home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
OS/2 Shareware BBS: Security
/
Security.zip
/
secfile.zip
/
SLFAP.INF
(
.txt
)
< prev
next >
Wrap
OS/2 Help File
|
1996-07-29
|
68KB
|
1,735 lines
ΓòÉΓòÉΓòÉ 1. SLFAP Smart-Lock file access protection (English) ΓòÉΓòÉΓòÉ
Double-Click to select
1. SLFAP Concept
2. Access Definition
3. Access Rule Syntax
4. Installation
5. Activation
6. Administration
7. Operation
8. Emergency
9. Tuning
10. Security Exposures
11. Limitations
12. Support
13. Upgrades
ΓòÉΓòÉΓòÉ 1.1. 1. SLFAP Concept ΓòÉΓòÉΓòÉ
1. SLFAP Concept
This Smart-Lock FAP (file access protection) tool allows to control file
accesses for OS/2 systems.
The protection can be enforced by administrator action or automatically
starting at boot-up. While at installation no protection is enforced to allow
easier customization, automatic protection should be the standard use mode.
Smart-Lock FAP is a scaled down version of full function Smart-Lock which
implements comprehensive OS/2 security combined with single sign-on and boot
protection.
Smart-Lock FAP is based on IBM's SES for OS/2. SES is a prerequisite for
SLFAP.
ΓòÉΓòÉΓòÉ 1.2. 2. Access Rights Evaluation ΓòÉΓòÉΓòÉ
2. File Access Rights Definition
With SLFAP each individual file access is intercepted and is checked against
the set of file access rules defined by the administrator/owner using the
ADMINFAP administration notebook. Access is granted according to the first
rule that matches. 4 different access modes can be assigned :
N .. no access whatsoever
R .. read only (incl. execute)
W .. read and write (incl. create)
D .. delete, including all other modes
Only those accesses are permitted that are within the allowed access mode. The
order of rules is important, as the first rules that matches is applied (even
though another rule further down might give higher or lower access
privilege!). It is therefor recommended to place the specific rules first and
the more general rules later in the rule set.
If no other rule matches, the default access mode is used to determine access
rights.
ΓòÉΓòÉΓòÉ 1.3. 3. File Access Rules Syntax ΓòÉΓòÉΓòÉ
3. File Access Rules Syntax
A file access rule consists of
o a file designator
o a file access mode
A file designator is a fully qualified name OR a file name with "wild card"
characters * or ?. The following guidelines should be observed :
o ? represents one character
o * stands for any number of characters, even 0 characters
o wild cards can also be used for drive letters or parts of the path
o rules automatically apply to all files in subdirectories below the specified
path
o diskette drives and mapped network drives are treated just the same
o every file designator must contain at least one \
o the part before the last \ is interpreted as path
o the part behind the last \ is interpreted as file name
Examples Initial Rules Built-In Rules
ΓòÉΓòÉΓòÉ 1.3.1. 3.1 File Access Rules Examples ΓòÉΓòÉΓòÉ
3.1 File Access Rules Examples
Valid file access rules are :
R C:\CONFIG.SYS sets CONFIG.SYS on C: drive read-only
R *\CONFIG.SYS sets any CONFIG.SYS on all drives read-only
N D:\*.DOC sets all files with extension DOC not accessible
D D:\GAMES\* gives total access to all files in the D:\GAMES folder and all
subdirectories
N A:\* no access to diskette drive
R *\*.exe sets all EXEs on the system read-only, i.e. they can be executed,
but not edited or deleted
N *\*account* sets all files with the string "account" in its name to not
accessible
ΓòÉΓòÉΓòÉ 1.3.2. 3.2 Initial File Access Rules ΓòÉΓòÉΓòÉ
3.2 Initial File Access Rules
When no file access rules are present on a system and the ADMINFAP tool is
started, it generates a default set of rules for this PC. This set consists of
the following rules :
W *:\*.INI
W x:\aaaaaa\* aaaaaa = name of desktop directory
R C:\CONFIG.SYS
N A:*\*
R *:\*.EXE
R *:\*.DLL
The default access mode is set to R. The administrator\owner can now edit,
delete and add rules to meet his own security needs.
These default rules can be restored at any time by erasing the x:\OS2\SL2.FAP
file. Access Control must be deactivated to be able to do this.
ΓòÉΓòÉΓòÉ 1.3.3. 3.3 Built-In File Access Rules ΓòÉΓòÉΓòÉ
3.3 Built-In File Access Rules
In order to ensure proper operation of the OS/ 2 operating system, some
accesses need to always be allowed. These accesses are exempted from any
restriction in the basic SLFAP set-up.
Furthermore, to ensure proper enforcement of security, the SLFAP components
are protected from access by a normal user automatically. Access to the
ADMINFAP.EXE should be protected by password.
The corresponding built-in rules are listed here for your information :
D *\*.FON
W *\OS2*.INI
N *\SLISS32.SYS
N *\BOOTFAP.EXE
N *\SL2.FAP
R *\CONFIG.SYS
These rules cannot be overwritten, but together with any other rules they are
disabled, when the "Deactivate" button is pressed in the ADMINFAP notebook.
ΓòÉΓòÉΓòÉ 1.4. 4. Installation ΓòÉΓòÉΓòÉ
4. Installation
Smart-Lock FAP consists of the following files :
o SLISS32.SYS - Smart-Lock ISS device driver interfacing with SES
o SL2.FAP - profile containing the file access rules (encrypted, proprietary
format)
o ADMINFAP.EXE - notebook to administer and configure the system.
o ADMINFAP.HLP - Help to be used with ADMINFAP.EXE
o INSTFAP.EXE - installs SLFAP from diskette or a network drive
o BOOTFAP.EXE - initiates the file protection activation at boot-up
o SLNETFAP.EXE - network client process (only needed for FAP Net)
o SLFAP.INF - on-line documentation
The program INSTFAP.EXE
1. copies all files from the current directory (from which INSTFAP.EXE is
executed) into the x:\OS2 directory (x is boot drive)
2. copies the original CONFIG.SYS to CONFIG.SLF
3. adds the "BASEDEV=SLISS32.SYS" statement to CONFIG.SYS
4. adds the "RUN=x:\OS2\BOOTFAP.EXE" statement to CONFIG.SYS
5. creates an Icon on the desktop for the administration notebook
In case the current directory is already the x:\OS2 directory, only the icon
is created.
Double Click on Client Installation for info about installing SLFAP
Clients.
Double Click De-Installation for info about de-installing SLFAP.
ΓòÉΓòÉΓòÉ 1.4.1. 4.1 SLFAP Client Installation in a LAN ΓòÉΓòÉΓòÉ
4.1 Client Installation
In order to be able to distribute rule sets from a managing PC to other PCs
over a LAN you need the proper serial number/key code. on the managing PC.
To install SLFAP on a Client machine use the same diskette as for the base
installation. The syntax is :
INSTFAP /D:nnnnnnnn
The process is similar to the stand-alone installation except that
o nnnnnnnn is a user defined domain name, e.g. FAPNET1
o the ADMINFAP icon is not created
o SLNETFAP.EXE is installed, the process which talks to the SLFAP manager PC
and receives and activates updated SL2.FAP files.
o in addition to the line RUN=...BOOTFAP the CONFIG.SYS contains another line
like RUN=x:\OS2\SLNETFAP.EXE 60 2 nnnnnnnn where nnnnnnnn is the name of the
corresponding SLFAP NET domain.
nnnnnnnn can be edited manually when required.
ΓòÉΓòÉΓòÉ 1.4.2. 4.2 SLFAP De-Installation ΓòÉΓòÉΓòÉ
4.2 SLFAP De-Installation
In order to remove Smart-Lock file protect from the PC do the following.
o open the ADMINFAP tool
o press the Deactivate button
o close the ADMINFAP tool
o run DINSTFAP.EXE
This removes all the SLFAP files, deletes the ADMINFAP object on the WPS and
reverses the changes to CONFIG.SYS.
Remarks : The file DINSTFAP.EXE must be removed manually, as it cannot delete
itself.
ΓòÉΓòÉΓòÉ 1.5. 5. Activation ΓòÉΓòÉΓòÉ
5. Activation
By default, no restrictions apply after installation. There are two ways to
activate the file access protection :
1. Temporary protection by pressing the "Activate" button in the
administration notebook. Temporary protection remains in place until the
"Deactivate" button is pressed, or until shutdown. After the next reboot
no restrictions apply.
2. Permanent protection by checking the 'activate at boot-up' check mark on
the second page of the ADMINFAP administrator notebook.
Permanent protection can be temporarily suspended by pressing the
"Deactivate" button of the Administration notebook. It can be permanently
turned off by un-checking the 'activate at boot-up' check mark in the
administrator notebook. This later measure only takes effect at next
boot-up.
Remarks : While protection is on, it is not possible to access/remove the
SLFAP component files.
ΓòÉΓòÉΓòÉ 1.6. 6. Administration and Configuration ΓòÉΓòÉΓòÉ
6. Administration and Configuration
The ADMINFAP notebook is used to configure SLFAP. Access Rules are specified,
default access mode is set and various actions can be performed.
The ADMINFAP notebook is represented by an icon on the desktop after SLFAP
installation. Alternatively it can be started by typing "ADMINFAP" on an OS/2
command line.
The profile (file access rule + configuration parameters) is stored in the
profile file x:\OS2\SL2.FAP. This file is normally protected and cannot be
edited/removed except through the administration notebook or when Smart-Lock
is deactivated.
Access to the administration notebook can (and should!) be protected by a
password. Initially no password is set. The password can be specified on the
second page of the administration notebook.
Remarks : For details about the use of ADMINFAP use the Help buttons on the
respective notebook pages.
ΓòÉΓòÉΓòÉ 1.7. 7. Operation ΓòÉΓòÉΓòÉ
7. Operation
Every PC has a person in charge of configuring and running a PC who is in the
following called "owner". The PC owner could be the network administrator for
an office network, the professional/ programmer using "his" PC within an
enterprise or just dad, trying to insure that the kids don't mess up his PC
while running their programs.
After installation of SLFAP the owner should open the Administration notebook
and
o Define the file access rules according to which the PC will be protected.
o Set a default access mode that applies to all file accesses not covered by
any of the rules.
o Protect the SLFAP Administration notebook by creating a open-up password.
o Check 'Activate at Boot-up' after he has verified, that the rules defined do
not adversely affect OS/2 operation itself.
Whenever thereafter somebody boots the PC, the file access restrictions apply.
The owner himself, however, can use the SLFAP Administration notebook
(presenting the right password!) to deactivate the protection and work with
the PC totally unrestricted. As soon as he has finished, he can reactivate the
protection by selecting 'Activate' from the SLFAP Administration notebook or
shutting down the PC. At next boot-up standard protection will apply.
Remarks : The ADMINFAP notebook has a colored status bar accross the bottom.
When the bar is green no restrictions apply. When the bar is red the file
access restrictions are activated.
ΓòÉΓòÉΓòÉ 1.8. 8. Emergency Situations ΓòÉΓòÉΓòÉ
8. Emergency Situations
Improper situations with security systems can potentially put the PC user in a
difficult situation. PLEASE READ BELOW INFORMATION CAREFULLY TO AVOID
POTENTIAL PROBLEMS.
1. By default, Smart-Lock is not activated after installation.
2. If SES is not installed (in particular the OS2KRNL is not SES-enabled) the
boot process will stop quite early with an error message. In this case
boot from diskettes and remove the line BASEDEV=SLISS32.SYS from
CONFIG.SYS.
3. If SES and Smart-Lock are installed and the "owner" by mishap or design
applies access rules that stop OS/2 from working he will have to reboot
the system. As long as he did not click "Activate at Boot-Up" he will be
able to continue working after reboot without any restrictions
4. The owner is advised to use "Activate at Boot-Up" only after he has been
working with his current rule set for some time without system errors. If
nevertheless he activates at boot-up a rule set that stops OS/2 from
properly working, the system may not be able to completely reboot. As in
such a case the system does not even start properly, the "owner" has no
chance to remedy through the use of the ADMINFAP notebook. The fall back
for such a situation is to reboot from diskettes and erase or rename the
security profile x:\OS2\SL2.FAP, after which the system will boot up
normally. (See section Tuning for further tips).
(This is of course also a security exposure. See chapter Security
exposures as to how to close this exposure.)
5. If the owner forgets his password, he will not be able to start the
administration notebook any more. As the SL2.FAP file can only be updated
through the administration notebook, the password can only be reset by
removing the SL2.FAP. As in turn this file is always protected (when
activate at boot-up is on), it is necessary to reboot from diskette in
order to remove it.
So in the worst problem case with SLFAP you can easily restore a working,
unprotected system by booting from diskettes.
ΓòÉΓòÉΓòÉ 1.9. 9. Tuning the Rules ΓòÉΓòÉΓòÉ
9. Tuning the rules
Depending on the applications you are using, some of them may run into an
irregular situation, as they cannot access files they need for their
operation, when security is turned on. Some tuning of the rules is required to
give these applications the access rights they require to properly function,
but still maintain an overall high level of security.
To enable you to identify, which program has what kind of access problem,
Smart-Lock writes a log file x:\OS2\SLFAP.LOG, where all failed attempts to
manipulate a file are recorded.
The information in this file enables you to add the required rules and/or
trusted applications to the rule set.
Remarks : Protection has to be deactivated in order to access the log file.
ΓòÉΓòÉΓòÉ 1.10. 10. Security Exposures ΓòÉΓòÉΓòÉ
10. Security Exposures
As long as
1. the PC is booted from the hard disk with OS/2 (in case of multiple OS/2
partitions all partitions need to be SLFAP-protected !)
2. all SLFAP components are in place and properly kicked-off in CONFIG.SYS
3. the 'activate at boot-up' is turned on and
4. the Administration notebook password is set
the PC is properly protected according to the active rule set. It is also
protected against unauthorized removal or deactivation of SLFAP.
The following known security exposures remain :
o When an 'intruder' succeeds to boot from diskette (DOS or OS/2), SES is not
active and there is therefore no file protection. The Smart-Lock boot
protection option (available separately) can be used to cover this exposure.
Alternatively the boot sequence may be changed in the ABIOS setup of the PC
and reversal of such change be protected by ABIOS password. With this
setting booting from diskette is not possible. Consult the documentation of
your PC or contact your PC supplier for the availability (and limitations)
of such a feature for your particular PC type.
o When an 'intruder' is able to boot from a different partition that is not
SES/SLFAP protected, he may be able to access all partitions on this machine
without restrictions. The Smart-Lock partition encryption option (available
separately) can be used to cover this exposure.
Alternatively you are advised to cover any further partitions on your
machine by SES and SLFAP as well. Be aware that rules may require slight
adaptations for changed drive letters.
o Further general exposures may exist due to potential network access to your
PC or for physical considerations (e.g. removal of hard disk from PC) that
need to be addressed individually.
o Needless to say that the password to access the SLFAP Administration
notebook must be kept secret.
ΓòÉΓòÉΓòÉ 1.11. 11. Limitations ΓòÉΓòÉΓòÉ
11. Limitations
SLFAP requires IBM SES. SES is standard only from Merlin on. If you want to
install SLFAP on OS/2 2.11 (FAP Net Client only) or OS/2 WARP you need to
obtain the required CSDs/FixPacs from IBM. There is no additional licence
charge for SES or prerequisite Fixes from IBM provided you have a proper
license for OS/2 itself.
SLFAP does not provide any useful function if the target machine does not
already have SES!!
Depending on the Version of SLFAP you acquired some or all of the following
limitations may apply :
o The number of rules that can be defined is limited. If you need more rules
than your current version permits, you can order an upgrade.
o The option to define trusted applications may not be present. If you would
like to use this feature, you can order an upgrade.
o The automatic distribution of rule sets to other PCs over the network may be
limited or completely disabled. If you would like to use or extend this
feature, you can order an upgrade.
Upgrades are normally just new serialnumbers/key codes, which can be
distributed by e-mail. So they can be available very quickly. To order an
upgrade see chapter 13.
ΓòÉΓòÉΓòÉ 1.12. 12. Support ΓòÉΓòÉΓòÉ
12. Support
For further information or help please contact
SLSUP@IBM.NET
In case you have a particular problem, please fill in the attached problem
report form and include your CONFIG.SYS the SLAP.LOG and your SL2.FAP file.
If you cannot send the information electronically, you can screen print the
SL2.FAP file and the other information and fax it to
+49/8142/598111
or mail it to
Corporate Info Management GmbH
D-82194 GRЩBENZELL, Germany
Limited startup support is provided free of charge. For further support and
any on-site support standard rates apply.
Double-Click Here for the problem report form.
ΓòÉΓòÉΓòÉ 1.12.1. Problem Report Form ΓòÉΓòÉΓòÉ
Please click on the Print button at the bottom of this screen, fill in the
form by hand and fax it. Or Edit the file x:\OS2\PROBLEM.FAP to obtain an
electronic copy and e-mail it.
Name _______________________________________________
Street _______________________________________________
City __________________ State _____ ZIP ________________
Country _______________________________________________
Telephone ________________________ Fax ________________________
CompuServe ____________________ e-mail __________________________
OS/2 Type/Version ____________________ OS/2 language ____________
PC Manufacturer _______________________ Model ______________________
Memory _________ MB Display Driver Version _________________
Smart-Lock Version ___________________________ Serial No ____________
SES installed Y/N OS2KRNL date/time _________________________
Problem description : _________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
Please include CONFIG.SYS SLFAP.LOG and SL2.FAP files with your problem
report.
The completed form should be
Γûá faxed to +49 8142 598 111 or +49 8142 54843
Γûá e-mailed to SLSUP@IBM.NET
Γûá "compuserved" to 100345,2514
Γûá mailed to : Corporate Info Management GmbH, D-82194 GROBENZELL, Germany
Thanks for your interest in our Smart-Lock product family.
ΓòÉΓòÉΓòÉ 1.13. 13. Upgrades ΓòÉΓòÉΓòÉ
13. Functional Upgrades
SLFAP by default only allows to use certain features. In order to extend these
features, you need to provide ADMINFAP with a corresponding serial number/key
code.
All functions documented are already contained in ADMINFAP, but only those are
activated that correspond to the key code you have obtained.
The following table illustrates the available versions and the functions
contained :
Version # of rules trusted app's Net stations
SLFAP Entry 7 No 0
SLFAP any Yes 0
SLFAP Net Entry any Yes 1+1
SLFAP Net any Yes any
Double-Click Here for an Order Form.
ΓòÉΓòÉΓòÉ 1.13.1. Smart-Lock Order Form ΓòÉΓòÉΓòÉ
Click on the Print button at the bottom of this screen, fill in the form and
fax it. Or Edit the file ORDER.FAP to obtain an electronic copy and e-mail it.
Name _______________________________________________
Street _______________________________________________
City __________________ State _____ ZIP _________________
Country _______________________________________________
Telephone ________________________ Fax ________________________
CompuServe ____________________ e-mail __________________________
Credit Card VISA/MC Nr ___________________________ Exp ________
Qty ordering price amount
_____ Smart-Lock FAP Entry $ 30 ___________
_____ Smart-Lock FAP (full version) $ 75 ___________
_____ Smart-Lock FAP Net Entry $ 105 ___________
_____ Smart-Lock FAP Net (20 Clients) $ 595 ___________
_____ Smart-Lock lite Multi-user $ 250 ___________
_____ Smart-Lock lite Client/Server (5 Clients) $ 585 ___________
Handling & shipping (US and Europe only) $ 11 ___________
Total (does not include applicable taxes) ___________
For FAP versions all you will get is a key, so there is no handling &
shipping. For lite versions you will get a package. Hence include handling &
shipping when computing the total charge. The 11$ only apply to North America
and Europe. Else please ask. The completed form should be
Γûá faxed to +49 8142 598 111 or +49 8142 54843
Γûá e-mailed to CIMNET@IBM.NET
Γûá "compuserved" to 100345,2514
Γûá mailed to : Corporate Info Management GmbH, D-82194 GROBENZELL, Germany
Γûá handed to your local OS/2 supplier.
Thanks for your interest in our Smart-Lock product family.
ΓòÉΓòÉΓòÉ 1.14. Smart-Lock FAP Rules Definition ΓòÉΓòÉΓòÉ
Purpose : This panel defines the file access rules according to which each
file access attempt is checked and access is allowed or denied. Every rule
must follow the Smart-Lock Rule Syntax. At the bottom part of the page are the
push buttons controlling activation and distribution of the rule set.
To Create a new Rule type the file qualifier into the entry field and select
the desired Access Mode for the rule. Then select the position where you want
the new rule inserted into the current rule set by clicking on the rule before
which you want the new rule inserted. Then click the Insert button.
To Delete an existing rule select the rule by clicking on it and push the
Remove button.
To Modify an existing rule click on it to select it and push the Remove
Button. Then do the necessary changes (e.g. select a different access mode)
and push the Insert button to put it back into the existing rule set.
To Change the position of a rule click on the rule and push the Remove button.
Then select the position where you want the new rule inserted into the current
rule set by clicking on the rule before which you want the new rule inserted.
Then click the Insert button.
To Completly Deactivate SLFAP protection push the Deactivate button.
Protection can be reactivated by pushing the Activate button.
To Immediately apply any modified rules as they currently stand, push the
Activate button.
To Distribute the current rule set to all active Clients (Net version only!)
push the Distribute button. This pushbutton is disabled when
1. the licence used does not allow networking ( to enable it get a Functional
Upgrade)
2. the number of Clients registered exceeds the number of Clients licensed
(to increase : get an Upgrade)
3. NetBIOS is not available on this PC.
To Save you current profile (file access rule set and configuration) push the
Save button.
To Close the admin notebook without saving push the Cancel button
The colored status bar at the bottom indicates the protection status : GREEN
means unrestricted access, RED means potection is activated
Remarks : To Reset the rule set to the initial default rules you have to
erase or rename the SL2.FAP profile file. When ADMINFAP is then restarted, it
will recreate an initial set of rules.
ΓòÉΓòÉΓòÉ 1.15. Smart-Lock FAP Configuration ΓòÉΓòÉΓòÉ
Purpose : This panel lets you set a password and select startup of protection
at boot-up. Furthermore it is used to upgrade potentially limited
functionality .
To protect the SLFAP Admin notebook check the first box and enter a password.
The password has up to 11 characters/digits and is not case sensitive.
To activate the protection at startup check the box. If the box is not
checked, no files are protected until the Activate button on the first page of
this ADMINFAP notebook is pressed.
The Serial Number field displays the current Smart-Lock FAP serialnumber/key
code you are using. If no number is displayed, you are using a limited
function version of SLFAP or a demo version.
To Upgrade your current version or register a shareware version get a new
serial number (= key code) and press the Register/Upgrade button.
Remarks : Don't forget to save any changes by pushing the Save button on the
first notebook page.
ΓòÉΓòÉΓòÉ 1.16. Smart-Lock FAP Upgrade Information ΓòÉΓòÉΓòÉ
Purpose : To increase the function of your SLFAP version
The functionality of Smart-Lock file protect is controlled by its serial
number (also called key code). To increase the functionality all you need is a
new corresponding key code. If you like you can obtain this code by e-mail.
For details see Chapter 13.
Once you have the key code push the Register/Upgrade button, enter the new
serial number, save the profile and close the admin notebook. When you reopen
the ADMINFAP notebook, the additional functionality is activated.
Remarks : Please keep a record of your new Serial number/key code.
The number is stored in the SL2.FAP profile file. If you erase this file you
will have to reenter the key code the next time you use ADMINFAP.
ΓòÉΓòÉΓòÉ 1.17. Smart-Lock FAP New Serial number ΓòÉΓòÉΓòÉ
Purpose : To enter a new serial number/key code
Type the new serial number (=key code) into the entry field. The serial number
has 16 positions, is alphanumeric and starts with the 3 letters "SLF". Invalid
serialnumbers/ key codes are rejected.
Remarks : Please keep a record of your new Serial number/key code.
The number is stored in the SL2.FAP profile file. If you erase this file you
will have to reenter the key code the next time you use ADMINFAP.
ΓòÉΓòÉΓòÉ 1.18. Smart-Lock FAP Trusted Applications ΓòÉΓòÉΓòÉ
Purpose : This panel defines trusted applications, i.e. applications that
have unlimited access to all partitions/files.
It is only displayed when an enabled serial number/ key code is used.
Enter Application names either fully qualified, i.e. with
drive:\path\filename.extension for each application you want to exempt from
file access restrictions or using flexible "wild card" characters just the way
they apply to the file designator in rules
Use a new line for every application.
Remarks : Be aware, that when this application gives file access capabilities
to the user (e.g. file open panel), the user will also benefit from the
trusted status when accessing files through this application.
You are therefor advised to be restrictive when assigning trusted status to
applications so that you do not undermine file access control.
ΓòÉΓòÉΓòÉ 1.19. SLFAPNet Domain Information ΓòÉΓòÉΓòÉ
Purpose : This panel defines the network parameters.
It is only displayed when a network enabled serial number is used.
Enter a Domain Name to address only a group of SLFAP Clients on a LAN. The
distribution of rules will only affect those SLFAP Clients that have the same
Domain ID. See SLFAP Client Installation for details.
The other fields are for your information and can not be changed on this panel
Remarks : The SLFAP Client does not have to be on-line when the distribution
is done. It will receive the new profile at the time it is next booted up.
ΓòÉΓòÉΓòÉ 2. SLFAP Smart-Lock Datei-Zugriffs-Schutz (Deutsch) ΓòÉΓòÉΓòÉ
Zur Auswahl Doppel-Klicken
1. SLFAP Konzept
2. Zugriffsdefinition
3. Syntax der Dateizugriffsregeln
4. Installation
5. Aktivierung
6. Administration
7. Betrieb
8. Ausnahmesituationen
9. Anpassung der Regeln
10. Sicherheitsrisiken
11. EinschrДnkungen
12. Support
13. UpgrademФglichkeiten
ΓòÉΓòÉΓòÉ 2.1. 1. SLFAP Konzept ΓòÉΓòÉΓòÉ
1. SLFAP Konzept
Dieses Programm Smart-Lock FAP (file access protection) ermФglicht die
Kontrolle Бber Dateizugriffe auf OS/2 Systeme
Die Kontrolle kann durch den Administrator ein- und ausgeschaltet werden, oder
bereits automatisch beim Booten aktiviert werden. Nach Installation ist
zunДchst kein Schutz aktiviert, der automatische Schutz sollte aber der
normale Betriebsmodus sein.
Smart-Lock FAP beinhaltet eine TeilfunktionalitДt der vollen Smart-Lock
Version, die umfassende OS/2 Sicherheit kombiniert mit Single sign-on und
Boot-Schutz implementiert.
Smart-Lock FAP basiert auf IBM's SES fБr OS/2. SES ist eine Voraussetzung fБr
SLFAP.
ΓòÉΓòÉΓòÉ 2.2. 2. Definition der Zugriffsrechte ΓòÉΓòÉΓòÉ
2. Definition der Dateizugriffsrechte
SLFAP БberprБft jeden Dateizugriff ob er nach dem derzeit aktiven
Dateizugriffsregeln erlaubt ist. Diese Regeln werden durch den Administrator
bzw. Besitzer des PCs mit Hilfe des ADMINFAP Administrationswerkzeuges
festgelegt. Der Zugriff wird je nach Bestimmung der ersten zutreffenden Regel
erlaubt oder unterbunden. 4 verschiedene Zugriffsmodi kФnnen zugeordnet werden
:
N .. kein Zugriff
R .. nur Lesen (inkl. AusfБhren)
W .. Schreiben/Lesen (inkl. Erzeugen)
D .. LФschen (inkl. alle anderen)
Es werden nur solche Zugriffsversuche erlaubt, die im Bereich der zugelassenen
Zugriffsmodi liegen. Die Reihenfolge der Regeln ist wesentlich, da die erste
Regel, die paсt, zur Anwendung kommt, auch wenn eine spДtere Regel
mФglicherweise eine hФhere bzw. niedrigere Zugriffsberechtigung festlegen
wБrde. Es wird daher empfohlen, die spezifischen Regeln am Anfang und die
allgemeineren Regeln eher am Ende des Regelsatzes anzuordnen.
Wenn keine Regel aus dem Regelsatz zutrifft, so wird der Standardzugriffsmodus
verwendet, um die erlaubten Zugriffsmodi zu ermitteln.
═══ 2.3. 3. Syntax der Regeln Бber die Zugriffsrechte ═══
3. Syntax der Regeln fБr die Zugriffsrechte
Eine Dateizugriffsregel besteht aus
o einem Dateideskriptor
o einem Zugriffsmodus
Ein Dateideskriptor ist ein voll qualifizierter Dateiname ODER ein Dateiname
mit den "wild card"-Zeichen * oder ?. Die folgenden Richtlinien sind dabei zu
beachten :
o ? steht fБr genau ein Zeichen
o * steht fБr beliebig viele Zeichen, auch 0 Zeichen
o wild card Zeichen kФnnen auch fБr Laufwerksbuchstaben und beliebige Teile
des Pfades eingesetzt werden
o eine Regel gilt automatisch fБr alle Dateien in Unterverzeichnissen eines
spezifizierten Pfades
o Diskettenlaufwerke und Netzwerklaufwerke werden gleich behandelt
o jeder Dateideskriptor muс mindestens einen \ beinhalten
o der Teil vor dem letzten \ wird als Pfad interpretiert
o der Teil hinter dem letzten \ wird als Dateiname interpretiert
Beispiele anfДngliche Regeln eingebaute Regeln
═══ 2.3.1. 3.1 Beispiele fБr Dateizugriffsregeln ═══
3.1 Beispiele fБr Dateizugriffsregeln
GБltige Dateizugriffsregeln sind :
R C:\CONFIG.SYS setzt CONFIG.SYS auf dem C: Laufwerk read-only
R *\CONFIG.SYS setzt alle Dateien CONFIG.SYS auf allen Laufwerken read-only
N D:\*.DOC setzt alle Dateien mit Erweiterung DOC nicht zugreifbar
D D:\GAMES\* gibt unbeschrДnkten Zugriff auf D:\GAMES samt
Unterverzeichnissen frei
N A:\* kein Diskettenzugriff
R *\*.exe setzt alle EXEs im System read-only, d.h. sie kФnnen ausgefБhrt
aber nicht geДndert werden
N *\*Kunden* setzt alle Dateien mit der Zeichenkette "kunden" im Dateinamen
auf nicht zugreifbar
═══ 2.3.2. 3.2 AnfДngliche Dateizugriffsregeln ═══
3.2 AnfДngliche Dateizugriffsregeln
Wenn auf dem System noch keine Dateizugriffsregeln festgelegt wurden und
ADMINFAP gestartet wird, erzeugt es einen Standardregelsatz fБr diesen PC.
Dieser Standard-Regelsatz beinhaltet folgende Regeln :
W *:\*.INI
W *:\aaaaaa\* aaaaaa = Name des Desktop Verzeichnisses
R *:c\CONFIG.SYS
N A:*\*
R *:\*.EXE
R *:\*.DLL
Der Standardzugriffsmodus wird anfДnglich auf R gesetzt.
Der Administrator\Besitzer kann dann Regeln lФschen und neue hinzufБgen, je
nach den spezifischen Sicherheitserfordernissen.
Diese Standardregeln kФnnen jederzeit wiederhergestellt werden indem die Datei
x:\OS2\SL2.FAP gelФscht wird. Die ZugriffsbeschrДnkung muс zu diesem Zweck
deaktiviert sein.
ΓòÉΓòÉΓòÉ 2.3.3. 3.3 Eingebaute Dateizugriffsregeln ΓòÉΓòÉΓòÉ
3.3 Eingebaute Dateizugriffsregeln
Um die ordnungsgemДсe Funktion des OS/ 2 Betriebssystems sicherzustellen,
mБssen einige Zugriffe immer erlaubt sein. Diese Zugriffe sind immer von
Restriktionen durch die SLFAP Regeln ausgenommen.
Eine weitere Ausnahme stellen die essentiellen Komponenten von SLFAP dar, die
immer vor dem Zugriff durch einen gewФhnlichen Benutzer geschБtzt sind.
Zugriff auf das Administratorwerkzeug ADMINFAP.EXE sollte immer durch ein
Passwort geschБtzt sein.
Die entsprechenden eingebauten Regeln sind hier zu Ihrer Information
aufgefБhrt:
D *\*.FON
W *\OS2*.INI
N *\SLISS32.SYS
N *\BOOTFAP.EXE
N *\SL2.FAP
R *\CONFIG.SYS
Diese Regeln kФnnen nicht Бberschrieben werden, aber sie werden - zusammen
mit den anderen Regeln - deaktiviert, wenn der "Deaktivieren" Knopf im
ADMINFAP Programm gedrБckt wird.
ΓòÉΓòÉΓòÉ 2.4. 4. Installation ΓòÉΓòÉΓòÉ
4. Installation
Smart-Lock FAP besteht aus folgenden Dateien :
o SLISS32.SYS - Smart-Lock ISS Devicetreiber als Interface zu SES
o SL2.FAP - Profil, das die Dateizugriffsregeln enthДlt (verschlБsselt)
o ADMINFAP.EXE - Notizbuch zur Administration und Konfiguration des Systems.
o ADMINFAP.HLP - Hilfedatei fБr ADMINFAP.EXE
o INSTFAP.EXE - installiert SLFAP von Diskette oder Netzwerklaufwerk
o BOOTFAP.EXE - aktiviert den Zugriffsschutz wДhrend des Boot-Prozesses
o SLNETFAP.EXE - Netzwerk Client Prozeс (nur fБr FAP Net erforderlich)
o SLFAP.INF - online Dokumentation
Das Programm INSTFAP.EXE
1. kopiert alle Dateien aus dem aktuellen Verzeichnis (aus dem INSTFAP.EXE
aufgerufen wird) in das x:\OS2 Verzeichnis (wobei x das Boot-Laufwerk ist)
2. sichert die aktuelle CONFIG.SYS als CONFIG.SLF
3. fБgt die Zeile "BASEDEV=SLISS32.SYS" in der CONFIG.SYS ein
4. fБgt die Zeile "RUN=x:\OS2\BOOTFAP.EXE" in der CONFIG.SYS an
5. erstellt das Symbol fБr das Administrations-Notizbuch auf der
ArbeitsoberflДche.
Wenn das aktuelle Verzeichnis bereits das x:\OS2 Verzeichnis ist wird nur das
Symbol auf der ArbeitsoberflДche erstellt.
Doppel-klicken Sie Client Installation fБr Info zum Installieren von SLFAP
Clients.
Doppel-klicken Sie De-Installation fБr Info zum De-Installieren von SLFAP.
ΓòÉΓòÉΓòÉ 2.4.1. 4.1 SLFAP Client Installation in einem LAN ΓòÉΓòÉΓòÉ
4.1 Client Installation
Um RegelsДtze von einem steuernden PC auf andere gesicherte PCs Бber das LAN
zu verteilen wird ein entsprechender Key Code benФtigt.
Zur SLFAP Installation auf einer Client Maschine wird dieselbe Diskette
verwendet. Die Syntax ist :
INSTFAP /D:nnnnnnnn
Die Installation entspricht der Einzelplatzinstallation mit folgenden
Ausnahmen :
o nnnnnnnn ist ein frei wДhlbarer DomДnename, z.B. FAPNET1
o das ADMINFAP Symbol auf der OberflДche wird nicht erstellt.
o SLNETFAP.EXE wird installiert. SLNETFAP kommuniziert mit dem SLFAP Manager
PC und empfДngt und aktiviert neue SL2.FAP Konfigurationsdateien.
o zusДtzlich zur Zeile RUN=...BOOTFAP wird in der CONFIG.SYS die Zeile
RUN=x:\OS2\SLNETFAP.EXE 60 2 nnnnnnnn eingetragen.
nnnnnnnn kann nachtrДglich per Hand editiert werden, wenn der DomДnename
geДndert werden soll.
ΓòÉΓòÉΓòÉ 2.4.2. 4.2 SLFAP De-Installation ΓòÉΓòÉΓòÉ
4.2 SLFAP De-Installation
Um Smart-Lock file protect vom PC zu entfernen ist wie folgt vorzugehen :
o ADMINFAP Фffnen
o den Deaktivieren Knopf drБcken
o ADMINFAP schlieсen
o DINSTFAP.EXE laufen lassen.
Dadurch werden die SLFAP Dateien entfernt, das ADMINFAP Symbol auf der
ArbeitsoberflДche entfernt und die EintrДge in der CONFIG.SYS rБckgДngig
gemacht.
Anmerkungen : Die Datei DINSTFAP.EXE muс per Hand entfernt werden, da sie
sich nicht selbst lФschen kann.
ΓòÉΓòÉΓòÉ 2.5. 5. Aktivierung ΓòÉΓòÉΓòÉ
5. Aktivierung
StandardmДсig sind nach erfolgter Installation noch keine
ZugriffsbeschrДnkungen aktiv. Es gibt zwei MФglichkeiten, den
Dateizugriffsschutz zu aktivieren :
1. VorБbergehender Schutz durch drБcken des Knopfes "Aktivieren" im Notizbuch
fБr die Administration. Der vorБbergehende Schutz bleibt aktive bis der
Knopf "Aktivieren" wieder gedrБckt wird (neue Regeln werden aktiviert),
oder der Knopf "Deaktivieren" gedrБckt wird, oder bis zum Systemabschluс.
Nach dem nДchsten Boot-Vorgang sind keine ZugriffsbeschrДnkungen aktiv.
2. Dauernder Schutz durch Klicken des KДstchens 'ZugriffsbeschrДnkungen beim
Booten aktivieren' auf der zweiten Seite der Administrations-Notitzbuches.
Dauernder Schutz kann vorБbergehend aufgehoben werden indem der Knopf
"Deaktivieren" im Administrations-Notizbuch gedrБckt wird. Оnderungen im
KДstchen 'ZugriffsbeschrДnkungen beim Booten aktivieren' werden erst nach
dem nДchsten Boot-Vorgang wirksam.
Anmerkungen : WДhrend die ZugriffsbeschrДnkungen aktiviert sind kФnnen die
wesentliche SLFAP Komponenten nicht entfernt oder verДndert werden.
ΓòÉΓòÉΓòÉ 2.6. 6. Administration und Konfiguration ΓòÉΓòÉΓòÉ
6. Administration und Konfiguration
Das ADMINFAP Notizbuch dient der SLFAP Konfiguration. Dateizugriffsregeln
werden erstellt, der Standardzugriffsmodus wird eingestellt und eine Reihe von
Maсnahmen kФnnen gesetzt werden.
Das ADMINFAP Notizbuch wird auf der ArbeitsoberflДche durch ein Symbol
dargestellt, sobald SLFAP installiert ist. ADMINFAP wird durch Doppel-Klick
auf dieses Symbol gestartet. Genauso kann es durch Eingabe von "ADMINFAP" auf
einer OS/2 Befehlszeile gestartet werden.
Das Profil (Dateizugriffsregeln + Konfigurationsparameter) wird in der
Profildatei SL2.FAP abgelegt. Diese Datei ist verschlБsselt und normalerweise
geschБtzt. Sie kann nur durch das Administrations-Notizbuch verДndert werden.
Der Zugang zum Administrations-Notizbuch kann (und sollte) durch ein Kennwort
geschБtzt werden. AnfДnglich ist kein Kennwort eingestellt. Das Kennwort wird
auf der zweiten Seite des Administrations-Notizbuches festgelegt.
Anmerkungen : FБr nДhere Details zur Verwendung von ADMINFAP benutzen sie den
Hilfe Knopf auf der jeweiligen Notizbuchseite.
ΓòÉΓòÉΓòÉ 2.7. 7. Betrieb ΓòÉΓòÉΓòÉ
7. Betrieb
Die Person, die fБr die Konfiguration und den Betrieb eines PC verantwortlich
ist wird im folgenden als "Besitzer" bezeichnet. Der Besitzer kann der
Netzwerkadministrator fБr ein BБronetzwerk, der Mitarbeiter oder
Programmierer, der den PC in einem Unternehmen nutzt oder auch Papa sein, der
sicher sein mФchte, daс die Kinder nichts kaputt machen wДhrend sie seinen PC
benutzen..
Nach der SLFAP Installation sollte der Besitzer das Administrations-Notizbuch
Фffnen und
o Die Dateizugriffsregeln festlegen, nach denen der PC geschБtzt werden soll,
o Den Standardzugriffsmodus festlegen, der fБr alle Dateizugriffe gilt fБr die
es keine Regel gibt,
o Das SLFAP Administrations-Notizbuch durch ein Kennwort vor unbefugtem Щffnen
schБtzen.
o Das KДstchen 'ZugriffsbeschrДnkungen beim Booten aktivieren' klicken,
nachdem er sich vergewissert hat, daс die festgelegten Regeln den OS/2
Betrieb selbst nicht behindern.
Wenn danach jemand den PC startet, sind die eingestellten
DateizugriffsbeschrДnkungen wirksam. Der Besitzer selbst hingegen kann das
SLFAP Administrations-Notizbuch verwenden (nach Eingabe des richtigen
Kennwortes!) um die BeschrДnkungen zu deaktivieren und mit dem PC vФllig
uneingeschrДnkt zu arbeiten. Sobald er fertig ist kann er die BeschrДnkungen
durch DrБcken des Knopfes 'Aktivieren' im SLFAP Administrations-Notizbuch
sofort wieder aktivieren. Auch ohne diese Maсnahme ist der PC bei nДchsten
Booten wieder geschБtzt.
Anmerkungen : Das ADMINFAP Notizbuch hat am unteren Rand einen farbigen
Statusbalken. Wenn der Balken grБn ist, gibt es keine ZugriffsbeschrДnkungen.
Wenn der Balken rot ist sind die eingestellten BeschrДnkungen aktiviert.
ΓòÉΓòÉΓòÉ 2.8. 8. Ausnahmesituationen ΓòÉΓòÉΓòÉ
8. Ausnahmesituationen
Ausnahmesituationen kФnnen bei Sicherheitssystemen den PC Benutzer in eine
schwierige Lage versetzen. BITTE LESEN SIE DIESE INFORMATION AUFMERKSAM, UM
SPОTERE PROBLEME ZU VERMEIDEN.
1. StandardmДсig ist SLFAP nach Installation nicht aktiviert.
2. Wenn SES nicht installiert ist (insbesondere der OS2KRNL nicht SES fДhig
ist) bricht der Boot-Vorgang sehr schnell mit einem Fehler ab. In diesem
Fall von Diskette Booten und die Zeile BASEDEV=SLISS32.SYS aus der
CONFIG.SYS entfernen.
3. Wenn der Besitzer irrtБmlich eine Zugriffsregel aktiviert, die OS/2
beeintrДchtigt, braucht nur neu gebootet zu werden. Solange
'ZugriffsbeschrДnkungen beim Booten aktivieren' nicht aktiviert ist gibt
es nach dem Booten keine BeschrДnkungen.
4. Es wird empfohlen, das KДstchen 'ZugriffsbeschrДnkungen beim Booten
aktivieren' erst zu klicken, nachdem der PC mit den aktuellen Regeln
einige Zeit ohne Fehler funktioniert hat. Wenn trotzdem
'ZugriffsbeschrДnkungen beim Booten aktivieren' zu einem Fehler wДhrend
der Bootens fБhren, so kann es sein, daс der PC nicht mehr hochkommt. In
einem solchen Fall naturgemДс nicht mehr mФglich ist das ADMINFAP
Notizbuch zu starten um die Einstellung 'ZugriffsbeschrДnkungen beim
Booten aktivieren' auszuklicken. Auch hier ist von Diskette zu booten um
dann das SLFAP Profil x:\OS2\SL2.FAP zu lФschen oder umzubenennen. Danach
kann wieder normal gebootet werden und der Regelsatz entsprechend angepaсt
werden. (Siehe auch Abschnitt Tuning). (Das ist natБrlich auch eine
SicherheitslБcke. Siehe Abschnitt Sicherheitsrisiken wie diese LБcke
geschlossen werden kann.)
5. Wenn der Besitzer sein Kennwort vergiсt, kann er das
Administrations-Notizbuch nicht mehr Фffnen. Da die SL2.FAP Profildatei,
die das Kennwort enthДlt, nur Бber das Administrations-Notizbuch geДndert
werden kann, kann das Kennwort nur neu eingegeben werden, nachdem die
Datei SL2.FAP entfernt wurde. Da andererseits diese Datei stets geschБtzt
ist, (sofern 'ZugriffsbeschrДnkungen beim Booten aktivieren' geklickt
ist), muс von Diskette gebootet werden, um SL2.FAP zu entfernen.
Im schlimmsten Fall kann daher immer durch Booten von Diskette der normale
(uneingeschrДnkte) Betrieb des PC wiederhergestellt werden.
ΓòÉΓòÉΓòÉ 2.9. 9. Anpassung der Regeln (Tuning) ΓòÉΓòÉΓòÉ
9. Anpassung der Regeln (Tuning)
Je nach den Anwendungen die verwendet werden, kann es vorkommen
Zugriffsverletzungen auftreten, wenn der Dateizugriffsschutz aktiviert ist. Um
solchen Anwendungen die fБr die ordnungsgemДсe Funktion notwendigen Zugriffe
zu erlauben, insgesamt den Zugriffsschutz aber nicht zu durchlФchern ist eine
Anpassung der Regeln erforderlich.
Um diesen Vorgang zu vereinfachen, schreibt Smart-Lock die Log-Datei
x:\OS2\SLFAP.LOG, in der alle Dateizugriffsverletzungen angefБhrt sind. Die
Information in dieser Datei erlaubt es, gezielt die erforderlichen Regeln
hinzuzufБgen oder auch einzelne Anwendungen als Privilegierte Anwendungen
(ADMINFAP Seite 3) zu klassifizieren.
Anmerkungen : Der Dateizugriffsschutz muс deaktiviert werden um die Log-Datei
zu Фffnen.
ΓòÉΓòÉΓòÉ 2.10. 10. Sicherheitsrisiken ΓòÉΓòÉΓòÉ
10. Sicherheitsrisiken
Solange
1. der PC von der Platte mit OS/2 gebootet wird (bei mehreren OS/2
Partitionen mБssen alle Partitionen mit SLFAP geschБtzt werden!)
2. alle SLFAP Komponenten vorhanden sind und aus der CONFIG.SYS gestartet
werden,
3. die Funktion 'ZugriffsbeschrДnkungen beim Booten aktivieren' ausgewДhlt
ist und
4. ein geheimes Kennwort fБr das Administrations-Notizbuch verwendet wird
ist der PC gemДс den festgelegten Regeln ordnungsgemДс geschБtzt. Er ist damit
auch gegen unerlaubtes Entfernen oder Deaktivieren von SLFAP geschБtzt.
Die folgenden SicherheitslБcken bleiben :
o Wenn von Diskette gebootet wird (DOS oder OS/2) ist SES nicht aktiv und es
gibt daher auch keine DateizugriffsbeschrДnkungen. Die Smart-Lock boot
protection Option (separat erhДltlich) kann benutzt werden um diese LБcke zu
schlieсen.
Andererseits kann die Bootsequenz im ABIOS Setup des PCs geДndert werde und
eine Umkehrung dieser Оnderung per ABIOS Passwort geschБtzt werden. In
dieser Einstellung kann nicht mehr von Diskette gebootet werden. Diese
Einstellung ist Hardware spezifisch und muс fБr Ihren PC nach Angaben des
Herstellers durchgefБhrt werden. Schlagen Sie im PC Handbuch nach oder
fragen Sie Ihren PC Lieferanten nach VerfБgbarkeit und MФglichkeiten dieser
Einrichtung auf Ihrem spezifischen PC.
o Wenn von einer anderen Partition auf diesem PC gebootet wird, die nicht
SES/SLFAP geschБtzt ist, kФnnen alle Partitionen auf dieser Maschine ohne
DateizugriffsbeschrДnkungen manipuliert werden. Die Smart-Lock
PartitionsverschlБsselungs Option (separat erhДltlich) kann verwendet werden
um diese LБcke zu schlieсen.
Andererseits kФnnen auch die anderen Partitionen des PCs mittels SES und
SLFAP geschБtzt werden. Dabei ist zu beachten, daс die Regeln eine Anpassung
an die geДnderten Laufwerksbuchstaben erfordern kФnnen.
o Wenn Ihr PC an ein LAN angeschlossen ist, dann entstehen hieraus
mФglicherweise Sicherheitsrisiken wДhrend die Zugriffsregeln deaktiviert
sind. Ein weiteres Risiko fБr die gespeicherten Daten stellt der mФgliche
Ausbau der Festplatte aus Ihrem Rechner dar. Diese Risiken mБssen von Fall
zu Fall anhand der konkreten Situation abgeschДtzt werden.
o SelbstverstДndlich muс das Kennwort fБr das SLFAP Administrations-Notizbuch
vertraulich behandelt werden.
═══ 2.11. 11. EinschrДnkungen ═══
11. EinschrДnkungen
SLFAP setzt IBM SES (Security Enableing Services fБr OS/2) voraus. SES ist
standardmДсig im Betriebssystem erst ab Merlin enthalten. Wenn SLFAP auf OS/2
2.11 (nur Netzclient) oder OS/2 WARP eingesetzt werden soll, werden die
erforderlichen CSDs/FixPacks vom IBM benФtigt. FБr SES ist keine weitere
LizenzgebБhr zu entrichten, sofern eine gБltige OS/2 oder WARP Lizenz
vorhanden ist.
SLFAP bietet keinen Nutzen, wenn der PC nicht einen SES-fДhigen Kernel
installiert hat.!!
AbhДngig von der eingesetzten SLFAP Version kФnnen die folgenden
EinschrДnkungen gelten :
o Die Anzahl der Dateizugriffsregeln ist begrenzt. Wenn Sie mehr Regeln
benФtigen als die aktuelle Version erlaubt, muс ein Upgrade bestellt werden.
o Die Konfiguration privilegierter Anwendungen ist mФglicherweise nicht
vorhanden (ADMINFAP Seite 3). Wenn diese Funktion verwendet werden soll, muс
ein Upgrade bestellt werden.
o Die automatische Verteilung von Regeln an andere PCs Бber das LAN ist
mФglicherweise beschrДnkt oder nicht verfБgbar (ADMINFAP Seite 4). Wenn
diese Funktion verwendet werden soll, muс ein Upgrade bestellt werden.
Upgrades sind in der Regel lediglich neue Seriennummern bzw. Key Codes, die
auch per e-mail zugesandt werden kФnnen, sodaс das upgrade kurzfristig bei
Ihnen verfБgbar ist. FБr Upgrade-Bestellungen siehe Abschnitt 13.
ΓòÉΓòÉΓòÉ 2.12. 12. Support ΓòÉΓòÉΓòÉ
12. Support
Falls Sie weitere Informationen oder UnterstБtzung benФtigen kontaktieren Sie
SLSUP@IBM.NET
Wenn spezielle Probleme auftreten, benutzen Sie bitte das angefБgte Formular
Problemreport und fБgen Sie Ihre CONFIG.SYS und Ihre SL2.FAP Datei an.
Falls Sie die Information nicht elektronisch senden kФnnen, drucken Sie per
PrintScreen die Datei SL2.FAP sowie allfДllige Fehlermeldungen und die
CONFIG.SYS aus und faxen alles an
+49/8142/598111
oder senden es per Post an
Corporate Info Management GmbH
Waxensteinstraсe 2
D-82194 GRЩBENZELL, Deutschland
BeschrДnkter hot-line Support wird kostenlos gewДhrt. FБr weitere
UnterstБtzung gelten unsere StandardstundensДtze.
Doppel-klicken Sie Hier fБr ein Problemreport Formular.
ΓòÉΓòÉΓòÉ 2.12.1. Smart-Lock Problem Report ΓòÉΓòÉΓòÉ
Klicken Sie auf den Knopf Drucken am unteren Rand dieses Schirms, fБllen Sie
das Formular aus und senden Sie es uns. Oder editieren Sie die Datei
PROBLEM.FAP und senden uns diese elektronische Kopie per e-mail.
Name ____________________________________________________
Straсe ____________________________________________________
PLZ ____________ Stadt ______________________________
Staat ____________________________________________________
Telefon ________________________ Fax _________________________
CompuServe ____________________ e-mail ___________________________
OS/2 Type/Version ____________________ OS/2 Sprache _____________
PC Hersteller _________________________ Modell _____________________
HSP ___________ MB Bildschirmtreiber Version _____________________
Smart-Lock Version ___________________________ Serien Nr ____________
SES installiert J/N OS2KRNL Datum/Zeit ________________________
Problembeschreibung : _________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
Bitte die Dateien CONFIG.SYS, SLFAP.LOG und SL2.FAP anfБgen. Das ausgefБllte
Formular senden Sie uns bitte
Γûá per Fax an die +49 8142 598 111 oder +49 8142 54843
Γûá per e-mail an SLSUP@IBM.NET
■ Бber CompuServe an 100345,2514
■ per Post an : Corporate Info Management GmbH, D-82194 GRЩBENZELL
Herzlichen Dank fБr Ihr Interesse an der Smart-Lock Produktfamilie.
═══ 2.13. 13. UpgrademФglichkeiten ═══
13. Funktionale Upgrades
SLFAP erlaubt zunДchst nur die Verwendung bestimmter Funktionen. Um diese
FunktionalitДt auszudehnen, benФtigen Sie eine neue Seriennummer bzw. Key
Code.
Alle Funktionen, die hier beschrieben werden, sind bereits in ADMINFAP
enthalten, aber nur solche, die Ihrem aktuellen Key Code entsprechen, kФnnen
verwendet werden.
Die folgende Tabelle erlДutert die erhДltlichen Versionen und die zugehФrigen
Funktionen :
Version Anzahl Regeln Privilegierte Anw. Netz Stationen
SLFAP Entry 7 Nein 0
SLFAP unbeschr. Ja 0
SLFAP Net Entry unbeschr. Ja 1+1
SLFAP Net unbeschr. Ja unterschiedlich
Doppel-Klicken Sie Upgrade Bestellung um ein Bestellformular zu erhalten.
ΓòÉΓòÉΓòÉ 2.13.1. Smart-Lock Bestellformular ΓòÉΓòÉΓòÉ
Klicken Sie auf den Drucken Knopf am unteren Rand dieses Schirmes, fБllen Sie
das Formular aus und senden Sie es uns. Oder editieren Sie die Datei ORDER.FAP
und senden uns diese elektronische Kopie per e-mail.
Name ____________________________________________________
Straсe ____________________________________________________
PLZ ____________ Stadt ______________________________
Staat ____________________________________________________
Telefon ________________________ Fax ________________________
CompuServe ____________________ e-mail __________________________
Kreditkarte VISA/MC Nr ___________________________ gБltig _______
Menge Bezeichnung Preis Betrag
_____ Smart-Lock FAP Entry DM 46 ___________
_____ Smart-Lock FAP (Vollversion) DM 144 ___________
_____ Smart-Lock FAP Net Entry DM 195 ___________
_____ Smart-Lock FAP Net (20 Clients) DM 995 ___________
_____ Smart-Lock lite Multi-user DM 466 ___________
_____ Smart-Lock lite Client/Server (5 Clients) DM 966 ___________
Verpackung & Versand (nur lite Versionen) DM 19 ___________
Gesamtsumme (inkl. MWSt) ___________
Bei den FAP Versionen erhalten Sie lediglich einen Key Code, daher gibt es
dort keine Versandkosten. FБr lite Versionen erhalten Sie ein Paket. In diesem
Fall bitte die Versandkosten bei Ermittlung des Gesamtpreises mitrechnen. Das
ausgefБllte Formular senden Sie uns bitte
Γûá per Fax an die +49 8142 598 111 oder +49 8142 54843
Γûá per e-mail an CIMNET@IBM.NET
■ Бber CompuServe an 100345,2514
■ per Post an : Corporate Info Management GmbH, D-82194 GRЩBENZELL
■ Бber Ihren OS/2 Lieferanten.
Herzlichen Dank fБr Ihr Interesse an der Smart-Lock Produktfamilie.
ΓòÉΓòÉΓòÉ 2.14. Smart-Lock FAP Regeln erstellen ΓòÉΓòÉΓòÉ
Zweck : Dieser Seite definiert die Regeln nach denen jeder Dateizugriff
БberprБft wird und entsprechend erlaubt oder verweigert wird. Jede Regel muс
entsprechend der Smart-Lock Regel Syntax aufgebaut sein. Am unteren Ende der
Seite sind die DruckknФpfe, die die Aktivierung und Verteilung des Regelsatzes
Бberwachen.
Zum EinfБgen einer neue Regel wird der Dateideskriptor in des Eingabefeld
getippt, und der gewБnschte Zugriffsmodus ausgewДhlt. Dann wird die Position
ausgewДhlt an der die neu Regel in den bestehenden Regelsatz eingefБgt werden
soll indem die nachfolgende Regel einmal angeklickt wird. Durch DrБcken auf
den Knopf EinfБgen wird die neue Regel eingefБgt.
Zum LФschen einer bestehenden Regel wird die Regel durch Klicken ausgewДhlt
und dann durch DrБcken auf den Knopf Entfernen aus dem Regelsatz gelФscht.
Zum Оndern einer bestehenden Regel wird die Regel wie oben mittels Knopf
Entfernen entfernt. Nach durchfБhren der erforderlichen Оnderungen (z.B. Wahl
eines anderen Zugriffsmodus) wird die Regel durch DrБcken des Knopfes EinfБgen
wieder in den Regelsatz zurБckgeschrieben.
Zum Оndern der Position einer Regel wird die Regel wie oben entfernt. Dann
wird die neue Position ausgewДhlt im Regelsatz ausgewДhlt, indem auf die
Folgezeile geklickt wird und die ungeДnderte (oder auch zwischenzeitlich
geДnderte) Regel durch DrБcken des Knopfes EinfБgen an der neuen Stelle
eingefБgt wird.
Zum Aktivieren der SLFAP EinschrДnkungen bzw. zum Aktivieren von
zwischenzeitlichen RegelДnderungen wird der Knopf Aktivieren gedrБckt.
Zum Deaktivieren der SLFAP EinschrДnkungen wird der Knopf Deaktivieren
gedrБckt.
Zum Verteilen des aktuellen Regelsatzes an alle aktiven Clients (nur FAP Net
Version !) wird der Knopf Verteilen gedrБckt. Dieser Knopf ist nicht anwДhlbar
wenn
1. die aktuelle SLFAP Lizenz keine NetzfunktionalitДt beinhaltet (um diese zu
erhalten benФtigen Sie ein Funktionsupgrade)
2. die Anzahl der registrierten Clients die Anzahl der lizenzierten Clients
Бbersteigt (fБr weitere Clients besorgen Sie sich ein Upgrade)
3. NetBIOS auf diesem Rechner nicht zur VerfБgung steht.
Zum Sichern des aktuellen Profils (Dateizugriffsregeln & Konfiguration)
drБcken Sie den Knopf Speichern.
Zum Schlieсen des Administrations-Notizbucches ohne Speichern drБcken Sie den
Knopf Abbruch.
Der farbige Statusbalken unten zeigt den aktuellen Zustand an. GRЪN heiсt
keine ZgriffsbeschrДnkungen, ROT bedeutet daс die Regeln aktiviert sind.
Anmerkungen : Um die Regeln auf den anfДnglichen Stand zurБckzusetzen wird
die Profildatei SL2.FAP gelФscht oder umbenannt. Wenn ADMINFAP danach neu
gestartet wird, erzeugt es wieder einen anfДnglichen Regelsatz.
ΓòÉΓòÉΓòÉ 2.15. Smart-Lock FAP Konfiguration ΓòÉΓòÉΓòÉ
Zielsetzung : Diese Seite dient zur Definition eines Kennwortes und zur
Einstellung der Aktivierung ab Booten. Weiter wird sie zum upgrade eventuell
beschrДnkter FunktionalitДt von SLFAP durch einen neuen Key Code verwendet.
Zum SchБtzen des SLFAP Administrations-Notizbuches muс das erste KДstchen
geklickt und ein Kennwort eingegeben werden. Das Kennwort ist bis zu 11
Zeichen lang. Zwischen Klein- und Groсschreibung wird nicht unterschieden.
Um die 'ZugriffsbeschrДnkungen beim Booten zu aktivieren' ist das
entsprechende KДstchen zu klicken. ACHTUNG : Wenn diese Funktion nicht
eingeschaltet ist, sind keinerlei Dateien geschБtzt, solange nicht der Knopf
Aktivieren auf der ersten Seite das ADMINFAP Notizbuches gedrБckt wurde.
Das Feld Seriennummer zeigt die derzeitige Smart-Lock FAP Seriennummer bzw.
Key Code an. Wenn keine Nummer angezeigt wird, ist das eine Version mit
limitierter Funktion bzw. eine Demoversion.
Zum Upgrade der aktuellen Version oder um eine Demoversion zu registrieren
muс eine neue Seriennummer (=Key Code) bestellt werden. Dann den Knopf
Registrieren/Upgraden zur Registrierung drБcken.
Anmerkungen : Das Speichern von Оnderungen durch DrБcken des Knopfes
Speichern auf der ersten Seite des ADMINFAP Notizbuches nicht vergessen!
ΓòÉΓòÉΓòÉ 2.16. Smart-Lock FAP Upgrade Information ΓòÉΓòÉΓòÉ
Zielsetzung : ErhФhung der FunktionalitДt der aktuellen SLFAP Version
Die FunktionalitДt von Smart-Lock file protect wird durch die Seriennummer
(auch als Key Code bezeichnet) gesteuert. Um die FunktionalitДt zu erhФhen
genБgt ein neuer Key Code, der auch per e-mail angefordert werden kann.
Wenn der Key Code vorliegt den Knopf Registrieren/Upgrade drБcken und die neue
Seriennummer/Key Code eingeben, das Profil speichern und das ADMINFAP
Notizbuch schlieсen. Wenn ADMINFAP wieder geФffnet wird erscheint die
zusДtzliche FunktionalitДt.
Anmerkungen : Bewahren Sie die neue Seriennummer/ Key Code sicher auf. Der
Key Code wird in der Profildatei SL2.FAP gespeichert. Wenn diese Datei
gelФscht wird und spДter neu erstellt wird, muс der Key Code neu eingegeben
werden.
ΓòÉΓòÉΓòÉ 2.17. Smart-Lock FAP Neue Seriennummer/Key Code ΓòÉΓòÉΓòÉ
Zielsetzung : Eingabe einer neuen Seriennummer/ Key Code
Geben Sie die neue Seriennummer (=KeyCode) in das Eingabefeld ein. Die
Seriennummer hat 16 Positionen, ist alphanumerisch und beginnt mit den 3
Buchstaben SLF. UngБltige Seriennummern/ Key Codes werden zurБckgewiesen.
Anmerkungen : Bewahren Sie die neue Seriennummer/ Key Code sicher auf. Der
Key Code wird in der Profildatei SL2.FAP gespeichert. Wenn diese Datei
gelФscht wird und spДter neu erstellt wird, muс der Key Code neu eingegeben
werden.
ΓòÉΓòÉΓòÉ 2.18. Smart-Lock FAP Privilegierte Anwendungen ΓòÉΓòÉΓòÉ
Zielsetzung : Hier kФnnen privilegierte Anwendungen definiert werden, d.s.
Anwendungen, die uneingeschrДnkten Zugriff auf alle Partitionen/Dateien haben.
Diese Seite wird nur angezeigt, wenn ein entsprechender Key Code verwendet
wird.
Die Anwendungsnamen kФnnen entweder voll qualifiziert d.h.
Laufwerk:\Pfad\Dateiname.Erweiterung fБr jede Anwendung oder unter Verwendung
von Wild-Card Zeichen wie bei den Dateideskriptoren bei den Zugriffsregeln
angegeben werden.
FБr jede Anwendung ist eine Zeile zu verwenden.
Anmerkungen : ACHTUNG: Insofern eine Anwendung ihrerseits dem Benutzer
wahlfreien Zugriff auf Dateien erlaubt (z.B. Datei Фffnen Schirm), wird dieser
privilegierte Status auch auf den Benutzer ausgedehnt. Es ist hier also
restriktiv vorzugehen, damit der Dateizugriffsschutz nicht unterlaufen wird.
═══ 2.19. SLNetFAP DomДnen Information ═══
Zielsetzung : Diese Seite definiert die Netzwerkparameter.
Sie wird nur angezeigt, wenn ein entsprechender Key Code verwendet wird.
Der DomДnename kann verwendet werden um nur eine Gruppe von SLFAP Clients auf
dem LAN anzusprechen. Die Verteilung von DateizugriffsregelsДtzen betrifft
dann nur die SLFAP Clients mit demselben DomДnenamen. Eine Оnderungdes
DomДnennamens wird erst beim nДchsten Щffenen von ADMINFAP wirksam. Siehe auch
SLFAP Client Installation.
Die anderen Felder dienen nur zur Information und kФnnen nicht verДndert
werden.
Anmerkungen : Der SLFAP Client muс nicht verbunden sein wenn die Verteilung
stattfindet. Er erhДlt das neue Profil wenn er das nДchste Mal gebootet wird.
ΓòÉΓòÉΓòÉ <hidden> ΓòÉΓòÉΓòÉ
Smart-Lock lite is the full version of Smart-Lock. It can be used with or
without SES. Smart-Lock lite multi-user (=stand-alone) includes
o user specific, dynamic adjustment of
WPS configuration
Pop-up menu content
Available applications
Diskette usage
User data folder
File Access Rights (from version 3.0 SES based)
o Easy to use administrator tools for
user administration
desktop & system administration
file access rights administration
o Single logon to Host, LAN Server, Netware and other applications
o Multi country NLS support
o Multithreaded 32-bit code extensively using SOM- and WPS-methods
o User dependent definable workstation access times
o Fast user switching
o User initiated or timed out PC lock-up
o Guest User
o Simple, fast, fully CID enabled installation
Smart-Lock lite Client/Server integrates these functions into a LAN network.
ΓòÉΓòÉΓòÉ <hidden> ΓòÉΓòÉΓòÉ
Smart-Lock lite Client/Server is the networked version of Smart-Lock lite. In
addition to the stand-alone functions it provides for the individual PCs the
Client/Server version includes
o central management of
user profiles
system & desktop profiles
file access right profile (from version 3.0 SES based)
Diskette drive locking
o Instant effectivity of changes on all connected systems
o synchronization of password changes
o C API to user management
o Domain concept
o Server tools
o Optimized Net Communication for excellent network performance with minimized
impact on network load
o NetBIOS based
o Simple, fast CID process
o configurable password rules (version 3.0)
o Automatic fix & update distribution (version 3.0)
o Client also operates in disconnected mode (e.g. notebooks)
o Challenge/Response mechanism to reset passwords for travelling users
(version 3.0)
ΓòÉΓòÉΓòÉ <hidden> ΓòÉΓòÉΓòÉ
Smart-Lock lite (multi level) ist die umfassende Smart-Lock Version fБr alle
Ebenen des OS/2 Betriebssystems. Sie kann mit oder ohne SES betrieben werden.
Smart-Lock lite multi-user (=Einzelplatz) beinhaltet :
o Benutzerspezifische, dynamische Anpassung von
WPS Konfiguration
Pop-up menu Inhalt
VerfБgbare Anwendungen
Diskettenzugang
Benutzerordner
Dateizugriffsrechte (per SES ab Version 3.0)
o Einfach Administrationswerkzeuge fБr
Benutzerverwaltung
Desktop- & Systemverwaltung
Verwaltung der Dateizugriffsrechte (per SES ab Version 3.0)
o Single-Logon zu Host, LAN Server, Netware und anderen Anwendungen
o Mehrsprachig
o Multithreaded 32-bit Code unter Nutzung von SOM- und WPS-Methoden
o BenutzerabhДngige Arbeitszeiten
o Schneller Benutzerwechsel
o PC Sperre durch Benutzer oder Zeitablauf veranlaсt
o Gastbenutzer
o Einfache, schnelle und CID-fДhige Installation
Smart-Lock lite Client/Server integriert diese Funktionen in ein LAN Netzwerk.
ΓòÉΓòÉΓòÉ <hidden> ΓòÉΓòÉΓòÉ
Smart-Lock lite Client/Server ist die Netzwerkversion of Smart-Lock lite.
ZusДtzlich zu den Einzelplatzfunktionen beinhaltet die Client/Server Version
folgende Eigenschaften :
o zentrale Verwaltung von
Benutzerprofilen
System- & Desktopprofilen
Dateizugriffsprofilen (per SES ab Version 3.0)
Diskettenlaufwerkszugriff
o Sofortige Wirksamkeit der Оnderungen auf allen angeschlossenen Systemen
o Synchronisation von PasswortДnderungen
o C API fБr die Benutzerverwaltung per Programm
o DomДnenkonzept (Version 3.0)
o Serverwerkzeuge
o Optimierte Netzwerkkommunikation erzielt hervorragende Netzperformance mit
minimalem Einfluс auf die Netzwerkbelastung
o NetBIOS basiert
o Einfacher, schneller CID-Prozeс
o Konfigurierbare Passwortregeln (Version 3.0)
o Automatische Verteilung von Fixes & Updates (Version 3.0)
o Client lДuft auch ohne Netzverbindung (z.B. Notebooks)
o Challenge/Response-Mechanismus zum PasswortrБcksetzen fБr Benutzer "on the
road" (Version 3.0)