Помимо основной задачи по предотвращению утечек конфиденциальной информации, DLP-система может иметь и второстепенные (дополнительные) задачи.
К ним относятся:
- копирование передаваемых сообщений для расследования инцидентов безопасности в будущем;
- исключение возможности отправки не только конфиденциальной информации, но и различной нежелательной информации (спама, нецензурной лексики, эротической информации, огромных объемов данных и т. д.);
- фильтрация нежелательной информации при получении, а не только при отправке;
- устранение способов использования информационных ресурсов сотрудниками в личных целях;
- снижение трафика, оптимизация загрузки канала;
- контроль рабочего времени сотрудников.
- поиск определенных файлов в сети;
- составление отчетов и сдача отчетов системному администратору или сотруднику службы безопасности;
- выполнение удаления на основе определенных критериев.
Даже поиск на удаленной машине не намного сложнее.
Но если вам нужно что-то найти на сотнях машин, то возникает вопрос: как? Все ПК руками не переберешь.
Данная задача довольно часто встречается в работе администраторов Windows, когда, например, необходимо провести аудит хранилища информации.
Вы скажете, что примеры реализации есть, да, но они больше направлены на поиск запрещенных к хранению данных (фильмы, игры и т.п.
), предложенный мною вариант реализует одну из задач DLP-системы.
Так что же может сделать скрипт (точнее набор скриптов)? Чтобы не утомлять администратора и не выгружать список ПК для проверки, скрипт интегрируется с AD и получает необходимую ему информацию, есть возможность фильтровать по расширению и имени, добавлять исключения, формировать отчет в папке и с возможностью отправки сообщения администратору и пользователю (Уведомление об обнаруженных файлах и рекомендации, которые необходимо принять).
Параметры можно комбинировать и изменять для получения желаемой функциональности.
После поиска формируется список файлов с именами ПК, в которых хранится искомая информация.
Вторая часть скрипта — удаление найденных файлов, всех или по определенным критериям.
Мы используем этот скрипт для мониторинга пользователей и информирования их о необходимости хранения рабочих документов в определенном месте (личный сетевой диск), скрипт определяет активного пользователя на ПК, берет данные почтового ящика из AD и отправляет уведомления о том, какой файл найден и где на локальном диске, который пользователь должен переместить в сетевое хранилище, иначе он будет удален.
В конечном итоге мы удаляем то, что не по регламенту.
Таким образом, мы реализуем одну из функций DLP-систем по контролю хранения конфиденциальной информации.
Алгоритм скрипта для поиска файлов
- Получает список рабочих станций из определенного подразделения.
- Проверяет данные в атрибуте HomePage, если для него установлено значение «Пропустить», пропускает поиск файлов, поскольку поиск уже проводился на этом компьютере
- Проверяет доступность
- Если недоступен, записывает это в файл
- Если доступно, ищет файлы
- В конце поиска записывает в атрибут HomePage значение «Pass».
- Создается файл с именем машины и списком найденных файлов.
- Администратору отправляется сообщение с вложением.
- Определяет локальное имя пользователя
- Узнает адрес электронной почты пользователя в AD
- Отправляет копию отчета
Обход алгоритма сброса сценария
- Получает список машин из AD
- Устанавливает значение атрибута notpass
Алгоритм скрипта удаления файлов
- Загружает содержимое скрипта
- Для каждой строки списка (результат) удаляет объект на удаленном компьютере
Настройка и запуск скрипта (аудит файлов)
Скрипт выполняется как команда с указанными параметрами.Ниже приведены примеры запуска скрипта и его параметры.
Start-AuditFiles – команда, выполняющая скрипт. Параметры можно комбинировать в зависимости от поставленной задачи.
Пример 1
В данном примере поиск осуществляется на компьютерах из OU, по всем файлам с расширением (*.Start-AuditFiles -OU "OU=Test,DC=root,DC=local" -SMTP smtp.server.com -AdminMail [email protected] -IncludeFile *.doc,*.
docx,*.
sys -ExclusionFile *File1*,*File2* -ExclusionFolder “*Folder1*,*Folder2*” -ReportPath \\server\reports\ - Throttle 5
doc,*.
docx,*.
sys), кроме файлов (*File1*,*File2*), кроме каталогов (*Folder1*).
,*Folder2*) отчет дублируется в каталоге (\\server\reports\).
Отчет отправляется пользователю и администратору.
Количество нитей – 5.
Пример 2
Start-AuditFiles -RemoteComputer ws-pc-4902,ws-pc-0982 -SMTP smtp.server.com -AdminMail [email protected] -Include *.
doc,*.
docx,*.
sys -ExclusionFile *New*,*au* -AdminOnly - Throttle 10
В данном примере поиск производится на компьютерах (ws-pc-4902,ws-pc-098), всех файлах с расширением (*.
doc,*.
docx,*.
sys), кроме файлов (*File1*, *Файл2*).
Отчет отправляется только администратору.
Количество потоков – 10.
Настройки целевого компьютера
ОУ ( требуется или должен быть указан RemoteComputer ) – путь к организационному подразделению с целевыми компьютерами; если этот параметр не указан, следует указать параметр RemoteComputer. В скрипте необходимо использовать один из этих двух параметров.Пример: -OU «OU=Test,DC=root,DC=local» или -OU $Computerlist (переменная задается в сочетании с другими скриптами).
УдаленныйКомпьютер ( требуется или необходимо указать подразделение ) – устанавливается, если необходимо выполнить скрипт только для определенных компьютеров из списка, либо одного конкретного, либо нескольких, указав их через запятую.
Пример: -RemoteComputer ws-pc-4902,ws-pc-0982
Параметры поиска
Инклюдефиле ( обязательно, можно использовать маску *) — список файлов или их расширений, по которым необходимо выполнить поиск (можно списком).Файл исключения ( необязательный ) — список файлов, которые необходимо исключить из поиска (можно списком).
папка исключения ( необязательный ) – список каталогов, исключенных из поиска.
Параметры отчета
Путь к отчету ( необязательный ) – путь к сетевому ресурсу или локальному каталогу, в который будут скопированы результаты проверки.АдминПочта ( необязательный ) – адрес, от имени которого отправляется отчет; отчеты, предназначенные администратору, будут доставлены на тот же адрес.
SMTP ( необязательный ) – имя SMTP-сервера, используемого в качестве шлюза для отправки сообщений.
Только для администратора ( необязательный ) – включает режим отправки отчетов только администратору.
Дроссель ( обязательно, числовое значение от 1 до 99 ) – задает количество потоков сканирования.
Установка модулей
Вам необходимо скопировать следующие файлы в каталог «C:\Windows\system32\WindowsPowerShell\v1.0\Modules»: Вызов-Parallel.psm1 Пуск-AuditFiles.psm1 Перед выполнением скрипта необходимо импортировать модули: Import-Module C:\Windows\system32\WindowsPowerShell\v1.0\Modules\Invoke-Parallel.psm1
Import-Module C:\Windows\system32\WindowsPowerShell\v1.0\Modules\Start-AuditFiles.psm1
Скрипт (модуль)
Этот скрипт необходимо сохранить в виде файла Вызов-Parallel.psm1 .
Скрипт Invoke-Parallel.psm1
function Invoke-Parallel {
[cmdletbinding(DefaultParameterSetName='ScriptBlock')]
Param (
[Parameter(Mandatory=$false,position=0,ParameterSetName='ScriptBlock')]
[System.Management.Automation.ScriptBlock]$ScriptBlock,
[Parameter(Mandatory=$false,ParameterSetName='ScriptFile')]
[ValidateScript({test-path $_ -pathtype leaf})]
$ScriptFile,
[Parameter(Mandatory=$true,ValueFromPipeline=$true)]
[Alias('CN','__Server','IPAddress','Server','ComputerName')]
[PSObject]$InputObject,
[PSObject]$Parameter,
[switch]$ImportVariables,
[switch]$ImportModules,
[int]$Throttle = 20,
[int]$SleepTimer = 200,
[int]$RunspaceTimeout = 0,
Теги: #dlp #dlp #поиск файлов #поиск и удаление файлов #информационная безопасность
-
Gmail Не Безопасен, Google Не Всеобъемлющ
19 Oct, 24 -
Объединение Javascript И Css В Одном Файле
19 Oct, 24 -
Asterisk Продолжает Говорить По-Русски!
19 Oct, 24 -
Бизнес По-Русски
19 Oct, 24 -
Разрешение Больше 1024*768 На Eeepc В Ubuntu
19 Oct, 24
