Блокировка файлов в Windows Server 2012 R2

вторник, 29 сентября 2015 г.


«Возможность блокировки Ваших файлов серверной платформы – это  тот важный инструмент, который довольно часто упускается из виду многими пользователями серверной платформы Windows и даже IT-специалистами.

Одним из наиболее недооценённых инструментов ОС Windows Server является «Диспетчер ресурсов файлов сервера». Среди других важных возможностей этого инструмента является возможность блокировки файлов, которая может оказать весомую помощь по осуществлению Вами администрирования содержимого файлов серверов. Я постараюсь Вам показать, как настроить функцию блокировки файлов «Диспетчера ресурсов файлов сервера»», - Брайан Пози (Brien Posey), независимый внештатный журналист цифрового издания Redmond Magazine.

Настройка Диспетчера ресурсов файлов сервера

«Рекомендую начать настройку функции блокировки файлов[1] «Диспетчера ресурсов файлов сервера» с  создания группы файлов (если это необходимо). «Группа файлов», что под этим подразумевается: группа каких типов файлов? Чтобы дать Вам более конкретный пример, давайте рассмотрим различные расширения файлов, которые иногда используются под аудио файлы. Если бы Вам потребовалось создать группу файлов, представляющих собой аудио файлы, то Вы, вероятно, включили бы в эту группу такие форматы как MP3, WMA, FLAC, OGG, а также ряд некоторых других популярных форматов. Кстати, ОС Windows Server изначально содержит некоторые виды аудио и видео файлов.


Вы сможете создать группу файлов, используя древо консоли File Server Manager (local) («Диспетчер ресурсов файлового сервера (локальный)»), расположенное слева. В древе консоли следует раскрыть File Screening ManagementУправление блокировкой файлов») и File GroupsГруппы файлов»)», а затем с его помощью создать новую группу файлов, используя опцию «Контекстного меню» «Create File Groups» («Создать группы файлов»).

Создание новой группы довольно простой процесс, кроме того, в процессе создания новой группы файлов её можно конфигурировать должным для себя образом, например, указать файлы, которые войдут в её состав. При желании можно также указать те файлы, которые Вы хотите исключить.

Как это уже было упомянуто мной ранее, некоторые группы файлов уже включены в состав ОС Windows Server. Все они разбиты по соответствующим ключевым категориям, представляющим их, и отличаются они расширениями (*.flac, *.mkv, *.jpeg, *.png, *.bat, *.cmd, *.eml, *.idx). Тем не менее, содержимое категорий можно изменить, удалив или добавив файлы.

После того, как Вы определитесь со всеми необходимыми группами файлов, то следующее, что Вы должны будете сделать, это осуществить проверку и посмотреть на то, следует ли Вам создавать шаблон блокировки Ваших файлов. Для этого существует контейнер File Screens Templates Шаблоны блокировки файлов»), который в серверной платформе устроен настройками по умолчанию. С его помощью у Вас всегда имеется возможность создать столько шаблонов, сколько потребуется (в пределах разумных чисел, конечно же).

Получить доступ к File Screens TemplatesШаблоны блокировки файлов») можно посредством древа консоли, расположенной слева.


Когда Вы раскроете контейнер File Screens TemplatesШаблоны блокировки файлов»), то сможете увидеть, а по использованию этого контейнера понять, что его функции базируются на интуитивных операциях – они просты в обращении. Кроме того, Вы можете заметить, что в состав этого контейнера администрирования уже включены шаблоны блокировки соответствующих файлов. Вот некоторый список встроенных шаблонов Block Audio and Video FilesБлокировка аудио и видео файлов»), Block E-mail FilesБлокировка E-mail файлов»), Block Executable FilesБлокировка исполняемых файлов») и другое.

Если Вы хотите создать File Screens TemplateШаблон блокировки файла»), то Вы сможете сделать это кликнув правой клавишей мыши на контейнере File Screens TemplatesШаблоны блокировки файлов»), из «Контекстного меню» следует выбрать пункт Create File Screen TemplateСоздать шаблон блокировки файла»).


В открытом диалоговом окне Create File Screen TemplateСоздать шаблон блокировки файла») Вам будут представлены необходимые параметры настроек будущего шаблона. Его название должно отражать цель, чтобы не спутать и отчётливо видеть, что этот блокированный файл станет представлять из себя в среде иных блокированных файлов. Поддерживаются такие его функции, как Active screening… («Активная блокировка») и Passive screening… («Пассивная блокировка»). Первый вариант блокировки позволяет установить «экономный характер» использования файлов пользователями – несанкционированность доступа, тогда как второй, пассивный вариант блокировки, определяется административным контролем только в отношение определённых типов файлов. После того, как Вы наложите информационные санкции на блокируемый файл, Вы можете установить за файлом группу, к которой он станет принадлежать. Всё это производится на вкладке SettingsНастройки»).

Обратите внимание, что диалоговое окно Create File Screen TemplateСоздать шаблон блокировки файла») включает в себя несколько вкладок.

Вкладка E-mail MessageE-mail сообщение») позволяет организовать функцию безопасности на основе предупреждения по электронному сообщению. Администратор или пользователь серверной платформы, в случае несанкционированного доступа к заблокированному файлу, получает электронное сообщение с предупреждением об этом.

На вкладке Event LogЖурнал Событий») даётся возможность настроить функцию фиксирования или записывания предупреждений о событиях, связанных с заблокированным файлом.

Вкладка CommandЗадачи» или «Команды») даёт возможность установить функцию запуска соответствующего сценария или сценариев в ответ на событие.

Вкладка ReportОтчёт») отвечает за функции формирования отчёта на события, как ответная реакция на раздражитель.

Но вернёмся к нашей приоритетной цели, к блокировке файла. Функция File ScreensБлокировка файла») основывается на File Screens TemplatesШаблонах блокировки файлов»).


Чтобы заблокировать файл, обратитесь к контейнеру File ScreensБлокировка файла»), кликните по нему правой клавишей мыши. Из «Контекстного меню» выберите пункт Create File ScreenСоздать блокировку файла»). Так будет открыто диалоговое окно Create File ScreenСоздать блокировку файла»).

Диалоговое окно станет включать в себя такие важные составляющие, как траекторию расположения файла (File screen path) и его свойства блокировки (File screen properties).

Диалоговое окно Create File ScreenСоздать блокировку файла») по характеру настроек аналогичным образом отвечает интуитивным набором санкционных настроек, направленных в отношение какого-либо блокируемого файла, а операции с ним не представят сложностей», - Брайан Пози.

Необходимость блокировки файлов

«Во многих случаях эта процедура основывается на интересах информационной безопасности в сфере IT. А роль операции блокировки назначенным и уже имеющимся файлам, включая системные и исполняемые, позволяет предотвратить и отринуть от организаций, и локальных станций нежелательные последствия, которые могут быть как результатом случайного непреднамеренного, так и намеренного вмешательства со стороны доверенных и недоверенных физических лиц, злоумышленников.

Стоит помнить, что процесс блокировки файлов серверной платформы не носит под собой определяющего характера, например, как если бы он являлся исчерпывающим ключевым элементом безопасности, а представляет одну десятую часть от общего конгломерата методов построения кибер-защиты.

Функция блокировки файлов ОС Windows Server является отличным инструментом для поддержания несанкционированного доступа к заблокированному содержимому», - Брайан Пози.

По материалам: Redmond Magazine.

Автор статьи (русскоязычная версия): Рон Милдарт.


[1]Функцию блокировки файлов в ОС Windows Server иногда называют (или можно встретить иное название) функцией экранирования файлов «Диспетчера ресурсов файлов сервера», но в широком спектре эта дефиниция не используется IT-специалистами, поскольку не всегда может отражать сущностное значение понятия «блокировки доступа».
 

Программное Обеспечение

Поиск по вэб-сайту