Группы свойств документа

Контентно-зависимые правила (обычный профиль) : Настройка контентных групп : Группы свойств документа

Группы свойства документа предназначены для контроля доступа к файлам на основании их свойств: имени файла, размера и т.д. Также с их помощью можно контролировать доступ к защищенным паролем документам и архивам, а также изображениям, содержащим текст.

Примечание: Логика “И” применяется для всех свойств файла, заданных в группе свойств документа. Например, если требуется контролировать доступ к файлам больше 5 мегабайт (МБ) и защищенные паролем документы и архивы, следует создать две отдельные группы свойств документа: одна группа для файлов размером более 5 МБ, а другая группа для защищенных паролем документов и архивов. Если задать указанные свойства в одной группе, а затем создать на основе этой группы контентно-зависимое правило, то данное правило будет контролировать защищенные паролем документы и архивы размером более 5 МБ.

DeviceLock не предоставляет встроенных групп свойств документа. Следующая процедура описывает, как создать собственную группу свойства документа.

Чтобы создать группу свойств документа

1. Если используется консоль DeviceLock Management Console, выполните следующее:

a) Откройте DeviceLock Management Console и подключитесь к компьютеру, на котором запущен сервис DeviceLock.

b) В дереве консоли раскройте узел Сервис DeviceLock.

Если используется консоль DeviceLock Service Settings Editor, выполните следующее:

a) Откройте DeviceLock Service Settings Editor.

b) В дереве консоли раскройте узел Сервис DeviceLock.

Если используется консоль DeviceLock Group Policy Manager, выполните следующее:

a) Откройте Group Policy Object Editor.

b) В дереве консоли раскройте узел Конфигурация компьютера, а затем раскройте узел DeviceLock.

2. Раскройте узел Устройства либо узел Протоколы.

3. В узле Устройства или в узле Протоколы выполните одно из следующих действий:

•Щелкните правой кнопкой мыши Контентно-зависимые правила, а затем выберите команду Управление.

- или -

•Выберите Контентно-зависимые правила, а затем щелкните значок Управление

на панели инструментов.

Появится диалоговое окно, подобное приведенному ниже.

4. В верхней части появившегося диалогового окна в области База данных контента нажмите стрелку рядом с полем Добавить группу, а затем выберите пункт Свойства документа.

Появится диалоговое окно “Добавить группу свойств документа”.

5. В диалоговом окне Добавить группу свойств документа выполните следующие действия:

•Имя - Указать имя группы.

•Описание - Указать описание группы.

•Имя файла - Задать имена файлов. Можно использовать знаки подстановки, такие как * и ?. Звездочка (*) обозначает произвольную последовательность символов или их отсутствие. Например, *.txt соответствует любому имени файла с расширением txt. Вопросительный знак (?) обозначает один произвольный символ. Например, ????.* соответствует имени из любых 4-х символов с любым расширением. Если имен файлов несколько, их следует разделять точкой с запятой (;), например, *.doc; *.docx.

Примечание: Для данных теневого копирования, полученных от типа устройств Принтер, заданное имя файла сравнивается с именами, представленными в столбце Имя файла просмотрщика журнала теневого копирования.

•Изменен - Задать дату и время последнего изменения файла. Для этого выберите в списке Изменен один из следующих вариантов:

•Не указан - При анализе содержимого файла дата и время его последнего изменения не учитываются. Этот вариант выбран по умолчанию.

•До - Дата и время последнего изменения файла должны быть раньше заданной даты/времени.

•После - Дата и время последнего изменения файла должны быть позже заданной даты/времени.

•Между - Дата и время последнего изменения файла должны быть в заданном диапазоне значений даты/времени.

•Не старше чем - Дата и время последнего изменения файла должны быть не позже заданного числа секунд, минут, часов, дней, недель, месяцев или лет.

•Старше чем - Дата и время последнего изменения файла должны быть позже заданного числа секунд, минут, часов, дней, недель, месяцев или лет.

Примечание: Параметр Изменен не действует в случае передачи файлов по сети. При анализе содержимого файлов, передаваемых по сети, дата и время их изменения не учитывется.

•Размер - Задать размер файла в байтах, килобайтах, мегабайтах, гигабайтах или терабайтах. Для этого выберите в списке Размер один из следующих вариантов:

•Не указан - При анализе содержимого файла его размер не учитывается. Этот вариант выбран по умолчанию.

•Равен - Размер файла должен быть равен заданному значению.

•Меньше чем - Размер файла должен быть не больше заданного значения.

•Больше чем - Размер файла должен быть не меньше заданного значения.

•Между - Размер файла должен находиться в заданном промежутке.

•Защищен паролем - Позволяет данной группе обнаруживать и контролировать защищенные паролем архивы, PDF-файлы, документы Microsoft Office (.doc, .xls, .ppt, .vsd, .docx, .xlsx, .pptx, .vsdx) и документы AutoCAD 2012 (файлы .dwg).

Когда у группы установлен флажок Защищен паролем, основанные на этой группе правила обнаруживают и контролируют архивы и другие поддерживаемые типы файлов, в которых пароль используется для ограничения доступа к файлу и/или его содержимому. Список поддерживаемых архивов см. в описании функции Проверка файлов внутри архивов.

При использовании контентно-зависимых правил считается, что файл защищен паролем только в следующих случаях:

•Для открытия данного файла требуется пароль.

•Для доступа к некоторым вложениям в данном файле требуется пароль.

•Данный файл содержит другие файлы, защищенные паролем.

В последних двух случаях должен быть включен параметр Проверка содержимого архивов при чтении или Проверка содержимого архивов при записи, иначе DeviceLock не будет считать, что данный файл защищен паролем.

Правила, основанные на группе, у которой флажок Защищен паролем не установлен, не учитывают парольную защиту проверяемых файлов.

Примечание: Разрешающее правило, основанное на группе, у которой установлен флажок Защищен паролем, имеет приоритет над запрещающими правилами, разрешая передачу любого соответствующего этому правилу контента. Разрешающее правило, основанное на составной группе, будет иметь приоритет в том случае, когда логически связанная цепочка групп, разрешающая данный контент, имеет в своем составе группу, у которой установлен флажок Защищен паролем.

•Извлечение текста не поддерживается - Позволяет контролировать доступ к файлам, формат которых не поддерживается. Если этот флажок установлен для группы свойств документа и на ее основе создано контентно-зависимое правило, это правило будет контролировать доступ ко всем файлам, формат которых не поддерживается в механизмах контентного анализа DeviceLock. Все поддерживаемые форматы файлов перечислены в разделе Модули ContentLock и NetworkLock (см. Поддержка множества типов файлов и данных).

Флажок Извлечение текста не поддерживается позволяет контролировать передачу разделенных на несколько частей (многотомных) архивов .cab или .rar, которые не могут быть распакованы и проанализированы по умолчанию, когда заданы контентно-зависимые правила и включены параметры Проверка содержимого архивов при чтении или Проверка содержимого архивов при записи. Разрешающее контентно-зависимое правило на основе группы свойств документа с установленным флажком Извлечение текста не поддерживается имеет приоритет над запрещающими правилами, позволяя передавать любой подходящий под это правило контент, в том числе части многотомных архивов.

•Содержит текст <число> % - Обнаруживать и контролировать доступ к графическим изображениям, содержащим текст. Если установлен флажок Содержит текст для группы свойств документа и создано сложное контентно-зависимое правило на основе этой контентной группы и встроенной контентной группы определения типа файла Изображения, чертежи, CAD, связанных оператором AND, это правило будет проверять, содержит ли графическое изображение поддерживаемого формата текст, и контролировать доступ к изображениям, которые содержат текст. Снимите флажок Содержит текст, если не требуется обнаруживать и контролировать доступ к изображениям, содержащим текст. Перечень поддерживаемых типов файлов изображения см. в разделе Обнаружение текста на изображении.

Если флажок Содержит текст установлен, нужно указать количество текста на изображении в процентах от всей области изображения. Например, если текст занимает половину изображения, количество текста составляет 50%. Если изображение состоит только из текста, то количество текста составляет 100%.

Примечание: Параметр Содержит текст применяется и к другим форматам файлов (см. Поддержка множества типов файлов и данных). В этом случае процентное содержание текста означает соотношение объема текста в символах к размеру файла в байтах.

•Доступ от процесса - Задать имя процесса, который получает доступ к файлу. Можно использовать знаки подстановки, такие как звездочка (*) и знак вопроса (?). Если процессов несколько, их имена следует разделять точкой с запятой (;), например, explorer.exe; notepad.exe.

•Дополнительные параметры - Позволяют настроить группу для распознавания различных свойств проверяемых документов, таких как встроенные и настраиваемые (пользовательские) свойства документов Microsoft Office и документов других типов, отправителей и получателей мгновенных сообщений и электронных писем, а также метки классификации, применяемые сторонними продуктами, такими как Boldon James Classifier.

При использовании дополнительных параметров учитывайте следующее:

•Различные параметры объединяются по И, то есть группа распознает документ, если он соответствует каждому из настроенных параметров. Например, чтобы документ распознавался группой, у которой заданы значения параметров Заголовок и Тема, соответствующие значения должны быть как у свойства Заголовок, так и у свойства Тема документа. Если требуется объединить параметры по ИЛИ, можно использовать составную группу, добавив в нее по отдельной группе свойств документа для каждого параметра.

•Для одного и того же параметра можно задать несколько значений, разделяя их точкой с запятой. В таком случае значения объединяются по ИЛИ, так что группа распознает документ, если он соответствует любому из заданных значений. Так, если в параметре Заголовок указано Отчет; Счет, то группа распознает документы, у которых в свойстве Заголовок значится Отчет или Счет.

Предусмотрены следующие дополнительные параметры:

•Заголовок, Тема, Теги, Компания, Менеджер, Комментарии, Авторы, Категории, Сохранен - Эти поля служат для ввода значений, которые отвечают некоторым часто используемым свойствам документов, подлежащих контролю. Поддерживаются свойства документов MS Office (.docx, .xlsx, .pptx, .vsdx), .pdf и составных документов. Заголовок поля соответствует имени свойства, указанному в приложениях для работы с документами (например, MS Office Word или Adobe Acrobat).

Допускается использование знаков подстановки: звездочка (*) обозначает произвольную группу символов или их отсутствие; вопросительный знак (?) обозначает один произвольный символ. Нескольких значений в одно и то же поле можно ввести, разделяя их точкой с запятой (;). Пример ввода двух значений с подстановочными символами: *Отчет*; *Счет*.

Значения, введенные в разных полях, объединяются по И. Если в одном поле введено несколько значений, они объединяются по ИЛИ.

•Прочие и классификационные поля - Это поле можно использовать для ввода значений, которые отвечают различным встроенным и настраиваемым (пользовательским) свойствам документов, подлежащих контролю. Поддерживаются свойства документов MS Office (.docx, .xlsx, .pptx), .pdf и составных документов.

Чтобы ввести одно значение для некоторого свойства, используйте следующий синтаксис: <имя свойства>=<значение свойства>. Например, запись Division=Sales представляет значение Sales для свойства Division. Чтобы ввести несколько значений для одного и того же свойства, разделите их запятой. В этом случае значения объединяются по ИЛИ. Так, запись Division=Sales,Finance представляет значение Sales ИЛИ значение Finance для свойства Division.

Чтобы ввести значения для нескольких свойств, разделите записи свойств точкой с запятой. Пример: <имя1>=<значение11>,<значение12>; <имя2>=<значение21>. Значения различных свойств объединяются по И, тогда как различные значения одного и того же свойства объединяются по ИЛИ. Так, запись Division=Sales,Finance; Office=Head Office представляет значение Sales ИЛИ значение Finance для свойства Division И значение Head Office для свойства Office.

Поле Прочие и классификационные поля позволяет также настроить группу для распознавания классификационных меток сторонних продуктов, таких как Boldon James Classifier, которые сохраняют значения своих меток в свойствах документа. Если меткой является точное значение некоторого свойства, то для ее распознавания можно использовать описанный выше синтаксис <имя свойства>=<значение свойства>. Какое именно значение какого свойства служит для обозначения метки определяется настройками стороннего продукта.

Чтобы настроить группу для распознавания SISL-меток Boldon James Classifier, используется синтаксис, который указывает идентификатор элемента uid требуемой метки: uid=<значение ID>. Значение ID можно выяснить из XML-данных SISL-метки какого-либо классифицированного документа. Подробнее об этом см. в разделе Распознавание меток Boldon James Classifier.

В поле Прочие и классификационные поля можно использовать точку с запятой (;) в качестве разделителя для ввода нескольких записей, обозначающих различные свойства документа и/или классификационные метки. Все записи, разделенные точкой с запятой, объединяются по И.

Примечание: Для облегчения настройки группы в поле Прочие и классификационные поля запоминаются ранее вводившиеся записи с возможностью их выбора из раскрывающегося списка, которым снабжено это поле.

•ID-локального отправителя, ID-удаленного получателя - Эти поля служат для ввода идентификаторов локальных отправителей и/или идентификаторов удаленных получателей мгновенных сообщений, подлежащих контролю. Используйте запятую (,) или точку с запятой (;) для разделения идентификаторов в строке. Можно использовать знаки подстановки (* и ?).

Примечание: Параметры ID-локального отправителя и ID-удаленного получателя применимы только к протоколам. В контентно-зависимых правилах для устройств эти параметры не действуют.

Идентификаторы пользователей могут быть указаны для следующих протоколов: ICQ Messenger, Jabber, Mail.ru Агент, Skype, Telegram, Viber, WhatsApp, Zoom.

Пользователи ICQ Messenger идентифицируются по номеру UIN (например, 111222, 23232323).

Пользователи Jabber идентифицируются по Jabber ID в следующем формате: <user>@<domain>

Пользователи Mail.ru Агента идентифицируются по адресу электронной почты в следующем формате: <user>@mail.ru

Пользователи Skype, Telegram, Viber, WhatsApp или Zoom идентифицируются по соответствующему ID пользователя.

•E-mail локального отправителя, E-mail удаленного получателя - Эти поля служат для ввода адресов локальных отправителей и/или адресов удаленных получателей электронных писем, подлежащих контролю. Используйте запятую (,) или точку с запятой (;) для разделения адресов в строке. Можно использовать знаки подстановки (* и ?).

Примечание: Параметры E-mail локального отправителя и E-mail удаленного получателя применимы только к протоколам. В контентно-зависимых правилах для устройств эти параметры не действуют.

Адреса электронной почты могут быть указаны для следующих протоколов: MAPI, SMTP, IBM Notes, Web-почта.

Адрес электронной почты указывается в формате <user>@<domain> (или <user>/<domain> для IBM Notes). Чтобы указать группу адресов, используйте звездочку (*). Например, *@domain.com (или */domain для IBM Notes) обозначает все адреса из указанного домена.

Используя эти параметры в случае Web-почты, примите во внимание следующие соображения:

•Проверка адреса отправителя и получателя для вложений, оправляемых по Web-почте, возможна только в момент отправки письма, а не в момент загрузки вложения на сервер Web-почты. Поэтому мы не рекомендуем использовать эти параметры при построении политики безопасности для пользователей Web-почты. По соображениям безопасности DeviceLock не позволяет выполнять загрузку почтовых вложений на сервер Web-почты, если правило, разрешающее отправку вложений по Web-почте, использует E-mail локального отправителя или E-mail удаленного получателя.

•Правила, применимые для ограничения отправки писем по Web-почте, позволяют сохранять черновики писем, если те не содержат запрещенных отправителей и/или получателей, что позволит пользователям получить доступ к контенту извне и может привести к утечке данных. Создавать такие правила не рекомендуется.

При использовании параметров для указания отправителей или получателей учитывайте следующее:

•Для разрешения или запрета передачи определенного контента между определенными лицами мы рекомендуем применять составные группы, объединяющие по И группу свойств документа, которая указывает желаемых отправителей и/или получателей, с другими контентными группами (определения типа файла, ключевые слова и т.д.).

6. Нажмите кнопку OK, чтобы закрыть диалоговое окно Добавить группу свойств документа.

Новая контентная группа добавляется в список существующих контентных групп в области “База данных контента” в верхней части диалогового окна для управления контентно-зависимыми правилами.