none
Oltre all'audit? RRS feed

  • Domanda

  • Da un cliente ho attivato l'audit su alcune cartelle del server (SBS2003) per tenere sotto controllo l'uso dei file ivi contenuti. Ora il cliente mi chiede la possibilità di verificare se qualcuno di questi files viene copiato (su chiavette USB, su CD o semplicemente sull'HD locale dei client). E' possibile? Da quanto ho potuto vedere, l'audit mi permette di verificare solo l'apertura, la modifica o la cancellazione dei file.

    Accetto consigli anche di prodotti terzi.

    Grazie

    --

    Skywalker Senior

    mercoledì 20 ottobre 2010 14:08

Risposte

  • @Skywalker Senior : come avrai intuito dai commenti postati anche da altri, i RMS non sono legati o simili ai permessi NTFS.

    Si tratta di identificare (tramite Active Directory o smart card, ad esempio) utenti o gruppi di utenti e ad essi assegnare vari livelli di accesso che possono includere la possibilità di stampare / copiare / modificare su qualsiasi tipo di documento creato (ad esempio) utilizzando la suite di Office.

    L'ulteriore punto di forza di RMS è che la protezione segue il file e, quindi, anche le eventuali copie di un documento conterranno i limiti di accesso e i controlli impostati (ad esempio) sul server.

    L'unica alternativa che puoi pensare (integrata con il sistema e gratuita) è la criptatura con EFS che ti garantisce che solo un utente dotato di certificato potrà accedere ai dati.

    Questo tipo di protezione, però, non limita gli accessi di chi ha accesso (legittimamente) accesso al file.

    Per RMS puoi leggere anche qui

    http://nolabnoparty.com/rights-management-service-introduzione/

    PEr EFS

    hetp://en.wikipedia.org/wiki/Encrypting_File_System


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 21 ottobre 2010 08:09
  • RMS-enabled Microsoft applications

    RMS is supported (implemented) by the following Microsoft products:
    Microsoft Office System 2003 - Word, Excel, PowerPoint, Outlook
    Microsoft Office 2007 - Word, Excel, PowerPoint, Outlook, InfoPath
    Microsoft Office SharePoint Server 2003 (through the use of third party solutions such as those from GigaTrust[2] and Liquid Machines)
    Microsoft Visio 2007 and Project 2007 (through the use of third party solutions such as those from GigaTrust[3] and Liquid Machines)
    Adobe Acrobat Reader (through the use of third party solutions such as those from GigaTrust[4], FoxIt Software and Liquid Machines)
    Microsoft Office SharePoint Server 2007
    Microsoft Office SharePoint Server 2010
    Exchange Server 2007
    Exchange Server 2010
    XPS (XML Paper Specification) v1.0
    Internet Explorer (through use of the RM Add-on for IE)
    IIS 6.0 (through the use of GigaTrust WebServer Add-on)

    http://en.wikipedia.org/wiki/Rights_Management_Services

     


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 21 ottobre 2010 13:36

Tutte le risposte

  • Per quanto mi riguarda, mi sembra difficile discriminare fra una lettura semplice o una lettura a scopo di "copia" così come risulta a volte poco pratico inibire storage rimuovibili (USB e simili).

    Se si vuole evitare che informazioni critiche vengano diffuse in maniera non autorizzata o modificate, si possono utilizzare i Rights Management Services presenti in Windows 2003 e Windows 2008

    http://technet.microsoft.com/en-us/library/cc771627.aspx

    Tra l'altro si tratta di una protezione che segue il file in tutti i suoi spostamenti.


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    mercoledì 20 ottobre 2010 14:17
  • Ho dato un'occhiata veloce al prodotto che mi hai suggerito ma, se non ho capito male, fa poco più che gestire i permessi sui documenti (praticamente gli stessi permessi che potrei gestire da Active Directory).

    Non parliamo di accesso non autorizzato a dei files (per quello ci sono i permessi di AD), ma di una copia non autorizzata di documenti ai quali, in condizioni normali, io ho pieno accesso. A me non serve impedire l'accesso o la scrittura, ma tenere un registro delle operazioni compiute su tali files. 

    P.S. Ho già tentato di spiegare al cliente che l'eventuale impiegato che "vuole" sottrarre dei dati in qualche modo, può sempre farsi una stampa, un print screen o, mal che vada, una copia "a penna" del documento. A parte la perquisizione corporale all'ingresso e all'uscita, non vedo altre soluzioni.

    --

    Skywalker Senior

    mercoledì 20 ottobre 2010 16:12
  • L'occhiata l'hai data forse un po' troppo veloce....

    Si tratta comunque di una soluzione non semplice e onerosa....

    Forse impedire l'utilizzo di tutti i supporti rimovibili è più semplice come indicato da Fabrizio.

    Ovviamente questo avrà alcune ripercussioni... a volte molto scomode


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    mercoledì 20 ottobre 2010 16:21
  • Ciao Skywalker,

    Come giustamente ti ha detto Fabrizio, gli RMS ti permettono ad es. di non poter effettuare una copia di un documento su chiavetta, anche se hai i diritti di lettura su di esso. attenzione gli RMS NON sono gratuiti, ma bisogna comprare una apposita cal.

     

     


    Alberto Lissoni MCSA, MCTS, MCITP Server
    mercoledì 20 ottobre 2010 16:24
  • @Skywalker Senior : come avrai intuito dai commenti postati anche da altri, i RMS non sono legati o simili ai permessi NTFS.

    Si tratta di identificare (tramite Active Directory o smart card, ad esempio) utenti o gruppi di utenti e ad essi assegnare vari livelli di accesso che possono includere la possibilità di stampare / copiare / modificare su qualsiasi tipo di documento creato (ad esempio) utilizzando la suite di Office.

    L'ulteriore punto di forza di RMS è che la protezione segue il file e, quindi, anche le eventuali copie di un documento conterranno i limiti di accesso e i controlli impostati (ad esempio) sul server.

    L'unica alternativa che puoi pensare (integrata con il sistema e gratuita) è la criptatura con EFS che ti garantisce che solo un utente dotato di certificato potrà accedere ai dati.

    Questo tipo di protezione, però, non limita gli accessi di chi ha accesso (legittimamente) accesso al file.

    Per RMS puoi leggere anche qui

    http://nolabnoparty.com/rights-management-service-introduzione/

    PEr EFS

    hetp://en.wikipedia.org/wiki/Encrypting_File_System


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 21 ottobre 2010 08:09
  • Che fosse a pagamento lo avevo capito e non è un problema (almeno... se il prezzo è "umano") visto che il cliente è disposto ad acquistare eventuali prodotti di terze parti.

    Per quanto riguarda l'occhiata veloce devo dire, a mia discolpa, che alcuni link della pagina segnalata non funzionavano o mi riportavano alla home page di Windows Server 2003.

    Ora guardando il link segnalato da Fabrizio vedo che tra i requisiti ci sono Office 2003 o 2007. Questo vuol dire che RMS agisce solo su documenti Office?

    --

    Skywalker Senior

    giovedì 21 ottobre 2010 13:14
  • RMS-enabled Microsoft applications

    RMS is supported (implemented) by the following Microsoft products:
    Microsoft Office System 2003 - Word, Excel, PowerPoint, Outlook
    Microsoft Office 2007 - Word, Excel, PowerPoint, Outlook, InfoPath
    Microsoft Office SharePoint Server 2003 (through the use of third party solutions such as those from GigaTrust[2] and Liquid Machines)
    Microsoft Visio 2007 and Project 2007 (through the use of third party solutions such as those from GigaTrust[3] and Liquid Machines)
    Adobe Acrobat Reader (through the use of third party solutions such as those from GigaTrust[4], FoxIt Software and Liquid Machines)
    Microsoft Office SharePoint Server 2007
    Microsoft Office SharePoint Server 2010
    Exchange Server 2007
    Exchange Server 2010
    XPS (XML Paper Specification) v1.0
    Internet Explorer (through use of the RM Add-on for IE)
    IIS 6.0 (through the use of GigaTrust WebServer Add-on)

    http://en.wikipedia.org/wiki/Rights_Management_Services

     


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    giovedì 21 ottobre 2010 13:36

  • <Fabrizio Volpe> ha scritto nel messaggio news:eb26825e-ccbe-4093-8621-fcc306a767ad@communitybridge.codeplex.com...

    RMS-enabled Microsoft applications

    RMS is supported (implemented) by the following Microsoft products:
    Microsoft Office System 2003 - Word, Excel, PowerPoint, Outlook
    Microsoft Office 2007 - Word, Excel, PowerPoint, Outlook, InfoPath
    Microsoft Office SharePoint Server 2003 (through the use of third party solutions such as those from GigaTrust[2] and Liquid Machines)
    Microsoft Visio 2007 and Project 2007 (through the use of third party solutions such as those from GigaTrust[3] and Liquid Machines)
    Adobe Acrobat Reader (through the use of third party solutions such as those from GigaTrust[4], FoxIt Software and Liquid Machines)
    Microsoft Office SharePoint Server 2007
    Microsoft Office SharePoint Server 2010
    Exchange Server 2007
    Exchange Server 2010
    XPS (XML Paper Specification) v1.0
    Internet Explorer (through use of the RM Add-on for IE)
    IIS 6.0 (through the use of GigaTrust WebServer Add-on)

    http://en.wikipedia.org/wiki/Rights_Management_Services

    OK grazie... temo che non faccia al caso mio avendo da proteggere anche files prodotti da applicativi di terze parti.


    Skywalker Senior

    venerdì 29 ottobre 2010 10:24