Метки и блокировка доступа

Модуль Метки и блокировка доступа позволяет блокировать доступ к файлам по заданным параметрам.

Внимание

Не включайте этот модуль, если не собираетесь блокировать файлы по содержимому.

Включение модуля может привести к замедлению работы с файлами на рабочих станциях.

Для файлов, указанных в разделе ФайлыПравила: Файловый мониторингПути и маски и Правила: Файловый мониторингПути и маскиЧтение, не будут отображаться уведомления о блокировке.

Настройка конфигурации модуля

Создание и настройка правил блокировки доступа происходит в основном веб-интерфейсе Staffcop.

Перейдите Панель управленияКонфигурации компьютеров, найдите в списке DLP и поставьте галочку.

Нажмите на DLP и выберите в боковом меню Метки и блокировки доступа.

../../_images/dlp.png

Чтобы создать правило:

  1. В строке Поле выберите атрибут правила — признак, по которому правило будет работать.

Доступные атрибуты:

Атрибут

Описание

Имя компьютера

Запрет для определенного устройства.

Имя пользователя

Запрет для определенного пользователя.

Домен пользователя

Запрет для пользователей домена.

Имя приложения

Запрет на действия с файлом в приложении.

Имя файла

Ограничения на действия с файлом по названию.

Если имя изменится, доступ будет открыт.

Путь файла

Ограничения для файлов, расположенным по указанному пути.

Даже при изменении имени доступ будет ограничен.

Расширение файла

Ограничение операций по расширению файла: .docx, .xls и т. д.

Если пользователь изменит расширение, доступ будет открыт.

Тип контента

Ограничение доступа к определенному формату контента.

Сохраняется даже при изменении расширения файла.

Признак наличия метки

Блокировка по любой метке файла.

Значение метки

Блокировка по метке с определенным значением.

Контент

Блокировка по содержанию.

Тип файловой операции

Запрет на все или отдельные операции с файлом.

Диск-Источник

Запрет переноса файлов с источника на съемный носитель.

Диск-Приёмник

Запрет переноса файлов с носителя.

  1. В строке Оператор выберите логический оператор.

Доступные логические операторы:

Оператор

Cокращение

Назначение

Использование

не равно

!

Логическое НЕ

not ATTR

равно

==

Сравнение

ATTR == one

совпадает

Регулярное выражение

ATTR matches «(one|two)»

содержится

Нахождение в списке

ATTR in {«one» «two»}

не содержится

Отсутствие в списке

ATTR are not in {«one» «two»}

или

or

Логическое ИЛИ

ATTR or ATTR2

и

and

Логическое И

ATTR and ATTR2

  1. В поле Значение укажите значение выбранного атрибута (имя файла, имя компьютера…). Все значения регистронезависимы.

Особенности атрибутов:

  • для атрибута Тип контента расширение файла определяется на основе его содержимого и может отличаться от указанного в пути;

  • по атрибуту Контент можно блокировать только файлы MS Office и .txt;

  • при создании правил с атрибутом Контент используйте логический оператор совпадает.

Особенности работы модуля

Неверная настройка правил блокировки может нарушить работу некоторых приложений.

Например, блокировка zip-архивов можно нарушить работу MS Excel, поскольку кэш Excel хранится в формате zip-архива. Чтобы этого избежать, правила блокировки zip-архивов должны быть следующими:

  • mime == «application/zip» and not exe_name matches «(7zfm.exe|excel.exe)»

  • mime == «application/zip» and exe_name != «7zfm.exe» or exe_name != «excel.exe»

Больше примеров работы модуля блокировки приведено в отдельной статье.

Цифровые метки

Помимо правил блокировки, модуль поддерживает работу с цифровыми метками файлов. Такие метки позволяют отслеживать файлы даже при изменении их имени или содержимого.

Модуль Метки и блокировка доступа поддерживает работу с файлами в формате:

  • Microsoft Office Word Document (.docx)

  • Microsoft Office Excel Workbook (.xlsx)

  • Microsoft Office PowerPoint Presentation (.pptx)

  • Open Office Text Documen (.odt)

  • Open Office Spreadsheet (.ods)

  • Open Office Presentation (.odp)

Поставить цифровую метку можно при помощи специальных утилит для Windows и Linux. Скачать утилиты можно в окне модуля.

../../_images/dlp_tagger.png

Утилита для Windows

Чтобы поставить цифровую метку на файл:

  1. Скачайте и установите утилиту Staffcop Tagger.

  2. После завершения установки запустите программу от имени администратора.

  3. Выберите необходимые файлы и нажмите значок Пометить файлы.

  4. В открывшемся окне создания метки, введите текст метки.

../../_images/dlp_tagger_1.png
  1. Готово! Цифровая метка поставлена.

Теперь можно настраивать отслеживание перемещений этих файлов внутри периметра безопасности.

Утилита для Linux

Чтобы поставить цифровую метку на файл:

  1. Скачайте утилиту staffcop-tagger.

  2. Сделайте файл скрипта исполняемым:

chmod +x /path/to/staffcop-tagger

Здесь /path/to/ — полный путь до скачанного скрипта.

  1. Установите метку на выбранный файл:

./staffcop-tagger tag -v mark_name path/to/file_name

Здесь mark_name — текст метки; path/to/file_name — путь к файлу, который необходимо пометить (в том числе — сетевой путь).

  1. Готово! Цифровая метка поставлена. Теперь можно настраивать отслеживание перемещений этих файлов внутри периметра безопасности.

Список команд и флагов утилиты staffcop-tagger:

Команда / флаг

Описание

-H

Вызов списка доступных команд.

-V

Полное название и версия утилиты.

help

Вызывает список доступных команд с описанием.

info

Возвращает информацию об указанном файле.

rule

Отладочная команда для проверки созданных вручную DLP-правил.

simularity

Сравнивает содержимое двух файлов.

tag

Ставит указанную метку на указанный файл.