Метки и блокировка доступа

Модуль Метки и блокировка доступа позволяет блокировать доступ к файлам по заданным параметрам.

Внимание

Не включайте этот модуль, если не собираетесь блокировать файлы по содержимому.

Включение модуля может привести к замедлению работы с файлами на рабочих станциях.

Для файлов, указанных в разделе ФайлыПравила: Файловый мониторингПути и маски и Правила: Файловый мониторингПути и маскиЧтение, не будут отображаться уведомления о блокировке.

Настройка конфигурации модуля

Создание и настройка правил блокировки доступа происходит в основном веб-интерфейсе Staffcop.

  1. Перейдите Панель управленияКонфигурации компьютеров.

  2. Найдите в списке Метки и блокировка доступа.

  3. Активируйте ползунок DLP.

../../_images/dlp.png

Чтобы создать правило:

  1. В строке Поле выберите атрибут правила — признак, по которому правило будет работать.

Примечание

В конфигурации Linux-агента блокировка устройств типов Hard, USB, CD, Network, Removable возможна только по одному признаку — Диск-источник. Такое поведение определяется архитектурными особенностями операционной системы Linux.

Доступные атрибуты:


Атрибут

Описание

Имя компьютера

Запрет для определенного устройства.

Имя пользователя

Запрет для определенного пользователя.

Домен пользователя

Запрет для пользователей домена.

Имя приложения

Запрет на действия с файлом в приложении.

Имя файла

Ограничения на действия с файлом по названию.

Если имя изменится, доступ будет открыт.

Для Windows-агента имя файла должно быть указано с расширением: your-file.pdf, иначе правило не сработает.

Это связано с тем, что в Windows имя файла включает и основную часть, и расширение.

Чтобы правило сработало без указания расширения, используйте оператор содержит.

Путь файла

Ограничения для файлов, расположенным по указанному пути.

Даже при изменении имени доступ будет ограничен.

Расширение файла

Ограничение операций по расширению файла: .docx, .xls и т. д.

Если пользователь изменит расширение, доступ будет открыт.

Тип контента

Ограничение доступа к определенному формату контента.

Сохраняется даже при изменении расширения файла.

Признак наличия метки

Блокировка по любой метке файла.

Значение метки

Блокировка по метке с определенным значением.

Контент

Блокировка по содержанию.

Тип файловой операции

Запрет на все или отдельные операции с файлом.

Диск-Источник

Запрет переноса файлов с источника на съемный носитель.

Диск-Приёмник

Запрет переноса файлов с носителя.

  1. В строке Оператор выберите логический оператор.

Доступные логические операторы:

Оператор

Cокращение

Назначение

Использование

не равно

!

Логическое НЕ

not ATTR

равно

==

Сравнение

ATTR == one

совпадает

Регулярное выражение

ATTR matches «(one|two)»

содержится

Нахождение в списке

ATTR in {«one» «two»}

не содержится

Отсутствие в списке

ATTR are not in {«one» «two»}

или

or

Логическое ИЛИ

ATTR or ATTR2

и

and

Логическое И

ATTR and ATTR2

  1. В поле Значение укажите значение выбранного атрибута (имя файла, имя компьютера…). Все значения регистронезависимы.

Особенности атрибутов:

  • для атрибута Тип контента расширение файла определяется на основе его содержимого и может отличаться от указанного в пути;

  • по атрибуту Контент можно блокировать только файлы MS Office и .txt;

  • при создании правил с атрибутом Контент используйте логический оператор совпадает.

Особенности работы модуля

Неверная настройка правил блокировки может нарушить работу некоторых приложений.

Например, блокировка zip-архивов можно нарушить работу MS Excel, поскольку кэш Excel хранится в формате zip-архива. Чтобы этого избежать, правила блокировки zip-архивов должны быть следующими:

  • mime == «application/zip» and not exe_name matches «(7zfm.exe|excel.exe)»

  • mime == «application/zip» and exe_name != «7zfm.exe» or exe_name != «excel.exe»

Больше примеров работы модуля блокировки приведено в отдельной статье.

Цифровые метки

Помимо правил блокировки, модуль поддерживает работу с цифровыми метками файлов. Такие метки позволяют отслеживать файлы даже при изменении их имени или содержимого.

Модуль Метки и блокировка доступа поддерживает работу с файлами в формате:

  • Microsoft Office Word Document (.docx)

  • Microsoft Office Excel Workbook (.xlsx)

  • Microsoft Office PowerPoint Presentation (.pptx)

  • Open Office Text Documen (.odt)

  • Open Office Spreadsheet (.ods)

  • Open Office Presentation (.odp)

Поставить метки можно в новом файловом сканере или вручную в документах.

Примечание

С версии 5.7 утилита tagger для добавления меток в ОС Windows и Linux полностью удалена.

Последнее обновление: 06.02.26