Опубликован: 04.07.2008 | Уровень: профессионал | Доступ: платный
Лекция 11:

Функции безопасности Domino/Notes 6

11.14.2 Таблицы управления выполнением

Таблица управления выполнением (Execution Control List, ECL) защищает рабочие станции пользователей от активного содержимого из неизвестных или подозрительных источников и может быть настроена на ограничение выполнения активного содержимого, запуск которого разрешен на рабочих станциях. ECL определяет, разрешено ли объекту, подписавшему код, выполнять код на данной рабочей станции, а также определяет уровень доступа кода к различным функциям рабочей станции. Например, ECL может не допустить выполнение кода другого пользователя на компьютере и предотвратить, таким образом, повреждение или удаление данных.

"Активное содержимое" включает все, что можно запустить на рабочей станции пользователя, включая формулы, скрипты, агенты, элементы дизайна в базах данных и шаблонах, документы с сохраненными формами, действия, кнопки и активные точки (hot spots), а также злоумышленный код (например, вирусы и так называемые троянские кони).

Существует два вида ECL: ECL администрирования, устанавливаемый в Domino Directory (NAMES.NSF), и ECL рабочей станции, хранящийся к личной адресной книге пользователя (NAMES.NSF). ECL администрирования является шаблоном для всех ECL рабочих станций. ECL рабочей станции создается при первой установке клиента Notes. Программа установки копирует ECL администрирования из Domino Directory на клиент Notes для создания ECL рабочей станции.

ECL рабочей станции содержит подписи доверенных авторов активного содержимого. "Доверие" предполагает, что подпись получена от известного и безопасного источника. Например, все шаблоны систем и приложений, поставляемые с Domino или Notes, содержат подпись Lotus Notes Template Development. Подобным же образом все шаблоны и базы данных, разрабатываемые вашей организацией, должны содержать либо подпись разработчика приложения, либо подпись администратора. Для каждой подписи ECL содержит параметры, контролирующие действия, выполнение которых разрешено для активного содержимого, подписанного этой подписью, а также системные ресурсы рабочей станции, к которым активное содержимое может осуществлять доступ.

Если активное содержимое пытается выполнить действия, не разрешенные для подписавшейся стороны, или если подписавшаяся сторона не указана в ECL, Notes генерирует оповещение безопасности выполнения (Execution Security Alert, ESA), указывающее неудавшееся действие, имя подписавшейся стороны и запрещающий параметр ECL. Оповещение предлагает пользователю четыре возможных варианта:

  • Do not execute the action (Не выполнять действие). Запрещает доступ для выполнения заданного действия.
  • Execute the action this one time (Выполнить действие только один раз). Разрешает доступ для выполнение действия только один раз. При последующей попытке выполнить такое же действие снова выводится оповещение. Эта опция не изменяет ECL.
  • Start trusting the signer to execute this action (Установить доверие с подписавшейся стороной для выполнения этого действия). Разрешает выполнение действия и изменяет настройки ECL путем добавления подписи активного содержимого в ECL. Это дает подписавшей стороне разрешение для выполнения определенного действия на данной рабочей станции в любое время.

Примечание. ECL администрирования включает параметр, не дающий возможности пользователям изменять ECL рабочей станции. При включении этого параметра опция установления доверия с подписавшейся стороной недоступна.

Новое в Domino 6
  • More Info (Дополнительные сведения). Выводит диалоговое окно, содержащее информацию о типе дизайна, имени дизайна, идентификаторе Notes, состоянии подписи и родительской базе данных кода, вызвавшего оповещение.

Например, локально запланированные агенты, равно как и ручные агенты, могут генерировать оповещения. Нажмите More Info (Дополнительные сведения), чтобы получить информацию об агенте, сгенерировавшем оповещение.

Новое в Domino 6

В Notes 6 ECL рабочей станции устанавливается в диалоговом окне User Security (Безопасность пользователя). Выберите опцию What Others Do (Что делают другие) в диалоговом окне User Security (Безопасность пользователя), чтобы просмотреть опции доступа рабочей станции, апплетов и JavaScript.

Дополнительные сведения о доступе рабочей станции, апплетов, и JavaScript см. в главе "Защита рабочих станций пользователей таблицами управления доступом" руководства Domino 6 Administration Guide или справку Lotus Notes 6 Client Help.

ECL администрирования

При установке первого сервера в домене Domino создает ECL администрирования по умолчанию, для которого затем можно выполнить дополнительную настройку. ECL администрирования представляет собой шаблон для всех ECL рабочей станции. При создании нового клиента Notes программа установки копирует ECL администрирования из Domino Directory в личную адресную книгу на рабочей станции клиента Notes. В ECL рабочей станции добавляется идентификатор пользователя Notes с полным доступом. Например, при установке клиента для пользователя John Doe пользователь John Doe автоматически добавляется в список подписавшихся сторон ECL.

Если домашний сервер недоступен при установке клиента Notes (например, если пользователь отключен), ECL рабочей станции создается с параметрами по умолчанию, а не копируется из ECL администрирования.

Примечание. С технической точки зрения при первоначальной установке сервера ECL администрирования не существует. При попытке клиента отредактировать ECL рабочей станции или обновить ECL рабочей станции с использованием несуществующего ECL администрирования клиент создает ECL с параметрами по умолчанию, установленными в клиенте. ECL администрирования появляется на диске после его изменения и сохранения администратором. После сохранения измененного ECL администрирования на диск выполняется копирование ECL на рабочие станции пользователей.

ECL администрирования применяется для определения и развертывания настроенных ECL для ваших пользователей. Вы можете управлять изменениями в ECL или разрешить пользователям изменять собственные ECL. Кроме того, вы можете обновлять ECL рабочих станций своих пользователей при изменении требований безопасности – автоматически (посредством использования документа Security Settings, установленного с применением политики) или вручную (предлагая пользователям выполнить обновление ECL своих рабочих станций).

Для создания настроенных ECL, которые можно применить для определенных групп пользователей, необходимо использовать документ Security Settings, устанавливаемый с применением политики сервера. Например, можно создать один ECL исключительно для контрактных сотрудников и другой ECL для полновременных сотрудников.

Дополнительные сведения о конфигурировании и развертывании ECL см. в главе "Защита рабочих станций пользователей таблицами управления доступом" руководства Domino 6 Administration Guide. Дополнительные сведения о настройке документа Security Settings для развертывания ECL см. в главе "Использование политик" в руководстве Domino 6 Administration Guide.

Инструкции по эффективному использованию ECL

Ваша цель как администратора состоит в том, чтобы ограничить количество подписывающих сторон активного содержимого, для которых установлено доверие, а также ограничить уровень доступа активного содержимого к вашим рабочим станциям. Для достижения этой цели необходимо ограничить количество надежных подписывающих сторон в вашей организации и убедиться, что в ECL рабочих станций установлено доверие только для этих подписывающих сторон.

При создании защищенных ECL придерживайтесь следующих инструкций:

  • Создайте ECL администрирования или, при необходимости, несколько ECL администрирования для развертывания в вашей организации.
  • Не разрешайте доступ для неподписанного содержимого. Это создает "дыру" в системе безопасности, позволяющую потенциально опасному коду (злоумышленному или прочему) получить доступ к рабочим станциям пользователей.

    Оставляйте для неподписанного содержимого опции доступа по умолчанию.

  • Не давайте возможности пользователям устанавливать доверие для неподписанного содержимого. Чтобы пользователи не могли изменять свои ECL (например, открывая доступ для неподписанного содержимого или для содержимого, подписанного сторонами, не указанными в ECL), отключите опцию Allow user to modify (Разрешить пользователям изменение) в ECL администрирования.
  • Знайте свои подписывающие стороны. Установление доверия подписанному активному содержимому, особенно из других организаций, является рискованной операцией. Прежде чем добавлять автора активного содержимого в ECL, решите, уверены ли вы, что этот автор создал безопасный код.
  • Создайте отдельный сертификатор в подразделении для выдачи идентификаторов пользователям, которые должны подписывать шаблоны и приложения (например, Enterprise ECLApp Signer/West/Acme). После этого пользователи, создающие шаблоны и приложения, могут применять эти идентификаторы для подписания шаблонов и приложений. Затем можно настроить в ECL администрирование доверие всем пользователям из этого подразделения или настроить его для каждого пользователя в отдельности.
Антон Чурков
Антон Чурков
Россия, Владимир, Владимирский государственный университет, 2002
Елена Коппалина
Елена Коппалина
Россия, г. Губкинский