Контентно-зависимые правила (обычный профиль) : Правила для устройств : Управление доступом к контенту
  
Управление доступом к контенту
Когда контентно-зависимые правила применяются к операциям контроля доступа, они контролируют операции чтения, записи и удаления определенного контента. Операции удаления и записи контролируются совместно при помощи права на запись.
Контентно-зависимые правила для устройств позволяют:
Предоставить доступ на чтение/запись для указанного содержимого файлов, когда доступ запрещен на уровне типа устройства.
Запретить доступ на чтение/запись для указанного содержимого файлов, когда доступ разрешен на уровне типа устройства.
 
Примечание: DeviceLock может проверять доступ к устройствам на двух уровнях: на уровне интерфейса (порта) и на уровне типа устройства. Некоторые устройства проверяются на обоих уровнях, другие проверяются только на одном уровне - интерфейса (порта) или типа устройства. Например, USB-устройства флэш-памяти проверяются на обоих уровнях: интерфейса (USB-порт) и типа устройства (Съемные устройства). Контентно-зависимые правила применяются только при условии, что проверка доступа проводится на уровне типа устройства (Съемные устройства, Гибкие диски, и т.д.). DeviceLock не проводит проверку доступа для USB устройств на уровне типа устройства, если выполняются следующие условия:
Устройство отсутствует в белом списке USB-устройств, параметр Управлять доступом к устройствам хранения USB включен в настройках безопасности, и у пользователя нет доступа к устройствам типа USB-порт.
- или -
Устройство присутствует в белом списке USB-устройств и флажок Контролировать как тип для него не установлен.
Следующая таблица содержит сведения о правах доступа, которые используются при создании контентно-зависимых правил.
 
Права доступа
Описание
Основные: Чтение
Право на чтение файлов с указанным содержимым с устройства. Применимо только к типам Оптический привод, Гибкий диск и Съемные устройства.
Основные: Запись
Право на запись файлов с указанным содержимым на устройство. Применимо только к типам Гибкий диск и Съемные устройства.
Основные: Чтение, Запись
Право на чтение и запись файлов с указанным содержимым с/на устройство. Данное право применимо только к типам Гибкий диск и Съемные устройства.
Основные: Печать
Право на печать документов с указанным содержимым. Применимо только к типу Принтер.
Основные: Чтение с подключенного диска
Право на чтение данных с указанным содержимым с подключенного диска в терминальной сессии. Применимо только к типу ТС-устройства.
Основные: Запись на подключенный диск
Право на запись данных с указанным содержимым на подключенный диск в терминальной сессии. Применимо только к типу ТС-устройства.
Основные: Буфер обмена входящий текст
Право на вставку текстовых данных с указанным содержимым из буфера обмена в окно терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.
Основные: Буфер обмена входящие файлы
Право на вставку файлов с указанным содержимым из буфера обмена в окно терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.
Основные: Буфер обмена входящие изображения
Право на вставку изображений с указанным содержимым из буфера обмена в окно терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.
Основные: Буфер обмена входящие неизвестные данные
Право на вставку прочих данных с указанным содержимым из буфера обмена в окно терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.
Основные: Буфер обмена исходящий текст
Право на вставку текстовых данных с указанным содержимым из буфера обмена окна терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.
Основные: Буфер обмена исходящие файлы
Право на вставку файлов с указанным содержимым из буфера обмена окна терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.
Основные: Буфер обмена исходящие изображения
Право на вставку изображений с указанным содержимым из буфера обмена окна терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.
Основные: Буфер обмена исходящие неизвестные данные
Право на вставку прочих данных с указанным содержимым из буфера обмена окна терминальной сессии/виртуальной машины. Применимо только к типу ТС-устройства.
Зашифрованные: Чтение
Право на чтение файлов с указанным содержимым с зашифрованного устройства, поддерживаемого сервисом DeviceLock. Применимо только к типу Съемные устройства.
Зашифрованные: Запись
Право на запись файлов с указанным содержимым на зашифрованное устройство, поддерживаемое сервисом DeviceLock. Применимо только к типу Съемные устройства.
Зашифрованные: Чтение, Запись
Право на чтение и запись файлов с указанным содержимым с/на зашифрованное устройство, поддерживаемое сервисом DeviceLock. Применимо только к типу Съемные устройства.
Специальные разрешения: Копирование текста
Право на вставку текстовых данных с указанным содержимым из буфера обмена. Применимо только к типу Буфер обмена.
Специальные разрешения: Копирование неидентифицированного содержимого
Право на вставку прочих данных с указанным содержимым из буфера обмена. Применимо только к типу Буфер обмена.
Специальные разрешения: Копирование файла
Право на вставку файлов с указанным содержимым из буфера обмена. Применимо только к типу Буфер обмена.
Специальные разрешения: Копирование изображения
Право на вставку изображений с указанным содержимым из буфера обмена. Применимо только к типу Буфер обмена.
Специальные разрешения: Копирование экрана
Право на вставку снимков экрана с указанным содержимым из буфера обмена. Применимо только к типу Буфер обмена.
 
Примечание: Права доступа Основные, установленные для съемных устройств, применяются только к не зашифрованным устройствам. Права доступа Зашифрованные, установленные для съемных устройств, применяются только к зашифрованным устройствам. Чтобы установить права доступа одновременно для зашифрованных и не зашифрованных съемных устройств, необходимо одновременно задать права доступа Основные и Зашифрованные. Перечень устройств, распознаваемых сервисом DeviceLock как зашифрованные, см. в разделе Шифрование.
Следующая таблица показывает, как разрешения, предоставленные на разных уровнях, влияют на права доступа пользователя. Разрешения на уровне типа - это разрешения, заданные для типа устройств. Разрешения на уровне файла - это разрешения, заданные при помощи контентно-зависимых правил.
 
 
Полный доступ
на уровне типа
Нет доступа
на уровне типа
Чтение разрешено
Запись запрещена
на уровне типа
Чтение разрешено
на уровне файла
Разрешает чтение любого содержимого. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает чтение любого содержимого, кроме заданного. Запрещает создание, переименование и удаление и пустых папок и файлов нулевого размера.
Разрешает чтение любого содержимого. Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера
Чтение запрещено
на уровне файла
Запрещает чтение заданного содержимого. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает чтение и запись любого содержимого. Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает чтение заданного содержимого. Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запись разрешена
на уровне файла
Разрешает запись любого содержимого. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает запись любого содержимого, кроме заданного. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает запись любого содержимого, кроме заданного. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запись запрещена
на уровне файла
Запрещает запись заданного содержимого. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает чтение и запись любого содержимого. Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает запись любого содержимого. Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера.
Чтение разрешено
Запись разрешена
на уровне файла
Разрешает чтение и запись любого содержимого. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает чтение и запись любого содержимого, кроме заданного. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Разрешает чтение любого содержимого. Запрещает запись любого содержимого, кроме заданного. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Чтение запрещено
Запись запрещена
на уровне файла
Запрещает чтение и запись заданного содержимого. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает чтение и запись любого содержимого. Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает чтение заданного содержимого. Запрещает запись любого содержимого; Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера.
Чтение разрешено
Запись запрещена
на уровне файла
Разрешает чтение любого содержимого. Запрещает запись заданного содержимого. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает чтение любого содержимого, кроме заданного. Запрещает запись любого содержимого. Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера.
Разрешает чтение любого содержимого. Запрещает запись любого содержимого. Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера.
Чтение запрещено
Запись разрешена
на уровне файла
Запрещает чтение заданного содержимого. Разрешает запись любого содержимого. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает чтение любого содержимого. Запрещает запись любого содержимого, кроме заданного. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает чтение заданного содержимого. Запрещает запись любого содержимого, кроме заданного. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Теневое копирование:
Разрешено / Запрещено
на уровне файла
Разрешает чтение и запись любого содержимого. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает чтение и запись любого содержимого. Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера.
Разрешает чтение любого содержимого. Запрещает запись любого содержимого. Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера.
Обнаружение:
Чтение разрешено / Запись разрешена
на уровне файла
Разрешает чтение и запись любого содержимого. Разрешает создание, переименование и удаление пустых папок и файлов нулевого размера.
Запрещает чтение и запись любого содержимого. Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера.
Разрешает чтение любого содержимого. Запрещает запись любого содержимого. Запрещает создание, переименование и удаление пустых папок и файлов нулевого размера.
 
Примечание: Если для типа устройства не установлено никаких разрешений (доступ запрещен), и при этом задано контентно-зависимое правило, разрешающее запись содержимого или обнаружение содержимого для этого типа устройств, пользователь получает право на обзор папок. Разрешение на обзор папок позволяет перемещаться по папкам и просматривать списки файлов и подпапок, даже если пользователь не имеет разрешения на чтение просматриваемых файлов и папок.
При использовании контентно-зависимых правил необходимо учитывать следующее:
Запрещающие контентно-зависимые правила имеют приоритет перед разрешающими правилами, если правила применяются для одного и того же пользователя или групп пользователей.
Исключение: разрешающее контентно-зависимое правило на основе группы свойств документа с выбранной опцией Извлечение текста не поддерживается имеет приоритет над запрещающими правилами, позволяя передавать любой подходящий под это правило контент, в том числе части многотомных архивов.
Исключение: разрешающее контентно-зависимое правило на основе группы свойств документа с выбранной опцией Защищено паролем имеет приоритет над запрещающими правилами, позволяя передавать любой подходящий под это правило контент. Разрешающее комплексное правило будет иметь приоритет только в том случае, если в числе групп разрешающей логической цепочки, с которыми совпал файл, будет группа свойств документа с выбранной опцией Защищено паролем.
Исключение: разрешающее контентно-зависимое правило на основе группы цифровых отпечатков с выбранной опцией Точное совпадение файла имеет приоритет над запрещающими правилами, позволяя передавать любой подходящий под это правило контент. Разрешающее комплексное правило будет иметь приоритет только в том случае, если в числе групп разрешающей логической цепочки, с которыми совпал файл, будет группа цифровых отпечатков с выбранной опцией Точное совпадение файла.
Разрешающие контентно-зависимые правила разрешают передачу целиком всего объекта данных (сообщения или файла, включая архивы и контейнеры), если в нем присутствует содержимое, удовлетворяющее этим правилам и отсутствует содержимое, явно запрещенное запрещающими контентно-зависимыми правилами.
Когда пользователь пытается перезаписать существующий файл, не имея разрешения на запись нового файла, старый файл будет удален. Для предотвращения такого поведения включите параметр Безопасная перезапись файла в узле консоли Настройки сервиса.
Когда пользователь пытается изменить файл, не имея разрешения на запись, файл будет удален. Для предотвращения такого поведения задайте параметр Безопасная перезапись файла в узле консоли Настройки сервиса.
Когда пользователь открывает файл для его модификации посредством вставки запрещенного содержимого, а затем пытается его сохранить, файл будет удален. Для предотвращения такого поведения задайте параметр Безопасная перезапись файла в узле консоли Настройки сервиса.
Небезопасное извлечение устройства может привести к повреждению данных и файловой системы устройства.
Когда пользователь пытается копировать файлы, не имея разрешения на запись, файлы временно отображаются в проводнике Windows и других файловых менеджерах. В действительности этих файлов нет на конечном устройстве, они находятся в кэше памяти и будут удалены из кэша сразу после того, как DeviceLock закончит проверку их содержимого.
Проверка содержимого файлов может отнимать много времени. До тех пор, пока проверка не будет завершена, невозможно безопасно извлечь устройство, даже если файлы отображаются в проводнике Windows или других файловых менеджерах. В этой ситуации выводится сообщение об ошибке, указывающее, что устройство занято.
Недавно скопированные файлы нельзя будет открыть для чтения до тех пор, пока DeviceLock не закончит проверку их содержимого.
Проверка содержимого файлов может отнимать много времени. Можно указать сообщение о проверке содержимого, которое будет отображаться пользователям во время проверки. Подробнее об этом сообщении см. в описании параметра Сообщение о проверке содержимого.
Когда пользователь пытается прочитать или записать содержимое файлов, не имея разрешения на чтение и запись, выводится сообщение о блокировании чтения или сообщение о блокировании записи, если включен соответствующий параметр в настройках сервиса DeviceLock (см. описание параметров Контентно-зависимое сообщение о блокировании чтения и Контентно-зависимое сообщение о блокировании записи).