Geforce257: Ограничение буфера обмена на сервере терминалов в Windows Server 2008 R2
Geforce257
Member
Автор темы
10/23 ответов
13 лет на iXBT, с июля 2011
Чаще пишет Р Р† "Администрирование" (54%)
Россия, Москва
Инфо Ответить
G
Geforce257 MemberАвтор темы
  12 лет назад / 08 февраля 2013 13:19
Здравствуйте уважаемые коллеги

В нашей компании недавно был осуществлен переезд на новый терминальный сервак, ОС 2008R2 64бита. И обнаружилось что в ОС 2008R2 буфер в терминале работает не так как в 2003r2. Он дает копировать не только текст, но и файлы с папками. В настройках самого сервера, буфер можно либо включить, либо выключить. С помощью групповых политик можно одним разрешить, другим запретить использовать буфер итд... Но я ни где не нашел настроек, чтобы разрешить только текст, а файлы запретить. Это возможно вообще? В данный момент буфер закрыт, и недовольство пользователей растет. А разрешить копирование файлов не могу по причине безопасности. Есть какие то методы решения данной проблемы?
Спасибо!
Ethril
Member
646/1652 ответов
22 года на iXBT, с декабря 2002
Чаще пишет Р Р† "Администрирование" (49%)
Россия, St.-Petersburg
Инфо Ответить
Ethril Member
12 лет назад / 08 февраля 2013 13:48
А смысл разрешать текст и одновременно запрещать файлы? Если кому сильно приспичит украсть у вас файл, то сделают это и через чисто текстовый буфер обмена (бинарник сконвертят в UUEncode).
gfg
заблокирован в конференции
331/568 ответов
12 лет на iXBT, с июля 2012
Чаще пишет Р Р† "Администрирование" (58%)
Инфо Ответить
g
gfg заблокирован в конференции
12 лет назад / 08 февраля 2013 14:06
Geforce257
И обнаружилось что в ОС 2008R2 буфер в терминале работает не так как в 2003r2. Он дает копировать не только текст, но и файлы с папками
Не готов бить себя пяткой в грудь, но, мне кажется, Вы ошибаетесь. Ограничений на тип данных в буфере у RDP никогда не было. Это, как сейчас любят говорить, первое

Второе: если у пользователя есть доступ к данным, то Вы не можете полностью исключить возможность их копирования только тех. методами. Даже если Вы запретите пользователю использовать буфер, он сможет просто скопировать файлы командой copy в другое сетевое расположение, к которому у него есть доступ.
Так что буфер на вопрос копирования практически никак не влияет. Он нужен для удобства обмена данными между локальными и удалёнными приложениями. Смысл запрета может быть только в том, что Вы хотите предотвратить несанкционированный перехват данных на компе клиента. Ну или наоборот - несанкцонированное проникновение на сервер со стороны клиента ч/з буфер обмена.

Исправлено: gfg, 08.02.2013 14:11

lamerAlex
Advanced Member
4135/9005 ответов, #8 в рейтинге
23 года на iXBT, с декабря 2001
Чаще пишет Р Р† "Администрирование" (50%)
Инфо Ответить
l
lamerAlex Advanced Member
12 лет назад / 08 февраля 2013 14:09
Geforce257
afaik возможность копировать файлы через буфер связана с отображением локальных дисков в терминальном сеансе, при включенном буфере конечно

Добавление от 08.02.2013 14:10:

gfg
Даже если Вы запретите пользователю использовать буфер, он сможет просто скопировать файлы командой copy в другое сетевое расположение, к которому у него есть доступ.
на рабочий стол своей станции например?
gfg
заблокирован в конференции
332/569 ответов
12 лет на iXBT, с июля 2012
Чаще пишет Р Р† "Администрирование" (58%)
Инфо Ответить
g
gfg заблокирован в конференции
12 лет назад / 08 февраля 2013 14:17
lamerAlex
На общую шару, которая подключена к рабочей станции как диск, например
Ну а затем и на свой рабочий стол, если цель была в этом.
PowerUser
Expert
6807/9407 ответов
24 года на iXBT, с января 2001
Чаще пишет Р Р† "Администрирование" (72%)
Россия, Москва
Инфо Ответить
P
PowerUser Expert
12 лет назад / 08 февраля 2013 14:48
Geforce257
И в 2003 была возможность копировать файлы через буфер обмена, тока оно глючило при наличии определенного набора софта на машине клиента. Так штааа, либо все, либо ничего
Geforce257
Member
Автор темы
11/24 ответов
13 лет на iXBT, с июля 2011
Чаще пишет Р Р† "Администрирование" (54%)
Россия, Москва
Инфо Ответить
G
Geforce257 MemberАвтор темы
12 лет назад / 08 февраля 2013 15:36
PowerUser
Попробовал сейчас с двух разных 2003 серверов, не копирует. Точно она там есть эта возможность?

Добавление от 08.02.2013 15:38:

gfg
Согласен, можно и так упереть.. Тоесть получается ни чего нельзя сделать? или все или ничего?
gfg
заблокирован в конференции
333/570 ответов
12 лет на iXBT, с июля 2012
Чаще пишет Р Р† "Администрирование" (58%)
Инфо Ответить
g
gfg заблокирован в конференции
12 лет назад / 08 февраля 2013 15:59
Geforce257
Сделать-то можно многое, только надо понимать, что "закручивание гаек" в вопросе ограничений доступа к данным снижает комфорт пользователя. Это, на самом деле, глубоко философская тема
Поэтому надо найти разумный компромисс, избежав при этом паранойи и обеспечив пользователю тот уровень доступа, который ему реально необходим.
lamerAlex
Advanced Member
4136/9006 ответов, #8 в рейтинге
23 года на iXBT, с декабря 2001
Чаще пишет Р Р† "Администрирование" (50%)
Инфо Ответить
l
lamerAlex Advanced Member
12 лет назад / 08 февраля 2013 16:05
Geforce257
Тоесть получается ни чего нельзя сделать? или все или ничего?
прочитайте моё предыдущее сообщение, а?

Попробовал сейчас с двух разных 2003 серверов, не копирует. Точно она там есть эта возможность?
http://support.microsoft.com/kb/306885
APPLIES TO

Microsoft Windows XP Home Edition
Microsoft Windows XP Professional
Microsoft Windows XP 64-Bit Edition Version 2002
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows Server 2003, 64-Bit Datacenter Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Remote Desktop Connection for Macintosh
Microsoft Remote Desktop Connection Client for Windows 1.0
gfg
заблокирован в конференции
335/572 ответов
12 лет на iXBT, с июля 2012
Чаще пишет Р Р† "Администрирование" (58%)
Инфо Ответить
g
gfg заблокирован в конференции
12 лет назад / 08 февраля 2013 16:17
lamerAlex
А для 2008R2 это условие (подключение клиентских дисков в RDP) сохраняется? Возможно, в этом и причина трудностей ТС
Geforce257
Member
Автор темы
12/25 ответов
13 лет на iXBT, с июля 2011
Чаще пишет Р Р† "Администрирование" (54%)
Россия, Москва
Инфо Ответить
G
Geforce257 MemberАвтор темы
12 лет назад / 08 февраля 2013 16:25
lamerAlex
Я прочитал, только не понятно.. отображение локальных дисков клиента? или сервера? У клиенов перенапрвление дисков выключено, и файлы всеравно скопировать можно.
lamerAlex
Advanced Member
4137/9007 ответов, #8 в рейтинге
23 года на iXBT, с декабря 2001
Чаще пишет Р Р† "Администрирование" (50%)
Инфо Ответить
l
lamerAlex Advanced Member
12 лет назад / 08 февраля 2013 16:27
gfg
А для 2008R2 это условие (подключение клиентских дисков в RDP) сохраняется? Возможно, в этом и причина трудностей ТС
проверил нет, вот масдай же

Geforce257
я ошибся, но в 2к3 такое было возможно, так что ошибся наполовину
gfg
заблокирован в конференции
336/573 ответов
12 лет на iXBT, с июля 2012
Чаще пишет Р Р† "Администрирование" (58%)
Инфо Ответить
g
gfg заблокирован в конференции
12 лет назад / 08 февраля 2013 16:39
lamerAlex
Вы, скорее всего, не ошиблись. Просто в статье насчёт подключения дисков говорится, что в этом может быть причина. Т.е. могут быть и др. причины, по которым копирование ч/з буфер не сработает в 2003-м.
В 2008-ом они, возможно, это всё "починили"

А у ТС из-за такого поведения сложилось впечатление, что в 2003-м было нельзя, а в 2008-м стало можно.
lamerAlex
Advanced Member
4138/9008 ответов, #8 в рейтинге
23 года на iXBT, с декабря 2001
Чаще пишет Р Р† "Администрирование" (50%)
Инфо Ответить
l
lamerAlex Advanced Member
12 лет назад / 08 февраля 2013 16:43
gfg
Т.е. могут быть и др. причины, по которым копирование ч/з буфер не сработает в 2003-м.
В 2008-ом они, возможно, это всё "починили"

не (вроде), в 2003/XP так стабильно отключается копирование файлов, не с ошибкой, а просто на другой стороне и "вставка" не активно в контекстном меню, ранее натыкался
Geforce257
Member
Автор темы
13/26 ответов
13 лет на iXBT, с июля 2011
Чаще пишет Р Р† "Администрирование" (54%)
Россия, Москва
Инфо Ответить
G
Geforce257 MemberАвтор темы
12 лет назад / 08 февраля 2013 16:44
gfg:
lamerAlex
Вы, скорее всего, не ошиблись. Просто в статье насчёт подключения дисков говорится, что в этом может быть причина. Т.е. могут быть и др. причины, по которым копирование ч/з буфер не сработает в 2003-м.
В 2008-ом они, возможно, это всё "починили"

А у ТС из-за такого поведения сложилось впечатление, что в 2003-м было нельзя, а в 2008-м стало можно.
Скорее всего так и есть.

Добавление от 08.02.2013 16:48:

А смысл отключения буфера попробую описать. Может заодно найдете брешь в моей схеме . Юзеры запускают 1с через remoteApp, тоесть доступа к рабочему столу закрыт. Сама папка где лежит база закрыта на доступ, но в ней лежит база, и на базу есть доступ а наследие отключено. Остается вроде как один путь скопировать(не беру в расчет возможности из самой 1с, там выгрузки закрыты), это ручками прописать путь в папку с базой, и там уже copy/paste. Но буфер я отключил пока, т.к. неясно есть ли возможности пользуя remoteApp прописать путь к базе или нет, с виду вроде как нельзя. Я с remoteApp дело недавно имею.

Вот и хотелось, текст оставить только.
gfg
заблокирован в конференции
337/574 ответов
12 лет на iXBT, с июля 2012
Чаще пишет Р Р† "Администрирование" (58%)
Инфо Ответить
g
gfg заблокирован в конференции
12 лет назад / 08 февраля 2013 16:56
Geforce257
Может заодно найдете брешь в моей схеме
Сколько Вы хотите найти брешей? И надо ли оно Вам?

1) Юзеры запускают 1с через remoteApp, тоесть доступа к рабочему столу закрыт
Уверены, что пользователь не может запустить mstsc и получить раб. стол на сервере?

2) Уверены, что пользователь не сможет проделать файловые операции в окне выбора базы или сохранения файла самой 1С?

3) Сама папка где лежит база закрыта на доступ, но в ней лежит база, и на базу есть доступ а наследие отключено
Уверены, что имея права на доступ к файлу(файлам) пользователь не сможет выполнить их копирование другими средствами, помимо RDP?

И т.д. и т.п.

А смысл отключения буфера попробую описать
Попробуйте подумать над тем смыслом, который описал я Отключение буфера с целью ограничить возможности копирования - малоосмысленное занятие. Вы "защититесь" только от пользователя, который не знает других вариантов, кроме копи-пэйст в Проводнике, а неудобства создадите всем.

Добавление от 08.02.2013 17:01:

Сама папка где лежит база закрыта на доступ, но в ней лежит база, и на базу есть доступ а наследие отключено
Это очень плохая идея. Опять же, обходом перекрёстной проверки Вы создадите проблемы только совсем незадачливым пользователям, зато можете получить какие-нибудь другие проблемы.
Ethril
Member
647/1653 ответов
22 года на iXBT, с декабря 2002
Чаще пишет Р Р† "Администрирование" (49%)
Россия, St.-Petersburg
Инфо Ответить
Ethril Member
12 лет назад / 08 февраля 2013 17:07
Geforce257
Юзеры запускают 1с через remoteApp
У 1С есть проблемы при работе в RemoteApp - изредка не отрисовываются диалоговые окна, для клиента выглядит как зависание 1С.

тоесть доступа к рабочему столу закрыт
Запускаем в 1С любой виндовый common dialog типа save/load - и вот он доступ.
Geforce257
Member
Автор темы
14/27 ответов
13 лет на iXBT, с июля 2011
Чаще пишет Р Р† "Администрирование" (54%)
Россия, Москва
Инфо Ответить
G
Geforce257 MemberАвтор темы
12 лет назад / 08 февраля 2013 17:23
gfg

Спасибо, подумаю.. я понимаю есть много способов, но мне кажется это незначит что можно вообще ничего не делать. Еще я думаю у нас не настолько продвинутые пользователи..
lamerAlex
Advanced Member
4139/9009 ответов, #8 в рейтинге
23 года на iXBT, с декабря 2001
Чаще пишет Р Р† "Администрирование" (50%)
Инфо Ответить
l
lamerAlex Advanced Member
12 лет назад / 08 февраля 2013 17:24
gfg
посмотрел procmon и по содержимому буфера разницу между 2003 и 2008 - разные данные там, временный файл на клиенте в случае 2003 создается, а в 2008 нет, перелопатили всё, демоны
Geforce257
Member
Автор темы
15/28 ответов
13 лет на iXBT, с июля 2011
Чаще пишет Р Р† "Администрирование" (54%)
Россия, Москва
Инфо Ответить
G
Geforce257 MemberАвтор темы
12 лет назад / 08 февраля 2013 17:26
Ethril:
Geforce257
тоесть доступа к рабочему столу закрыт
Запускаем в 1С любой виндовый common dialog типа save/load - и вот он доступ.
А в этом диалоге пользователь не сможет попасть в папку с базой доступ у него закрыт, а прописать руками путь в этом диалоге насколько я понял нельзя.

Исправлено: Geforce257, 08.02.2013 17:30

gfg
заблокирован в конференции
338/575 ответов
12 лет на iXBT, с июля 2012
Чаще пишет Р Р† "Администрирование" (58%)
Инфо Ответить
g
gfg заблокирован в конференции
12 лет назад / 08 февраля 2013 17:29
Geforce257
Спасибо, подумаю.. я понимаю есть много способов, но мне кажется это незначит что можно вообще ничего не делать
Конечно, делать надо. Но лучше без фантазий и излишней паранойи сначала обеспечить стд. уровень безопасности стд. средствами. А закручивать гайки есть смысл только тогда, когда Вы подозреваете, что потенциальный уровень угрозы выше уровня созданной защиты.

Еще я думаю у нас не настолько продвинутые пользователи..
Это тоже можно учитывать, но лучше относиться к этому так, как-будто у Вас есть небольшая фора

lamerAlex
Недаром, видимо, новая версия протокола.
Geforce257
Member
Автор темы
16/29 ответов
13 лет на iXBT, с июля 2011
Чаще пишет Р Р† "Администрирование" (54%)
Россия, Москва
Инфо Ответить
G
Geforce257 MemberАвтор темы
12 лет назад / 09 февраля 2013 08:53
А вот нельзя в реестре ограничить размер буфера? Ни кто незнает?
vink
Member
1117/4304 ответов
24 года на iXBT, с июня 2000
Чаще пишет Р Р† "Администрирование" (34%)
Россия, Спб
Инфо Ответить
v
vink Member
12 лет назад / 10 февраля 2013 09:12
Geforce257
А в этом диалоге пользователь не сможет попасть в папку с базой доступ у него закрыт, а прописать руками путь в этом диалоге насколько я понял нельзя.
Можно, в строку "Имя файла". Замечательно открывается
Ваш ответ:

Список кодов форума
Список всех смайликов закрепить окно ответа
Нет значка Нет значка Р’РѕС‚ тут! Лампочка Восклицание Р’РѕРїСЂРѕСЃ Класс! Улыбка Злость Огорчение РџРѕРіРѕРІРѕСЂРёРј? Краснею Подмигивание Ругаю РћРґРѕР±СЂСЏСЋBIUdelSxsupxsuboffsp spoilerqurlimgvideo• list1. list1 codeprecenter-hr-rusQWE→ЙЦУ
файлыочистить
Ваше имя: Авторизуйтесь Предпросмотр В полную форму
вставить выделенную цитату в окно ответа
Если Вы считаете это сообщение ценным для дискуссии (не обязательно с ним соглашаться), Вы можете поблагодарить его автора, а также перечислить ему на счет некоторую сумму со своего баланса (при отзыве благодарности перечисленная сумма не будет вам возвращена).
Также вы можете оценить сообщение как неудачное.
В течение суток можно 20 раз оценить сообщения разных участников (купите Premium-аккаунт, либо оплачивайте оценки сверх лимита).
Если Вы считаете это сообщение ценным для дискуссии (не обязательно с ним соглашаться), Вы можете поблагодарить его автора, а также перечислить ему на счет некоторую сумму со своего баланса (при отзыве благодарности перечисленная сумма не будет вам возвращена).
Также вы можете оценить сообщение как неудачное.
В течение суток можно 20 раз оценить сообщения разных участников (купите Premium-аккаунт, либо оплачивайте оценки сверх лимита).
Опрос «iXBT Brand 2024 - Выбор читателей»

"iXBT Brand 2024" - Выбор читателей в номинации "iXBT Brand 2024 - Выбор читателей в номинации "x86, ARM, MIPS -совместимые процессоры (CPU) для настольных ПК"":

Новости iXBT.com
00:07Это GeForce RTX 50, у которой есть спойлеры для направления потоков воздуха, прямо как у спортивных авто. Manli показала карты Gallardo Racing
23:59вчераГипотеза о «правосторонних» нейтрино предлагает объяснение преобладания материи и существования тёмной материи
23:58вчераТриллион звёзд в объективе: «Хаббл» создал беспрецедентную панораму галактики Андромеда
23:58вчера«Горячий» Kia Sportage Ace/R со 160-сильным мотором и «автоматом» заметно подешевел в России — он дешевле «китайцев» Jaecoo J7 и Geely Atlas
23:56вчераAMD не ожидала, что GeForce RTX 50 будут такими дешёвыми. Это одна из причин, почему Radeon RX 9070 до сих пор полноценно не представили
23:52вчераИзотопный анализ лунных образцов опровергает теорию столкновения Земли с Тейей
23:49вчераИлон Маск может купить... Intel? Сообщается, что он участвует в новом раунде переговоров
23:45вчераНеравные близнецы: протопланетные диски двойной звезды DF Tau развиваются по-разному
23:42вчераВ России нашли пять седанов ценой до 2 млн рублей. Что это за машины?
23:21вчераАльтернатива Lexus RX от самой Toyota. В России начали продавать полноприводный кроссовер Toyota Crown Signia 2025, цена не шокирует
Новые фото на ixbt.photo
Отключите эту колонку в личном кабинете.