Управление доступом к файлам Ох, эти несчастные продукты управления доступом - мы так много от них требуем. Мало того, что они предотвращают вход посторонних лиц в наши системы, - нам еще нужно, чтобы они умели защищать даже отдельные файлы. Защита самых важных файлов Можно ли настроить систему так, чтобы она запрещала пользователям изменять, переименовывать, удалять или перезаписывать самые важные системные файлы (два скрытых системных файла, CONFIG.SYS, COMMAND.COM и главный файл системы защиты)? Если изменения нельзя предотвратить, можно ли обнаружить их автоматически и автоматически восстановить? Давайте рассмотрим табл. 12.33. Таблица 12.33. Защита критических файлов дддддддддддбдддддддддддддддддддддддддддддддддддддддддддддддддддддддд Продукт Ё Комментарии Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд ACCESSGuardЁНет Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд APO ЁНе обеспечивает защиты после входа в систему Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Certus ЁЕсли пользователи не имеют права использовать программ Ё Ёное обеспечение, которое может изменять атрибуты фай Ё Ёла, то эти файлы можно скрыть и помечены для защиты Ё Ёатрибутом read-only Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд COMLOCK ЁНет. Не может заблокировать корневой каталог Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд CRYPTOLock ЁМожет обнаружить изменение в системных файлах, но не Ё Ёможет обеспечить автоматическое восстановление Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Data ЁВключает встроенный контроль целостности для гарантии тоЁ Security Ёго, что средства безопасности не могут быть удалены Ё Plus Ёили модифицированы конечными пользователями. Отслежи Ё Ёвает любые изменения в трех самых важных файлах сис Ё Ётемной загрузки и может автоматически восстанавли Ё Ёвать эти файлы, если они модифицируются пользовате Ё Ёлем или вирусом Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower I ЁНет Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower IIЁДа, с помощью средства Access Privileges Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower ЁТо же, что и для Empower II Ё Remote Ё Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд HardDrive ЁЛюбые или все файлы могут быть защищены от нелегально Ё Lockup Ёго доступа или изменения любым пользователем Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Passproof ЁНет Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд PC/DACS ЁДа. По умолчанию класс пользователя не может изме Ё Ёнять никаких элементов Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд PCSS ЁДа Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд SAFE ЁДа. Автоматически шифрует IBMBIO.COM, IBMDOS.COM, Ё ЁMSDOS.SYS и IO.SYS. Другие важные файлы могут быть Ё Ёзащищены (зашифрованы) с помощью полного или избира Ё Ётельного управления доступом к файлу Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд StopLight ЁДа. Включает также режим предотвращения изменений в Ё Ёатрибутах файла Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд SureKey/2 ЁНет Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд TriSpan ЁНет информации Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Trusted ЁНет Ё Access Ё Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Watchdog ЁДа. Автоматически защищает от случайного или предна Ё Ёмеренного изменения или разрушения системных файлов Ё ЁDOS. Эта защита охватывает IBMDOS.COM, IBMBIOS.COM, Ё ЁCOMMAND.COM, CONFIG.SYS и AUTOEXEC.BAT Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Watchdog ЁТо же, что и для Watchdog Ё Armor Ё Ё дддддддддддадддддддддддддддддддддддддддддддддддддддддддддддддддддддды Управление шифрованием, контролем CRC и паролями Все файлы должны автоматически шифроваться с помощью аппаратно реализованной системы распределения паролей. Для избранных файлов пользователь должен затребовать контроль CRC, а также управление паролем. Другим свойством, на которое следует обратить внимание, является ручное шифрование. Заметьте, хотя шифрование необходимо для обеспечения безопасности организации, в действительности оно используется редко. В табл. 12.34 показано, каким образом продукты сопоставляются по этому аспекту безопасности. Таблица 12.34. Шифрование сохраняемых файлов дддддддддддбдддддддддддддддддддддддддддддддддддддддддддддддддддддддд Продукт Ё Комментарии Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд ACCESSGuardЁНет Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд APO ЁНет Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Certus ЁНет Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд COMLOCK ЁНет. Comlock шифрует весь каталог, но не отдельные Ё Ёфайлы Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд CRYPTOLock ЁНет Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Data ЁЛюбой файл может быть зашифрован вручную с помощью про Ё Security Ёграммного шифрования. Не поддерживается автоматиче Ё Plus Ёское аппаратное шифрование или контроль CRC Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower I ЁПредлагает собственный алгоритм ручного шифрования и DESЁ дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower IIЁПредлагает собственный высокоскоростной алгоритм шифроваЁ Ёния, который скрытно и автоматически шифрует файлы и Ё Ёпапки, если они используются, а также DES. Ключи шиф Ё Ёрования необходимы для шифрования и дешифрования дан Ё Ёных с использованием MagnaCrypt или DES Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower ЁТо же, что и для Empower II Ё Remote Ё Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд HardDrive ЁНет Ё Lockup Ё Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Passproof ЁНет Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд PC/DACS ЁОбеспечивает благоприятные условия для автоматического Ё Ёшифрования и дешифрования выбранных ресурсов. Вся ин Ё Ёформация безопасности автоматически шифруется. Про Ё Ёдукт предлагает также шифрование для защиты загруз Ё Ёки, куда входит шифрование критической области DOS, Ё Ёглавной загрузочной записи и всего диска. Предлагает Ё Ёся также шифрование DES Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд PCSS ЁФайлы могут быть зашифрованы, но под управлением пользо Ё Ёвателя. Ключ к шифру находится под контролем системы Ё Ёбезопасности Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд SAFE ЁВсе файлы на жестком диске могут автоматически шифро Ё Ёваться без распределения ключей, требуемого пользова Ё Ётелями или администраторами. Контроль CRC не выполня Ё Ёется Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд StopLight ЁОбеспечивает быстрое шифрование в масштабе реального вреЁ Ёмени, а также автономное DES и быстрое шифрование. Ё ЁМожет автоматически выполняться контроль CRC для про Ё Ёграммных файлов Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд SureKey/2 ЁНет Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд TriSpan ЁВсе файлы, сохраняемые на жестком диске, автоматически Ё Ёшифруются системой. Контроль CRC не выполняется Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Trusted ЁНе предлагает шифрования файла Ё Access Ё Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Watchdog ЁЛюбая информация, сохраняемая в защищаемой Watchdog об Ё Ёласти, может быть защищена с помощью шифрования. Вы Ё Ёможете выбирать между собственным высокоскоростным Ё Ёалгоритмом Watchdog и DES. Watchdog позволяет систем Ё Ёному администратору применять различные ключи шифро Ё Ёвания для каждой области, и Watchdog управляет ключа Ё Ёми для каждой области. Шифрование и дешифрование про Ё Ёизводится автоматически Ё дддддддддддедддддддддддддддддддддддддддддддддддддддддддддддддддддддд Watchdog ЁПроизводит аппаратное шифрование, описанное выше, и го Ё Armor Ёраздо быстрее Ё дддддддддддадддддддддддддддддддддддддддддддддддддддддддддддддддддддды Шифрование передаваемых и резервируемых файлов Файлы, передаваемые по сети или сохраняемые на гибком диске или ленте, должны автоматически шифроваться. Результаты сопоставления продуктов по этому критерию представлены в табл. 12.35. Таблица 12.35. Шифрование передаваемых и резервируемых файлов дддддддддддбддддддддддддддддддддддддддддддддддддддддддддддддддддддд Продукт Ё Комментарии Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд ACCESSGuardЁНет Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд APO ЁНет Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд Certus ЁНет Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд COMLOCK ЁМожет запретить чтение дискет, копируемых с защищенной Ё Ёсистемы на другой компьютер Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд CRYPTOLock ЁФайлы зашифровываются, но не автоматически Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд Data ЁЛюбой файл может быть зашифрован вручную с помощью про Ё Security Ёграммного шифрования. Не поддерживается автоматиче Ё Plus Ёское аппаратное шифрование или контроль CRC Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower I ЁЗашифрованные данные остаются таковыми при передаче на Ё Ёдругой сетевой том, резервировании или сохранении на Ё Ёгибких дисках. Но передача автоматически не вызывает Ё Ёшифрования Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower IIЁТо же, что и для Empower I Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower ЁТо же, что и для Empower I Ё Remote Ё Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд HardDrive ЁНет Ё Lockup Ё Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Passproof ЁНет Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд PC/DACS ЁЭто возможно благодаря прозрачному шифрованию ресурса Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд PCSS ЁФайлы могут быть зашифрованы, но под руководством поль Ё Ёзователя. Ключ шифрования находится под управлением Ё Ёсистемы безопасности Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд SAFE ЁФайлы остаются защищенными (зашифрованными) независимо Ё Ёот того, резидентны они, или передаются на другие ма Ё Ёшины, благодаря запатентованной технологии грифова Ё Ёния файла Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд StopLight ЁФайлы автоматически дешифруются, когда легальный пользоЁ Ёватель осуществляет к ним доступ. Шифрование может Ё Ёбыть временно отключено с помощью переключателя в ко Ё Ёмандной строке или всплывающего диалогового блока, Ё Ёчто позволяет передавать зашифрованные файлы Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд SureKey/2 ЁНет Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд TriSpan ЁНеобязательно. Файлы автоматически дешифруются, когда Ё Ёлегальный пользователь производит к ним доступ через Ё Ёпрограммное приложение. При копировании или передаче Ё Ёфайлы обычно дешифруются. Команда EXPORT применяется Ё Ёдля создания или передачи зашифрованной копии, а Ё ЁIMPORT - для дешифрования и использования зашифрован Ё Ёного файла Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд Trusted ЁНе предполагает шифрования файла Ё Access Ё Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд Watchdog ЁШифрование выполняется по умолчанию (см. табл. 12.34) Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд Watchdog ЁТо же, что и для Watchdog Ё Armor Ё Ё дддддддддддаддддддддддддддддддддддддддддддддддддддддддддддддддддддды Шифрование сетевых файлов Можно ли продукт настроить на автоматическое шифрование файлов на файл-серверах? В табл. 12.36 показано, какие продукты обладают этим свойством. Таблица 12.36. Шифрование сетевых файлов дддддддддддбддддддддддддддддддддддддддддддддддддддддддддддддддддддд Продукт Ё Комментарии Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд ACCESSGuardЁНет Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд APO ЁНет Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд Certus ЁНе выполняет шифрования Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд COMLOCK ЁИмеет дополнительный режим IRICRYPT Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд CRYPTOLock ЁНет Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд Data ЁЛюбой файл можно зашифровать вручную, используя про Ё Security Ёграммное шифрование. Не поддерживает автоматического Ё Plus Ёпрограммного шифрования или контроля CRC Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower I ЁНет. Все данные, зашифрованные вручную, могут быть Ё Ёпосланы на сервер. Но данные, посылаемые на сервер, Ё Ёавтоматически не шифруются Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower IIЁТо же, что и для Empower I Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Empower ЁТо же, что и для Empower I Ё Remote Ё Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд HardDrive ЁНет Ё Lockup Ё Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд *Passproof ЁНет Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд PC/DACS ЁДа Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд PCSS ЁНет Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд SAFE ЁДа. Файлы автоматически шифруются независимо от то Ё Ёго, остаются ли они на компьютере или передаются, Ё Ёвключая файл-серверы Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд StopLight ЁШифрование в реальном времени основано на расширениях Ё Ёфайла. Эти файлы могут находиться на ПК или сетевом Ё Ёсервере. Программа автономного шифрования отображает Ё Ёкаталог и окна файлов ПК и сетевых дисков, а также Ё Ёпозволяет шифровать все доступные файлы данных Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд SureKey/2 ЁНет Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд TriSpan ЁДа. Для файл-серверов NetWare и им подобных Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд Trusted ЁНет Ё Access Ё Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд Watchdog ЁЗашифрованные файлы могут пересылаться на сервер. В Ё Ёследующей версии файлы на сервере автоматически шиф Ё Ёруются Ё дддддддддддеддддддддддддддддддддддддддддддддддддддддддддддддддддддд Watchdog ЁТо же, что и для Watchdog Ё Armor Ё Ё дддддддддддаддддддддддддддддддддддддддддддддддддддддддддддддддддддды