Atlansys Software Atlansys ESS
  ru На главную Контакты Карта сайта

Надежная защита информационных ресурсов и конфиденциальных данных

  Atlansys Security Server - пример использования  
  БЕЗОПАСНОСТЬ ХРАНЕНИЯ КОРПОРАТИВНЫХ ДАННЫХ    

Как организовать безопасное хранение информационных ресурсов организации или данных и профилей пользователей корпоративной сети?

Для того, чтобы надежно защитить персональные данные пользователей и их профили в Microsoft Windows 2003 Server и Windows Server 2008 администратор может использовать функцию перенаправления папок и перемещения профиля для настройки рабочей среды пользователя.

С помощью Active Directory и групповых политик можно перенаправить следующие папки:

  • Application Data (хранение настроек пользовательских программ и среды, вспомогательных модулей);
  • Папок «Мои документы» и «Рабочий стол»;
  • Папки «Главное меню».

Также возможно создание перемещаемых профилей (C:\Document and settings\USERNAME) для хранения их на серверных дисках.

Использование перенаправляемых папок и перемещаемых профилей дает следующие преимущества:

  • Простота доступа к данным;
  • Облегчение задачи резервного копирования информации;
  • Возможность использования «обезличенных» компьютеров в организациях с развитой структурой централизованного управления;
  • Возможность «прозрачного» шифрования хранимых на сервере данных.

О возможности шифрования на серверах организации пользовательских данных и будет идти речь.

Возьмем для примера организацию с контроллером домена на Windows Server 2003 и файл-сервером с установленным Atlansys Server (возможно также размещение пользовательских файлов на контроллере домена).

Для начала необходимо создать шифрованный диск, где и будут храниться файлы. В консоли Atlansys Server создаем криптодиск защищенный паролем.

В иерархическом списке выберем раздел «Диски» и в панели инструментов нажмем кнопку «Создать». В мастере создания защищенных дисков укажем следующие параметры:

- Размещение (выбор раздела для шифрования);

- Описание (описание шифрованного раздела);

- Диск (буква диска, на которую будет монтироваться выбранный раздел).

После заполнения полей перейдем к следующему шагу, где нам будет предложено выбрать алгоритм шифрования и тип защиты. Выберем тип защиты - пароль. После будет показано окно с информацией о создаваемом криптодиске и предложение о заполнении диска случайными числами. Далее нажимаем кнопку «Создать». После этого в списке криптообъектов должен появиться открытый криптодиск.

После того как диск будет создан, он автоматически будет отформатирован под выбранную файловую систему и смонтирован на соответствующую букву диска.

Перейдем к следующему шагу созданию структуры папок для хранения пользовательских данных. Есть несколько организаций структуры папок, т.к. хранение документов и пр. в отдельных папках для каждого пользователя, создание общих рабочих столов, папок «Главное меню», и т.д. Мы же будем рассматривать структуру, где в папке с именем пользователя содержатся его документы.

Создадим на зашифрованном диске папку «UserFiles». Внутри которой будут автоматически создаваться папки USERNAME\Documents, USERNAME\Desktop и т.п.

Разрешим запись в эту папку и откроем общий доступ для группы пользователей, для которых будет применяться политика перенаправления (FoldRedirUsers).

Далее укажем для пользователя необходимость использования перемещаемого профиля и пути к нему. В оснастке Active Directory Users and Computers выделим нужных нам пользователей, нажмем правую кнопку мыши и отобразим свойства.

На вкладке Profile поставим галочку на пункте Profile path и укажем место для хранения перемещаемых профилей, в нашем случае это \\Server01\UserFiles\%username%\profile (Где Server01 - имя сервера с шифрованным диском).

Для включения перенаправления папок запустим оснастку управления групповыми политиками, создадим новый объект групповой политики FoldRedirUsers_GPO и укажем применимость этой политики для группы FoldRedirUsers. Откроем политику для редактирования.

В секции «Конфигурация пользователя Конфигурация Windows Перенаправление папки» для каждого типа папки пропишем необходимые параметры, такие как:

  • для Documents: «Политика» «Расширенное (указать различные места для разных групп пользователей)», «Членство в группе безопасности» «Добавить». Выбираем группу FoldRedirUsers, в секции «Размещение конечной папки» - «Создать папку для каждого пользователя» и «Корневой путь» - \\Server01\UserFiles\%username%\Documents
  • остальные параметры можно оставить по умолчанию.

Далее задействуем созданный объект групповой политики.

Основные настройки для использования перемещаемых профилей сделаны. Теперь при следующей процедуре авторизации пользователем автоматически создадутся необходимые каталоги и папка «Мои документы» находящаяся на сервере на защищенном (зашифрованном) диске.

  © Программные системы Атлансис 2005-2017 г.г.