Kapitola 1 – Úvod
Stoplock pro notebook
Stoplock pro notebook řídí, kdo má přístup do počítače a k jeho částem: k portům, diskovým jednotkám a dalším paměťovým mechanikám a k souborům na uživatelské, skupinové nebo systémové bázi. Přístup kteréhokoli uživatele je povolován vámi, kdo máte pozici správce bezpečnosti systému (SSA). Jako správce jste odpovědný za instalaci, konfiguraci a údržbu Stoplocku a jsou vám proto udělena nezbytná oprávnění.
Prostředí
Windows 95 Stoplock a jeho součásti pracují pod operačním systémem Windows 95.
Systémy s dual boot možností (volitelné zavádění alternativních operačních systémů) nejsou Stoplockem podporovány.
Diskový prostor Pro instalaci Stoplocku potřebujete minimálně 4MB volného prostoru na pevném disku.
Soubory
Stoplock v průběhu instalace vytváří řadu souborů. Ve složce SLV95 jsou to:
}~A00001 Kontrolní zpráva
}~D Drive - zařízení
}~S Podrobnosti o konfiguraci systému
}~U Profil uživatele a skupiny
}~E Seznam vyloučených souborů (soubor je vytvořen pouze jestliže přeložíte textový soubor se seznamem vyloučených souborů)
Navíc je k těmto souborům vytvářen seznam pro řízení přístupu (soubor je pojmenován }~T), který se objeví v každé složce na ”konfigurovaném zařízení”. Obsahuje informace o typu kódování (pokud je provedeno) jednotlivých souborů.
Žádné soubory Stoplocku nejsou skryté (nemají atribut DOSu hidden), avšak seznamy řízení přístupu jsou ukryty Stoplockem.
Programy
Celý systém Stoplock obsahuje řadu programů, z nichž nejdůležitější jsou uvedeny dále. Programy jsou při instalaci přeneseny na pevný disk do složky SLV95
SLV96.VXD
Toto je jádro systému Stoplocku, které je zavedeno do registrů operačního systému. Je to tento program, který neustále monitoruje události, aby mohl v případě možného porušení bezpečnosti příslušně reagovat.
SLV95.EXE
Program pro správu kódování a utility: File Encryption & Utilities administration.
SLWIZ.EXE
Program pro správu systému: System & User administration.
SLWIN32.EXE
Program pro změnu hesla, logování, režim Pauza a odlogování.
SLINTOOL.EXE
Sada instalačních nástrojů Stoplocku.
SETUP.EXE
Tímto programem spustíte instalační proces.
PROTECT.EXE
Program dovoluje instalovat rozšířenou ochranu proti zavádění operačního systému: Extended Boot Protection.
UNPROT.EXE
Deinstaluje rozšířenou ochranu.
EBPCONF.EXE
Program pro konfiguraci rozšířené ochrany.
Kódování dat
Stoplock používá svůj vlastní patentovaný algoritmus pro kódování dat a pro kódování svých vlastních souborů.
Souborová práva používaná Stoplockem
Stoplock používá jistá práva k souborům, na která nemá vliv správce. Seznam těchto práv je k nahlédnutí v Dodatku B - Možnosti instalace.
Přehled operací
Stoplock udržuje bezpečnost systému těmito činnostmi:
Všechny tyto vlastnosti jsou dále popsány v jednotlivých podkapitolách této příručky. Potřebujete-li další informace nebo výcvik, kontaktujte prodejce tohoto systému nebo přímo PCSL.
Kapitola 2 – Instalace
Co je potřeba
Dokumentace
Je bezpodmínečně nutno, abyste se před instalací seznámili s informacemi k poslední vydané verzi softwaru, které jsou umístěny na disketě s produktem. Tyto poslední informace mohou obsahovat důležité změny nebo doplňky proti této příručce.
Podívejte se také do Dodatku B Možnosti instalace, který shrnuje další instalační informace a umožňují základní nastavení.
Použití pevného disku
Potřebujete alespoň 4MB volného prostoru pro to, abyste mohli Stoplock nainstalovat na pevný disk.
ScanDisk
Před instalací Stoplocku vám doporučujeme spustit program ScanDisk, abyste se ujistili, že na pevném disku nejsou žádné logické chyby nebo poškození povrchu.
Než začnete
Před spuštěním instalačního programu uzavřete všechny spuštěné aplikace (programy)
Zaváděcí disketa Windows 95
Potřebujete-li vytvořit zaváděcí disketu Windows 95, je nyní nejvhodnější příležitost učinit tak. Pokud vytvoříte zaváděcí disketu až po instalaci Stoplocku, pak bude třeba, aby měl systém Windows 95 přístup ke klíčům F4, F5 a F8, odstranit řádku BOOTKEYS=0 ze sekce [Options] ze souboru MSDOS.SYS.
Instalace Stoplocku pro notebook
Stoplock je možno instalovat na již používaný počítač. Nicméně nejvýhodnější stav při instalaci je tehdy, provádíte-li instalaci na počítači s nově nainstalovaným operačním systémem Windows 95. Předejdete tak možným chybovým stavům v případě, kdy na již používaném počítači není operační systém v korektním stavu (rozpory v registrech, zkřížené soubory na pevném disku atd.).
Postupujte následovně:
Jestliže dáváte přednost spuštění instalačního programu ze síťového zařízení, vytvořte složku na vašem serveru, pak ručně zkopírujte všechny soubory z instalačních disket Stoplocku do této složky. Poté můžete spustit instalaci odtud zápisem setup
i Poznámka:
Instalační informace čte program SETUP.EXE ze svého souboru instalačních informací SETUP.INI. Tento soubor můžete modifikovat tak, aby instalace vyhovovala vašim požadavkům. To je zvláště vhodné, pro nastavení instalačního postupu tak, aby probíhal bez zásahu obsluhy, což je například výhodné, bude-li se provádět více než jedna instalace.
Stoplock může být také instalován na dálku.
Další podrobnosti o takovýchto možnostech instalace jsou uvedeny v Dodatku B - Možnosti instalace
Program setup inicializuje program InstallShield Wizard, který vás provede celým procesem instalace Stoplocku. Před pokračováním v instalaci vždy pečlivě čtěte instrukce uvedené ve zobrazovacím okně instalačního programu.
Natavení instalace
Jako první se zobrazí okno
Pokud instalujete Stoplock poprvé, stiskněte tlačítko Next (Další).
Rámeček Predefined Defaults (Předdefinované hodnoty)
= Load Predefined Defaults (Zaveď předdefinované hodnoty)
Toto políčko zaškrtněte tehdy, máte-li k dispozici dříve uložené – předdefinované hodnoty instalačních parametrů a přejete-li si je nyní použít. Jestliže políčko zaškrtnete, objeví se následující okno ihned po stisknutí tlačítka Next (Další).
Je na vás požadováno, abyste zadali cestu a složku, kde jsou uschovány konfigurační soubory.
Jakmile zadáte cestu k příslušné složce, jste dotázáni na heslo, které bylo použito při jejich vytvoření.
Po zadání správného hesla a stisknutí tlačítka OK budou hodnoty parametrů Stocklocku nahrány.
i Poznámka:
Po použití této volby je počítač je přepnut do režimu “Host” a instalační program se ukončí. Nezapomeňte se přihlásit jako uživatel, který byl aktivním uživatelem v okamžiku předchozího ukládání předdefinovaných hodnot.
Další informace o předdefinovaných hodnotách se dozvíte v kapitole 3 – Program pro konfiguraci systému a uživatele.
Master Encryption Key
První okno, které uvidíte po odklepnutí tlačítka NEXT je označeno Master Encryption Key (Hlavní kódovací klíč).
Hlavní kódovací klíč (MEK) je využit pro kódování systémových souborů Stoplocku a je zadáván vždy pouze při instalaci. Přestože na toto heslo nebudete dotazováni systémem při žádné jiné příležitosti, měli byste si je zapsat a uložit na bezpečném místě. MEK budete muset opakovaně vložit, budete-li instalovat Stoplock na jiný počítač, abyste měli k dispozici funkci “Změna hesla na dálku”.
Kód MEK může obsahovat až 16 znaků, rozlišují se malá a velká písmena a může se skládat z jakýchkoli alfanumerických znaků. Jste požádáni o opakovaný zápis MEK pro ověření správnosti.
Kódování
Po stisknutí tlačítka NEXT (Další) je zobrazeno následující okno:
Kódování chrání data průběžným řízeným převáděním jejich obsahu tak, že se tento obsah zdá být zcela nesmyslným. Avšak obsah souborů je přístupný po dekódování podle téhož klíče, který byl uživatelem použit při zakódování.
Zvolte si úroveň ochrany odpovídající vašim požadavkům:
= No encryption required (Není požadováno žádné kódování)
= Use Personal keys only (Používej pouze osobní klíče)
Soubory jsou kódovány tak, že se použije klíč specifický pro každého uživatele.
Jestliže zvolíte tuto možnost, na konci instalačního procesu bude zařízení C: automaticky konfigurováno tak, že budete moci použít kódování souborů. Můžete si pak zvolit potřebné soubory a pomocí klíče uživatele je zakódovat tak jak je popsáno v kapitole 5 – Konfigurace zařízení, složek a souborů
= Use both Personal keys and a Shared key (Používej osobní i sdílené klíče)
Soubory budou moci být kódovány použitím klíče specifického každému uživateli. Avšak soubory mohou být také kódovány klíčem, který je společný všem členům “sdílené” skupiny (SHARED). Jestliže zvolíte tuto možnost, bude sdílená skupina automaticky vytvořena. Členství ve skupině se získává přidáním a editováním nového uživatele.
Jestliže zvolíte tuto možnost, na konci instalačního procesu bude zařízení C: automaticky konfigurováno tak, že budete moci použít kódování souborů. Můžete si pak zvolit potřebné soubory a pomocí klíče uživatele je zakódovat tak, jak je popsáno v kapitole 5 – Konfigurace zařízení, složek a souborů. Tato kapitola také zahrnuje konfiguraci ostatních pevných disků počítače.
= Shared key (Sdílený klíč)
Pokud jste zvolili předcházející možnost, pak zde jste vyzváni k tomu, abyste zadali klíč, který bude používán pro kódování a dekódování kteréhokoli souboru ve sdílené skupině. Jakmile je klíč zvolen, již nemůže být změněn. Klíč musí mít 1 až 8 znaků a rozlišují se velká a malá písmena. Zadaný klíč je pak ověřen novým zadáním do okénka Retype shared keyd (Napiš sdílený klíč znovu).
i
Chcete-li exportovat zakódované soubory (viz kapitola 6 - Nastavení a použití popisů souborů, Import a export složek) nebo zamýšlíte v budoucnu upgradovat systém na Stoplock95 Central Administrator, pak zajistěte, aby byl na všech počítačích stejný klíč pro sdílené skupiny. Pokud budete další počítače konfigurovat pomocí předdefinovaných hodnot, bude toto zajištěno.
Pokud je to třeba, můžete kódování zadat později. Více podrobností naleznete v kapitole 3 – Program pro konfiguraci systému a uživatele a
v kapitole 5 – Konfigurace zařízení, složek a souborů
Jestliže Stoplock instalujete s předdefinovanými hodnotami, pak nebude okno Encryption (Kódování) zobrazeno. Pokud potřebujete specifikovat kódování, pak zvolte program System & User Configuration - Konfigurace systému a uživatele - další informaci jsou v kapitole 3.
Uživatelé
Dále se zobrazí okno Users (Uživatelé)
Všichni uživatelé, kteří mají mít přístup k počítače a jeho prostředkům, by měli být zapsáni do systému v tomto okně. Pokud to bude nutné, můžete později přidat další uživatele – viz kapitole 3 – Program pro konfiguraci systému a uživatele.
Jestliže Stoplock instalujete s předdefinovanými hodnotami, pak nebude okno Users (Uživatelé) zobrazeno.
Přidání uživatele
Chcete-li přidat nového uživatele, musíte vyplnit všechna pole v okně podle následujícího popisu. Nejprve stiskněte tlačítko Add User (Přidej uživatele).
Rámeček Profile
= User ID (Name) (Identifikace uživatele (Jméno))
Zapište jméno uživatele jako řetězec alfanumerických znaků – nejméně 3, nejvíce 12 znaků (pomlčky a podtržení jsou povoleny). Tento řetězec znaků bude muset vložit uživatel vždy, když se bude do systému chráněného Stoplockem přihlašovat. Každé jméno uživatele, které bude v systému registrováno, musí být unikátní.
= User Type (Typ uživatele)
V tomto poli specifikujete základní možnosti a funkce, které smí uživatel používat. Vyberte jednu hodnotu z položek roletové nabídky:
Standard Základní předdefinované nastavení uživatele, který není správcem. Většina uživatelů, které budete do systému přihlašovat, bude mít toto nastavení.
SSA System Security Administrator (Správce bezpečnosti systému) – osoba odpovědná za nastavení a údržbu systému Stoplock. Jestliže je to nutné, můžete určit více než jednu takovou osobu.
Temporary Dočasný uživatel, který má podobná přístupová práva, jako standardní uživatel, ale používá heslo s časově omezenou platností. Jakmile doba platnosti hesla vyprší, uživatel získá status neaktivního účastníka a nebude se moci více do systému přihlásit. Bude-li to nezbytné, můžete znovu aktivovat takového uživatele zadáním nového hesla.
= Status
Tato volba může být aktivní - Active – (předdefinovaná hodnota), nebo neaktivní – Inactive. Při přidání uživatele je status vždy aktivní a může být změněn pouze při následující editaci parametrů nového uživatele. Uživatelé se statusem neaktivní se nemohou přihlašovat do systému, avšak mohou být kdykoli znovu aktivováni.
= Days Remaining (Zbývající dny)
Údaj uvádí, kolik dní ještě zbývá do doby, než vyprší platnost přístupového hesla. Hodnotu do tohoto pole můžete zadat pouze tehdy, když specifikujete uživatele jako dočasného (Temporary).
= Force change ID on first logon (Vyžaduj změnu ID při prvním přihlášení)
Jestliže je toto okénko zaškrtnuto, pak musí uživatel změnit identifikaci při prvním přihlášení. Tato volba není k dispozici, pokud je uživatel specifikován jako dočasný (Temporary).
Rámeček Password
= Password (Heslo)
Do tohoto pole zapište heslo. Jakmile se uživatel přihlásí, bude toto heslo požadováno.
= Retype Password (Napiš heslo znovu)
Zapište heslo pro ověření jeho správnosti znovu.
Běžné heslo nemůžete zobrazit.
Další informace o konfiguraci hesla a pravidla používání hesel naleznete v kapitole 3 - Program pro konfiguraci systému a uživatele a v kapitole 8 – Údržba systému
Rámeček Personal Encryption Key (Osobní kódovací klíč)
Zde můžete uvést klíč, který bude využit při kódování jakéhokoli souboru na urovni uživatele (tj.je příslušný k uživateli). Každému uživateli musí být heslo přiděleno bez ohledu na to, zda jste specifikovali použití kódování. Jakmile je tento klíč vložen, nemůže již být změněn.
= Key (Klíč)
Do tohoto pole zapište klíč. Klíč musí mít délku 1 až 8 znaků. Rozlišuje se mezi malými a velkými znaky.
= Retype Key (Napiš klíč znovu)
Zapište klíč pro ověření jeho správnosti znovu.
Rámeček Group Membership (Členství ve skupině)
Toto okénko zaškrtněte tehdy, chcete-li, aby byl uživatel zapsán do sdílené skupiny. Všichni uživatelé, kteří budou členy sdílené skupiny, budou mít přístup k zakódovaným datům pomocí stejného sdíleného klíče.
Pokud chcete naopak uživatele ze sdílené skupiny vyjmout, zrušte zaškrtnutí tohoto okénka.
Údaje v tomto rámečku nebudete mít možnost změnit, pokud jste v okně Encryption nezvolili třetí možnost Use both Personal keys and a Shared key
Editace uživatelů
Klepnutím na šipku v poli User ID vám bude nabídnut seznam registrovaných uživatelů. Vyberte uživatele a modifikujte parametry platné pro tohoto uživatele. Jakmile práci dokončíte, uložte změny tím, že klepnete na tlačítko Modify User (Oprav uživatele), které se mezitím v rámečku objeví.
Všimněte si, že při modifikaci uživatele není zvýrazněna volba Personal Encryption Key (Osobní kódovacví klíč). Tento klíč nemůže být změněn.
Zrušení uživatele
Klepnutím na šipku v poli User ID vám bude nabídnut seznam registrovaných uživatelů. Vyberte požadované jméno a stiskněte tlačítko Delete User.
Jakmile ukončíte všechny činnosti nutné pro nastavení instalace, stiskněte tlačítko Finish (Ukončení). Poté se
= automaticky nakonfiguruje disk, pokud jste specifikovali použití kódování nebo
= zobrazí se okno Desktop systému Windows 95
Nyní již budete moci používat Stoplock pro notebook.
Jste právě přihlášeni do Stoplocku jako první správce (SSA). Na rozdíl od všech ostatních uživatelů systému, které jste do Stoplocku přidali, nebude po vás při příštím přihlášení požadováno změnění hesla. Dále se informujte v kapitole 8 - Údržba systému
Ikony Stoplocku pro notebook
|
|
Dvojím ťuknutím na tuto ikonu spustíte program Stoplock File Encryption & Utilities (Obslužné programy a kódování souborů). Tento program vám umožní kódovat složky a jednotlivé soubory, prohlížet, exportovat a tisknout kontrolní protokol a na dálku nastavovat uživatelská hesla. Tento program smí použít pouze správce systému. |
|
|
Dvojím ťuknutím spustíte program Stoplock System & User Configuration (Konfigurace systému a uživatele). Tento program umožňuje nastavení parametrů systému a uživatele, zaznamenává, zda si přejete použít kódování a ukládá parametry nastavení do souboru, aby bylo mohlo být použito později při instalaci. Tento program smí použít pouze správce systému. |
|
|
Dvojím ťuknutím sem spustíte program Stoplock Installation Toolkit (Sada nástrojů pro instalaci Stoplocku). Tímto programem je umožněna vzdálená instalace Stoplocku jino osobou než správcem – při použití souboru s předdefinovanými hodnotami a souboru s popisy. Tento program smí použít pouze správce systému. |
|
|
Tato ikona je umístěna na spodním panelu nástrojů základního okna Windows 95 – na pravém okraji. Ťuknutí na levé tlačítko (kurzor ukazuje na tuto ikonu) způsobí start režimu Pauza. Stisknete-li pravé tlačítko, zobrazí se nabídka, odkud se můžete přihlásit do Stoplocku, odhlásit se (tzn. že systém se vrátí do režimu ”Hosta”), zavést režim Pauza, nebo změnu hesla. Vyberte žádanou funkci a stiskněte tlačítko myše. Další podrobnosti naleznete v kapitole 8 - Údržba systému |
|
|
Klepnete-li dvakrát na tuto ikonu, otevře se informační soubor s posledními informace o produktu Stoplock. |
Aktualizace Stoplocku
Stoplock můžete aktualizovat ze starší verze běžným spuštěním instalačního programu (SETUP.EXE). Stoplock nahradí příslušné proměnné a potřebné soubory. Informace o stávající konfiguraci nebudou přepsány, takže můžete pokračovat v práci ve stejném prostředí.
Stoplock pro notebooky můžete aktualizovat na Stoplock 95 běžným spuštěním instalačního programu Stoplocku 95 (SETUP.EXE). Stoplock 95 opět nahradí příslušné proměnné a potřebné soubory. Informace o stávající konfiguraci nebudou přepsány, takže můžete pokračovat v práci ve stejném prostředí.
Kapitola 3 – Konfigurace systému a uživatele
Úvod
Program pro konfiguraci systému a uživatele vám umožní nastavit systémové parametry, přidat, editovat a rušit informace o uživatelích a specifikovat, zda si přejete použít kódování. Po ťuknutí na některou záložku v horní části okna programu dostanete vždy zvláštní okno, kde můžete zadávat různé parametry nastavující bezpečnost systému. Systémové a uživatelské informace nastavené v těchto oknech mohou být uloženy jako předdefinované hodnoty (Predefined Defaults) pro použití při dalších instalacích Stoplocku v počítači.
Všechna tato okna jsou zobrazena a popsána v následujících odstavcích.
Pokud potřebujete další informace o heslech, režimu Pauza a přihlašování do Stoplocku, nahlédněte do kapitoly 8 – Údržba systému.
i Poznámka:
= Bitmapu v levé části dále uvedených oken můžete nahradit jakoukoli vaší bitmapou (obrázkem). Toho dosáhnete použitím programu File Encryption & Utilities (Kódování souborů a obslužné funkce). Zvolte Set Bitmap (Nastav Bitmapu) z nabídky Options (Volby). Zobrazí se standardní dialog, který vám umožní vybrat si žádanou bitmapu.
= Políčka v následujích oknech jsou přepínatelná - “zaškrtávají se” a “ruší se zaškrtnutí” ťuknutím na tlačítko myši.
Heslo – záložka Password
U hesla je možno nastavit omezený čas platnosti, nejmenší délku ve znacích a je možno určit dobu jeho platnosti ve dnech. V heslech se rozlišují malá a velká písmena a poslední tři hesla nemohou být použita opakovaně.
Rámeček Password Settings (Nastavení hesla)
= Minimum Length (Nejmenší délka)
Vložte celé číslo, které bude určovat nejmenší možnou délku uživatelského hesla. Můžete použít šipky nahoru a dolů v pravé části okénka pro zvyšování nebo snižování zobrazeného čísla o jedničku. Předdefinovaná nejmenší délka hesla je 6 znaků. Nemůžete vybrat menší délku hesla než 4 znaky.
Jestliže uživatelé budou zkoušet vytvořit heslo kratší, než je zde určená nejmenší délka, budou vyzváni k jeho opravě. Maximální délka hesla ve znacích je 16 a tato hodnota nemůže být změněna.
= Life time (Doba platnosti)
Každé heslo má omezenou dobu platnosti a vypršení této doby je hlídáno podle udaje, který zde uvedete. Vložte celé číslo, které bude určovat dobu platnosti uživatelského hesla. Můžete použít šipky nahoru a dolů v pravé části okénka pro zvyšování nebo snižování zobrazeného čísla o jedničku.
Platnost hesla vyprší po uplynutí zde stanoveného počtu dní bez ohledu na to, kolikrát bylo heslo použito. Předdefinovaná hodnota je 250 dní. Jakmile budou zbývat pouze dva dny do vypršení stanovené doby platnosti hesla, automaticky se zobrazí zpráva change password (změňte heslo).
Rámeček Password Controls (Úprava hesla)
= Force Alpha Numeric (Povinně alfanumerický)
Jestliže toto políčko zaškrtnete, pak zadávané heslo musí vždy obsahovat alespoň jeden znak číslice a jeden znak písmene
= Must Contain at least n Unique Characters (Musí obsahovat alespoň n jedinečných znaků)
Po zaškrtnutí tohoto políčka máte možnost nastavit i následující políčko s číslicí. To znamená, že heslo musí obsahovat alespoň n jedinečných znaků. Počet n je číslo, které zadáváte nebo měníte nahoru a dolů pomocí rolovacích šipek v ravém políčku. Zadané číslo může být pouze v rozsahu 2 až 12.
Přihlašování
Pod záložkou Logon je možno nastavit parametry řídící způsob a možnosti přihlašovaní uživatele do systému. Bitmapu (obrázek) v okně Logon je předdefinovaný – je specifikovaný v souboru WLOGON.INI a je možno je změnit. Více informací naleznete v Dodatku C.
Rámeček Logon Restrictions (Omezení při přihlašování)
Zde můžete určit nezbytné požadavky pro přihlášení.
= Invalid logons before lock out (Neplatná přihlášení před uzamčením)
Vložte celé číslo v rozsahu 1 až 250. Předdefinované číslo je 3. Uživatel smí při přihlašování zadat pouze uvedený počet chybných hesel, jinak se systém zamkne.
= Lock out length in minutes (Délka uzamčení v minutách)
Vložte celé číslo v rozsahu 1 až 250. Předdefinované číslo je 1. Pokud při přihlašování uživatel zadal nesprávné heslo vícekrát než bylo povoleno, uzamkne se systém na zde uvedenou dobu v minutách, než bude možno znovu zkusit zadat heslo.
Uzamčení systému nelze obejít tím, že se znovu zavede operační systém počítače. Pokud se to stane, Stoplock začne čas odpočítávat po restartu od počátku.
Volby Invalid logons a Lock out length jsou platné i pro použití hesla při ukončování režimu Pauza.
Rámeček General (Obecné)
= Automatic Guest Logon (Automatické přihlašování hosta)
Jestliže zaškrtnete toto políčko, Stoplock nezobrazuje přihlašovací okno při zavádění operačního systému. Místo toho je uživatel automaticky přihlášen do systému jako host. Režim práce po takovémto přihlášení se nazývá “režim hosta”.
Uživatel se přesto může přihlásit do Stoplocku ručně a provést normální přihlášení.
= Disable user account after n days of inactivity (Zakaž přístup uživatele po n dnech neaktivity)
Jestliže se uživatel nepřihlásí se do uvedeného počtu dní, bude jeho přístup zakázán a uživatel se nebude moci více přihlásit. Účet uživatele může obnovit pouze správce systému. (Viz Uživatel dále v této kapitole).
Předdefinovaná hodnota je 0 a maximální hodnota je 250. Ponecháte-li tuto hodnotu na 0, uživatelův účet nebude nikdy zablokován.
i Poznámka:
Toto nastavení má účinek pouze na účet uživatele typu “standard”.
SoftHold - Pauza
Pauza, funkce v originální příručce a v hlášeních systému Stoplock nazývaná názvem Softhold, je stav systému, kdy je na obrazovce zobrazeno klidové okno, systém nepracuje – je v klidu. Systém je v podobném stavu, jako když je v systému Windows 95 zobrazeno okno Screensaver - šetřič obrazovky. Do tohoto stavu systém přechází vždy, když je nějaký, uživatelem stanovený čas, neobsluhován. Tím je systém chráněn proti neautorizovanému čtení dat z obrazovky nebo použití nepovolanou osobou.
Rámeček Passive Action (Akce při nečinnosti)
V tomto rámečku specifikujte, co má systém dělat, pokud je ponechán bez obsluhy.
= SoftHold (Okno Pauzy)
Žádná funkce systému nebude přístupná až do té doby, než uživatel vloží své správné heslo. Na obrazovce je zobrazeno při Pauze obrázek, který je určen dále. Jakmile se ve stavu Pauza pohne myší nebo stiskne jakékoli tlačítko, objeví se na obrazovce dialogový rameček Pauzy. Bude povoleno pouze tolik vstupů nasprávného hesla, kolik jste jich zadali přiurčování hodnoty Invalid logons before lock out (Neplatná přihlášení před uzamčením) – viz výše v této kapitole.
= None (Žádná akce)
Neprovede se žádná speciální funkce, systém nepřejde do stavu Pauza.
= Minutes before action (Minut před akcí)
Zde vložíte celé číslo, které určuje časový interval, který musí proběhnout při ponechání systému v neaktivním stavu před tím, než se žádaná akce (přechod do Pauzy) provede. Můžete hodnotu nastavit pomocí tlačítek šipek nahoru a dolů nebo vepsáním hodnoty přímo. Předdefinovaná hodnota je 5 minut.
Rámeček Screen Options (Volby obrazovky)
Označením příslušného tlačítka se určí, jaký obraz se zobrazí na displeji, pokud je vyvolán režim Pauza.
= Bitmap
Označíte-li toto tlačítko, zobrazí se obrázek z bitmapy předdefinované v souboru WLOGON.INI (další podrobnosti viz Dodatek C, “WLOGON.INI”).
= Screen Saver (Spořič obrazovky)
Označíte-li toto tlačítko, zobrazí se obrázek spořič obrazovky, který máte nastaven ve Windows 95. Aby byla tato volba účinná, šetřič obrazovky musí být současně nastaven pro použití ve Windows 95. Pokud šetřič obrazovky nastaven není, pak se na displeji neobjeví žádná změna.
Tato možnost je nastavena automaticky, jestliže Stoplock detekuje, že je ve Windows 95 nastaven nějaký aktivní spořič obrazovky.
Je důležité zapamatovat si, že je-li jako volba nastavena Bitmapa, pak musíte vypnout spořič obrazovky ve Windows 95, aby tato funkce Windows 95 nekolidovala s režimem Pauza v Softlocku. Nastavíte-li naopak Screen Saver (Spořič obrazovky) ve Windows 95, nastavte čekací dobu spořiče na 60 minut.
Nezapomeňte take, že dialogové okno pro vystoupení z režimu Pauza se objeví až po stisknutí některé klávesy nebo po pohybu myši.
System Access – Přístup do systému
Toto okno použijete pro určení uživatelských práv přístupu k jednotlivým částem systému – k mechanice pružného disku sériovým a paralelním portům. Jako předdefinovaný stav je povolen plný přístup k mechanice pružného disku i ke všem portům.
Rámeček Floppy Drive Access (Přístup k mechanice pružného disku)
V tomto rámečku určíte způsob přístupu k mechanice pružného disku.
= Full Access (Plný přístup)
Při tomto nastavení nejsou použita žádná omezení při práci s pružným diskem. Disketa tedy může být používána v plném rozsahu jako obvykle.
= No Access (Žádný přístup)
Všem přístupům k pružnému disku je zabráněno.
= No Execute (Žádné provádění)
Uživatel nebude schopen spouštět programy z mechaniky pružného disku.
i Poznámka:
Jestliže je nastaveno No Execute (Žádné provádění), nezabraňuje Stoplock uživateli zkopírovat program z diskety na pevný disk a poté jej provést. Měli byste také konfigurovat pevný disk a spustit skript Stoplocku ANTIV (viz kapitola 6 – Nastavení a použití skriptů). To bude moci zabránit kopírování programů na pevný disk a jejich provádění odsud.
Rámeček Device Access (Přístup k zařízení)
Zaškrtnutím příslušného okénka určíte, zda má uživatel právo přístupu k sériovým a/nebo paralelním portům.
i Poznámka:
Nastavení v záložce System Access (Přístup do systému) platí pro všechyn uživatele vyjma správce. Správce má plný přístup k mechanice pružného disku i k sériovým a paralelním portům .
Encryption – Kódování
Zde určujete, zda má být systém připraven pro kódování nebo ne. Kódování chrání data jejich řízeným zmatením – zakódováním. Data jsou při jakémkoli přístupu nečitelná a stávají se znovu smysluplnými pouze v případě, kdy jsou dekódována stejným algoritmem, kterým byla zakódována.
Označte to tlačítko, které odpovídá vašemu výběru:
= No encryption required (Není požadováno žádné kódování)
Tato volba je samovysvětlující. Jestliže bylo kódování dříve zvoleno, potom zaškrtnutí této volby způsobí zpětnou konfiguraci všech pevných disků, to znamená, že všechny zakódované soubory budou dekódovány.
= Use Personal keys only (Použít pouze osobní klíče)
Soubory jsou kódovány klíčem, který je specifický pro každého uživatele. Jestliže tuto možnost povolíte, pak pevný disk C je automaticky konfigurován tak, že můžete použít kódování na zde uložené soubory. Můžete vybrat příslušné soubory a uživatelské klíče, které jsou zakódovány, jak je popsáno v kapitole 5 – Konfigurace disků, složek a souborů.
= Use both Personal keys and a Shared key (Používat obojí – osobní klíče i sdílené klíče)
Soubory mohou být kódovány podle klíčů specifických každému uživateli a podle klíčů, které jsou určeny Sdílené skupině. Jestliže tuto možnost zvolíte, bude automaticky vytvořena skupina nazývaná sdílená. Můžete učinit uživatele členem této skupiny – zapsáním do jeho profilu, jak je popsáno dále v této kapitole.
Jestliže tuto možnost povolíte, pak pevný disk C je automaticky konfigurován tak, že můžete použít kódování na zde uložené soubory. Můžete vybrat příslušné soubory a uživatelské klíče, které jsou zakódovány, jak je popsáno v kapitole 5 – Konfigurace disků, složek a souborů. Tato kapitola zároveň popisuje, jak konfigurovat další pevné disky obsažené v systému počítače.
Shared Key
Zde můžete zapsat klíč, který bude při kódování jakéhokoli souboru ve Sdílené skupině používán. Jakmile byl tento klíč vložen, nemůže být změněn. Klíč může mít 1 až 8 znaků a rozlišují se malá a velká písmena. Pro ověření tohoto klíče jej zadejte znovu do pole Retype shared key.
Všimněte se, že pole Shared Key je zobrazeno nevýrazně – šedivě – jestliže jste neoznačili volbu Use both Personal keys and a Shared key key (Používat obojí – osobní klíče i sdílené klíče).
Chcete-li exportovat kódované soubory (viz kapitola 6 - Nastavení a použití skriptů) nebo hodláte v budoucnosti upgradovat Stoplock pro notebooky do Stoplock 95 Central Administrator, potom zajistěte, aby všechny příslušné počítače byly opatřeny stejným klíčem pro Sdílenou skupinu. Jestliže při konfiguraci dalšího počítače použijete Předdefinované hodnoty, pak se společný klíč použije automaticky.
i Poznámka:
Jestliže už jste dříve zadali volbu Use both Personal keys and a Shared key key (Používat obojí – osobní klíče i sdílené klíče) a potom jste zvolili Use Personal keys only (Použít pouze osobní klíče), příslušnost uživatele ke skupině a Sdílené skupině bude automaticky zrušena.
Users - Uživatelé
Můžete zadat požadavky na bezpečnost až pro 32.000 uživatelů na jednom osobním počítači. Každému uživateli přísluší popis – profil – který obsahuje parametry bezpečnosti jedinečné pro každou osobu a každý uživatel má svlj klíč uživatelské identifikace (ID).
Uživatele, kteří nejsou správci, nemají přístup k programům správy Stoplocku. Ti se mohou pouze přihlásit, odhlásit, vyvolat zrušit stav Pauzy a změnit své heslo.
Parametry pro uživatele se dají nastavit v tabulce pod záložkou Users (Uživatelé). Po klepnutí kurzoru na tuto záložku se zobrazí okno:
Přidání uživatele
Abyste zaznamenali nového uživatele, musíte vyplnit všechna pole podle následujícího popisu. Stisknutím tlačítka Add User (Přidej uživatele) zaznamenáte nového uživatele do systému Stoplocku.
Rámeček Profile (Profil)
= User ID (Name) (Identifikace uživatele (jméno))
Zapište jméno platné pro uživatele. Zadaný alfanumerický řetězec smí mít 3 až 12 znaků (spojovací čárky a podtržení jsou také povoleny). Tento řetězec bude uživatel vkládat vždy při přihlašování do systému. Každé jméno uživatele v systému musí být jedinečné.
= User Type (Typ uživatele)
Touto volbou určíte základní možnosti a funkce povolené uživateli. Hodnotu vyberete z nabídky roletového menu:
Standard Základní předdefinované nastavení. Je určené uživatelům, kteří nejsou správci. Většina uživatelů, které budete do systému přidávat, bude mít určeno toto nastavení.
SSA System Security Administrator (Správce bezpečnosti systému) – osoba odpovědná za nastavení a údržbu Stoplocku. Je-li to nutné, můžete určit více než jednoho správce.
Temporary (Dočasný) Dočasný uživatel má podobná oprávnění jako standardní uživatel, avšak jeho přístupové heslo má časově limitovanou platnost. Jakmile platnost hesla vyprší, obdrží tento uživatel status neaktivního uživatele a nemůže se již do systému přihlásit. Můžete tohoto uživatele znovu aktivovat s novým heslem, je-li to nutné.
= Status (Stav)
Stav může být Active (Aktivní), což je hodnota předdefinovaná, nebo Inactive (Neaktivní). V okmažiku přidání uživatele je stav nastaven vždy jako aktivní a může být změně pouze při následujících editací parametrů vztahujících se k tomuto uživateli. Neaktivní uživatelé se nemohou přihlašovat do systému, avšak mohou být kdykoli reaktivováni. Například jestliže je uživatel nepřítomen v zaměstnání, protože je nemocen nebo má dovolenou, použijete toto pole pro zablokování jeho přístupu do systému po celou dobu jeho nepřítomnosti.
Nastavení uživatele “host” do neaktivního stavu nebrání v automatickém přihlášení nebo odhlášení hosta. Naopak zabraňuje komukoli, aby se ručně přihlásil pod jménem hosta.
= Days Remaining (Zbývající dny)
Toto pole označuje počet dní, které uživateli zbývají do vypršení platnosti jeho oprávnění přístupu do systému: závisí na hodnotě nastavené v konfiguraci hesla (viz “Password; Life Time” dříve v této kapitole). Do tohoto pole můžete vložit hodnotu pouze tehdy, jestliže jste uživatele označili jako dočasného (Temporary).
Jakmile se uživatel poprvé přihlásil, hodnota, která je zde zobrazená bude hodnotou označující dobu platnosti hesla nastavené v okně Password (Heslo).
= Force change ID on first logon (Požaduj změnuj hesla při prvním přihlášení)
Jestliže toto pole zaškrtnete, uživatel bude muset změnit své heslo okamžitě při prvním přihlášení. Tato možnost je aktivní pouze tehdy, je-li uživatel poprvé přidán do systému, t.j. tato volba nebude mít vliv na první přihlášení po změně hesla. Tato volba není k dispozici pro uživatele typu FM, Guest (Host) a Temporary (Dočasný).
Nevolte tuto možnost, jestliže již máte zakódovány soubory s použitím uživatelova osobního klíče. Jestliže by uživatel změnil při prvním přihlášení své heslo, zakódovaná data by již nebyla čitelná.
Rámeček Password (Heslo)
= New Password (Nové heslo)
Do tohoto pole zapište heslo uživatele. Musíte to udělat vždy, když vkládáte nového uživatele i když můžete také nastavit heslo pro existujícího uživatele.
Nemůžete zobrazit běžné heslo. Heslo, které jste zde nastavili ztratí platnost okamžitě, jakmile proběhne změna uživatele při jeho prvním přihlášení.
Nejkratší délka hesla je určena v okně Password (Heslo). Největší délka hesla je 16 znaků.
Informace o pravidlech platných pro hesla jsou uvedeny v kapitole 8 – Údržba systému.
= Retype Password (Zapiš heslo znovu)
Sem zadejte stejné heslo ještě jednou pro jeho ověření.
Rámeček Personal Encryption Key (Osobní kódovací klíč)
= Key (Klíč)
Zde můžete zadat klíč, který bude používán pro kódování souborů na uživatelské úrovni (tzn. specifických pro uživatele). Každému uživateli musí být přiřazen kódovací klíč bez ohledu na to, zda jste zapnuli funkci kódování či nikoli. Jakmile byl tento klíč vložen, nemůže být změněn.
Kódovací klíč musí mít délku mezi 1 až 8 znaky a jsou rozlišována malá a velká písmena.
= Retype Key (Zapiš klíč znovu)
Sem zadejte stejný klíč ještě jednou pro jeho ověření.
Rámeček Group Membership (Členství ve skupině)
= User is a member of the shared group (Uživatel je členem sdílené skupiny)
Zaškrtnutím tohoto políčka určíte, že uživatel se stává členem Sdílené skupiny. Všichni uživatelé, kteří jsou členy Sdílené skupiny budou moci přistupovat k datům kódovaných sdíleným klíčem.
Zrušíte-li zaškrtnutí tohoto políčka, vyjmete uživatele ze skupiny.
Všimněte si, že rámeček s dialogem Group Membership (Členství ve skupině) je zobrazen šedě a je nepřístupný, jestliže jste nezvolili Use both Personal keys and a Shared key (Používat obojí – osobní klíče i sdílené klíče) v okně Encryption (Kódování).
Editace uživatele
Použijte roletové menu User ID (Indentifikace uživatele). Zde vyberete jméno uživatele, jehož zaznamenané parametry chcete změnit. Můžete změnit jméno uživatele, jestliže je to nutné, avšak ujistěte se, že žádná data nejsou v té chvíli zakódovaná s klíčem pod starým jménem uživatele. Jakmile jste změnili všechny potřebné parametry v profilu uživatele, stiskněte tlačítko Modify User (Změn uživatele) – změny se uloží. Tlačítko se objeví místo tlačítka Add User (Přidej uživatele).
Profily dále uvedených uživatelů jsou již nastaveny systémem a nemohou být zrušeny. Oba tyto uživatelské typy se spíše vztahují k funkcím než k osobám:
FM Field Manager (Manažer oblasti). Tento uživatel může být příležitostně využit v počítači na vzdálené straně – pro případ znovunastavení zapomenutého hesla – žádný jiný přístup do systému nemá povolen. Viz kapitola 7 – Kontrolní záznam & změna hesla správy oblasti.
Guest (Host). Tento typ vám povolí používat “automatický režim hosta”, přihlásit se do něj a odhlásit se. Pokud je přihlášen typ uživatele “Host”, není k dispozici režim pauzy.
Pokud editujete nastavení uživatele, všimněte si následujícího:
= Jestliže je typ uživatele Host nebo FM, můžete pouze změnit jeho heslo a stav (aktivní/neaktivní). Členství ve skupině není pro tento typ povoleno.
= Personal Encryption Key (Osobní kódovací klíč) je zobrazen šedě pro všechny uživatele. Jakmile byl jednou specifikován, nemůže být změněn.
= Force change ID on First Logon (Požaduj změnu hesla při prvním přihlášení) je zobrazen šedě, jestliže je již uživatel přihlášen do Stoplocku.
Zrušení uživatele
Použijte roletové menu User ID (Indentifikace uživatele). Zde vyberete jméno uživatele, kterého chcete vyřadit. Klepněte na tlačítko Delete User, záznam o uživateli bude vymazán.
Predefined Defaults – Předdefinované hodnoty
V této složce můžete uschovat konfiguraci systému a nastavení parametrů uživatelů pro pozdější použití při přípravě dalších počítačů vašeho systému. Budou vytvořeny dva soubory, }-sb a }-ub, které budou obsahovat všechny informace o konfiguraci systému a uživatelích. Klíč MEK (Master Encryption Key - Hlavní kódovací klíč) zde bude uschován také. Proto již při další instalaci nebude požadován.
Zapamatujte si, že informace o konfiguraci kódování, které se zadávaly ve složce Encryption (Kódování) v těchto souborech nejsou uloženy kromě informací o Sdílené skupině a klíči (pokud byl zadán).
= Predefined Defaults folder (Složka předdefinovaných hodnot)
Zapište cestu a jméno souboru, kde si přejete zapamatov předdefinované hodnoty. Můžete také použít tlačítko Browse (Prohledávat) tak, jak je znáte z Exploreru Windows 95.
Po stisknutí tlačítka Save defaults se objeví následující dialogové okno:
= Password (Heslo)
Vložte heslo – do délky 8 znaků. Rozlišují se malá a velká písmena. Toto heslo bude použito ke kódování informací uložených ve vytvořených souborech.
= Retype password (Zapiž heslo znovu)
Zopakujte heslo pro jeho ověření.
Heslo zde vložené bude požadováno při další instalaci, pokud ji budete provádět s použitím předdefinovaných hodnot.
Soubory s předdefinovanými hodnotami mohou být použity pouzr při instalaci. Jakmile při instalaci zvolíte Predefined Defaults, musíte pro řádné přihlášení znát ID (identifikaci) a heslo správce, které byly použity v okamžiku vytváření předdefinovaných hodnot.
Kapitola 4 – Program pro kódování souborů
Úvod
Program je v originále nazván The File Encryption & Utilities Program. Umožňuje kódování složek a souborů, řídí správu kontrolního protokolu a umožňuje vzdálenou změnu uživatelského hesla. Po odstartování programu se na obrazovce objeví následující hlavní okno (MainView)
Volby možností jsou přístupny buď přes roletová menu nebo přes ikony umístěné v panelů nástrojů. Pokud pohybujete kurzorem přes tyto ikony, stručný popis jejich významu se objeví ve spodní části okna.
V levé polovině hlavního okna se zobrazí ikona s počítačem (My PC). Ťuknete-li na symbol ‘+’ vedle ikony, zobrazí se podrobnější informace – hlavní vlastnosti programu pro kódování:
Po přesunutí kurzoru na některou ze zobrazených položek a ťuknutí na tlačítko myši se v pravé části okna zobrazí odpovídající hodnoty: Ťuknete-li na Audit Trail (Kontrolní protokol), zobrazí se informace kontrolního protokolu, po ťuknutí na Drives (Zařízení) se zobrazí podrobnější informace o zařízeních přístupných na vašem počítači (z vašeho počítače).
Úplné informace o těchto možnostech se dozvíte v této kapitole.
Následující část popisuje možnosti nabízené roletovými menu. Tak jako v jiných podobných aplikacích Windows 95, podtržené písmenko znamená, že můžete použít klávesovou zkratku – současné stisknutí klíče ALT a podtržené písmene, čímž přímo vyvoláte požadovanou volbu.
Nabídka Resources (Prostředky)
Toto menu nabízí tytéž možnosti jako první tři ikony (zleva) na panelu nástrojů: Audit Trail (Kontrolní protokol), File Manager (Správce souborů), a Sripts (Popisné soubory) a navíc obsahuje volbu Exit pro ukončení programu.
Audit Trail/ Audit View
Potvrzením této volby vyvoláte podnabídku Kontrolního protokolu – viz kapitolu 7 – ‘Kontrolní protokol a Oblast správy změny hesla’.
Tato nabídka je zobrazena nevýrazně – není přístupná, jestliže není v pravé části okna vybrán žádný kontrolní protokol.
File Manager
Potvrzením této volby vyvoláte správce souborů Stoplocku – viz kapitola 5 – ‘Konfigurace zařízení, složek a souborů’.
Scripts
Volba Scripts odstartuje funkci manažeru popisných souborů Stoplocku. Popisné soubory vám umožní definovat pravidla pro kódování, která mohou být aplokována na soubory a složky vašeho počítače – viz kapitola 6 – ‘Nastavení a použití souborů skriptů’.
Nabídka Utilities (Pomocné funkce)
= Field Administration Password Change (Změna hesla správy oblastí)
Zde je prostředek umožňující vzdálenou změnu užavetelského hesla, pokud je zapomenuto - viz kapitolu 7 – ‘Kontrolní protokol a Oblast správy změny hesla’
Nabídka Options (Možnosti)
= Set Bitmap (Nastav bitmapu)
Po zvolení této nabídky se rozvine standardní vyhledávací dialog Windows 95, v němž můžete naleznout bitovou mapu – obrázek v souboru *.bmp, který se pak bude zobrazovat na levé straně oken se vstupními dialogy.
= Use Default Bitmap (Použij předdefinovanou bitmapu)
Tato volba umožní zobrazovat na levé straně oken se vstupními dialogy standardní obrázek Stoplocku.
Nabídka View (Vzhled)
= Toolbars (Panely nástrojů) – umožní skrýt a znovu zobrazit různé panely nástrojů zobrazovaných v různých oknech systému. Jako předdefinované jsou zahrnuty všechny nástroje kromě rámčku Styles (Styly).
= Status Bar (Stavový rámeček) – umožní skrýt a znovu zobrazit stavový rámeček na spodku okna.Tento rámeček zobrazuje zprávy systému a také zobrazuje, zda je klávesnice přepnuta do režimu velkých písmen, numerické plošky a je-li povoleno rolování (Scroll Lock).
Nabídka Windows (Okna)
Toto je standardní nabídka pro úpravu oken Stoplocku a pro výběr okna, které má být právě nahoře.
Nabídka Help (Pomoc)
Toto je standardní nabídka pro pro vyvolání pomocného on-line textu. Zde se také zobrazuje informace o verzi a vlastnictví produktu Stoplock.
Dialogová okna
Dialogová okna jsou standardní tak, jak je znáte ze systému Windows 95. Stisknutím tlačítka OK potvrdíte a uložíte změny, stisknutí tlačítka Cancel způsobí ingnorování zapsaných změn a tlačítko Help vyvolá pomocnou kontextovou informaci.
Volba položek v seznamech
Položku v seznamu vyberete tak, že na ni jednou klepnete myší. Potřebujete-li vybrat více položek současně, držte klíč Shift – pro označení souvislé oblasti položek, nebo klepejte na jednotlivé položky a přitom držte stisknutý klíč Ctrl.
Dvojité ťuknutí na objekt
Ťuknete-li dvakrát na
= My PC (Můj počítač) – rozbalí se seznam (totéž, jako když ťuknete na symbol ‘+‘);
= Číslo kontrolního záznamu na pravé straně okna otevře kontrolní záznam;
= Jméno zařízení na pravé straně okna vyvolá manažer souborů Stoplocku.
