Почему при задании разграничений для процессов не работают заданные разграничения для процесса winword.exe?

16.03.16 | Раздел публикации: КСЗИ Панцирь

Процесс winword.exe покрывается при заданных настройках двумя масками: «*» и %ProgramFiles%\Microsoft Office\*. Обработка запросов механизмом КСЗИ осуществляется следующим образом. При запросе доступа определяется субъект доступа (в данном случае полнопутевое имя процесса) и осуществляется просмотр субъектов, для которых заданы разграничения в КСЗИ, в порядке их создания, до обнаружения первого субъекта в заданном списке, под который «подпадает» (если маска), либо совпадает (если имя) полнопутевое имя процесса, запросившего доступ к ресурсу. В результате чего принимаются разграничения для выбранного субъекта доступа.

В рассматриваемом случае процесс winword.exe подпадает под маску «*», поэтому для него будут выбраны разграничения, установленные для субъекта «*».

Для корректной работы необходимо в интерфейсе настроек субъекты «*» и %ProgramFiles%\Microsoft Office\* поменять местами, см. рисунок. В этом случае процесс winword.exe подпадет под разграничения, заданные для субъекта %ProgramFiles%\Microsoft Office\*.

Для изменения настроек достаточно удалить в интерфейсе субъект «*» и создать его вновь с именем профиля «Все» (см. рисунок), получим требуемые изменения настроек.

В документации указано «Разграничения для субъекта, характеризуемого более точным описанием (например, C:\Prog\far.exe), должны задаваться ранее (в интерфейсе данный субъект должен располагаться выше), чем разграничения для субъекта, характеризуемого менее точным описанием (например, C:\Prog*)».

info В обработку принимаются вопросы только по Корпоративному ПО и компьютерной технике для использования в организациях. Отправить запрос
info Техподдержка для Домашних пользователей (персональные версии программ, компьютер, ноутбук, принтер, сканер, монитор) производится Службами поддержки Производителей