Реализация блокировки файлов в Windows Server 2003 R2

Получите свою копию Windows Server Hacks!

Администраторы могут использовать фильтрацию файлов, чтобы легко запретить пользователям сохранять аудио- и видеофайлы в свои сетевые папки, чтобы их папки не заполнялись и не превышали их квоту, а также чтобы сотрудники не хранили нелегально скопированные медиафайлы на серверах компании. Вы даже можете настроить файловые серверы для отправки уведомлений по электронной почте администраторам, когда пользователи пытаются сохранить файлы, заблокированные блокировками файлов, и вы можете создавать шаблоны, которые можно использовать для упрощения развертывания и управления блокировками файлов в нескольких общих томах и папках. Короче говоря, фильтрация файлов — лучший друг администратора! Давайте посмотрим, как настроить его в простом сетевом сценарии.

Прежде чем вы сможете настроить фильтрацию файлов в папках пользователей, сначала необходимо установить диспетчер ресурсов файлового сервера (FSRM) на файловом сервере. Шаги для этого были описаны в моей предыдущей статье на WindowsNetworking.com под названием «Настройка квот томов и папок», поэтому я не буду повторять эти шаги здесь.

Создание групп файлов

Первым шагом в реализации экранов файлов является создание групп файлов. Группа файлов определяет набор типов файлов, которые должны или не должны быть заблокированы. Например, допустим, вы хотите заблокировать сохранение всех видеофайлов на общем ресурсе или томе. Для этого вы должны начать с создания группы файлов, например, под названием «Видеофайлы», и добавить в группу расширения файлов, такие как.wmv,.mpg и другие. Для этого откройте FSRM и разверните узел File Screening Management, а затем под ним узел File Groups. Затем щелкните правой кнопкой мыши «Группы файлов» и выберите «Создать группу файлов». В появившемся диалоговом окне укажите имя для вашей файловой группы и типы файлов, которые вы хотите включить (см. рис. 1):

Рисунок 1: Создание группы файлов для типов видеофайлов

Ваша новая файловая группа теперь будет отображаться на панели результатов при выборе узла «Группы файлов» (рис. 2):

Рис. 2. Новая файловая группа с именем «Видеофайлы».

Создание файловых экранов

Теперь давайте создадим экран файлов, который блокирует тип файлов, указанный в нашей файловой группе. Сценарий, с которым мы будем работать, таков: у всех пользователей в Ванкуверском подразделении домена R2.local папки «Мои документы» должны быть перенаправлены как подпапки внутри общей папки Home на сервере с именем MTIT-14JCI2H1Y5, и мы хотим предотвратить это. запретить пользователям сохранять видеофайлы в своих папках «Мои документы». Чтобы перенаправить «Мои документы» для этих пользователей, мы создадим объект групповой политики, в котором настроен параметр политики, показанный на рис. 3:

Рисунок 3. Перенаправление папок настроено для пользователей в Ванкувере с помощью показанного параметра групповой политики.

Когда пользователь из Ванкувера Мэри Джонс входит в систему на своем настольном компьютере с Windows XP в первый раз (фактически во второй раз, если включена оптимизация входа в Windows XP), содержимое папки «Мои документы» на ее локальном компьютере копируется в \MTIT-14JCI2H1Y5Home. mjonesМои документы. Это можно проверить с помощью проводника Windows на файловом сервере, как показано на рис. 4 (по умолчанию администраторам запрещен доступ к папкам пользователей «Мои документы»):

Рисунок 4. Мои документы для пользователя Мэри Джонс перенаправляются на домашнюю общую папку на файловом сервере.

Чтобы Мэри Джонс не сохраняла видеофайлы в своей папке «Мои документы», мы создаем файловый экран следующим образом. Щелкните правой кнопкой мыши узел File Screens в разделе File Screening Management и выберите Create File Screen. В открывшемся диалоговом окне выберите папку mjones в качестве целевой папки (все вложенные папки, такие как «Мои документы», также будут автоматически экранированы). Теперь выберите параметр для определения пользовательского экрана (рис. 5):

Рисунок 5: Создание пользовательского экрана файлов для файлов, сохраненных Мэри Джонс

Нажмите кнопку «Пользовательские свойства» и на вкладке «Настройки» укажите файловую группу «Видеофайлы» в качестве типа файлов для блокировки (рис. 6):

Рис. 6. Блокировка файлов, определенных файловой группой «Видеофайлы».

Давайте сделаем паузу и отметим несколько моментов:

• Настроив остальные вкладки на рисунке 6 выше, вы можете указать, что происходит, когда пользователь пытается выполнить действие, заблокированное экраном файлов. Эти действия могут включать в себя отправку сообщения электронной почты администратору (или пользователю, пытающемуся сохранить файл), регистрацию события предупреждения в журнале событий приложений, создание отчета для целей аудита (и, при необходимости, отправку его по электронной почте администратору) или выполнение указанной вами команды или программы. Например, вы можете написать скрипт, который отправляет пользователю всплывающее сообщение «Внимание! Сохранение видеофайлов на серверах компании является нарушением политики компании!» или все, что вам нравится, и запускать скрипт, когда пользователь пытается сохранить видеофайл в Моих документах.
• При выборе пассивного скрининга указанные выше уведомления по-прежнему приходят, но пользователю не блокируется возможность сохранения файла.
• Нажимая кнопки «Создать» или «Редактировать», вы можете создавать новые группы файлов «на лету» или редактировать существующие по мере необходимости.
• Наконец, нажав «Копировать», вы можете использовать существующий шаблон экрана файлов для создания нового экрана файлов (мы поговорим о шаблонах экрана файлов чуть позже).

После того, как вы определили пользовательские свойства экрана файлов, нажмите OK, чтобы вернуться к рисунку 5, а затем нажмите Создать, чтобы создать новый экран. Когда будет предложено сохранить экран файла в качестве шаблона, выберите второй вариант «Создать пользовательский экран файла без создания шаблона» и нажмите «ОК». Теперь новый экран должен отображаться на панели «Результаты», а под ним в области «Описание» показаны дополнительные сведения (рис. 7):

Рис. 7. Экран нового файла отображается на панели результатов.

Теперь, когда Мэри пытается загрузить видео из Интернета и сохранить его в своей папке «Мои документы», она получает сообщение об ошибке (рис. 8):

Рисунок 8: Видеофайлы блокируются

Однако, когда Мэри пытается сохранить файлы других типов в Мои документы, ее действия завершаются успешно.

Использование файловых экранов с перемещаемыми профилями

Будьте осторожны при настройке файловых экранов, когда в вашей сети включены перемещаемые профили, так как вы можете попасть в затруднительное положение. Например, предположим, что у пользователя Боба Смита есть перемещаемый профиль, сохраненный в папке с именем %username% (т. е. bsmith) в общей папке с именем Profiles на файловом сервере MTIT-14JCI2H1Y5. Другими словами, сетевой путь к профилю Боба — \MTIT-14JCI2H1Y5Profilessmith. И допустим, вы настроили экран файлов в папке «Профили», чтобы запретить перемещающимся пользователям сохранять видеофайлы. Теперь предположим, что Боб загружает из Интернета файл dance pigs.mpg и сохраняет файл на своем рабочем столе. К сожалению, когда Боб пытается выйти из своего компьютера, он получает сообщение об ошибке, показанное на рис. 9:

Рисунок 9. Не настраивайте экраны файлов в папках перемещаемого профиля

Здесь происходит следующее: компьютер Боба не может сохранить файл dance pigs.mpg, так как его перемещаемый профиль является подпапкой общей папки Profiles на файловом сервере. Из-за этого вся операция по обновлению перемещаемого профиля Боба до общей папки Profiles также завершается сбоем, поэтому все изменения, внесенные Бобом на его рабочий стол во время пользовательского сеанса, теряются.

Использование шаблонов экрана файлов

Точно так же, как создание шаблонов квот может значительно упростить процесс развертывания квот томов и папок в вашей сети, создание шаблонов блокировки файлов может сделать то же самое для простой реализации блокировки файлов на нескольких томах и общих ресурсах. На самом деле вам может даже не понадобиться создавать собственные настраиваемые шаблоны экранов файлов, поскольку R2 поставляется с рядом предустановленных полезных шаблонов (рис. 10):

Рисунок 10: Предустановленные шаблоны экранов файлов

Создать новый шаблон блокировки файлов очень просто — просто щелкните правой кнопкой мыши узел «Шаблоны блокировки файлов» и выберите «Создать шаблон блокировки файлов», после чего откроется диалоговое окно, подобное показанному на рис. 6 выше. Укажите настройки для вашего шаблона так же, как вы делаете экран файла, и нажмите OK, чтобы создать новый шаблон. Затем вы можете применить новый шаблон (или предопределенный шаблон) к любому тому или папке на файловом сервере следующим образом: щелкните правой кнопкой мыши узел File Screens и выберите Create File Screen, укажите путь к тому или папке, которую вы хотите экране выберите параметр «Извлечь свойства из этого шаблона экрана файлов (рекомендуется)» и выберите шаблон, на основе которого будет создан новый экран файлов, из раскрывающегося списка (рис. 11):

Рис. 11. Создание экрана нового файла из предопределенного шаблона

Вывод

Фильтры файлов — мощные инструменты, но не все они мощные. Они не помешают продвинутому пользователю, например, загружать видеофайлы из Интернета, изменять расширения их файлов на файлы.txt и сохранять их в своих «Моих документах» на вашем файловом сервере. Ваша первая линия защиты от нежелательных действий, подобных этой, — это ваша корпоративная политика безопасности, и вы должны быть уверены, что четко доносите эту политику до пользователей и применяете ее справедливо, но неукоснительно. Технологии не решают всего — пользователи слишком умны, чтобы это работало! Но хорошая политика безопасности может служить сдерживающим фактором для нежелательных действий и предоставить вашей компании средства судебной защиты, если сотрудник использует сетевые ресурсы способом, нарушающим политику.