執行控制清單
您使用執行控制清單 (ECL) 設定工作站資料安全。ECL 保護使用者工作站以避免來自未知或可疑來源的作用中內容,可將 ECL 配置為限制在工作站上執行之任何作用中內容的動作。
執行這項作業的原因和時機
ECL 判斷是否允許程式碼的簽章者在給定的工作站上執行程式碼,定義程式碼對不同工作站功能的存取權。例如,ECL 可以防止其它人的程式碼在電腦中執行及破壞或消除資料。
「作用中內容」包括可以在使用者工作站上執行的一切,包括公式;Script;代理程式;資料庫及範本中的設計元素;含有儲存之表單、動作、按鈕、作用點的文件;以及惡意程式碼(例如病毒及所謂的「特洛伊木馬」)。
共有兩種 ECL:在「Domino® 名錄」(NAMES.NSF) 中的管理 ECL,以及儲存在使用者「聯絡人」(NAMES.NSF) 中的工作站 ECL。「管理 ECL」是所有工作站 ECL 的範本。第一次安裝 Notes® 用戶端時會建立工作站 ECL。安裝程式會將管理 ECL 從 Domino® 名錄複製到 Notes® 用戶端,以建立工作站 ECL。
工作站 ECL
執行這項作業的原因和時機
工作站 ECL 列出作用中內容之信任作者的簽名。「信任」表示簽名來自已知且安全的來源。例如,隨附於 Domino® 或 Notes® 的每個系統及應用程式範本,都會包含簽章 Notes® Template Development。同樣,您的組織所設計的每個範本及資料庫,都應包含應用程式開發者或管理員的簽名。
對於每個簽名,ECL 包含控制動作 (使用該簽名簽署的作用中內容可以執行該動作) 的設定值,以及它可以存取的工作站系統資源。
程序
- 選擇「」(Macintosh OS X 使用者:「」)。
-
按一下「他人執行任務」,然後選取「使用工作站」、「使用 Applets」或使用「JavaScript」。
註: 您必須在適當的 ECL 窗格中,查看該 ECL 的有效存取權。例如,若要在 JavaScript™ ECL 查看擁有存取權的人員,則必須選取 JavaScript™ ECL。
-
按一下「有效階段作業 ECL」按鈕。
- 清單框會顯示在此階段作業期間內擁有此 ECL 存取權的使用者及群組。
- 選取一個名稱,以查看使用者或群組存取權限。勾選框指出所選取名稱的存取權限。
工作站 ECL 運作的方式
執行這項作業的原因和時機
作用中內容在使用者工作站上執行及嘗試潛在有害的動作(例如,以程式傳送郵件)時,會發生下列狀況:
程序
- Notes® 驗證作用中內容是否已簽署,並在工作站 ECL 中查閱程式碼的簽章者。
- Notes® 檢查簽章者的 ECL 設定,以判斷是否允許該動作。
-
下列情形會發生:
- 如果程式碼的簽章者列出在工作站 ECL 中且啟用了適當的設定值,則作用中內容會執行。
- 如果作用中內容嘗試的動作不是簽章者啟用的動作,或簽章者未列在 ECL 中,則 Notes® 會產生「執行安全警示 (ESA)」,用以指定已嘗試的動作、簽章者名稱,以及未啟用的 ECL 設定。
ESA 為使用者提供四個選項:
- 不執行動作:拒絕簽章者執行指定動作的存取權。
- 這一次執行此動作:允許簽章者僅執行一次該動作的存取權。如果將來嘗試相同的動作,則會出現 ESA。此選項不修改 ECL。
- 信任簽章者以執行此 Notes® 階段作業的這個動作:容許簽章者有權在使用者的 Notes® 階段作業期間執行動作,直到使用者登出 Notes® 或切換至其他 Notes® ID。此選項不修改 ECL。
- 開始信任簽章者來執行此動作:允許執行該動作及修改 ECL 配置,以將作用中內容的簽名新增至 ECL。這會授與簽章者在任何時間在該工作站上執行特定動作的許可權。
- 進一步資訊:顯示對話框,其中提供設計類型、設計名稱、Notes® ID、簽章狀態,以及導致 ESA 的程式碼母資料庫的相關資訊。
例如,本端排定的代理程式,以及手動代理程式可以產生 ESA。按一下「進一步資訊」,以取得產生警示的代理程式的相關資訊。
註: 管理 ECL 具有防止使用者變更其工作站 ECL 的設定值。如果啟用此設定值,則會停用信任簽章者的使用者選項。
決定有效存取權
執行這項作業的原因和時機
使用者也可以按一下 ECL 上的「有效存取權」按鈕,以決定人員或群組擁有的工作站 ECL 的「有效存取權」。有效存取權有時不會顯而易見,特別是在使用者啟用 Notes® 階段作業的 ECL 存取權時。例如,對於設計使用者工作所用之資料庫應用程式的群組,使用者可能會授與暫時存取權。此存取權在階段作業期間有效,但一個階段作業可能會持續一整天。