» Как запретить хранить файлы с определенными расширениями

Поставили тут хитрую задачу.
Запретить пользователям гостевой подсети хранить на машине в каком бы то ни было виде файлы mp3, avi и пр.

Подскажите плз. софт, который бы мог запретить хранить файлы опредеденных типов в подсетке на пользовательских машинах, ну и может быть делать статистику - сколько файлов такого-то типа лежит в общей сложности на стольких-то машинах.

Нашел Appsense Application Manager, но он умеет лочить только EXE файлы.

Может есть что-нить более серьезное.

flayx
Windows Server 2003 R2

FreemanRU
Подробнее можно?

PIL123
http://www.microsoft.com/technet/technetmag/issues/2006/05/GetControl/default.aspx

FreemanRU
Спасибо большое, вот, докачал поставил на тестовую машину - не работает.
Предлагает поставить только клиента.
Залил на эту же машину R2-enterprise работает.

Проблемма так понимаю в том, что до этого была win2k3 standart.
На сервере тоже стоит win2k3 Standart Edition, соответственно работать не будет.
Сменить ее возможности нет, слишком много на ней чего завязано, причем разными людьми.
Похоже все таки придется пользоваться посторонним софтом.

Может все таки есть на примете что нить похожее.
Раньше ж люди как-то решали подобные задачи.

flayx
....т.е. то, о чём писал FreemanRU доступно только в Microsoft Windows Server 2003 R2 Enterprise Edition?

PIL123
У нас стоит на боевом сервере Standart R2.

flayx

Цитата:

win2k3 Standart Edition

Тебе в Варезник дорога. Ест там Standart

еще есть Veritas Storage Exec, но там проблема с лекарством.

FreemanRU


Цитата:

там проблема с лекарством

Проблем нет.
Продукт очень хороший, FSRM из R2 в сравнении - просто детский лепет.

flayx
Учти, что FSRM смотрит только на расширение файла, ушлые юзеры обходят в два счета.

Отвечу всем по очереди:

PIL123

Цитата:

....т.е. то, о чём писал FreemanRU доступно только в Microsoft Windows Server 2003 R2 Enterprise Edition?

судя по всему - да, поскольку на Standart Edition не R2 встает только клиент.

FreemanRU

Цитата:

Тебе в Варезник дорога. Ест там Standart

да дело в том для SRM нужен именно R2. А сейчас стоит не R2, и стоит давно. А переставлять систему.... ну вобщем об этом я уже писал. Туда даже SP1 нельзя залить, с ним софт нужный работать сразу перестает. Если б была такая возможность уже сегодня переставил бы, тем более на тестовой машине оно заработало.

Цитата:

еще есть Veritas Storage Exec, но там проблема с лекарством.

Скачал, посмотрел - понравилось даже больше чем SRM. Млин с лекарством действительно проблема - оно есть на все, кроме Remote Agent, а это именно то, что мне и надо.
Софт с жалостью отметается по причине неработоспособности с сетью.

Serra

Цитата:

Учти, что FSRM смотрит только на расширение файла, ушлые юзеры обходят в два счета.

И Veritas и FSRM как я сегодня имел счастье в этом убедиться благодаря FreemanRU
имеют в своем комплекте некие встроенные группы - а именно Media group, Executable Files, Temp files и пр.
И если нужное расширение находиться в этой группе, то как файл не обзывай, например что qqq.mp3 или кукуку.мэпетри файл удалиться с сервера автоматически. Если стоит галка проверять не только расширение , но и контент файла.
Так что ушлость здесь особо не прокатит.

Так чем же народ все таки расширения на клиентских машинах лочит?
Поспрашивал у народа. Одна знакомая менеджером работает, так она говорит что она полгода назад была на фирме, вставила флешку, там помимо договоров была еще и музыка, так вот, договора остались, а 300Мб музыки стерлись. Она - давай материться, ей объяснили это корпоративным запретом в офисе на MP3.
Я к чему все это рассказываю - ведь делает народ такие фокусы.

Полгода назад R2 как таковой еще не было, значит сделано это было сторонним софтом.

flayx

Цитата:

Если стоит галка проверять не только расширение , но и контент файла

Контент проверяет Veritas, FSRM это делать не умеет

Serra

Цитата:

Контент проверяет Veritas, FSRM это делать не умеет

Я не знаю, почему наши мнения расходятся, но тот FSRM, который я поставил вчера, делает это по дефолту. В отличие от Veritas, которому потребовался для этих целей официальный update.
У FSRM это только называется по другому - File Screening management, и группа Audio And Video Files в моем случае.
Так, навсякий: FSRM (ver 5.2), Win2k3 Enterpise (ver 5.2.3790)
Но сути дело не меняет,
вопрос по блокировке файлов на клиентских машинах с сервера остается открытым.

FreemanRU
Поставил R2.
Все таки решился выделить отдельную машину под квоты и ограничения, возник второй вопрос:
А ты часом сам не пробовал на R2 пользоваться подобным ограничением?
Дело в том что оно реально ограничивает только само себя.
Ставлю клиента на пользовательскую машину, толку ноль, поскольку в клиентскую часть входит ТОЛЬКО консоль управления сервером.
Ну нафига спрашивается пользователю консоль управления квотами на сервере?
В идеале хотелось был наоборот.

flayx

Цитата:

вопрос по блокировке файлов на клиентских машинах с сервера остается открытым

Вообще я так прикинул, и понял что сие не реально, в силу большой ресурсоемкости. А также любой такой сервис можно обойти.

FreemanRU

Цитата:

Вообще я так прикинул, и понял что сие не реально, в силу большой ресурсоемкости. А также любой такой сервис можно обойти.

На счет ресурсоемкости - не согласен.
Висит демон и отслеживает раз в час/три/день либо диск либо шареные папки.

На счет обхода, если машина в домене и процесс запускается от системной/админской учетной записи то пользователь тут бессилен.

Насчет невозможности -- как же посты выше? Как с Veritas Storage Exec ? И наконец, как с флешки музыка пропала? (см пост выше.)

flayx

Цитата:

На счет обхода,

Просто переименовать.


Цитата:

раз в час/три/ден

Ну, если нужно не онлайн, то можно обычный скрипт прикрутить. На mp3 вообще легко - е только по имени, но и по битам тэгов. Найти эти теги легко в инете. ТАм всего 2 или 3 байта считаь надо. Думаю тоже саоме и с другими файлами.
Если хочешь, могу тебе написать на .NET что-нить подобное. Нужно только техусловие (прсто и мне такое пригодится на работе)

Цитата:

Насчет невозможности

А я не говорил, что это невозможно. Это не целесообразно. Гораздо проще бороться с эти мадминистративными мерами. Нашел запещенное - дал по голове через начальника. У нас действует безотказно.


Цитата:

Одна знакомая

Не склонен женщинам верить (исключая лишь тех, что админами работают, да простят меня представительницы прекрасного пола) в таких вопросах. Ибо работаю с коллективом на 80% состоящих из дам. И слышал такие перлы, что "пропадание файлов с флешки" - это так, детский лепет. Но предлагаю данный офтоп не развивать, ну или во в местном Флейме продолжить.

FreemanRU

Цитата:

Просто переименовать.

например в том же FSRM и Veritas такой номер не проходит, по крайней мере на новые файлы, появляющиеся после введения квот.
На счет нецелесообразности - иногда очень даже полезно знать какими файлами забита машина.


Цитата:

Если хочешь, могу тебе написать на .NET что-нить подобное. Нужно только техусловие (прсто и мне такое пригодится на работе)

Спрашиваешь, с меня сразу
Готов даже оттестировать подобное в нашей гостевой подсетке.
на счет техусловий, например так, чего хотелось бы в идеале:
наверно Агент/Клиент-сервер.

Сервер:
1. Вешается некий "управляющий" процесс. Открывается порт для этого процесса.
2. Задается список клиентских машин, куда надо поставить клиента. Например, тем же psexec.или через политики.
3. Список в идеале хотелось бы бить внутри по группам (подсетям)
3. Задаем вручную список имен и расширений, которые нам не нравятся, компонуем его в некий список для раздачи в группы.
4. Задаем некий шедулер для принудительной рассылки списка по расписанию.
5. В шедулере также хотелось бы иметь опцию проверки агента на живучесть (может даже отдельным расписанием), что его не "убили" на машине пользователя. И внесение этой проверки в виде измененной иконки (можно звездочку рядом с именем поставить), чтоб просто так не ломиться.
6. Мини отчетик, что в такой-то группе машин находиться xxx файлов такого-то типа.
можно и график, но я думаю его можно потом и в Excel самому построить.
7. С найденными файлами хотелось бы поступать следующим образом:
Сначала список, чтобы по хорошему предупредить. Если не действует, то отсылать в расписание пометку об удалении файлов из этого списка
8. Список при этом хотелось бы иметь редактируемый, хоть тем же блокнотом, чтобы удалять можно было выборочно, а то отправишь заявку на удаление *.wav а он в виндовом каталоге родные звуки потрет.

клиент:
1. На машину пользователя устанавливается некий процесс, который постоянно висит в памяти от имени админа/системы.(ну чтобы элементарно по трем кнопкам не снять)
2. Никаких иконок в треях.
3. Процесс должен по заданному расписанию забирать апдейты списка и расписания с сервера.
4. По этому заданному расписанию агент должен делать поиск по диску данных из списка.
5. Делать это хотелось бы в пониженном приоритете, чтоб машина не тормозила.
6. Найденные файлы составлять в некий список (путь/размер)либо файл и автоматом отсылать его на сервер, не сохраняя на клиентской машине, чтоб его нельзя было подменить.

Вроде усе на первый взгляд, но в случае чего дополним, изменим.

flayx
А тебе не кажется, что всё тоже самое можно просто скриптом сделать? Повесить в шедулеры задания, которые бы собирали информацию о компьютере. Ну и удалаляи её заодно..

Какой смысл в этих барахтаньях?
Ну тот же юзверь берет файлик, yyyyyy.mp3 и переименовывает уго в yyyyyy.xxx
причем xxx - любые буквы.
Затем спокойно открывает их через пункт Открыть...
И все.
Все ухищрения курам на смех.

Sandmansss
читай посты выше.

FreemanRU
Да думал я про скрипты, есчессно, но как ты узнаешь о том, прошли они или нет?
Те же задания, расписания забирать с сервера, списки по объему составлять, да и пр.
Начиная от банального неудобства и заканчивая большим гемороем, который выльется в постоянный обход машин вручную. Даже статистики хотя бы ввиде лога верить нельзя будет.
Так оно и будет. Стабильность должна быть превыше всего при работе с сеткой.

Вспоминая начало темы могу добавить линк на готовый существующий программный продукт

Здесь обсуждение
http://forum.ixbt.com/post.cgi?id=print:7:26963

Здесь собственно домашняя страница.
http://domapguard.narod.ru/

Кому надо могут пользоваться, а то я в свое время пол-сети переколбасил.