В нашей компании мы размещаем лицензионное программное обеспечение на Windows Server 2008 R2. Пользователи получают доступ к серверу с помощью служб удаленных рабочих столов. Однако мы хотели бы запретить пользователям копировать лицензионное программное обеспечение (например, исполняемые и связанные с ними программные файлы). Это означает, что мы хотим запретить загрузку на веб-сервер, копирование с помощью RDP и т. Д.
Как это возможно в Windows Server 2008 R2?
Один из приемов, который усложнит задачу конечному пользователю, - просто не предоставлять ему полноценный рабочий стол. Вместо того, чтобы предоставлять им оболочку Windows, в которой они могут управлять файлами и копировать их, вместо этого представьте свое приложение как удаленное приложение. Также сильно заблокируйте систему с помощью групповых политик, чтобы предотвратить запуск explorer.exe, командных оболочек и других инструментов из диалоговых окон открытия / сохранения файлов. Это не остановит полностью чрезвычайно опытного человека, но должно отпугнуть обычного пользователя компьютера.
Если вам нужен полноценный рабочий стол, вы можете настроить пару серверов терминалов, один сервер для обеспечения полного рабочего стола и второй сервер для предоставления удаленных приложений в среде сервера терминалов.
Если запуск удаленного приложения невозможен, вам, вероятно, потребуется проделать большую работу, чтобы заблокировать систему с помощью групповых политик. С помощью групповых политик вы можете запретить пользователю просматривать диски в проводнике Windows и в стандартных диалоговых окнах файлов Windows. Это отпугнет большинство людей, но может сделать вашу систему более трудной в использовании, чем ваши пользователи готовы принять. Это зависит от ваших требований.
Другим вариантом может быть доставка вашего приложения с чем-то вроде приложение-v. Это технология, при которой приложение фактически не устанавливается на сервере. Для запуска программы вам понадобится специальный клиент. Если ваша инфраструктура достаточно быстра, вы бы отключили кеширование файлов приложения. Я не очень хорошо знаком с внутренним устройством app-v, чтобы знать, может ли решительный человек извлечь копию программы из кеша, я подозреваю, что они могли бы, но я не думаю, что App-v недостаточно распространен, чтобы он мог сделать это достаточно сложно.
Просто отключите возможность для локальных устройств и ресурсов быть доступными в удаленном сеансе. Проверять, выписываться эта статья TechNet для получения дополнительной информации об этой функции.
Если вы хотите более детально контролировать запрет копирования только определенных файлов в установленном сеансе, который в противном случае разрешает использование локальных ресурсов - я не знаю, что это возможно.
РЕДАКТИРОВАТЬ: теперь я вижу яснее. Извините за путаницу. В случае необходимости предотвратить копирование файлов из Интернета, перед вами может стоять непростая задача. Если это контролируемая среда, которой требуется доступ только к определенным сайтам, вы можете создать правило запрета по умолчанию в брандмауэре и разрешать только те интернет-соединения, которые необходимы, тем самым исключая любую разумную возможность копирования вещей на удаленный хост.
Если вам нужен полный доступ к Интернету, попробуйте сторонний инструмент, такой как Imperva. Файловый брандмауэр. Однако я не уверен на 100%, что это именно то, что вы ищете. Никакого личного опыта с этим.
Возможно, вам придется взглянуть на устройство шлюза DPI, которое может проверять передачу файлов для определенных файлов и блокировать их передачу. Конечно, вам нужно заблокировать SSL-соединения, за исключением заведомо исправных хостов.