Стоит нетривиальная задача: необходимо отслеживать перемещения файлов по маске (документы) с заданного компьютера. Ось 2К/XP. Необходимо учесть как передачу по сети так и копирование на носители. Какие пути решения данной проблемы вы видите?
Перехват фукций ОС. В зависемости от целей перхвать API на R-3 или перехват в ядре. По обоим темам на сайте есть статьи.
На мой взгляд, - самое верное решение здесь - написание драйвера-фильтра файловой системы (если нужно мощное решение). Примеры, - Filemon sources (wasm),Filespy (IFS Kit). В зависимости от требований - может потребоваться контроль и сетевых пакетов. Тут примерами могут являться открытые файерволы. Раньше они были тут: http://ntdev.h1.ru/. Сейчас по-моему переехали. Думаю - это то что тебе может реально помочь.
Хм... Задача интересная, но вроде как в общем виде не решаемая. Только частично и с ограничениями. Самое простое - отрубить все каналы утечки (сеть, носители и пр.). Еще простой вариант: создать 2-х пользователей, первый работает с документами, но ему запрещен выход в сеть и доступ к носителям, а права на документы стоят так, чтобы и при копировании этих файлов внутри диска они жестко наследовались. Второй пользователь имеет право выходить в сеть и т.п., но имеет никакого доступа к этим документам. Разумеется оба должны быть далеки от админа в правах, чтобы не было возможность подправить "себе" доступ. А доступ админу вообще закрыть. Остальные варианты (с перехватом доступа к файлам) имеют недостаток: как отличить "работу" с документом от "косвенной утечки" (когда данные шифруются и передаются другой программе для выдачи на носитель или через сеть)?
когда данные шифруются и передаются другой программе для выдачи на носитель или через сеть Если ему нужно контролировать документы (и если все так серьезно, что могут копировать с помощью шифрующих программ), наверное стоит все-таки создавать драйвер. Но, при этом, нужно будет перехватывать ВСЕ операции со ВСЕМИ файлами, а затем каким-то образом фильтровать операции работы с критичными файлами. По маске, - не очень хороший вариант, - файл и переименовать могут для сокрытия следов. В принципе, на среднем компьютере, относительно малочисленны операции копирования/переименовывания/перемещения, чтобы они перестали поддаваться анализу. И еще - надо будет контролировать чтение/запись файлов, чтобы не копировали их блоками. Также полезно было бы сделать ограничения на передаваемые данные (анализ во время передачи данных на устройство хранения, в сеть), исходя из условий задачи. В общем, работы, конечно, много. Но если нужно серьезное решение проблемы - по-другому наверное не получится.
Broken Sword, хочешь свое пиши драйвер-фильтр как уже сказали выше, если не очень хоцца, то есть более простое решение, настроить на хостах "Local Security Policy", этого более чем достаточно(для отслеживания).
а мне чего-то кажется что задача нерешаема в принципе ну представьте такой код: открыть интересуемый файл прочитать в буфер содержимое закрыть покопировать этот буфер туда-сюда создать где-то на шаре файл со случайным именем записать в него содержимое закрыть ну и как вы "отследите перемещение файла" ???
а мне чего-то кажется что задача нерешаема в принципе ну представьте такой код: ... ну и как вы "отследите перемещение файла" ??? Насчет "в принципе". Вообще-то уже имеются некоторые продукты, позволяющие бороться с инсайдерами (если в вопросе речь идет о них). Значит как-то их (эти системы) написали. Далее. открыть интересуемый файл прочитать в буфер содержимое ... создать где-то на шаре файл со случайным именем записать в него содержимое Как раз про это я и говорил, что контролировать надо открытие и чтение. А также создание новых файлов. А для блокирования утечки в сеть, - как Вам такое решение, как создание фильтра, необратимо шифрующего исходящий трафик от недоверенных процессов и входящий к недоверенным шарам. Конечно возникает проблема внедрения в код доверенного процесса программы-злоумышленника, но, в принципе, чего-нибудь в этом направлении накопать можно.
ksu_ant можно пример продуктов, борющихся с "инсайдерами"? Вариации с copy/paste текста для простоты можно отбросить. Нужно отслеживать работу с "целым" файлом, т.е. грубо говоря универсальный метод отслеживания "приаттачивания" файла в популярных почтовиках и копирование файлов в эксплорере.
Извините за молчание, у меня не было доступа к сайту. ksu_ant можно пример продуктов, борющихся с "инсайдерами"? Не сочтите это за рекламу, сам я в этой компании не работаю, а работаю очень далеко от нее в государственном заведении. Просто в сферу моих интересов входит ИБ. Вот ссылочка: http://www.infowatch.ru/
ksu_ant спасибо. Всегда рад помочь. Возможно это из-за того, что продукт ориентирован на корпоративных клиентов и довольно серьезные заказы и условия апробации решаются в индивидуальном порядке. Хотя точной информацией по данному вопросу я не обладаю.
