Wednesday, October 17th, 2018

Применения Фильтрации файлов в Windows Server 2003 R2

Published on Февраль 18, 2009 by   ·   Комментариев нет

В данной статье освещаются вопросы настройки фильтрации файлов в Windows Server 2003 R2. Фильтрация файлов – новая функция в Windows Server, позволяющая администраторам типы файлов, которые пользователи могут сохранять в домашние папки и другие сетевые папки совместного пользования.

Администраторы могут использовать фильтрацию файлов для предотвращения сохранения пользователями аудио и видео файлов в сетевые папки, чтобы они не переполнялись и не превышали установленного размера и чтобы пользователи не хранили нелегальные копии медиа файлов на корпоративных серверах. Можно так настроить сервер, чтобы он посылал предупреждения о том, что пользователи пытались сохранить запрещенные файлы. Можно создать шаблоны для упрощения использования и управления файловыми фильтрами. Другими словами, фильтрация файлов – лучший друг администраторов. Давайте посмотрим, как настроить такую фильтрацию.

Прежде всего, необходимо установить File Server Resource Manager (FSRM) на вашем файловом сервере. Процедура установки описывалась в моей предыдущей статье под названием настройка квоты томов и папок.

Создание файловых групп

Сначала необходимо создать файловые группы. Файловая группа определяет типы файлов, которые должны или не должны блокироваться. Например, вы хотите заблокировать сохранение всех видео файлов. Вы должны создать файловую группу, называете ее, например, видео файлы и добавляете в нее расширения файлов, например, wmv, .mpg и другие. Для этого нужно открыть FSRM и перейти на закладку File Screening Management (Управление фильтрацией файлов), а в ней на File Groups (Файловые группы). В появившемся диалоговом окне задайте имя группы и типы файлов (см. рис. 1).

Что такое пользовательский фильтр?

Рисунок 1: Создание файловой группы для видео файлов

Новая файловая группа появится в панели Results (Результаты) при выборе закладки File Groups (Файловые группы) (рисунок 2):

Видео создание блуждающего профиля


Рисунок 2: Новая файловая группа «Видео файлы»

Создание файловых фильтров

Теперь создадим файловый фильтр, блокирующий типы файлов, определенные в файловой группе. Мы работаем по следующему сценарию: все пользователи Vancouver OU домена R2.local имеют свои папки Мои документы в \Home share на сервере MTIT-14JCI2H1Y5, и мы хотим лишить их возможности сохранять видео файлы в папки Мои документы. Для этого мы создаем Объект групповой политики с настройками, показанными на рисунке 3:

Создание файлового сервера на Windows 2003

Рисунок 3: Перенаправление папки Мои документы настроено для пользователей Vancouver с использованием групповой политики

Когда пользователь Маша заходит в рабочий стол Windows XP в первый раз (на самом деле во второй, если включена функция оптимизации входа Windows XP), содержание ее папки Мои документы копируется в \\MTIT-14JCI2H1Y5\Home\mjones\My Documents. Это может быть сделано с помощью Windows Explorer на файловом сервере, как показано на рисунке 4 (администраторы лишены возможности доступа в пользовательские папки Мои документы по умолчанию):

Управление файловым сервером 2003 не сохранять

Рисунок 4: Папка Мои документы перенаправлена в Home share на файловом сервере

Для того, чтобы Маша не могла сохранять видео файлы в папку Мои документы, создаем файловый фильтр. Щелкаем правой кнопкой мыши на закладке File Screens (Файловые фильтры) на странице File Screening Management (Управление фильтрацией файлов) и выбираем Create File Screen (Создать файловый фильтр). В появившемся диалоговом окне выбираем папку mjones в качестве целевой папки (все подпапки такие как Мои документы будут профильтрованы). Теперь выбираем функцию определения пользовательского фильтра (Рисунок 5):

Как открыть управление фильтрацией файлов?

Рисунок 5: Создание пользовательского файлового фильтра для файлов, сохраняемых Машей

Нажимаем кнопку Custom Properties (Пользовательские свойства) и на закладке Settings (Настройки) выбираем файловую группу Видео файлы для файлов, которые необходимо заблокировать (Рисунок 6):

Фильтрация слов с видео

Рисунок 6: Блокировка файлов, определенных в файловой группе Видео файлы

Обратите внимание на следующие моменты:

  • Настройка остальных параметров, представленных на рисунке 6, позволяет определить действия, когда пользователь пытается сохранить запрещенные файлы. Среди них: отправки сообщения администратору или пользователю, пытающемуся сохранить такие файлы, запись Предупреждения в файл событий, создание отчета в целях проверки с возможностью отправки его администратору, запуск выбранной программы или команды. Например, можно написать скрипт, создающий всплывающее сообщение «Предупреждение! Сохранение видео файлов на корпоративном сервере противоречит политике компании!», если пользователь пытается сохранить видео файл в папку Мои документы.
  • Выбор Пассивной фильтрации создает сообщение, но пользователь все равно может сохранить файл.
  • Нажав кнопку Create (Создать) или Edit (Редактировать) можно создать новую файловую группу на ходу или редактировать уже имеющуюся.
  • Наконец, нажав кнопку Copy (Копировать), можно использовать существующий шаблон файловой группы для создания нового файлового фильтра (о шаблонах файловых фильтров речь пойдет ниже).

Определив пользовательские свойства файлового фильтра, нажимаем кнопку OK (Готово) для возвращения на страницу, изображенную на рисунке 5, нажимаем кнопку Create (Создать) для создания нового фильтра. Отвечая на вопрос, сохранять ли файловый фильтр в качестве шаблона, выбираем вторую опцию “Create the custom file screen without creating a template” («Создать пользовательский файловый фильтр без создания шаблона») и нажимаем кнопку OK (Готово). Новый фильтр появляется на панели Results (Результаты) с пояснениями, представленными ниже, в поле Description (Описание) (Рисунок 7):

File screening Windows 2003

Рисунок 7: Новый фильтр на панели Results (Результаты)

Когда Маша пытается скачать видео файл из Интернет и сохранить его в паке Мои документы, появляется сообщение об ошибке (Рисунок 8):

Окно управление блокировкой файлов Windows 2003

Рисунок 8: Видео файлы блокируются

Но Маше удается сохранять файлы с другими расширениями.

Использование файловых фильтров с блуждающими профилями

Соблюдайте осторожность при настройке файловых фильтров, если в сети включены блуждающие профили, так как можно попасть в ловушку. Например, У Боба сохранены блуждающие профили в папке %username% (а именно: bsmith) в совместном разделе Профили на файловом сервере MTIT-14JCI2H1Y5. Другими словами, путь выглядит следующим образом: \\MTIT-14JCI2H1Y5\Profiles\bsmith. Допустим, что вы настроили файловый фильтр для папки Профили на блокировку сохранения блуждающими пользователями видео файлов. Боб загружает dancing pigs.mpg из Интернет и сохраняет файл на рабочем столе. Когда он пытается выйти из системы, то он получает сообщение об ошибке (Рисунок 9):

Фильтрация файлов на сервере exchange

Рисунок 9: Не настраивайте файловые фильтры для папок с блуждающими профилями

Боб не может сохранить файл dancing pigs.mpg, так как его блуждающий профиль – это подпапка совместного раздела Профили на файловом сервере. Именно поэтому операция по обновления блуждающего профиля Боба до совместного раздела Профили невозможна, и все изменения, которые он произвел на рабочем столе во время сессии потеряны.

Использование шаблонов файловых фильтров

Как и создание квотовых шаблонов может сильно упростить использование квот томов и папок в сети, так и создание шаблонов файловых фильтров упрощает применение фильтров для многих томов и папок. Можно даже не создавать свои шаблоны пользовательских фильтров, потому что в R2 они уже есть (Рисунок 10):

Блокировка файлов на Windows server 2003

Рисунок 10: шаблоны файловых фильтров

Шаблон файловых фильтров создается очень просто: щелкните правой кнопкой мыши на закладке File Screen Templates (Шаблоны файловых фильтров) и выберите Create File Screen Template (Создать шаблон файловых фильтров), в результате появится диалоговое окно, изображенное на рисунке 6. Установите настройки для шаблона также как и для файлового фильтра, нажмите кнопку OK (Готово) для создания нового шаблона. Можно применить созданный шаблон к томам и папкам на сервере или использовать уже готовый шаблон: щелкните правой кнопкой мыши на закладке File Screens (Файловые фильтры) и выберите Create File Screen (Создать файловый фильтр), укажите путь к тому или папке, которые необходимо профильтровать, выберите “Derive properties from this file screen template (recommended)” («Использовать настройки шаблона файлового фильтра (рекомендуется)») и выберите шаблон из выпадающего меню (Рисунок 11):

Разгон файл сервера Windows 2003

Рисунок 11: Создание файлового фильтра на основе шаблона

Заключение

Файловые фильтры достаточно мощный инструмент, но и его можно обмануть. Пользователь может загрузить видео файл из Интернет и, изменив его расширение на .txt, сохранить его в папке Мои документы. Предотвратить это можно с помощью корпоративной политики безопасности, которую необходимо донести до пользователей и следить за ее соблюдением. Технологии не могут решить все проблемы – пользователи слишком хитры и умны. Но хорошая политика безопасности способна сдерживать нежелательные действия и обеспечить компании легальную возможность наказать работника.

www.windowsnetworking.com



Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]