═══ 1. SLFAP Smart-Lock file access protection (English) ═══ Double-Click to select 1. SLFAP Concept 2. Access Definition 3. Access Rule Syntax 4. Installation 5. Activation 6. Administration 7. Operation 8. Emergency 9. Tuning 10. Security Exposures 11. Limitations 12. Support 13. Upgrades ═══ 1.1. 1. SLFAP Concept ═══ 1. SLFAP Concept This Smart-Lock FAP (file access protection) tool allows to control file accesses for OS/2 systems. The protection can be enforced by administrator action or automatically starting at boot-up. While at installation no protection is enforced to allow easier customization, automatic protection should be the standard use mode. Smart-Lock FAP is a scaled down version of full function Smart-Lock which implements comprehensive OS/2 security combined with single sign-on and boot protection. Smart-Lock FAP is based on IBM's SES for OS/2. SES is a prerequisite for SLFAP. ═══ 1.2. 2. Access Rights Evaluation ═══ 2. File Access Rights Definition With SLFAP each individual file access is intercepted and is checked against the set of file access rules defined by the administrator/owner using the ADMINFAP administration notebook. Access is granted according to the first rule that matches. 4 different access modes can be assigned : N .. no access whatsoever R .. read only (incl. execute) W .. read and write (incl. create) D .. delete, including all other modes Only those accesses are permitted that are within the allowed access mode. The order of rules is important, as the first rules that matches is applied (even though another rule further down might give higher or lower access privilege!). It is therefor recommended to place the specific rules first and the more general rules later in the rule set. If no other rule matches, the default access mode is used to determine access rights. ═══ 1.3. 3. File Access Rules Syntax ═══ 3. File Access Rules Syntax A file access rule consists of o a file designator o a file access mode A file designator is a fully qualified name OR a file name with "wild card" characters * or ?. The following guidelines should be observed : o ? represents one character o * stands for any number of characters, even 0 characters o wild cards can also be used for drive letters or parts of the path o rules automatically apply to all files in subdirectories below the specified path o diskette drives and mapped network drives are treated just the same o every file designator must contain at least one \ o the part before the last \ is interpreted as path o the part behind the last \ is interpreted as file name Examples Initial Rules Built-In Rules ═══ 1.3.1. 3.1 File Access Rules Examples ═══ 3.1 File Access Rules Examples Valid file access rules are : R C:\CONFIG.SYS sets CONFIG.SYS on C: drive read-only R *\CONFIG.SYS sets any CONFIG.SYS on all drives read-only N D:\*.DOC sets all files with extension DOC not accessible D D:\GAMES\* gives total access to all files in the D:\GAMES folder and all subdirectories N A:\* no access to diskette drive R *\*.exe sets all EXEs on the system read-only, i.e. they can be executed, but not edited or deleted N *\*account* sets all files with the string "account" in its name to not accessible ═══ 1.3.2. 3.2 Initial File Access Rules ═══ 3.2 Initial File Access Rules When no file access rules are present on a system and the ADMINFAP tool is started, it generates a default set of rules for this PC. This set consists of the following rules : W *:\*.INI W x:\aaaaaa\* aaaaaa = name of desktop directory R C:\CONFIG.SYS N A:*\* R *:\*.EXE R *:\*.DLL The default access mode is set to R. The administrator\owner can now edit, delete and add rules to meet his own security needs. These default rules can be restored at any time by erasing the x:\OS2\SL2.FAP file. Access Control must be deactivated to be able to do this. ═══ 1.3.3. 3.3 Built-In File Access Rules ═══ 3.3 Built-In File Access Rules In order to ensure proper operation of the OS/ 2 operating system, some accesses need to always be allowed. These accesses are exempted from any restriction in the basic SLFAP set-up. Furthermore, to ensure proper enforcement of security, the SLFAP components are protected from access by a normal user automatically. Access to the ADMINFAP.EXE should be protected by password. The corresponding built-in rules are listed here for your information : D *\*.FON W *\OS2*.INI N *\SLISS32.SYS N *\BOOTFAP.EXE N *\SL2.FAP R *\CONFIG.SYS These rules cannot be overwritten, but together with any other rules they are disabled, when the "Deactivate" button is pressed in the ADMINFAP notebook. ═══ 1.4. 4. Installation ═══ 4. Installation Smart-Lock FAP consists of the following files : o SLISS32.SYS - Smart-Lock ISS device driver interfacing with SES o SL2.FAP - profile containing the file access rules (encrypted, proprietary format) o ADMINFAP.EXE - notebook to administer and configure the system. o ADMINFAP.HLP - Help to be used with ADMINFAP.EXE o INSTFAP.EXE - installs SLFAP from diskette or a network drive o BOOTFAP.EXE - initiates the file protection activation at boot-up o SLNETFAP.EXE - network client process (only needed for FAP Net) o SLFAP.INF - on-line documentation The program INSTFAP.EXE 1. copies all files from the current directory (from which INSTFAP.EXE is executed) into the x:\OS2 directory (x is boot drive) 2. copies the original CONFIG.SYS to CONFIG.SLF 3. adds the "BASEDEV=SLISS32.SYS" statement to CONFIG.SYS 4. adds the "RUN=x:\OS2\BOOTFAP.EXE" statement to CONFIG.SYS 5. creates an Icon on the desktop for the administration notebook In case the current directory is already the x:\OS2 directory, only the icon is created. Double Click on Client Installation for info about installing SLFAP Clients. Double Click De-Installation for info about de-installing SLFAP. ═══ 1.4.1. 4.1 SLFAP Client Installation in a LAN ═══ 4.1 Client Installation In order to be able to distribute rule sets from a managing PC to other PCs over a LAN you need the proper serial number/key code. on the managing PC. To install SLFAP on a Client machine use the same diskette as for the base installation. The syntax is : INSTFAP /D:nnnnnnnn The process is similar to the stand-alone installation except that o nnnnnnnn is a user defined domain name, e.g. FAPNET1 o the ADMINFAP icon is not created o SLNETFAP.EXE is installed, the process which talks to the SLFAP manager PC and receives and activates updated SL2.FAP files. o in addition to the line RUN=...BOOTFAP the CONFIG.SYS contains another line like RUN=x:\OS2\SLNETFAP.EXE 60 2 nnnnnnnn where nnnnnnnn is the name of the corresponding SLFAP NET domain. nnnnnnnn can be edited manually when required. ═══ 1.4.2. 4.2 SLFAP De-Installation ═══ 4.2 SLFAP De-Installation In order to remove Smart-Lock file protect from the PC do the following. o open the ADMINFAP tool o press the Deactivate button o close the ADMINFAP tool o run DINSTFAP.EXE This removes all the SLFAP files, deletes the ADMINFAP object on the WPS and reverses the changes to CONFIG.SYS. Remarks : The file DINSTFAP.EXE must be removed manually, as it cannot delete itself. ═══ 1.5. 5. Activation ═══ 5. Activation By default, no restrictions apply after installation. There are two ways to activate the file access protection : 1. Temporary protection by pressing the "Activate" button in the administration notebook. Temporary protection remains in place until the "Deactivate" button is pressed, or until shutdown. After the next reboot no restrictions apply. 2. Permanent protection by checking the 'activate at boot-up' check mark on the second page of the ADMINFAP administrator notebook. Permanent protection can be temporarily suspended by pressing the "Deactivate" button of the Administration notebook. It can be permanently turned off by un-checking the 'activate at boot-up' check mark in the administrator notebook. This later measure only takes effect at next boot-up. Remarks : While protection is on, it is not possible to access/remove the SLFAP component files. ═══ 1.6. 6. Administration and Configuration ═══ 6. Administration and Configuration The ADMINFAP notebook is used to configure SLFAP. Access Rules are specified, default access mode is set and various actions can be performed. The ADMINFAP notebook is represented by an icon on the desktop after SLFAP installation. Alternatively it can be started by typing "ADMINFAP" on an OS/2 command line. The profile (file access rule + configuration parameters) is stored in the profile file x:\OS2\SL2.FAP. This file is normally protected and cannot be edited/removed except through the administration notebook or when Smart-Lock is deactivated. Access to the administration notebook can (and should!) be protected by a password. Initially no password is set. The password can be specified on the second page of the administration notebook. Remarks : For details about the use of ADMINFAP use the Help buttons on the respective notebook pages. ═══ 1.7. 7. Operation ═══ 7. Operation Every PC has a person in charge of configuring and running a PC who is in the following called "owner". The PC owner could be the network administrator for an office network, the professional/ programmer using "his" PC within an enterprise or just dad, trying to insure that the kids don't mess up his PC while running their programs. After installation of SLFAP the owner should open the Administration notebook and o Define the file access rules according to which the PC will be protected. o Set a default access mode that applies to all file accesses not covered by any of the rules. o Protect the SLFAP Administration notebook by creating a open-up password. o Check 'Activate at Boot-up' after he has verified, that the rules defined do not adversely affect OS/2 operation itself. Whenever thereafter somebody boots the PC, the file access restrictions apply. The owner himself, however, can use the SLFAP Administration notebook (presenting the right password!) to deactivate the protection and work with the PC totally unrestricted. As soon as he has finished, he can reactivate the protection by selecting 'Activate' from the SLFAP Administration notebook or shutting down the PC. At next boot-up standard protection will apply. Remarks : The ADMINFAP notebook has a colored status bar accross the bottom. When the bar is green no restrictions apply. When the bar is red the file access restrictions are activated. ═══ 1.8. 8. Emergency Situations ═══ 8. Emergency Situations Improper situations with security systems can potentially put the PC user in a difficult situation. PLEASE READ BELOW INFORMATION CAREFULLY TO AVOID POTENTIAL PROBLEMS. 1. By default, Smart-Lock is not activated after installation. 2. If SES is not installed (in particular the OS2KRNL is not SES-enabled) the boot process will stop quite early with an error message. In this case boot from diskettes and remove the line BASEDEV=SLISS32.SYS from CONFIG.SYS. 3. If SES and Smart-Lock are installed and the "owner" by mishap or design applies access rules that stop OS/2 from working he will have to reboot the system. As long as he did not click "Activate at Boot-Up" he will be able to continue working after reboot without any restrictions 4. The owner is advised to use "Activate at Boot-Up" only after he has been working with his current rule set for some time without system errors. If nevertheless he activates at boot-up a rule set that stops OS/2 from properly working, the system may not be able to completely reboot. As in such a case the system does not even start properly, the "owner" has no chance to remedy through the use of the ADMINFAP notebook. The fall back for such a situation is to reboot from diskettes and erase or rename the security profile x:\OS2\SL2.FAP, after which the system will boot up normally. (See section Tuning for further tips). (This is of course also a security exposure. See chapter Security exposures as to how to close this exposure.) 5. If the owner forgets his password, he will not be able to start the administration notebook any more. As the SL2.FAP file can only be updated through the administration notebook, the password can only be reset by removing the SL2.FAP. As in turn this file is always protected (when activate at boot-up is on), it is necessary to reboot from diskette in order to remove it. So in the worst problem case with SLFAP you can easily restore a working, unprotected system by booting from diskettes. ═══ 1.9. 9. Tuning the Rules ═══ 9. Tuning the rules Depending on the applications you are using, some of them may run into an irregular situation, as they cannot access files they need for their operation, when security is turned on. Some tuning of the rules is required to give these applications the access rights they require to properly function, but still maintain an overall high level of security. To enable you to identify, which program has what kind of access problem, Smart-Lock writes a log file x:\OS2\SLFAP.LOG, where all failed attempts to manipulate a file are recorded. The information in this file enables you to add the required rules and/or trusted applications to the rule set. Remarks : Protection has to be deactivated in order to access the log file. ═══ 1.10. 10. Security Exposures ═══ 10. Security Exposures As long as 1. the PC is booted from the hard disk with OS/2 (in case of multiple OS/2 partitions all partitions need to be SLFAP-protected !) 2. all SLFAP components are in place and properly kicked-off in CONFIG.SYS 3. the 'activate at boot-up' is turned on and 4. the Administration notebook password is set the PC is properly protected according to the active rule set. It is also protected against unauthorized removal or deactivation of SLFAP. The following known security exposures remain : o When an 'intruder' succeeds to boot from diskette (DOS or OS/2), SES is not active and there is therefore no file protection. The Smart-Lock boot protection option (available separately) can be used to cover this exposure. Alternatively the boot sequence may be changed in the ABIOS setup of the PC and reversal of such change be protected by ABIOS password. With this setting booting from diskette is not possible. Consult the documentation of your PC or contact your PC supplier for the availability (and limitations) of such a feature for your particular PC type. o When an 'intruder' is able to boot from a different partition that is not SES/SLFAP protected, he may be able to access all partitions on this machine without restrictions. The Smart-Lock partition encryption option (available separately) can be used to cover this exposure. Alternatively you are advised to cover any further partitions on your machine by SES and SLFAP as well. Be aware that rules may require slight adaptations for changed drive letters. o Further general exposures may exist due to potential network access to your PC or for physical considerations (e.g. removal of hard disk from PC) that need to be addressed individually. o Needless to say that the password to access the SLFAP Administration notebook must be kept secret. ═══ 1.11. 11. Limitations ═══ 11. Limitations SLFAP requires IBM SES. SES is standard only from Merlin on. If you want to install SLFAP on OS/2 2.11 (FAP Net Client only) or OS/2 WARP you need to obtain the required CSDs/FixPacs from IBM. There is no additional licence charge for SES or prerequisite Fixes from IBM provided you have a proper license for OS/2 itself. SLFAP does not provide any useful function if the target machine does not already have SES!! Depending on the Version of SLFAP you acquired some or all of the following limitations may apply : o The number of rules that can be defined is limited. If you need more rules than your current version permits, you can order an upgrade. o The option to define trusted applications may not be present. If you would like to use this feature, you can order an upgrade. o The automatic distribution of rule sets to other PCs over the network may be limited or completely disabled. If you would like to use or extend this feature, you can order an upgrade. Upgrades are normally just new serialnumbers/key codes, which can be distributed by e-mail. So they can be available very quickly. To order an upgrade see chapter 13. ═══ 1.12. 12. Support ═══ 12. Support For further information or help please contact SLSUP@IBM.NET In case you have a particular problem, please fill in the attached problem report form and include your CONFIG.SYS the SLAP.LOG and your SL2.FAP file. If you cannot send the information electronically, you can screen print the SL2.FAP file and the other information and fax it to +49/8142/598111 or mail it to Corporate Info Management GmbH D-82194 GRЩBENZELL, Germany Limited startup support is provided free of charge. For further support and any on-site support standard rates apply. Double-Click Here for the problem report form. ═══ 1.12.1. Problem Report Form ═══ Please click on the Print button at the bottom of this screen, fill in the form by hand and fax it. Or Edit the file x:\OS2\PROBLEM.FAP to obtain an electronic copy and e-mail it. Name _______________________________________________ Street _______________________________________________ City __________________ State _____ ZIP ________________ Country _______________________________________________ Telephone ________________________ Fax ________________________ CompuServe ____________________ e-mail __________________________ OS/2 Type/Version ____________________ OS/2 language ____________ PC Manufacturer _______________________ Model ______________________ Memory _________ MB Display Driver Version _________________ Smart-Lock Version ___________________________ Serial No ____________ SES installed Y/N OS2KRNL date/time _________________________ Problem description : _________________________________________________ _______________________________________________________________________ _______________________________________________________________________ _______________________________________________________________________ _______________________________________________________________________ _______________________________________________________________________ _______________________________________________________________________ Please include CONFIG.SYS SLFAP.LOG and SL2.FAP files with your problem report. The completed form should be ■ faxed to +49 8142 598 111 or +49 8142 54843 ■ e-mailed to SLSUP@IBM.NET ■ "compuserved" to 100345,2514 ■ mailed to : Corporate Info Management GmbH, D-82194 GROBENZELL, Germany Thanks for your interest in our Smart-Lock product family. ═══ 1.13. 13. Upgrades ═══ 13. Functional Upgrades SLFAP by default only allows to use certain features. In order to extend these features, you need to provide ADMINFAP with a corresponding serial number/key code. All functions documented are already contained in ADMINFAP, but only those are activated that correspond to the key code you have obtained. The following table illustrates the available versions and the functions contained : Version # of rules trusted app's Net stations SLFAP Entry 7 No 0 SLFAP any Yes 0 SLFAP Net Entry any Yes 1+1 SLFAP Net any Yes any Double-Click Here for an Order Form. ═══ 1.13.1. Smart-Lock Order Form ═══ Click on the Print button at the bottom of this screen, fill in the form and fax it. Or Edit the file ORDER.FAP to obtain an electronic copy and e-mail it. Name _______________________________________________ Street _______________________________________________ City __________________ State _____ ZIP _________________ Country _______________________________________________ Telephone ________________________ Fax ________________________ CompuServe ____________________ e-mail __________________________ Credit Card VISA/MC Nr ___________________________ Exp ________ Qty ordering price amount _____ Smart-Lock FAP Entry $ 30 ___________ _____ Smart-Lock FAP (full version) $ 75 ___________ _____ Smart-Lock FAP Net Entry $ 105 ___________ _____ Smart-Lock FAP Net (20 Clients) $ 595 ___________ _____ Smart-Lock lite Multi-user $ 250 ___________ _____ Smart-Lock lite Client/Server (5 Clients) $ 585 ___________ Handling & shipping (US and Europe only) $ 11 ___________ Total (does not include applicable taxes) ___________ For FAP versions all you will get is a key, so there is no handling & shipping. For lite versions you will get a package. Hence include handling & shipping when computing the total charge. The 11$ only apply to North America and Europe. Else please ask. The completed form should be ■ faxed to +49 8142 598 111 or +49 8142 54843 ■ e-mailed to CIMNET@IBM.NET ■ "compuserved" to 100345,2514 ■ mailed to : Corporate Info Management GmbH, D-82194 GROBENZELL, Germany ■ handed to your local OS/2 supplier. Thanks for your interest in our Smart-Lock product family. ═══ 1.14. Smart-Lock FAP Rules Definition ═══ Purpose : This panel defines the file access rules according to which each file access attempt is checked and access is allowed or denied. Every rule must follow the Smart-Lock Rule Syntax. At the bottom part of the page are the push buttons controlling activation and distribution of the rule set. To Create a new Rule type the file qualifier into the entry field and select the desired Access Mode for the rule. Then select the position where you want the new rule inserted into the current rule set by clicking on the rule before which you want the new rule inserted. Then click the Insert button. To Delete an existing rule select the rule by clicking on it and push the Remove button. To Modify an existing rule click on it to select it and push the Remove Button. Then do the necessary changes (e.g. select a different access mode) and push the Insert button to put it back into the existing rule set. To Change the position of a rule click on the rule and push the Remove button. Then select the position where you want the new rule inserted into the current rule set by clicking on the rule before which you want the new rule inserted. Then click the Insert button. To Completly Deactivate SLFAP protection push the Deactivate button. Protection can be reactivated by pushing the Activate button. To Immediately apply any modified rules as they currently stand, push the Activate button. To Distribute the current rule set to all active Clients (Net version only!) push the Distribute button. This pushbutton is disabled when 1. the licence used does not allow networking ( to enable it get a Functional Upgrade) 2. the number of Clients registered exceeds the number of Clients licensed (to increase : get an Upgrade) 3. NetBIOS is not available on this PC. To Save you current profile (file access rule set and configuration) push the Save button. To Close the admin notebook without saving push the Cancel button The colored status bar at the bottom indicates the protection status : GREEN means unrestricted access, RED means potection is activated Remarks : To Reset the rule set to the initial default rules you have to erase or rename the SL2.FAP profile file. When ADMINFAP is then restarted, it will recreate an initial set of rules. ═══ 1.15. Smart-Lock FAP Configuration ═══ Purpose : This panel lets you set a password and select startup of protection at boot-up. Furthermore it is used to upgrade potentially limited functionality . To protect the SLFAP Admin notebook check the first box and enter a password. The password has up to 11 characters/digits and is not case sensitive. To activate the protection at startup check the box. If the box is not checked, no files are protected until the Activate button on the first page of this ADMINFAP notebook is pressed. The Serial Number field displays the current Smart-Lock FAP serialnumber/key code you are using. If no number is displayed, you are using a limited function version of SLFAP or a demo version. To Upgrade your current version or register a shareware version get a new serial number (= key code) and press the Register/Upgrade button. Remarks : Don't forget to save any changes by pushing the Save button on the first notebook page. ═══ 1.16. Smart-Lock FAP Upgrade Information ═══ Purpose : To increase the function of your SLFAP version The functionality of Smart-Lock file protect is controlled by its serial number (also called key code). To increase the functionality all you need is a new corresponding key code. If you like you can obtain this code by e-mail. For details see Chapter 13. Once you have the key code push the Register/Upgrade button, enter the new serial number, save the profile and close the admin notebook. When you reopen the ADMINFAP notebook, the additional functionality is activated. Remarks : Please keep a record of your new Serial number/key code. The number is stored in the SL2.FAP profile file. If you erase this file you will have to reenter the key code the next time you use ADMINFAP. ═══ 1.17. Smart-Lock FAP New Serial number ═══ Purpose : To enter a new serial number/key code Type the new serial number (=key code) into the entry field. The serial number has 16 positions, is alphanumeric and starts with the 3 letters "SLF". Invalid serialnumbers/ key codes are rejected. Remarks : Please keep a record of your new Serial number/key code. The number is stored in the SL2.FAP profile file. If you erase this file you will have to reenter the key code the next time you use ADMINFAP. ═══ 1.18. Smart-Lock FAP Trusted Applications ═══ Purpose : This panel defines trusted applications, i.e. applications that have unlimited access to all partitions/files. It is only displayed when an enabled serial number/ key code is used. Enter Application names either fully qualified, i.e. with drive:\path\filename.extension for each application you want to exempt from file access restrictions or using flexible "wild card" characters just the way they apply to the file designator in rules Use a new line for every application. Remarks : Be aware, that when this application gives file access capabilities to the user (e.g. file open panel), the user will also benefit from the trusted status when accessing files through this application. You are therefor advised to be restrictive when assigning trusted status to applications so that you do not undermine file access control. ═══ 1.19. SLFAPNet Domain Information ═══ Purpose : This panel defines the network parameters. It is only displayed when a network enabled serial number is used. Enter a Domain Name to address only a group of SLFAP Clients on a LAN. The distribution of rules will only affect those SLFAP Clients that have the same Domain ID. See SLFAP Client Installation for details. The other fields are for your information and can not be changed on this panel Remarks : The SLFAP Client does not have to be on-line when the distribution is done. It will receive the new profile at the time it is next booted up. ═══ 2. SLFAP Smart-Lock Datei-Zugriffs-Schutz (Deutsch) ═══ Zur Auswahl Doppel-Klicken 1. SLFAP Konzept 2. Zugriffsdefinition 3. Syntax der Dateizugriffsregeln 4. Installation 5. Aktivierung 6. Administration 7. Betrieb 8. Ausnahmesituationen 9. Anpassung der Regeln 10. Sicherheitsrisiken 11. EinschrДnkungen 12. Support 13. UpgrademФglichkeiten ═══ 2.1. 1. SLFAP Konzept ═══ 1. SLFAP Konzept Dieses Programm Smart-Lock FAP (file access protection) ermФglicht die Kontrolle Бber Dateizugriffe auf OS/2 Systeme Die Kontrolle kann durch den Administrator ein- und ausgeschaltet werden, oder bereits automatisch beim Booten aktiviert werden. Nach Installation ist zunДchst kein Schutz aktiviert, der automatische Schutz sollte aber der normale Betriebsmodus sein. Smart-Lock FAP beinhaltet eine TeilfunktionalitДt der vollen Smart-Lock Version, die umfassende OS/2 Sicherheit kombiniert mit Single sign-on und Boot-Schutz implementiert. Smart-Lock FAP basiert auf IBM's SES fБr OS/2. SES ist eine Voraussetzung fБr SLFAP. ═══ 2.2. 2. Definition der Zugriffsrechte ═══ 2. Definition der Dateizugriffsrechte SLFAP БberprБft jeden Dateizugriff ob er nach dem derzeit aktiven Dateizugriffsregeln erlaubt ist. Diese Regeln werden durch den Administrator bzw. Besitzer des PCs mit Hilfe des ADMINFAP Administrationswerkzeuges festgelegt. Der Zugriff wird je nach Bestimmung der ersten zutreffenden Regel erlaubt oder unterbunden. 4 verschiedene Zugriffsmodi kФnnen zugeordnet werden : N .. kein Zugriff R .. nur Lesen (inkl. AusfБhren) W .. Schreiben/Lesen (inkl. Erzeugen) D .. LФschen (inkl. alle anderen) Es werden nur solche Zugriffsversuche erlaubt, die im Bereich der zugelassenen Zugriffsmodi liegen. Die Reihenfolge der Regeln ist wesentlich, da die erste Regel, die paсt, zur Anwendung kommt, auch wenn eine spДtere Regel mФglicherweise eine hФhere bzw. niedrigere Zugriffsberechtigung festlegen wБrde. Es wird daher empfohlen, die spezifischen Regeln am Anfang und die allgemeineren Regeln eher am Ende des Regelsatzes anzuordnen. Wenn keine Regel aus dem Regelsatz zutrifft, so wird der Standardzugriffsmodus verwendet, um die erlaubten Zugriffsmodi zu ermitteln. ═══ 2.3. 3. Syntax der Regeln Бber die Zugriffsrechte ═══ 3. Syntax der Regeln fБr die Zugriffsrechte Eine Dateizugriffsregel besteht aus o einem Dateideskriptor o einem Zugriffsmodus Ein Dateideskriptor ist ein voll qualifizierter Dateiname ODER ein Dateiname mit den "wild card"-Zeichen * oder ?. Die folgenden Richtlinien sind dabei zu beachten : o ? steht fБr genau ein Zeichen o * steht fБr beliebig viele Zeichen, auch 0 Zeichen o wild card Zeichen kФnnen auch fБr Laufwerksbuchstaben und beliebige Teile des Pfades eingesetzt werden o eine Regel gilt automatisch fБr alle Dateien in Unterverzeichnissen eines spezifizierten Pfades o Diskettenlaufwerke und Netzwerklaufwerke werden gleich behandelt o jeder Dateideskriptor muс mindestens einen \ beinhalten o der Teil vor dem letzten \ wird als Pfad interpretiert o der Teil hinter dem letzten \ wird als Dateiname interpretiert Beispiele anfДngliche Regeln eingebaute Regeln ═══ 2.3.1. 3.1 Beispiele fБr Dateizugriffsregeln ═══ 3.1 Beispiele fБr Dateizugriffsregeln GБltige Dateizugriffsregeln sind : R C:\CONFIG.SYS setzt CONFIG.SYS auf dem C: Laufwerk read-only R *\CONFIG.SYS setzt alle Dateien CONFIG.SYS auf allen Laufwerken read-only N D:\*.DOC setzt alle Dateien mit Erweiterung DOC nicht zugreifbar D D:\GAMES\* gibt unbeschrДnkten Zugriff auf D:\GAMES samt Unterverzeichnissen frei N A:\* kein Diskettenzugriff R *\*.exe setzt alle EXEs im System read-only, d.h. sie kФnnen ausgefБhrt aber nicht geДndert werden N *\*Kunden* setzt alle Dateien mit der Zeichenkette "kunden" im Dateinamen auf nicht zugreifbar ═══ 2.3.2. 3.2 AnfДngliche Dateizugriffsregeln ═══ 3.2 AnfДngliche Dateizugriffsregeln Wenn auf dem System noch keine Dateizugriffsregeln festgelegt wurden und ADMINFAP gestartet wird, erzeugt es einen Standardregelsatz fБr diesen PC. Dieser Standard-Regelsatz beinhaltet folgende Regeln : W *:\*.INI W *:\aaaaaa\* aaaaaa = Name des Desktop Verzeichnisses R *:c\CONFIG.SYS N A:*\* R *:\*.EXE R *:\*.DLL Der Standardzugriffsmodus wird anfДnglich auf R gesetzt. Der Administrator\Besitzer kann dann Regeln lФschen und neue hinzufБgen, je nach den spezifischen Sicherheitserfordernissen. Diese Standardregeln kФnnen jederzeit wiederhergestellt werden indem die Datei x:\OS2\SL2.FAP gelФscht wird. Die ZugriffsbeschrДnkung muс zu diesem Zweck deaktiviert sein. ═══ 2.3.3. 3.3 Eingebaute Dateizugriffsregeln ═══ 3.3 Eingebaute Dateizugriffsregeln Um die ordnungsgemДсe Funktion des OS/ 2 Betriebssystems sicherzustellen, mБssen einige Zugriffe immer erlaubt sein. Diese Zugriffe sind immer von Restriktionen durch die SLFAP Regeln ausgenommen. Eine weitere Ausnahme stellen die essentiellen Komponenten von SLFAP dar, die immer vor dem Zugriff durch einen gewФhnlichen Benutzer geschБtzt sind. Zugriff auf das Administratorwerkzeug ADMINFAP.EXE sollte immer durch ein Passwort geschБtzt sein. Die entsprechenden eingebauten Regeln sind hier zu Ihrer Information aufgefБhrt: D *\*.FON W *\OS2*.INI N *\SLISS32.SYS N *\BOOTFAP.EXE N *\SL2.FAP R *\CONFIG.SYS Diese Regeln kФnnen nicht Бberschrieben werden, aber sie werden - zusammen mit den anderen Regeln - deaktiviert, wenn der "Deaktivieren" Knopf im ADMINFAP Programm gedrБckt wird. ═══ 2.4. 4. Installation ═══ 4. Installation Smart-Lock FAP besteht aus folgenden Dateien : o SLISS32.SYS - Smart-Lock ISS Devicetreiber als Interface zu SES o SL2.FAP - Profil, das die Dateizugriffsregeln enthДlt (verschlБsselt) o ADMINFAP.EXE - Notizbuch zur Administration und Konfiguration des Systems. o ADMINFAP.HLP - Hilfedatei fБr ADMINFAP.EXE o INSTFAP.EXE - installiert SLFAP von Diskette oder Netzwerklaufwerk o BOOTFAP.EXE - aktiviert den Zugriffsschutz wДhrend des Boot-Prozesses o SLNETFAP.EXE - Netzwerk Client Prozeс (nur fБr FAP Net erforderlich) o SLFAP.INF - online Dokumentation Das Programm INSTFAP.EXE 1. kopiert alle Dateien aus dem aktuellen Verzeichnis (aus dem INSTFAP.EXE aufgerufen wird) in das x:\OS2 Verzeichnis (wobei x das Boot-Laufwerk ist) 2. sichert die aktuelle CONFIG.SYS als CONFIG.SLF 3. fБgt die Zeile "BASEDEV=SLISS32.SYS" in der CONFIG.SYS ein 4. fБgt die Zeile "RUN=x:\OS2\BOOTFAP.EXE" in der CONFIG.SYS an 5. erstellt das Symbol fБr das Administrations-Notizbuch auf der ArbeitsoberflДche. Wenn das aktuelle Verzeichnis bereits das x:\OS2 Verzeichnis ist wird nur das Symbol auf der ArbeitsoberflДche erstellt. Doppel-klicken Sie Client Installation fБr Info zum Installieren von SLFAP Clients. Doppel-klicken Sie De-Installation fБr Info zum De-Installieren von SLFAP. ═══ 2.4.1. 4.1 SLFAP Client Installation in einem LAN ═══ 4.1 Client Installation Um RegelsДtze von einem steuernden PC auf andere gesicherte PCs Бber das LAN zu verteilen wird ein entsprechender Key Code benФtigt. Zur SLFAP Installation auf einer Client Maschine wird dieselbe Diskette verwendet. Die Syntax ist : INSTFAP /D:nnnnnnnn Die Installation entspricht der Einzelplatzinstallation mit folgenden Ausnahmen : o nnnnnnnn ist ein frei wДhlbarer DomДnename, z.B. FAPNET1 o das ADMINFAP Symbol auf der OberflДche wird nicht erstellt. o SLNETFAP.EXE wird installiert. SLNETFAP kommuniziert mit dem SLFAP Manager PC und empfДngt und aktiviert neue SL2.FAP Konfigurationsdateien. o zusДtzlich zur Zeile RUN=...BOOTFAP wird in der CONFIG.SYS die Zeile RUN=x:\OS2\SLNETFAP.EXE 60 2 nnnnnnnn eingetragen. nnnnnnnn kann nachtrДglich per Hand editiert werden, wenn der DomДnename geДndert werden soll. ═══ 2.4.2. 4.2 SLFAP De-Installation ═══ 4.2 SLFAP De-Installation Um Smart-Lock file protect vom PC zu entfernen ist wie folgt vorzugehen : o ADMINFAP Фffnen o den Deaktivieren Knopf drБcken o ADMINFAP schlieсen o DINSTFAP.EXE laufen lassen. Dadurch werden die SLFAP Dateien entfernt, das ADMINFAP Symbol auf der ArbeitsoberflДche entfernt und die EintrДge in der CONFIG.SYS rБckgДngig gemacht. Anmerkungen : Die Datei DINSTFAP.EXE muс per Hand entfernt werden, da sie sich nicht selbst lФschen kann. ═══ 2.5. 5. Aktivierung ═══ 5. Aktivierung StandardmДсig sind nach erfolgter Installation noch keine ZugriffsbeschrДnkungen aktiv. Es gibt zwei MФglichkeiten, den Dateizugriffsschutz zu aktivieren : 1. VorБbergehender Schutz durch drБcken des Knopfes "Aktivieren" im Notizbuch fБr die Administration. Der vorБbergehende Schutz bleibt aktive bis der Knopf "Aktivieren" wieder gedrБckt wird (neue Regeln werden aktiviert), oder der Knopf "Deaktivieren" gedrБckt wird, oder bis zum Systemabschluс. Nach dem nДchsten Boot-Vorgang sind keine ZugriffsbeschrДnkungen aktiv. 2. Dauernder Schutz durch Klicken des KДstchens 'ZugriffsbeschrДnkungen beim Booten aktivieren' auf der zweiten Seite der Administrations-Notitzbuches. Dauernder Schutz kann vorБbergehend aufgehoben werden indem der Knopf "Deaktivieren" im Administrations-Notizbuch gedrБckt wird. Оnderungen im KДstchen 'ZugriffsbeschrДnkungen beim Booten aktivieren' werden erst nach dem nДchsten Boot-Vorgang wirksam. Anmerkungen : WДhrend die ZugriffsbeschrДnkungen aktiviert sind kФnnen die wesentliche SLFAP Komponenten nicht entfernt oder verДndert werden. ═══ 2.6. 6. Administration und Konfiguration ═══ 6. Administration und Konfiguration Das ADMINFAP Notizbuch dient der SLFAP Konfiguration. Dateizugriffsregeln werden erstellt, der Standardzugriffsmodus wird eingestellt und eine Reihe von Maсnahmen kФnnen gesetzt werden. Das ADMINFAP Notizbuch wird auf der ArbeitsoberflДche durch ein Symbol dargestellt, sobald SLFAP installiert ist. ADMINFAP wird durch Doppel-Klick auf dieses Symbol gestartet. Genauso kann es durch Eingabe von "ADMINFAP" auf einer OS/2 Befehlszeile gestartet werden. Das Profil (Dateizugriffsregeln + Konfigurationsparameter) wird in der Profildatei SL2.FAP abgelegt. Diese Datei ist verschlБsselt und normalerweise geschБtzt. Sie kann nur durch das Administrations-Notizbuch verДndert werden. Der Zugang zum Administrations-Notizbuch kann (und sollte) durch ein Kennwort geschБtzt werden. AnfДnglich ist kein Kennwort eingestellt. Das Kennwort wird auf der zweiten Seite des Administrations-Notizbuches festgelegt. Anmerkungen : FБr nДhere Details zur Verwendung von ADMINFAP benutzen sie den Hilfe Knopf auf der jeweiligen Notizbuchseite. ═══ 2.7. 7. Betrieb ═══ 7. Betrieb Die Person, die fБr die Konfiguration und den Betrieb eines PC verantwortlich ist wird im folgenden als "Besitzer" bezeichnet. Der Besitzer kann der Netzwerkadministrator fБr ein BБronetzwerk, der Mitarbeiter oder Programmierer, der den PC in einem Unternehmen nutzt oder auch Papa sein, der sicher sein mФchte, daс die Kinder nichts kaputt machen wДhrend sie seinen PC benutzen.. Nach der SLFAP Installation sollte der Besitzer das Administrations-Notizbuch Фffnen und o Die Dateizugriffsregeln festlegen, nach denen der PC geschБtzt werden soll, o Den Standardzugriffsmodus festlegen, der fБr alle Dateizugriffe gilt fБr die es keine Regel gibt, o Das SLFAP Administrations-Notizbuch durch ein Kennwort vor unbefugtem Щffnen schБtzen. o Das KДstchen 'ZugriffsbeschrДnkungen beim Booten aktivieren' klicken, nachdem er sich vergewissert hat, daс die festgelegten Regeln den OS/2 Betrieb selbst nicht behindern. Wenn danach jemand den PC startet, sind die eingestellten DateizugriffsbeschrДnkungen wirksam. Der Besitzer selbst hingegen kann das SLFAP Administrations-Notizbuch verwenden (nach Eingabe des richtigen Kennwortes!) um die BeschrДnkungen zu deaktivieren und mit dem PC vФllig uneingeschrДnkt zu arbeiten. Sobald er fertig ist kann er die BeschrДnkungen durch DrБcken des Knopfes 'Aktivieren' im SLFAP Administrations-Notizbuch sofort wieder aktivieren. Auch ohne diese Maсnahme ist der PC bei nДchsten Booten wieder geschБtzt. Anmerkungen : Das ADMINFAP Notizbuch hat am unteren Rand einen farbigen Statusbalken. Wenn der Balken grБn ist, gibt es keine ZugriffsbeschrДnkungen. Wenn der Balken rot ist sind die eingestellten BeschrДnkungen aktiviert. ═══ 2.8. 8. Ausnahmesituationen ═══ 8. Ausnahmesituationen Ausnahmesituationen kФnnen bei Sicherheitssystemen den PC Benutzer in eine schwierige Lage versetzen. BITTE LESEN SIE DIESE INFORMATION AUFMERKSAM, UM SPОTERE PROBLEME ZU VERMEIDEN. 1. StandardmДсig ist SLFAP nach Installation nicht aktiviert. 2. Wenn SES nicht installiert ist (insbesondere der OS2KRNL nicht SES fДhig ist) bricht der Boot-Vorgang sehr schnell mit einem Fehler ab. In diesem Fall von Diskette Booten und die Zeile BASEDEV=SLISS32.SYS aus der CONFIG.SYS entfernen. 3. Wenn der Besitzer irrtБmlich eine Zugriffsregel aktiviert, die OS/2 beeintrДchtigt, braucht nur neu gebootet zu werden. Solange 'ZugriffsbeschrДnkungen beim Booten aktivieren' nicht aktiviert ist gibt es nach dem Booten keine BeschrДnkungen. 4. Es wird empfohlen, das KДstchen 'ZugriffsbeschrДnkungen beim Booten aktivieren' erst zu klicken, nachdem der PC mit den aktuellen Regeln einige Zeit ohne Fehler funktioniert hat. Wenn trotzdem 'ZugriffsbeschrДnkungen beim Booten aktivieren' zu einem Fehler wДhrend der Bootens fБhren, so kann es sein, daс der PC nicht mehr hochkommt. In einem solchen Fall naturgemДс nicht mehr mФglich ist das ADMINFAP Notizbuch zu starten um die Einstellung 'ZugriffsbeschrДnkungen beim Booten aktivieren' auszuklicken. Auch hier ist von Diskette zu booten um dann das SLFAP Profil x:\OS2\SL2.FAP zu lФschen oder umzubenennen. Danach kann wieder normal gebootet werden und der Regelsatz entsprechend angepaсt werden. (Siehe auch Abschnitt Tuning). (Das ist natБrlich auch eine SicherheitslБcke. Siehe Abschnitt Sicherheitsrisiken wie diese LБcke geschlossen werden kann.) 5. Wenn der Besitzer sein Kennwort vergiсt, kann er das Administrations-Notizbuch nicht mehr Фffnen. Da die SL2.FAP Profildatei, die das Kennwort enthДlt, nur Бber das Administrations-Notizbuch geДndert werden kann, kann das Kennwort nur neu eingegeben werden, nachdem die Datei SL2.FAP entfernt wurde. Da andererseits diese Datei stets geschБtzt ist, (sofern 'ZugriffsbeschrДnkungen beim Booten aktivieren' geklickt ist), muс von Diskette gebootet werden, um SL2.FAP zu entfernen. Im schlimmsten Fall kann daher immer durch Booten von Diskette der normale (uneingeschrДnkte) Betrieb des PC wiederhergestellt werden. ═══ 2.9. 9. Anpassung der Regeln (Tuning) ═══ 9. Anpassung der Regeln (Tuning) Je nach den Anwendungen die verwendet werden, kann es vorkommen Zugriffsverletzungen auftreten, wenn der Dateizugriffsschutz aktiviert ist. Um solchen Anwendungen die fБr die ordnungsgemДсe Funktion notwendigen Zugriffe zu erlauben, insgesamt den Zugriffsschutz aber nicht zu durchlФchern ist eine Anpassung der Regeln erforderlich. Um diesen Vorgang zu vereinfachen, schreibt Smart-Lock die Log-Datei x:\OS2\SLFAP.LOG, in der alle Dateizugriffsverletzungen angefБhrt sind. Die Information in dieser Datei erlaubt es, gezielt die erforderlichen Regeln hinzuzufБgen oder auch einzelne Anwendungen als Privilegierte Anwendungen (ADMINFAP Seite 3) zu klassifizieren. Anmerkungen : Der Dateizugriffsschutz muс deaktiviert werden um die Log-Datei zu Фffnen. ═══ 2.10. 10. Sicherheitsrisiken ═══ 10. Sicherheitsrisiken Solange 1. der PC von der Platte mit OS/2 gebootet wird (bei mehreren OS/2 Partitionen mБssen alle Partitionen mit SLFAP geschБtzt werden!) 2. alle SLFAP Komponenten vorhanden sind und aus der CONFIG.SYS gestartet werden, 3. die Funktion 'ZugriffsbeschrДnkungen beim Booten aktivieren' ausgewДhlt ist und 4. ein geheimes Kennwort fБr das Administrations-Notizbuch verwendet wird ist der PC gemДс den festgelegten Regeln ordnungsgemДс geschБtzt. Er ist damit auch gegen unerlaubtes Entfernen oder Deaktivieren von SLFAP geschБtzt. Die folgenden SicherheitslБcken bleiben : o Wenn von Diskette gebootet wird (DOS oder OS/2) ist SES nicht aktiv und es gibt daher auch keine DateizugriffsbeschrДnkungen. Die Smart-Lock boot protection Option (separat erhДltlich) kann benutzt werden um diese LБcke zu schlieсen. Andererseits kann die Bootsequenz im ABIOS Setup des PCs geДndert werde und eine Umkehrung dieser Оnderung per ABIOS Passwort geschБtzt werden. In dieser Einstellung kann nicht mehr von Diskette gebootet werden. Diese Einstellung ist Hardware spezifisch und muс fБr Ihren PC nach Angaben des Herstellers durchgefБhrt werden. Schlagen Sie im PC Handbuch nach oder fragen Sie Ihren PC Lieferanten nach VerfБgbarkeit und MФglichkeiten dieser Einrichtung auf Ihrem spezifischen PC. o Wenn von einer anderen Partition auf diesem PC gebootet wird, die nicht SES/SLFAP geschБtzt ist, kФnnen alle Partitionen auf dieser Maschine ohne DateizugriffsbeschrДnkungen manipuliert werden. Die Smart-Lock PartitionsverschlБsselungs Option (separat erhДltlich) kann verwendet werden um diese LБcke zu schlieсen. Andererseits kФnnen auch die anderen Partitionen des PCs mittels SES und SLFAP geschБtzt werden. Dabei ist zu beachten, daс die Regeln eine Anpassung an die geДnderten Laufwerksbuchstaben erfordern kФnnen. o Wenn Ihr PC an ein LAN angeschlossen ist, dann entstehen hieraus mФglicherweise Sicherheitsrisiken wДhrend die Zugriffsregeln deaktiviert sind. Ein weiteres Risiko fБr die gespeicherten Daten stellt der mФgliche Ausbau der Festplatte aus Ihrem Rechner dar. Diese Risiken mБssen von Fall zu Fall anhand der konkreten Situation abgeschДtzt werden. o SelbstverstДndlich muс das Kennwort fБr das SLFAP Administrations-Notizbuch vertraulich behandelt werden. ═══ 2.11. 11. EinschrДnkungen ═══ 11. EinschrДnkungen SLFAP setzt IBM SES (Security Enableing Services fБr OS/2) voraus. SES ist standardmДсig im Betriebssystem erst ab Merlin enthalten. Wenn SLFAP auf OS/2 2.11 (nur Netzclient) oder OS/2 WARP eingesetzt werden soll, werden die erforderlichen CSDs/FixPacks vom IBM benФtigt. FБr SES ist keine weitere LizenzgebБhr zu entrichten, sofern eine gБltige OS/2 oder WARP Lizenz vorhanden ist. SLFAP bietet keinen Nutzen, wenn der PC nicht einen SES-fДhigen Kernel installiert hat.!! AbhДngig von der eingesetzten SLFAP Version kФnnen die folgenden EinschrДnkungen gelten : o Die Anzahl der Dateizugriffsregeln ist begrenzt. Wenn Sie mehr Regeln benФtigen als die aktuelle Version erlaubt, muс ein Upgrade bestellt werden. o Die Konfiguration privilegierter Anwendungen ist mФglicherweise nicht vorhanden (ADMINFAP Seite 3). Wenn diese Funktion verwendet werden soll, muс ein Upgrade bestellt werden. o Die automatische Verteilung von Regeln an andere PCs Бber das LAN ist mФglicherweise beschrДnkt oder nicht verfБgbar (ADMINFAP Seite 4). Wenn diese Funktion verwendet werden soll, muс ein Upgrade bestellt werden. Upgrades sind in der Regel lediglich neue Seriennummern bzw. Key Codes, die auch per e-mail zugesandt werden kФnnen, sodaс das upgrade kurzfristig bei Ihnen verfБgbar ist. FБr Upgrade-Bestellungen siehe Abschnitt 13. ═══ 2.12. 12. Support ═══ 12. Support Falls Sie weitere Informationen oder UnterstБtzung benФtigen kontaktieren Sie SLSUP@IBM.NET Wenn spezielle Probleme auftreten, benutzen Sie bitte das angefБgte Formular Problemreport und fБgen Sie Ihre CONFIG.SYS und Ihre SL2.FAP Datei an. Falls Sie die Information nicht elektronisch senden kФnnen, drucken Sie per PrintScreen die Datei SL2.FAP sowie allfДllige Fehlermeldungen und die CONFIG.SYS aus und faxen alles an +49/8142/598111 oder senden es per Post an Corporate Info Management GmbH Waxensteinstraсe 2 D-82194 GRЩBENZELL, Deutschland BeschrДnkter hot-line Support wird kostenlos gewДhrt. FБr weitere UnterstБtzung gelten unsere StandardstundensДtze. Doppel-klicken Sie Hier fБr ein Problemreport Formular. ═══ 2.12.1. Smart-Lock Problem Report ═══ Klicken Sie auf den Knopf Drucken am unteren Rand dieses Schirms, fБllen Sie das Formular aus und senden Sie es uns. Oder editieren Sie die Datei PROBLEM.FAP und senden uns diese elektronische Kopie per e-mail. Name ____________________________________________________ Straсe ____________________________________________________ PLZ ____________ Stadt ______________________________ Staat ____________________________________________________ Telefon ________________________ Fax _________________________ CompuServe ____________________ e-mail ___________________________ OS/2 Type/Version ____________________ OS/2 Sprache _____________ PC Hersteller _________________________ Modell _____________________ HSP ___________ MB Bildschirmtreiber Version _____________________ Smart-Lock Version ___________________________ Serien Nr ____________ SES installiert J/N OS2KRNL Datum/Zeit ________________________ Problembeschreibung : _________________________________________________ _______________________________________________________________________ _______________________________________________________________________ _______________________________________________________________________ _______________________________________________________________________ _______________________________________________________________________ Bitte die Dateien CONFIG.SYS, SLFAP.LOG und SL2.FAP anfБgen. Das ausgefБllte Formular senden Sie uns bitte ■ per Fax an die +49 8142 598 111 oder +49 8142 54843 ■ per e-mail an SLSUP@IBM.NET ■ Бber CompuServe an 100345,2514 ■ per Post an : Corporate Info Management GmbH, D-82194 GRЩBENZELL Herzlichen Dank fБr Ihr Interesse an der Smart-Lock Produktfamilie. ═══ 2.13. 13. UpgrademФglichkeiten ═══ 13. Funktionale Upgrades SLFAP erlaubt zunДchst nur die Verwendung bestimmter Funktionen. Um diese FunktionalitДt auszudehnen, benФtigen Sie eine neue Seriennummer bzw. Key Code. Alle Funktionen, die hier beschrieben werden, sind bereits in ADMINFAP enthalten, aber nur solche, die Ihrem aktuellen Key Code entsprechen, kФnnen verwendet werden. Die folgende Tabelle erlДutert die erhДltlichen Versionen und die zugehФrigen Funktionen : Version Anzahl Regeln Privilegierte Anw. Netz Stationen SLFAP Entry 7 Nein 0 SLFAP unbeschr. Ja 0 SLFAP Net Entry unbeschr. Ja 1+1 SLFAP Net unbeschr. Ja unterschiedlich Doppel-Klicken Sie Upgrade Bestellung um ein Bestellformular zu erhalten. ═══ 2.13.1. Smart-Lock Bestellformular ═══ Klicken Sie auf den Drucken Knopf am unteren Rand dieses Schirmes, fБllen Sie das Formular aus und senden Sie es uns. Oder editieren Sie die Datei ORDER.FAP und senden uns diese elektronische Kopie per e-mail. Name ____________________________________________________ Straсe ____________________________________________________ PLZ ____________ Stadt ______________________________ Staat ____________________________________________________ Telefon ________________________ Fax ________________________ CompuServe ____________________ e-mail __________________________ Kreditkarte VISA/MC Nr ___________________________ gБltig _______ Menge Bezeichnung Preis Betrag _____ Smart-Lock FAP Entry DM 46 ___________ _____ Smart-Lock FAP (Vollversion) DM 144 ___________ _____ Smart-Lock FAP Net Entry DM 195 ___________ _____ Smart-Lock FAP Net (20 Clients) DM 995 ___________ _____ Smart-Lock lite Multi-user DM 466 ___________ _____ Smart-Lock lite Client/Server (5 Clients) DM 966 ___________ Verpackung & Versand (nur lite Versionen) DM 19 ___________ Gesamtsumme (inkl. MWSt) ___________ Bei den FAP Versionen erhalten Sie lediglich einen Key Code, daher gibt es dort keine Versandkosten. FБr lite Versionen erhalten Sie ein Paket. In diesem Fall bitte die Versandkosten bei Ermittlung des Gesamtpreises mitrechnen. Das ausgefБllte Formular senden Sie uns bitte ■ per Fax an die +49 8142 598 111 oder +49 8142 54843 ■ per e-mail an CIMNET@IBM.NET ■ Бber CompuServe an 100345,2514 ■ per Post an : Corporate Info Management GmbH, D-82194 GRЩBENZELL ■ Бber Ihren OS/2 Lieferanten. Herzlichen Dank fБr Ihr Interesse an der Smart-Lock Produktfamilie. ═══ 2.14. Smart-Lock FAP Regeln erstellen ═══ Zweck : Dieser Seite definiert die Regeln nach denen jeder Dateizugriff БberprБft wird und entsprechend erlaubt oder verweigert wird. Jede Regel muс entsprechend der Smart-Lock Regel Syntax aufgebaut sein. Am unteren Ende der Seite sind die DruckknФpfe, die die Aktivierung und Verteilung des Regelsatzes Бberwachen. Zum EinfБgen einer neue Regel wird der Dateideskriptor in des Eingabefeld getippt, und der gewБnschte Zugriffsmodus ausgewДhlt. Dann wird die Position ausgewДhlt an der die neu Regel in den bestehenden Regelsatz eingefБgt werden soll indem die nachfolgende Regel einmal angeklickt wird. Durch DrБcken auf den Knopf EinfБgen wird die neue Regel eingefБgt. Zum LФschen einer bestehenden Regel wird die Regel durch Klicken ausgewДhlt und dann durch DrБcken auf den Knopf Entfernen aus dem Regelsatz gelФscht. Zum Оndern einer bestehenden Regel wird die Regel wie oben mittels Knopf Entfernen entfernt. Nach durchfБhren der erforderlichen Оnderungen (z.B. Wahl eines anderen Zugriffsmodus) wird die Regel durch DrБcken des Knopfes EinfБgen wieder in den Regelsatz zurБckgeschrieben. Zum Оndern der Position einer Regel wird die Regel wie oben entfernt. Dann wird die neue Position ausgewДhlt im Regelsatz ausgewДhlt, indem auf die Folgezeile geklickt wird und die ungeДnderte (oder auch zwischenzeitlich geДnderte) Regel durch DrБcken des Knopfes EinfБgen an der neuen Stelle eingefБgt wird. Zum Aktivieren der SLFAP EinschrДnkungen bzw. zum Aktivieren von zwischenzeitlichen RegelДnderungen wird der Knopf Aktivieren gedrБckt. Zum Deaktivieren der SLFAP EinschrДnkungen wird der Knopf Deaktivieren gedrБckt. Zum Verteilen des aktuellen Regelsatzes an alle aktiven Clients (nur FAP Net Version !) wird der Knopf Verteilen gedrБckt. Dieser Knopf ist nicht anwДhlbar wenn 1. die aktuelle SLFAP Lizenz keine NetzfunktionalitДt beinhaltet (um diese zu erhalten benФtigen Sie ein Funktionsupgrade) 2. die Anzahl der registrierten Clients die Anzahl der lizenzierten Clients Бbersteigt (fБr weitere Clients besorgen Sie sich ein Upgrade) 3. NetBIOS auf diesem Rechner nicht zur VerfБgung steht. Zum Sichern des aktuellen Profils (Dateizugriffsregeln & Konfiguration) drБcken Sie den Knopf Speichern. Zum Schlieсen des Administrations-Notizbucches ohne Speichern drБcken Sie den Knopf Abbruch. Der farbige Statusbalken unten zeigt den aktuellen Zustand an. GRЪN heiсt keine ZgriffsbeschrДnkungen, ROT bedeutet daс die Regeln aktiviert sind. Anmerkungen : Um die Regeln auf den anfДnglichen Stand zurБckzusetzen wird die Profildatei SL2.FAP gelФscht oder umbenannt. Wenn ADMINFAP danach neu gestartet wird, erzeugt es wieder einen anfДnglichen Regelsatz. ═══ 2.15. Smart-Lock FAP Konfiguration ═══ Zielsetzung : Diese Seite dient zur Definition eines Kennwortes und zur Einstellung der Aktivierung ab Booten. Weiter wird sie zum upgrade eventuell beschrДnkter FunktionalitДt von SLFAP durch einen neuen Key Code verwendet. Zum SchБtzen des SLFAP Administrations-Notizbuches muс das erste KДstchen geklickt und ein Kennwort eingegeben werden. Das Kennwort ist bis zu 11 Zeichen lang. Zwischen Klein- und Groсschreibung wird nicht unterschieden. Um die 'ZugriffsbeschrДnkungen beim Booten zu aktivieren' ist das entsprechende KДstchen zu klicken. ACHTUNG : Wenn diese Funktion nicht eingeschaltet ist, sind keinerlei Dateien geschБtzt, solange nicht der Knopf Aktivieren auf der ersten Seite das ADMINFAP Notizbuches gedrБckt wurde. Das Feld Seriennummer zeigt die derzeitige Smart-Lock FAP Seriennummer bzw. Key Code an. Wenn keine Nummer angezeigt wird, ist das eine Version mit limitierter Funktion bzw. eine Demoversion. Zum Upgrade der aktuellen Version oder um eine Demoversion zu registrieren muс eine neue Seriennummer (=Key Code) bestellt werden. Dann den Knopf Registrieren/Upgraden zur Registrierung drБcken. Anmerkungen : Das Speichern von Оnderungen durch DrБcken des Knopfes Speichern auf der ersten Seite des ADMINFAP Notizbuches nicht vergessen! ═══ 2.16. Smart-Lock FAP Upgrade Information ═══ Zielsetzung : ErhФhung der FunktionalitДt der aktuellen SLFAP Version Die FunktionalitДt von Smart-Lock file protect wird durch die Seriennummer (auch als Key Code bezeichnet) gesteuert. Um die FunktionalitДt zu erhФhen genБgt ein neuer Key Code, der auch per e-mail angefordert werden kann. Wenn der Key Code vorliegt den Knopf Registrieren/Upgrade drБcken und die neue Seriennummer/Key Code eingeben, das Profil speichern und das ADMINFAP Notizbuch schlieсen. Wenn ADMINFAP wieder geФffnet wird erscheint die zusДtzliche FunktionalitДt. Anmerkungen : Bewahren Sie die neue Seriennummer/ Key Code sicher auf. Der Key Code wird in der Profildatei SL2.FAP gespeichert. Wenn diese Datei gelФscht wird und spДter neu erstellt wird, muс der Key Code neu eingegeben werden. ═══ 2.17. Smart-Lock FAP Neue Seriennummer/Key Code ═══ Zielsetzung : Eingabe einer neuen Seriennummer/ Key Code Geben Sie die neue Seriennummer (=KeyCode) in das Eingabefeld ein. Die Seriennummer hat 16 Positionen, ist alphanumerisch und beginnt mit den 3 Buchstaben SLF. UngБltige Seriennummern/ Key Codes werden zurБckgewiesen. Anmerkungen : Bewahren Sie die neue Seriennummer/ Key Code sicher auf. Der Key Code wird in der Profildatei SL2.FAP gespeichert. Wenn diese Datei gelФscht wird und spДter neu erstellt wird, muс der Key Code neu eingegeben werden. ═══ 2.18. Smart-Lock FAP Privilegierte Anwendungen ═══ Zielsetzung : Hier kФnnen privilegierte Anwendungen definiert werden, d.s. Anwendungen, die uneingeschrДnkten Zugriff auf alle Partitionen/Dateien haben. Diese Seite wird nur angezeigt, wenn ein entsprechender Key Code verwendet wird. Die Anwendungsnamen kФnnen entweder voll qualifiziert d.h. Laufwerk:\Pfad\Dateiname.Erweiterung fБr jede Anwendung oder unter Verwendung von Wild-Card Zeichen wie bei den Dateideskriptoren bei den Zugriffsregeln angegeben werden. FБr jede Anwendung ist eine Zeile zu verwenden. Anmerkungen : ACHTUNG: Insofern eine Anwendung ihrerseits dem Benutzer wahlfreien Zugriff auf Dateien erlaubt (z.B. Datei Фffnen Schirm), wird dieser privilegierte Status auch auf den Benutzer ausgedehnt. Es ist hier also restriktiv vorzugehen, damit der Dateizugriffsschutz nicht unterlaufen wird. ═══ 2.19. SLNetFAP DomДnen Information ═══ Zielsetzung : Diese Seite definiert die Netzwerkparameter. Sie wird nur angezeigt, wenn ein entsprechender Key Code verwendet wird. Der DomДnename kann verwendet werden um nur eine Gruppe von SLFAP Clients auf dem LAN anzusprechen. Die Verteilung von DateizugriffsregelsДtzen betrifft dann nur die SLFAP Clients mit demselben DomДnenamen. Eine Оnderungdes DomДnennamens wird erst beim nДchsten Щffenen von ADMINFAP wirksam. Siehe auch SLFAP Client Installation. Die anderen Felder dienen nur zur Information und kФnnen nicht verДndert werden. Anmerkungen : Der SLFAP Client muс nicht verbunden sein wenn die Verteilung stattfindet. Er erhДlt das neue Profil wenn er das nДchste Mal gebootet wird. ═══ ═══ Smart-Lock lite is the full version of Smart-Lock. It can be used with or without SES. Smart-Lock lite multi-user (=stand-alone) includes o user specific, dynamic adjustment of WPS configuration Pop-up menu content Available applications Diskette usage User data folder File Access Rights (from version 3.0 SES based) o Easy to use administrator tools for user administration desktop & system administration file access rights administration o Single logon to Host, LAN Server, Netware and other applications o Multi country NLS support o Multithreaded 32-bit code extensively using SOM- and WPS-methods o User dependent definable workstation access times o Fast user switching o User initiated or timed out PC lock-up o Guest User o Simple, fast, fully CID enabled installation Smart-Lock lite Client/Server integrates these functions into a LAN network. ═══ ═══ Smart-Lock lite Client/Server is the networked version of Smart-Lock lite. In addition to the stand-alone functions it provides for the individual PCs the Client/Server version includes o central management of user profiles system & desktop profiles file access right profile (from version 3.0 SES based) Diskette drive locking o Instant effectivity of changes on all connected systems o synchronization of password changes o C API to user management o Domain concept o Server tools o Optimized Net Communication for excellent network performance with minimized impact on network load o NetBIOS based o Simple, fast CID process o configurable password rules (version 3.0) o Automatic fix & update distribution (version 3.0) o Client also operates in disconnected mode (e.g. notebooks) o Challenge/Response mechanism to reset passwords for travelling users (version 3.0) ═══ ═══ Smart-Lock lite (multi level) ist die umfassende Smart-Lock Version fБr alle Ebenen des OS/2 Betriebssystems. Sie kann mit oder ohne SES betrieben werden. Smart-Lock lite multi-user (=Einzelplatz) beinhaltet : o Benutzerspezifische, dynamische Anpassung von WPS Konfiguration Pop-up menu Inhalt VerfБgbare Anwendungen Diskettenzugang Benutzerordner Dateizugriffsrechte (per SES ab Version 3.0) o Einfach Administrationswerkzeuge fБr Benutzerverwaltung Desktop- & Systemverwaltung Verwaltung der Dateizugriffsrechte (per SES ab Version 3.0) o Single-Logon zu Host, LAN Server, Netware und anderen Anwendungen o Mehrsprachig o Multithreaded 32-bit Code unter Nutzung von SOM- und WPS-Methoden o BenutzerabhДngige Arbeitszeiten o Schneller Benutzerwechsel o PC Sperre durch Benutzer oder Zeitablauf veranlaсt o Gastbenutzer o Einfache, schnelle und CID-fДhige Installation Smart-Lock lite Client/Server integriert diese Funktionen in ein LAN Netzwerk. ═══ ═══ Smart-Lock lite Client/Server ist die Netzwerkversion of Smart-Lock lite. ZusДtzlich zu den Einzelplatzfunktionen beinhaltet die Client/Server Version folgende Eigenschaften : o zentrale Verwaltung von Benutzerprofilen System- & Desktopprofilen Dateizugriffsprofilen (per SES ab Version 3.0) Diskettenlaufwerkszugriff o Sofortige Wirksamkeit der Оnderungen auf allen angeschlossenen Systemen o Synchronisation von PasswortДnderungen o C API fБr die Benutzerverwaltung per Programm o DomДnenkonzept (Version 3.0) o Serverwerkzeuge o Optimierte Netzwerkkommunikation erzielt hervorragende Netzperformance mit minimalem Einfluс auf die Netzwerkbelastung o NetBIOS basiert o Einfacher, schneller CID-Prozeс o Konfigurierbare Passwortregeln (Version 3.0) o Automatische Verteilung von Fixes & Updates (Version 3.0) o Client lДuft auch ohne Netzverbindung (z.B. Notebooks) o Challenge/Response-Mechanismus zum PasswortrБcksetzen fБr Benutzer "on the road" (Version 3.0)