База знаний по категориям
Общие рекомендации по настройке мандатного доступа для работы ПО
Мандатный доступ для ПО в Dallas Lock 8.0-C настраивается с помощью готовых шаблонов с настройками.
Если среди готовых шаблонов не оказалось шаблона для нужного ПО, то в таком случае настройки можно произвести самостоятельно.
Для того чтобы настроить мандатный доступ с помощью механизма разделяемых папок для корректной работы с ПО пользователю, имеющему определенный уровень конфиденциальности, необходимо:
В данном примере процесс Winword.exe обращается к папке Temp, которая находится в профиле пользователя.
Аналогично сделать разделяемыми другие папки.
Если среди готовых шаблонов не оказалось шаблона для нужного ПО, то в таком случае настройки можно произвести самостоятельно.
Для того чтобы настроить мандатный доступ с помощью механизма разделяемых папок для корректной работы с ПО пользователю, имеющему определенный уровень конфиденциальности, необходимо:
- Перед настройкой обязательно произвести первый запуск ПО под учетной записью пользователя в режиме "Открытые данные".
- Войти в ОС под учетной записью администратора безопасности и задать нужный уровень конфиденциальности для учетной записи пользователя.
- Включить полный аудит отказов для глобальных параметров по умолчанию (вкладка "Контроль доступа" -> "Глобальные" -> "Параметры ФС по умолчанию").
- Включить "мягкий" режим контроля доступа (Кнопка основного меню -> Настройка режимов работы -> Настроить неактивный режим СЗИ).
- Архивировать "Журнал доступа к ресурсам" (вкладка "Журналы" - > кнопка "Архивировать").
- Перезагрузить ПК.
- Войти под учетной записью выбранного пользователя под его уровнем конфиденциальности.
- Запустить необходимое ПО (например, MS Office Word) и выполнить необходимые операции.
- Войти в ОС под учетной записью администратора безопасности.
- В оболочке администратора открыть "Журнал доступа к ресурсам" (вкладка "Журналы"). В нем настроить и применить фильтр для просмотра отказов доступа необходимого пользователя:
- По журналу доступа к ресурсам определить системные папки, к которым обращается ПО:
В данном примере процесс Winword.exe обращается к папке Temp, которая находится в профиле пользователя.
- Нужные папки сделать разделяемыми. Для вышеприведенного примера разделяемой необходимо сделать папку Temp.
Аналогично сделать разделяемыми другие папки.
- По окончании настройки отключить "мягкий" режим.