ... e l'unica cosa in cui Windows NT con NTFS è stato superiore a unix/linux per anni, sono state le ACL, "erditate" dal sistema operativo VMS (Gates assunse David Culter per progettare windows nt).

    Non puoi essere così approssimarivo nella descrizione:
    "Mi porto in locale su Ubuntu il file da Win, lo modifico in read-only"
    perchè con la stessa approsimazione posso dire io ti tolgo il read-only e  mando iil file in pipe a netcat!Cotto e Copiato

    Linux File Permission Confusion pt 2

    Bye


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere




    mercoledì 27 novembre 2019 20:48
    Moderatore