JP2007316780A - Computer system, computer and file operation limiting method to be used therefor, and its program - Google Patents

Computer system, computer and file operation limiting method to be used therefor, and its program Download PDF

Info

Publication number
JP2007316780A
JP2007316780A JP2006143465A JP2006143465A JP2007316780A JP 2007316780 A JP2007316780 A JP 2007316780A JP 2006143465 A JP2006143465 A JP 2006143465A JP 2006143465 A JP2006143465 A JP 2006143465A JP 2007316780 A JP2007316780 A JP 2007316780A
Authority
JP
Japan
Prior art keywords
file
list
permitted
call
file operation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006143465A
Other languages
Japanese (ja)
Inventor
Tomohiko Takeshita
智彦 竹下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006143465A priority Critical patent/JP2007316780A/en
Publication of JP2007316780A publication Critical patent/JP2007316780A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a computer system for setting access authority to a file with no access authority set in advance under control of a manager. <P>SOLUTION: A management server 1 is provided with a permission template 11 as the list of files whose execution by clients (#1 to #N) is preliminarily permitted and a rejection template 12 as the list of files whose execution is not permitted, and uses those templates 11 to automatically prepare a permission file list 11 of each of the clients (#1 to #N) 2-1 to 2-N. As for the installation of an application with legitimate signatures permitted by a system manager, the execution of an installer and the execution of software added by the execution are approved. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は計算機システム、計算機及びそれらに用いるファイル操作限定方法並びにそのプログラムに関し、特にユーザによるソフトウェア実行を制限する方法に関する。   The present invention relates to a computer system, a computer, a file operation limiting method used therefor, and a program therefor, and more particularly to a method for limiting software execution by a user.

従来、ユーザによるソフトウェアの実行を制限する手段としては、オペレーティングシステムの機能があり、個々のファイル、フォルダのアクセス権管理を計算機のユーザ、ユーザグループによって行っている。   Conventionally, as a means for restricting the execution of software by a user, there is an operating system function, and access rights of individual files and folders are managed by computer users and user groups.

この種の技術としては、ネットワークからの侵入者がいかなるユーザ権限を利用して不正なファイル読出しや書込みを試みても、該アクセスの抑止を可能とするアクセス制御システムが提案されている(例えば、特許文献1参照)。   As this type of technology, an access control system has been proposed that can suppress the access even if an intruder from the network attempts to read or write an illegal file using any user authority (for example, Patent Document 1).

このアクセス制御システムでは、特定のファイルへのアクセスを、特定のユーザが特定のプログラムを使用した場合に限り許可するといったポリシーを用いている。また、このアクセス制御システムでは、ポリシーをポリシーファイルに登録し、ファイルI/O(Input/Output)フックプログラムがフックしたアクセス情報を、OS(Operating System)間通信処理部を介してセキュリティ用OS上のアクセス制御プログラムに渡し、ポリシーに基づいた制御を行っている。   This access control system uses a policy that permits access to a specific file only when a specific user uses a specific program. Also, in this access control system, the policy is registered in the policy file, and the access information hooked by the file I / O (Input / Output) hook program is transmitted to the security OS via the OS (Operating System) inter-communication processing unit. To the access control program and control based on the policy.

特開2001−337864号公報JP 2001-337864 A

上述した従来のアクセス制御方法では、各計算機の管理者権限を有すユーザがすべてのファイル、フォルダに対するアクセス権限を持っており、計算機の管理者権限を持つユーザへの制限にはならない。この場合、管理者権限を有すユーザは権限を持つものの、誤操作や計算機の管理者権限を奪取された場合、改ざん、消去等の被害が起きる可能性がある。   In the conventional access control method described above, a user having administrator authority of each computer has access authority to all files and folders, and is not limited to a user having administrator authority of the computer. In this case, a user having administrator authority has authority, but if an operation error or a computer administrator authority is taken, damage such as falsification and deletion may occur.

また、ソフトウェアには管理者権限を有するユーザのみがインストールできるものもあり、ユーザへ計算機の管理者権限の付与が必要とされる環境もあるが、オペレーティングシステムのアクセス権管理では、管理者権限を与えずに、そういったソフトウェアをインストールさせることが難しい。   Some software can only be installed by users with administrator privileges, and in some environments it is necessary to give the computer administrator privileges to the user. It is difficult to install such software without giving.

従来のアクセス制御方法では、ソフトウェアの実行制御設定の際に、個々の計算機上でファイルアクセス権設定をしなければならず、大規模環境では設定にかかる時間が膨大になり、個々の計算機管理者に管理を任せること、一人の管理者がすべての計算機のアクセス権を設定することは現実的ではない。これは、管理者が一括でアクセス権を設定する仕組みがないためである。   In the conventional access control method, when setting the software execution control, file access rights must be set on each computer. In a large-scale environment, the time required for setting becomes enormous, and each computer administrator It is not realistic to leave management to one person and to set access rights for all computers by one administrator. This is because there is no mechanism for the administrator to set access rights in a lump.

従来のアクセス制御方法では、設定ファイルやWebで参照される共有コンテンツ等、変更や改ざんを防ぎたいファイルが存在するが、管理者権限を持つ計算機ユーザの操作ミスや悪意あるユーザによる管理者権限の奪取による改ざんや消去の恐れがある。これは管理者権限を保持しているユーザが、すべてのファイルに容易にそれらの操作を行うことができるからである。   In conventional access control methods, there are files that you want to prevent from changing or tampering with, such as configuration files and shared content referenced on the Web. There is a risk of tampering and erasure due to the takeover. This is because a user having administrator authority can easily perform operations on all files.

オペレーティングシステムに付属のアクセス制御機能では、計算機ユーザが計算機の管理者権限を持っていた場合、すべてのファイルを自由に読込み、書込み、実行ができてしまい、設定ファイルやウェブコンテンツ等に対し、ユーザの操作ミスやクラッカーによる改ざんや削除が行われる危険性がある。   With the access control function that comes with the operating system, if the computer user has administrator privileges for the computer, all files can be freely read, written, and executed. There is a risk of manipulation mistakes and tampering and deletion by crackers.

また、リームバブルメディア上のソフトウェアやインタネット等の外部からユーザが持ち込んだファイルは、持ち込んだユーザが自由に実行することができ、ユーザの持ち込んだ不正使用ソフトウェアや管理ポリシー上、導入を推奨しないソフトウェア、メール等で添付されたコンピュータウイルス入りのファイル等の実行を許してしまうことがある。   In addition, software on Ream Bubble Media and files brought in by the user from outside the Internet can be freely executed by the brought-in user, and unauthorized use software brought by the user or software that is not recommended for installation due to management policies In some cases, execution of a file containing a computer virus attached by e-mail or the like is permitted.

上記の特許文献1に記載の技術等のように、ソフトウェア毎に権限を分けて設定するセキュアOSもあるが、設定が煩雑で難しいという欠点がある。   Although there is a secure OS in which authority is set separately for each software, as in the technique described in Patent Document 1 above, there is a drawback in that setting is complicated and difficult.

そこで、本発明の目的は上記の問題点を解消し、予めファイルアクセス権設定が行われていないファイルに対しても管理者の管理の基で実行されたファイルに対するアクセス権の設定を行うことができる計算機システム、計算機及びそれらに用いるファイル操作限定方法並びにそのプログラムを提供することにある。   Accordingly, an object of the present invention is to solve the above-described problems and to set access rights for a file that has been executed under the management of an administrator even for a file for which file access rights have not been set in advance. An object of the present invention is to provide a computer system, a computer, a file operation limiting method used therefor, and a program thereof.

本発明による計算機システムは、複数の計算機からなる計算機システムであって、
管理用の計算機に、オペレーティングシステムによるファイル操作の呼び出しの対象がシステム管理者が許可指定したファイルを示す許可ファイルリストと、前記ファイル操作の呼び出しの対象がシステム管理者が拒否指定したファイルを示す拒否ファイルリストと、前記許可ファイルリストを自動更新する更新手段とを備え、
管理対象の計算機各々に、前記ファイル操作の呼び出しに対して割込みを行って前記システム管理者の認めないファイル操作の呼び出しを補足すフック手段と、前記拒否ファイルリストに載っているファイルに対する前記ファイル操作の呼び出しを禁止する手段と、前記許可ファイルリストに載っていないファイルに対する前記ファイル操作の呼び出しを禁止する手段とを備えている。 A computer system according to the present invention is a computer system comprising a plurality of computers,
On the management computer, a file list that indicates the file that is specified by the system administrator for the file operation call by the operating system, and a file that is specified by the system administrator for the file operation call is rejected. A file list, and update means for automatically updating the allowed file list,
Hook means for interrupting the file operation call to each managed computer and supplementing the file operation call not approved by the system administrator, and the file operation on the file on the reject file list And a means for prohibiting the file operation call for a file not included in the permitted file list.

本発明による計算機は、オペレーティングシステムによるファイル操作の呼び出しの対象がシステム管理者が許可指定したファイルを示す許可ファイルリストと、前記ファイル操作の呼び出しの対象がシステム管理者が拒否指定したファイルを示す拒否ファイルリストと、前記許可ファイルリストを自動更新する更新手段と、前記ファイル操作の呼び出しに対して割込みを行って前記システム管理者の認めないファイル操作の呼び出しを補足すフック手段と、前記拒否ファイルリストに載っているファイルに対する前記ファイル操作の呼び出しを禁止する手段と、前記許可ファイルリストに載っていないファイルに対する前記ファイル操作の呼び出しを禁止する手段とを備えている。   In the computer according to the present invention, a file operation call target by the operating system is a permitted file list indicating a file specified by the system administrator, and a file operation call target is a rejection indicating the file specified by the system administrator. A file list; update means for automatically updating the permitted file list; hook means for interrupting the file operation call and supplementing the file operation call not approved by the system administrator; and the reject file list Means for prohibiting the call of the file operation for the file listed in the file, and means for prohibiting the call of the file operation for the file not listed in the permitted file list.

本発明によるファイル操作限定方法は、複数の計算機からなる計算機システムに用いるファイル操作限定方法であって、
管理用の計算機が、オペレーティングシステムによるファイル操作の呼び出しの対象がシステム管理者が許可指定したファイルを示す許可ファイルリストと、前記ファイル操作の呼び出しの対象がシステム管理者が拒否指定したファイルを示す拒否ファイルリストとを保持し、前記許可ファイルリストを自動更新し、
管理対象の計算機各々が、前記ファイル操作の呼び出しに対して割込みを行って前記システム管理者の認めないファイル操作の呼び出しを補足し、前記拒否ファイルリストに載っているファイルに対する前記ファイル操作の呼び出しを禁止し、前記許可ファイルリストに載っていないファイルに対する前記ファイル操作の呼び出しを禁止している。 The file operation limiting method according to the present invention is a file operation limiting method used in a computer system composed of a plurality of computers,
The management computer allows the operating system to call a file operation that is permitted by the system administrator and lists the permitted files. The file operation is called by the system administrator and designates a file that is rejected by the system administrator. File list and automatically update the allowed file list,
Each of the computers to be managed interrupts the file operation call to supplement the file operation call that is not allowed by the system administrator, and calls the file operation call for the file on the reject file list. The file operation is prohibited from being called for a file that is prohibited and is not on the permitted file list.

本発明による他のファイル操作限定方法は、計算機に、オペレーティングシステムによるファイル操作の呼び出しの対象がシステム管理者が許可指定したファイルを示す許可ファイルリストと、前記ファイル操作の呼び出しの対象がシステム管理者が拒否指定したファイルを示す拒否ファイルリストとを保持し、
前記計算機が、前記許可ファイルリストを自動更新する更新処理と、前記ファイル操作の呼び出しに対して割込みを行って前記システム管理者の認めないファイル操作の呼び出しを補足すフック処理と、前記拒否ファイルリストに載っているファイルに対する前記ファイル操作の呼び出しを禁止する処理と、前記許可ファイルリストに載っていないファイルに対する前記ファイル操作の呼び出しを禁止する処理とを実行している。 In another file operation limiting method according to the present invention, the computer includes a permission file list indicating a file that is called by a system administrator for a file operation call by an operating system, and the file operation call target is a system administrator. Maintains a reject file list indicating the files specified
An update process in which the computer automatically updates the permitted file list; a hook process for interrupting the file operation call and supplementing a file operation call that is not permitted by the system administrator; and the reject file list The process for prohibiting the file operation call for the file listed in the file and the process for prohibiting the file operation call for the file not listed in the permitted file list are executed.

本発明によるプログラムは、オペレーティングシステムによるファイル操作の呼び出しの対象がシステム管理者が許可指定したファイルを示す許可ファイルリストと、前記ファイル操作の呼び出しの対象がシステム管理者が拒否指定したファイルを示す拒否ファイルリストとを保持する計算機に、
前記許可ファイルリストを自動更新する更新処理と、
前記ファイル操作の呼び出しに対して割込みを行って前記システム管理者の認めないファイル操作の呼び出しを補足すフック処理と、
前記拒否ファイルリストに載っているファイルに対する前記ファイル操作の呼び出しを禁止する処理と、
前記許可ファイルリストに載っていないファイルに対する前記ファイル操作の呼び出しを禁止する処理とを実行させている。 The program according to the present invention includes a permission file list indicating a file specified by a system administrator as a target of a file operation call by the operating system, and a rejection indicating a file specified as a rejection by the system administrator as a target of the file operation call. In the computer that holds the file list,
An update process for automatically updating the allowed file list;
A hook process for interrupting the file operation call and supplementing the file operation call not allowed by the system administrator;
A process for prohibiting the file operation from being called for a file on the reject file list;
And a process for prohibiting the calling of the file operation on a file not on the permitted file list.

すなわち、本発明の計算機システムは、オペレーティングシステムのアクセス権限設定とは別にファイル書込み、削除、移動、名前の変更、プロセスの生成、ライブラリの読込み時に割込み、予めシステム管理者が管理サーバ側で設定したファイルのみ、実行、書込み、移動、削除、名前の変更等の操作を許すことで、クライアントのユーザが権限を持つファイル操作であっても、ファイル、フォルダ単位で、システム管理者が認めた以外の操作を行えないようにしている。   That is, the computer system of the present invention interrupts when writing, deleting, moving, renaming, creating a process, reading a library separately from the operating system access authority setting, and is set in advance by the system administrator on the management server side. By allowing operations such as execution, writing, moving, deleting, renaming, etc. only for files, even if the file operation is authorized by the client user, it is not permitted by the system administrator for each file or folder. The operation is disabled.

また、本発明の計算機システムでは、その管理手法として管理用計算機に予めクライアントでの実行を許可するファイルと許可しないファイルとのリストを持たせ、それを利用して、クライアント毎の許可ファイルリストを自動もしくは最小限の手間で作成している。   In the computer system of the present invention, as a management method, the management computer has a list of files that are allowed to be executed on the client in advance and files that are not allowed to be used. Created automatically or with minimal effort.

さらに、本発明の計算機システムでは、システム管理者の許可した正統な署名のあるアプリケーションのインストールに関してはインストーラの実行と、それによって追加されたソフトウェアの実行とを認めることで、ソフトウェアの追加インストール時にシステム管理者が個々のクライアントに対し、許可するファイルのリストを更新する作業を削減している。   Furthermore, in the computer system of the present invention, regarding the installation of an application with a legitimate signature authorized by the system administrator, the execution of the installer and the execution of the software added thereby are permitted, so that the system is added at the time of additional installation of the software. The administrator has reduced the work of updating the list of allowed files for each client.

より具体的に説明すると、本発明の計算機システムでは、オペレーティングシステムによるファイル書込み、移動、削除、名前の変更、プロセスの生成、ライブラリの読込み等のファイル操作呼び出しに割込み、システム管理者の認めないファイル操作の呼び出しを補足し、警告メッセージ等の本来の結果以外の処理を返すフック手法を提供する。   More specifically, the computer system of the present invention interrupts file operation calls such as file write, move, delete, rename, process creation, library read, etc. by the operating system, and does not allow the system administrator. A hook method that supplements the operation call and returns processing other than the original result such as a warning message is provided.

このフック手法を用いることで、本発明の計算機システムでは、例えクライアントの管理者権限の保有者であっても、システム管理者が拒否指定したクライアント上のウェブコンテンツや設定ファイル等、変更されたくないフォルダ、ファイルに関する移動、削除、名前変更、書込み等の改ざん行為を禁止している。   By using this hook method, in the computer system of the present invention, even if the client has administrator authority, it is not desired to change the web contents and setting files on the client that the system administrator has specified to reject. Tampering such as moving, deleting, renaming, writing, etc. is prohibited for folders and files.

また、本発明の計算機システムでは、プロセスの作成、ライブラリのロードをフック(捕捉)し、プロセスを作成するファイルが許可ファイルリストに載っているかをチェックすることで、許可ファイルリストにないファイルの実行を禁止し、持ち込まれたファイルや改ざんされたファイルの実行、ロードを防止している。   The computer system of the present invention hooks (captures) process creation and library loading, and checks whether the file that creates the process is on the permitted file list, thereby executing a file that is not in the permitted file list. Prohibits the execution and loading of files brought in or altered.

さらに、本発明の計算機システムでは、予めシステム管理者がクライアント上で、実行を許可する実行ファイル及びライブラリのリスト(許可テンプレート)と、実行を拒否する実行ファイル及びライブラリのリスト(拒否テンプレート)とを管理サーバに保持し、クライアントから送られてきたクライアント上の全実行ファイル及びライブラリ情報と、それらのテンプレートとの比較を行うことで、クライアント上での実行許可を行うファイルのリスト(許可ファイルリスト)作成の手間を削減し、許可ファイルリストをクライアントに配布する手段を提供することで、設定を簡易化している。   Furthermore, in the computer system according to the present invention, a list of executable files and libraries that are allowed to be executed by a system administrator (permission template) and a list of executable files and libraries that are rejected to be executed (rejected templates) on the client in advance. A list of files that are permitted to be executed on the client by comparing all the executable files and library information on the client that are stored in the management server and sent from the client with those templates (permitted file list) The setting is simplified by providing a means to distribute the permitted file list to the client by reducing the time and effort of creation.

さらにまた、本発明の計算機システムでは、新規ファイルに対して、許可テンプレート、拒否テンプレートの更新手段をも提供し、一度、手動で許可設定したファイルに対して改めて設定しなおす必要がないようにしている。   Furthermore, the computer system of the present invention also provides a means for updating a permission template and a rejection template for a new file so that it is not necessary to set a new permission file once again. Yes.

上記のように、本発明の計算機システムでは、クライアントにおいて、システム管理者の認めた署名のあるファイルからインストールしたソフトウェアが、システム管理者に改めて許可ファイルリストを発行されずとも、実行が可能となる。本発明の計算機システムでは、システム管理者の認めた署名付きファイルによってインストールされたファイルを記録し、許可ファイルリストに追加することで、システム管理者の認めた署名付きのソフトウェアインストール時の管理のリスト再発行の手間をなくしている。   As described above, in the computer system of the present invention, software installed from a file with a signature approved by the system administrator can be executed on the client even if the permitted file list is not issued again to the system administrator. . In the computer system according to the present invention, a file installed by a signed file approved by the system administrator is recorded and added to the permitted file list, so that a list of management at the time of software installation signed by the system administrator is obtained. Eliminates the hassle of reissuing.

また、本発明の計算機システムでは、システム管理者が管理サーバ上で持つ許可テンプレートと拒否テンプレートとに記載されていないファイルがクライアント上に発見された場合、システム管理者が新たに発見されたファイルに対して行った実行許可を許可テンプレートや拒否テンプレートに追加することで、それ以降、同じファイルに対して設定しなおす必要がなくなり、作業の削減につながる。この場合、本発明の計算機システムでは、実行許可を許可テンプレートや拒否テンプレートに追加する作業を自動設定にしておくことで、システム管理者が手動で設定する必要がなくなり、設定を自動化することが可能となる。   Further, in the computer system of the present invention, when a file that is not described in the permission template and the rejection template that the system administrator has on the management server is found on the client, the system administrator creates a newly discovered file. By adding the execution permission made to the permission template and the denial template, it is not necessary to set the same file again thereafter, leading to a reduction in work. In this case, in the computer system of the present invention, by automatically setting the work to add execution permission to the permission template or the rejection template, it is not necessary for the system administrator to manually set, and the setting can be automated. It becomes.

本発明は、上記のような構成及び動作とすることで、予めファイルアクセス権設定が行われていないファイルに対しても管理者の管理の基で実行されたファイルに対するアクセス権の設定を行うことができるという効果が得られる。   The present invention has the configuration and operation as described above, so that the access right can be set for a file that has been executed under the management of the administrator even for a file for which the file access right has not been set in advance. The effect of being able to be obtained.

次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例による計算機システムの構成を示すブロック図である。図1において、本発明の一実施例による計算機システムは、管理用計算機(管理サーバ1)と、被アクセス制御の管理対象の計算機群[クライアント(#1〜#N)2−1〜2−N]とから構成されている。   Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing the configuration of a computer system according to an embodiment of the present invention. 1, a computer system according to an embodiment of the present invention includes a management computer (management server 1) and a computer group [clients (# 1 to #N) 2-1 to 2-N to be controlled for access control. ].

管理サーバ1にはすべてのクライアント(#1〜#N)2−1〜2−Nにおいて許可する実行ファイル及びライブラリのファイルを一意に特定できる情報を保持する許可テンプレート11と、実行を許可しない実行ファイル及びライブラリのファイルを一意に特定できる情報を保持する拒否テンプレート12とが記憶されている。   The management server 1 includes a permission template 11 that holds information that can uniquely identify executable files and library files that are permitted in all clients (# 1 to #N) 2-1 to 2-N, and execution that does not allow execution. A rejection template 12 that stores information that can uniquely identify a file and a library file is stored.

クライアント(#1〜#N)2−1〜2−Nは全て同様の構成となっているが、以下、クライアント(#T)2−Tについて説明する。クライアント(#T)2−Tは、ファイルシステムフィルタドライバやシステムの書換え等によるフック手法22を持つ。また、クライアント(#T)2−Tは、ファイル、フォルダをフルパス名で指定した許可ファイルリスト24と、拒否フォルダ/ファイルリスト25とを持つ。   The clients (# 1 to #N) 2-1 to 2-N have the same configuration, but the client (#T) 2-T will be described below. The client (#T) 2-T has a hook method 22 by a file system filter driver or system rewriting. Further, the client (#T) 2-T has a permitted file list 24 in which files and folders are specified by a full path name, and a reject folder / file list 25.

クライアント(#T)2−Tのプロセス呼び出し元21が、システム23[例えば、OS(Operating System)等]を呼出そうとした場合、フック手法22によってその呼出しが割り込まれ、許可ファイルリスト24、拒否フォルダ/ファイルリスト25で規定した条件に適合したプロセスの呼び出しであるかどうかのチェックを受ける。   When the process call source 21 of the client (#T) 2 -T attempts to call the system 23 [for example, OS (Operating System) etc.], the call is interrupted by the hook method 22, and the permitted file list 24 is rejected. A check is made to see if the process is a call that conforms to the conditions specified in the folder / file list 25.

チェックによって許可されたプロセスの呼出しはシステム23まで届くが、許可されない呼出しはフック手法22によって補足され、システム23には届かず、ユーザに対してチェックの結果を警告メッセージとして表示し、ログに記録する。   The process call permitted by the check reaches the system 23, but the call not permitted is supplemented by the hook method 22 and does not reach the system 23. The result of the check is displayed as a warning message to the user and recorded in the log. To do.

図2は図1の管理サーバ1の構成例を示すブロック図である。図2において、管理サーバ1はCPU(中央処理装置)13と、CPU13が実行する制御プログラム14aを保持するメインメモリ14と、CPU13が制御プログラム14aを実行する際に使用する情報(例えば、許可テンプレート11や拒否テンプレート12等)を記憶する記憶部15と、クライアント(#1〜#N)2−1〜2−Nとの情報のやり取りを行うためのIF(インタフェース)部16とから構成されている。また、CPU13、メインメモリ14、記憶部15、IF部16はそれぞれ内部バス110に接続されており、相互にデータのやり取りが可能となっている。   FIG. 2 is a block diagram showing a configuration example of the management server 1 of FIG. In FIG. 2, the management server 1 includes a CPU (central processing unit) 13, a main memory 14 holding a control program 14a executed by the CPU 13, and information (for example, a permission template) used when the CPU 13 executes the control program 14a. 11 and rejection template 12) and an IF (interface) unit 16 for exchanging information with clients (# 1 to #N) 2-1 to 2-N. Yes. Further, the CPU 13, the main memory 14, the storage unit 15, and the IF unit 16 are each connected to the internal bus 110, and can exchange data with each other.

図3は図1のクライアント(#1〜#N)2−1〜2−Nの構成例を示すブロック図である。図3において、クライアント2はCPU26と、CPU26が実行する制御プログラム27aを保持するメインメモリ27と、CPU26が制御プログラム27aを実行する際に使用する情報(例えば、フック手法のツール22、許可ファイルリスト24、拒否フォルダ/ファイルリスト25等)を記憶する記憶部28と、管理サーバ1や他のクライアントとの情報のやり取りを行うためのIF部29とから構成されている。また、CPU26、メインメモリ27、記憶部28、IF部29はそれぞれ内部バス210に接続されており、相互にデータのやり取りが可能となっている。尚、クライアント(#1〜#N)2−1〜2−Nは上記のクライアント2と同様の構成となっている。また、記憶部28には、OS(制御プログラム27a)以外のシステム23を記憶しておいても良い。   FIG. 3 is a block diagram showing a configuration example of the clients (# 1 to #N) 2-1 to 2-N in FIG. In FIG. 3, the client 2 includes a CPU 26, a main memory 27 holding a control program 27a executed by the CPU 26, and information used when the CPU 26 executes the control program 27a (for example, the hook method tool 22, the permitted file list). 24, a reject folder / file list 25, etc.) and an IF unit 29 for exchanging information with the management server 1 and other clients. The CPU 26, the main memory 27, the storage unit 28, and the IF unit 29 are connected to the internal bus 210, respectively, and can exchange data with each other. The clients (# 1 to #N) 2-1 to 2-N have the same configuration as the client 2 described above. The storage unit 28 may store a system 23 other than the OS (control program 27a).

図4は図1のクライアント(#T)2−Tの動作を示すフローチャートであり、図5は本発明の一実施例における全実行ファイル、ライブラリ識別リストの構成を示す図であり、図6は図1の管理サーバ1の動作を示すフローチャートであり、図7及び図8は図1の許可ファイルリスト24の作成処理を示すフローチャートであり、図9は図1のクライアント(#T)2−T上でのファイル実行時、ライブラリロード時の動作を示すフローチャートであり、図10は図1のクライアント(#T)2−T上でのファイル操作の動作を示すフローチャートである。   4 is a flowchart showing the operation of the client (#T) 2-T in FIG. 1, FIG. 5 is a diagram showing the configuration of all execution files and library identification lists in one embodiment of the present invention, and FIG. 7 is a flowchart showing the operation of the management server 1 in FIG. 1, FIGS. 7 and 8 are flowcharts showing the creation processing of the permitted file list 24 in FIG. 1, and FIG. 9 is the client (#T) 2-T in FIG. FIG. 10 is a flowchart showing the operation of file operation on the client (#T) 2-T of FIG. 1.

これら図1〜図10を参照して本発明の一実施例による計算機システムの動作について説明する。尚、図6〜図8に示す処理は管理サーバ1のCPU13が制御プログラム14aを実行することで実現され、図4と図9と図10とに示す処理はクライアント(#T)2−TのCPU26が制御プログラム27aを実行することで実現される。尚、クライアント(#T)2−T以外の他のクライアントも、クライアント(#T)2−Tと同様の動作を行うが、その説明については省略する。   The operation of the computer system according to an embodiment of the present invention will be described with reference to FIGS. The processing shown in FIGS. 6 to 8 is realized by the CPU 13 of the management server 1 executing the control program 14a, and the processing shown in FIGS. 4, 9, and 10 is performed by the client (#T) 2-T. This is realized by the CPU 26 executing the control program 27a. Other clients other than the client (#T) 2-T perform the same operation as the client (#T) 2-T, but the description thereof is omitted.

まず、クライアント(#T)2−Tの初期設定について説明する。クライアント(#T)2−Tでは、書込み、移動、削除、名前の変更等のファイル操作をさせたくないパス付きのフォルダ、ファイル名をリスト化した拒否フォルダ/ファイルリスト25を作成する(図4ステップS1)。拒否フォルダ/ファイルリスト25は拒否するパス付きのフォルダ名、またはパス付きのファイル名と、それらのフォルダ、ファイルに対して0個以上の特別に許可するファイルのパス付きファイル名を持つ。   First, the initial setting of the client (#T) 2-T will be described. The client (#T) 2-T creates a folder with a path and a reject folder / file list 25 in which the file names are not allowed to be written, moved, deleted, renamed, etc. (FIG. 4). Step S1). The reject folder / file list 25 has a folder name with a path to be rejected, or a file name with a path, and a file name with a path of zero or more specially permitted files for those folders and files.

尚、本実施例では、フック手法22によるファイル操作を限定するソフトウェア用の設定ファイル格納用フォルダ(許可ファイルリスト24、拒否フォルダ/ファイルリスト25の保存先)も改ざんを防ぐため、この拒否フォルダ/ファイルリスト25に記載する。   In this embodiment, the setting file storage folder for software that restricts the file operation by the hook method 22 (the storage destination of the permitted file list 24 and the reject folder / file list 25) is also protected from the falsification folder / This is described in the file list 25.

次に、クライアント(#T)2−Tは自端末内のすべての実行ファイル及びライブラリ各々のパス付きのファイル名とファイルを一意に特定できる情報とを持つ全実行ファイル、ライブラリ識別リストを作成する(図4ステップS2)。   Next, the client (#T) 2-T creates all executable files and library identification lists having file names with paths and information that can uniquely identify the files of all the executable files and libraries in the own terminal. (FIG. 4, step S2).

全実行ファイル、ライブラリ識別リストは、例えば、図5に示すように、少なくともパス付きのファイル名、一意にファイルを特定できる情報、許可フラグ(null/allow/deny)(初期値はNull)を持つ。ここで、実行ファイルとライブラリのファイルを一意に特定できる情報には、例えば、ファイルのMD5(Message Digest algorithm 5)やSHA−1(Secure Hash Algorithm−1)のようなハッシュ情報等の一意にファイルを特定できる手段を指す。   As shown in FIG. 5, for example, all executable files and the library identification list have at least a file name with a path, information that can uniquely identify the file, and a permission flag (null / allow / deny) (the initial value is Null). . Here, the information that can uniquely identify the execution file and the library file includes, for example, a unique file such as hash information such as MD5 (Message Digest algorithm 5) or SHA-1 (Secure Hash Algorithm-1) of the file. Means that can be identified.

図5において、フルパスのファイル名“C:¥Program File¥allow1¥app1.exe”は、ファイルを一意に特定する情報“6f9e8d46c4e5afa1ee5a881114ee3b9e”と、許可フラグ“Null”と、その他の情報とに対応付けられている。フルパスのファイル名“C:¥Program File¥allow1¥app2.exe”は、ファイルを一意に特定する情報“8a5e7f9da6421cfae085d7f8aab673365”と、許可フラグ“Null2と、その他の情報とに対応付けられている。   In FIG. 5, the full path file name “C: \ Program File \ allow1 \ app1.exe” is associated with information “6f9e8d46c4e5afa1ee5a881114ee3b9e”, the permission flag “Null”, and other information that uniquely specify the file. ing. The full path file name “C: \ Program File \ allow1 \ app2.exe” is associated with information “8a5e7f9da6421cfae085d7f8aab673365” that uniquely identifies the file, a permission flag “Null2,” and other information.

フルパスのファイル名“C:¥Program File¥deny1¥app3.exe”は、ファイルを一意に特定する情報“a6421cfe08d7f8ab633add89f32bcead”と、許可フラグ“Null”と、その他の情報とに対応付けられている。フルパスのファイル名“C:¥Program File¥allow1¥app4.exe”は、ファイルを一意に特定する情報“78ecee31985acbd35d6a8abae90e3”と、許可フラグ“Null”と、その他の情報とに対応付けられている。フルパスのファイル名“C:¥Program File¥other¥app.exe”は、許可フラグ“Null”と、その他の情報とに対応付けられている。   The full path file name “C: \ Program File \ deny1 \ app3.exe” is associated with information “a6421cfe08d7f8ab633add89f32bcead” that uniquely identifies the file, permission flag “Null”, and other information. The full path file name “C: \ Program File \ allow1 \ app4.exe” is associated with information “78ace31985acbd35d6a8abae90e3” uniquely identifying the file, permission flag “Null”, and other information. The full path file name “C: \ Program File \ other \ app.exe” is associated with the permission flag “Null” and other information.

クライアント(#T)2−Tは上記のステップS1の処理で述べた拒否フォルダ/ファイルリスト25中の各フォルダ、ファイル項目毎に、特別にアクセスできるファイルに関するステップS2で得たパス付きのファイル名を追記しておく(図4ステップS3)。クライアント(#T)2−Tは設定ファイル格納用フォルダに対して、管理サーバ1上の設定ファイル更新に用いるファイルの情報も付加する。これは、この情報を付加しない場合、許可リスト、拒否ファイル、フォルダの更新等の設定ファイルの変更ができなくなるためである。   The client (#T) 2 -T obtains the file name with the path obtained in step S 2 regarding the specially accessible file for each folder and file item in the reject folder / file list 25 described in the process of step S 1 above. Is added (step S3 in FIG. 4). The client (#T) 2-T also adds file information used for updating the setting file on the management server 1 to the setting file storage folder. This is because, when this information is not added, it is impossible to change the setting file such as an allow list, a reject file, and a folder update.

クライアント(#T)2−Tは、管理サーバ1へ拒否フォルダ/ファイルリスト25と全実行ファイル、ライブラリ識別リスト情報とを送る(図4ステップS4)。また、クライアント(#T)2−Tは、管理サーバ1からシステム管理者の認めた許可ファイルリスト24と拒否フォルダ/ファイルリスト25とを得る(図4ステップS5)。これらのリストは、上記のステップS1の処理で作成した拒否フォルダ/ファイルリスト25で記載した設定ファイル格納用フォルダに格納する。   The client (#T) 2-T sends the reject folder / file list 25, all executable files, and library identification list information to the management server 1 (step S4 in FIG. 4). Further, the client (#T) 2-T obtains the permitted file list 24 and the reject folder / file list 25 approved by the system administrator from the management server 1 (step S5 in FIG. 4). These lists are stored in the setting file storage folder described in the reject folder / file list 25 created in the process of step S1.

これらの処理を実行した後に、クライアント(#T)2−Tは、アクセス制限を有効にしてアクセス制限を開始する(図4ステップS6)。   After executing these processes, the client (#T) 2-T activates the access restriction and starts the access restriction (step S6 in FIG. 4).

続いて、管理サーバ1の初期設定について説明する。管理サーバ1は、すべてのクライアント(#1〜#N)2−1〜2−Nにおいて許可する実行ファイルとライブラリのファイルとを一意に特定できる情報を許可テンプレート11に、実行を許可しない実行ファイルとライブラリのファイルとを一意に特定できる情報を拒否テンプレート12にそれぞれ保持しておく。許可テンプレート11及び拒否テンプレート12には、ファイルを一意に特定できる情報だけでも良いが、後の編集の利便性を考えて、ファイルを一意に特定できる情報に対応した任意の名前を持たせても良い。   Next, the initial setting of the management server 1 will be described. The management server 1 uses the permission template 11 for information that can uniquely identify the executable file and the library file that are permitted in all the clients (# 1 to #N) 2-1 to 2-N, and the executable file that is not permitted to be executed. And the information for uniquely identifying the library file are held in the reject template 12 respectively. The permission template 11 and the rejection template 12 may be only information that can uniquely identify the file, but may have arbitrary names corresponding to the information that can uniquely identify the file for the convenience of later editing. good.

管理サーバ1は、クライアント(#T)2−Tから全実行ファイル、ライブラリ識別リストを受取る(図6ステップS11)。管理サーバ1は、全実行ファイル、ライブラリ識別リストの各ファイル情報から、次に説明するステップS21〜S24の手法で許可ファイルリスト24を作成する(図6ステップS12)。   The management server 1 receives all the executable files and the library identification list from the client (#T) 2-T (step S11 in FIG. 6). The management server 1 creates the permitted file list 24 from the file information of all the executable files and the library identification list by the method of steps S21 to S24 described below (step S12 in FIG. 6).

すなわち、管理サーバ1は、クライアント(#T)2−Tから受け取った全実行ファイル、ライブラリ識別リストのファイルを一意に特定できる情報が、拒否テンプレート12に記載されているかどうかの確認を行う(図7ステップS21)。管理サーバ1は、全実行ファイル、ライブラリ識別リスト上に、拒否テンプレート12に記載されているファイルを一意に特定できる情報があった場合、クライアント(#T)2−Tから受け取った全実行ファイル、ライブラリ識別リストの許可フラグに“deny”を入れる(図7ステップS22)。   That is, the management server 1 confirms whether or not the information that can uniquely identify all executable files and library identification list files received from the client (#T) 2-T is described in the reject template 12 (FIG. 7 step S21). When there is information that can uniquely identify the file described in the reject template 12 on the all execution file / library identification list, the management server 1 receives all the execution files received from the client (#T) 2-T, “Deny” is entered in the permission flag of the library identification list (step S22 in FIG. 7).

管理サーバ1は、拒否テンプレート12上の一意にファイルを特定できる情報が一致しなかった場合、クライアント(#T)2−Tに実行、ロードを許すファイルを記載する許可リストの作成にあたり、許可テンプレート11にも拒否テンプレート12にも載っていないファイルの許可フラグを手動で選ぶ設定になっているか、管理者の手を入れずに自動で選択する設定になっているかを判定する(図7ステップS24)。尚、この手動、自動の設定は、予め管理サーバ1上でシステム管理者が行っておく。   When the information that can uniquely specify a file on the rejection template 12 does not match, the management server 1 creates a permission list that describes files that are allowed to be executed and loaded by the client (#T) 2-T. It is determined whether the setting is to manually select a permission flag for a file that is not included in the refusal template 12 or the refusal template 12 or to be set to select automatically without entering the administrator's hand (step S24 in FIG. 7). ). The manual and automatic settings are made in advance by the system administrator on the management server 1.

管理サーバ1は、手動で設定しない(自動で許可するファイルを選択する)設定になっている場合、許可テンプレート11にも拒否テンプレート12にも記載されていないファイルはドライバ等のロードの不具合を防ぐために、実行、ロードの許可(許可フラグ←allow)を設定することとする(図7ステップS27)。これによって、システム管理者が手動で許可を設定する必要がなくなり、管理者不在でも、ステップS27,S24,S13〜S15までの処理を自動化することも可能である。   If the management server 1 is set not to be manually set (automatically select a file to be allowed), files that are not described in either the allow template 11 or the reject template 12 are prevented from loading problems such as drivers. Therefore, permission for execution and loading (permission flag ← allow) is set (step S27 in FIG. 7). As a result, it is not necessary for the system administrator to manually set the permission, and it is possible to automate the processes of steps S27, S24, and S13 to S15 even without the administrator.

管理サーバ1は、手動で設定する場合、許可テンプレート11に対象ファイルがあるかどうかをチェックし(図7ステップS25)、許可テンプレート11にある場合、許可フラグに“allow”を設定する(図7ステップS26)。   When setting manually, the management server 1 checks whether there is a target file in the permission template 11 (step S25 in FIG. 7), and if it is in the permission template 11, sets “allow” in the permission flag (FIG. 7). Step S26).

管理サーバ1は、許可テンプレート11に対象ファイルがない場合、対象ファイルの実行、ロードを許可するかを選択し(図8ステップS28)、許可する場合、許可フラグに“allow”を設定する(図8ステップS29)。続いて、管理サーバ1は、この設定を許可テンプレート11に追加するかどうかを選択し(図8ステップS30)、追加する場合、このファイルのファイルを一意に特定できる情報を許可テンプレート11に追加する(図8ステップS31)。   When there is no target file in the permission template 11, the management server 1 selects whether to permit execution and loading of the target file (step S28 in FIG. 8), and when permitting, sets “allow” in the permission flag (FIG. 8). 8 step S29). Subsequently, the management server 1 selects whether or not to add this setting to the permission template 11 (step S30 in FIG. 8). When adding, information that can uniquely identify the file of this file is added to the permission template 11. (FIG. 8, step S31).

また、管理サーバ1は、実行、ロードを許可しない場合、このファイルに対して許可フラグに“deny”を設定する(図8ステップS32)。続いて、管理サーバ1は、このファイルを拒否テンプレート12に追加するかどうかを選択し(図8ステップS33)、追加する場合、このファイルについてパス付きファイル名とファイルを一意に特定できる情報とを拒否テンプレート12に追加する(図8ステップS34)。   If the execution or load is not permitted, the management server 1 sets “deny” in the permission flag for this file (step S32 in FIG. 8). Subsequently, the management server 1 selects whether or not to add this file to the reject template 12 (step S33 in FIG. 8), and when adding, adds a file name with a path and information that can uniquely identify the file. It adds to the refusal template 12 (step S34 of FIG. 8).

上記のステップS31,S34の処理によって、許可テンプレート11、拒否テンプレート12は更新され、より多くのファイルの許可設定をシステム管理者が手動で設定する必要なしに行えるようになる。   Through the processes in steps S31 and S34, the permission template 11 and the rejection template 12 are updated, and it becomes possible to set permission of more files without the system administrator having to set manually.

管理サーバ1は上記のステップS21,S22,S24〜S34までの処理で許可フラグに“allow”のついたファイルのパス付きファイル名を、クライアント(#T)2−Tへの配布用の許可ファイルリスト24に書出す(図7ステップS23)。このファイルに記載したファイルのみがクライアント(#T)2−T上で、実行、ロード可能となる。   The management server 1 assigns the file name with the path of the file with the permission flag “allow” to the client (#T) 2 -T for distribution to the client (#T) 2 -T in the above steps S 21, S 22, S 24 to S 34. The data is written in the list 24 (step S23 in FIG. 7). Only the files described in this file can be executed and loaded on the client (#T) 2-T.

管理サーバ1は必要に応じて、クライアント(#T)2−Tから送られてきた拒否フォルダ/ファイルリスト25の編集を行うかどうかを判定する(図6ステップS13)。管理サーバ1は、拒否フォルダ/ファイルリスト25を編集する場合、クライアント(#T)2−T上でファイルの変更を禁止する拒否フォルダ、拒否ファイルと、例外的にそのフォルダ、ファイルへのファイル変更操作を行える特別許可ファイルを決定する(図6ステップS14)。尚、特別許可ファイルは、許可ファイルリスト24に記載されているファイルから選択する。   The management server 1 determines whether or not to edit the reject folder / file list 25 sent from the client (#T) 2-T as necessary (step S13 in FIG. 6). When the management server 1 edits the refusal folder / file list 25, the refusal folder and the refusal file that prohibit the change of the file on the client (#T) 2-T, and exceptionally the file change to the folder or file. A special permission file that can be operated is determined (step S14 in FIG. 6). The special permission file is selected from the files described in the permission file list 24.

管理サーバ1は、クライアント(#T)2−Tから送信される拒否フォルダ/ファイルリスト25をシステム管理者が信頼する場合、予め管理サーバ1上で拒否フォルダ/ファイルリスト25を編集しないように設定しておくことで、編集処理をスキップし、処理を自動化する。   When the system administrator trusts the reject folder / file list 25 transmitted from the client (#T) 2-T, the management server 1 is set not to edit the reject folder / file list 25 on the management server 1 in advance. By doing so, the editing process is skipped and the process is automated.

管理サーバ1は、上記の処理で編集した許可ファイルリスト24、拒否フォルダ/ファイルリスト25をクライアント(#T)2−Tに送信する(図6ステップS15)。   The management server 1 transmits the permitted file list 24 and the reject folder / file list 25 edited by the above processing to the client (#T) 2-T (step S15 in FIG. 6).

続いて、クライアント(#T)2−T上でのファイル実行時、ライブラリロード時について説明する。クライアント(#T)2−Tは、ファイルの実行によるプロセスの作成呼び出し及びライブラリのロード呼び出しを行う際、フック手法22によってこれらの呼び出しをフック(捕捉)する(図9ステップS41)。   Next, a description will be given of file execution and library loading on the client (#T) 2-T. The client (#T) 2-T hooks (captures) these calls using the hook technique 22 when making a process creation call and a library load call by executing a file (step S41 in FIG. 9).

クライアント(#T)2−Tは、許可ファイルリスト24に記載されたファイルによる呼び出しであった場合(図9ステップS42)、プロセスの作成、ライブラリのロードを行う(図9ステップS43)。   When the client (#T) 2-T is a call by a file described in the permitted file list 24 (step S42 in FIG. 9), the client (#T) 2-T creates a process and loads a library (step S43 in FIG. 9).

クライアント(#T)2−Tは、許可ファイルリスト24に記載されていないファイルによる呼出しであった場合(図9ステップS42)、そのファイルにシステム管理者の認めた正統な署名がついているかどうかを判定する(図9ステップS44)。   If the client (#T) 2-T is a call by a file not listed in the permitted file list 24 (step S42 in FIG. 9), the client (#T) 2-T determines whether the file has a legitimate signature approved by the system administrator. Determination is made (step S44 in FIG. 9).

クライアント(#T)2−Tは、正統な署名が付いているのが確認できた場合、プロセスの作成を認め(図9ステップS45)、そのプロセスによって追加された実行ファイル、ライブラリのパス付きのファイル名を許可ファイルリスト24に追加する(図9ステップS46)。これによって、システム管理者の認めた正統な署名付きのインストーラによって追加インストールされたファイルの実行も許可される。   If the client (#T) 2-T confirms that it has a legitimate signature, it accepts the creation of the process (step S45 in FIG. 9), and adds the executable file and library path added by the process. The file name is added to the permitted file list 24 (step S46 in FIG. 9). This also allows the execution of additional files installed by legitimate signed installers approved by the system administrator.

クライアント(#T)2−Tは、正統な署名がなされていなかった場合、認めるファイルからの呼び出しではないので、ユーザに対してダイアログ等すぐにわかる手段で認められないファイルの実行があった旨、ファイル情報とともに警告メッセージを表示するとともに、ログにも記録する(図9ステップS47)。   If the client (#T) 2-T does not call from an approved file if the legitimate signature has not been made, the user (#T) 2-T has executed a file that is not allowed by means such as a dialog or the like that can be readily understood by the user. A warning message is displayed together with the file information and recorded in the log (step S47 in FIG. 9).

さらに、クライアント(#T)2−T上でファイル操作をする際の動作について説明する。クライアント(#T)2−Tは、フック手法22によって、クライアント(#T)2−Tにおいてファイルの書込み/移動/削除/名前変更等のファイル操作のシステム23への呼出しをフック(捕捉)する(図10ステップS51)。   Furthermore, an operation when performing a file operation on the client (#T) 2-T will be described. The client (#T) 2-T uses the hook method 22 to hook (capture) a call to the system 23 for file operations such as file writing / moving / deleting / renaming in the client (#T) 2-T. (FIG. 10, step S51).

クライアント(#T)2−Tは予め管理サーバ1から送られた拒否フォルダ/ファイルリスト25と許可ファイルリスト24とに操作対象のファイルが記載されているかをチェックし(図10ステップS52)、記載されていないファイルに関して、ファイル書込み/移動/削除/名前変更の実行操作を認める(図10ステップS56)。許可ファイルリスト24もチェックするのは、許可ファイルリスト24に記載のファイルの実行、ロード以外のファイル操作を禁止するためである。   The client (#T) 2-T checks whether the operation target file is described in the reject folder / file list 25 and the permitted file list 24 sent from the management server 1 in advance (step S52 in FIG. 10). For a file that has not been processed, an operation of executing file writing / moving / deleting / renaming is permitted (step S56 in FIG. 10). The permission file list 24 is also checked in order to prohibit file operations other than execution and loading of the files described in the permission file list 24.

記載されているファイルに関しては、拒否フォルダ/ファイルリスト25と比較してシステム管理者が認めた特別許可ファイルからの操作であるかどうかを判定し(図10ステップS53)、比較の結果、特別許可ファイルからの呼び出しであった場合、ファイル書込み/移動/削除/名前変更の実行操作を認める(図10ステップS56)。   Regarding the described file, it is determined whether or not the operation is from a special permission file approved by the system administrator in comparison with the reject folder / file list 25 (step S53 in FIG. 10). If the call is from a file, the file write / move / delete / rename execution operation is permitted (step S56 in FIG. 10).

クライアント(#T)2−Tは、特別許可ファイルからの呼び出しでなかった場合、呼び出し元のプロセスがシステム管理者の認める正統な署名付きファイルによるものであるかどうかをチェックし(図10ステップS54)、正統な署名が確認できた場合、ファイル書込み/移動/削除/名前変更の実行操作を認める(図10ステップS56)。   If the call is not made from the special permission file, the client (#T) 2-T checks whether the calling process is a legitimate signed file approved by the system administrator (step S54 in FIG. 10). If the legitimate signature is confirmed, the file write / move / delete / name change execution operation is permitted (step S56 in FIG. 10).

クライアント(#T)2−Tは、正統な署名が確認できなかった場合、ユーザに対し、ダイアログ等すぐにわかる手段で認められないファイルの実行があった旨、ファイル情報とともに警告メッセージを表示するとともに、ログにも記録し呼び出し結果を記録する(図10ステップS55)。   If the legitimate signature cannot be confirmed, the client (#T) 2-T displays a warning message together with the file information to the user that a file that cannot be recognized by means such as a dialog is recognized. At the same time, the result of the call is recorded in the log (step S55 in FIG. 10).

このように、本実施例では、許可ファイルリスト24にない実行ファイル、ライブラリの呼出しを検出し、警告メッセージを発し、ログを採取することによって、ユーザが権限を持つが、システム管理者が認めないファイルの実行、ロードを防ぐことができるので、システム管理者によって認められたアプリケーション以外はクライアント(#T)2−Tで実行することができないようにすることができる。   As described above, in the present embodiment, the user has authority by detecting an invocation of an executable file or library that is not in the permitted file list 24, issuing a warning message, and collecting a log, but the system administrator does not recognize it. Since the execution and loading of the file can be prevented, it is possible to prevent the client (#T) 2-T from executing other than the application approved by the system administrator.

また、本実施例では、システム管理者の認めた署名付きファイルによってインストールされたファイルを記録し、許可ファイルリスト24に追加することで、システム管理者の認めた署名付きのソフトウェアインストール時の管理のリスト再発行の手間をなくすことができるので、クライアント(#T)2−Tにおいて、システム管理者の認めた署名のあるファイルからインストールしたソフトウェアを、システム管理者に改めて許可ファイルリストの発行を依頼することなく、実行することができる。   Further, in this embodiment, a file installed by a signed file approved by the system administrator is recorded and added to the permitted file list 24, so that the management at the time of installing the signed software approved by the system administrator can be performed. Since the trouble of reissuing the list can be eliminated, the client (#T) 2-T requests the system administrator to issue the permitted file list again for the software installed from the file with the signature approved by the system administrator. Can be done without.

さらに、本実施例では、ファイル操作の呼出しをフック(捕捉)し、指定のフォルダ、ファイルに関する操作であった場合に操作を認めず、ユーザに対して、警告メッセージを発し、ログを採取することで改ざんを防ぐことができるので、システム管理者が指定したフォルダ中のファイルと直接指定したファイルとを、クライアント(#T)2−Tの管理者権限を持つユーザでも書込み、移動、削除、名前の変更等の読込み以外の操作をできなくさせることができる。但し、システム管理者が認めた特定のファイルが作成したプロセスからの変更、システム管理者の認めた正統な署名のついたファイルによるファイル操作の場合、その操作を認める。   Furthermore, in this embodiment, a file operation call is hooked (captured), and if it is an operation related to a specified folder or file, the operation is not permitted, a warning message is issued to the user, and a log is collected. Can prevent falsification, so even a user with administrator authority of client (#T) 2-T can write, move, delete, and name the file in the folder specified by the system administrator and the directly specified file. It is possible to disable operations other than reading, such as changing the password. However, in the case of a change from a process created by a specific file approved by the system administrator or a file operation with a legitimate signature approved by the system administrator, the operation is permitted.

さらにまた、本実施例では、システム管理者が管理サーバ1上でもつ、許可テンプレート11と拒否テンプレート12とに記載されていないファイルがクライアント(#T)2−T上に発見された場合、システム管理者が新たに発見されたファイルに対して行った、実行許可を許可テンプレート11、拒否テンプレート12に追加することで、それ以降、同じファイルに対して設定しなおす必要がなくなり、作業の削減につながる。また、ステップS23の処理にて自動設定にしておくことで、システム管理者が手動で設定する必要がなくなり、設定を自動化することができる。   Furthermore, in this embodiment, when a file that is not described in the permission template 11 and the rejection template 12 that the system administrator has on the management server 1 is found on the client (#T) 2-T, By adding execution permission for the newly discovered file to the permitted template 11 and rejected template 12, the administrator does not need to set the same file again, thereby reducing work. Connected. In addition, by setting the automatic setting in the process of step S23, it is not necessary for the system administrator to set manually, and the setting can be automated.

尚、本実施例による計算機システムの動作の説明では、クライアント(#T)2−Tにおける動作について説明したが、他のクライアントについても、クライアント(#T)2−Tと同様に動作させることができ、クライアント(#T)2−Tの場合と同様の効果を得ることができる。   In the description of the operation of the computer system according to this embodiment, the operation in the client (#T) 2-T has been described. However, other clients can be operated in the same manner as the client (#T) 2-T. The same effect as in the case of the client (#T) 2-T can be obtained.

図11は本発明の他の実施例による計算機システムの構成を示すブロック図である。図11において、本発明の他の実施例では、計算機3のみでの運用を可能とし、管理用計算機(管理サーバ)が存在しない点で、上述した本発明の一実施例とは異なる。   FIG. 11 is a block diagram showing the configuration of a computer system according to another embodiment of the present invention. In FIG. 11, another embodiment of the present invention differs from the above-described embodiment of the present invention in that operation with only the computer 3 is possible and there is no management computer (management server).

図11において、計算機3には、上述した本発明の一実施例におけるクライアント(#T)2−Tに管理ツール34を追加した点で、上述した本発明の一実施例とは異なる。つまり、計算機3は、プロセスの呼び出し元31、フック手法32、システム33、管理ツール34、許可ファイルリスト36と拒否フォルダ/ファイルリスト37を保持する記憶部35を持っている。管理ツール34は上述した本発明の一実施例における管理サーバ1の機能を含有する。   In FIG. 11, the computer 3 is different from the above-described embodiment of the present invention in that a management tool 34 is added to the client (#T) 2-T in the above-described embodiment of the present invention. That is, the computer 3 has a storage unit 35 that holds a process call source 31, a hook method 32, a system 33, a management tool 34, a permitted file list 36, and a reject folder / file list 37. The management tool 34 includes the function of the management server 1 in the above-described embodiment of the present invention.

図12は図11の計算機3の構成例を示すブロック図である。図12において、計算機3はCPU38と、CPU38が実行する制御プログラム39aを保持するメインメモリ39と、CPU38が制御プログラム39aを実行する際に使用する情報(例えば、フック手法のツール32、管理ツール34、許可ファイルリスト36、拒否フォルダ/ファイルリスト37等)を記憶する記憶部35と、管理サーバ1や他のクライアントとの情報のやり取りを行うためのIF部40とから構成されている。また、CPU38、メインメモリ39、記憶部35、IF部40はそれぞれ内部バス310に接続されており、相互にデータのやり取りが可能となっている。尚、記憶部35には、OS(制御プログラム39a)以外のシステム33を記憶しておいても良い。   FIG. 12 is a block diagram showing a configuration example of the computer 3 in FIG. In FIG. 12, the computer 3 includes a CPU 38, a main memory 39 holding a control program 39a executed by the CPU 38, and information used when the CPU 38 executes the control program 39a (for example, a hook method tool 32, a management tool 34). , A permitted file list 36, a reject folder / file list 37, etc.) and an IF unit 40 for exchanging information with the management server 1 and other clients. The CPU 38, the main memory 39, the storage unit 35, and the IF unit 40 are connected to the internal bus 310, respectively, and can exchange data with each other. The storage unit 35 may store a system 33 other than the OS (control program 39a).

図13は図11の計算機3の動作を示すフローチャートである。これら図11〜図13を参照して計算機3の動作について説明する。尚、本実施例では、上述した本発明の一実施例におけるステップS1〜S6,S11〜S15の処理の代わりに図139のステップS61〜S66の処理を用いる。また、図13に示す処理及び以下に述べる処理は計算機3のCPU38が制御プログラム39aを実行することで実現される。   FIG. 13 is a flowchart showing the operation of the computer 3 of FIG. The operation of the computer 3 will be described with reference to FIGS. In this embodiment, steps S61 to S66 in FIG. 139 are used instead of steps S1 to S6 and S11 to S15 in the above-described embodiment of the present invention. The processing shown in FIG. 13 and the processing described below are realized by the CPU 38 of the computer 3 executing the control program 39a.

管理ツール34にはパスワード等で使用制限をかけておき、計算機3は管理ツール34を管理者が使用可能状態にする(図13ステップS61)。計算機3は自端末上の全実行ファイル、ライブラリを検索し、全実行ファイル、ライブラリ識別リストを作成する(図6ステップS62)。   The management tool 34 is restricted in use by a password or the like, and the computer 3 makes the management tool 34 usable by the administrator (step S61 in FIG. 13). The computer 3 searches for all execution files and libraries on its own terminal, and creates all execution files and library identification lists (step S62 in FIG. 6).

計算機3は上述した本発明の一実施例におけるステップS21〜S34の処理を用いて、許可ファイルリスト36を作成し(図13ステップS63)、拒否フォルダ、ファイルを選択し、拒否フォルダ/ファイルリスト37を作成する(図13ステップS64)。   The computer 3 creates the permitted file list 36 by using the processing of steps S21 to S34 in the embodiment of the present invention described above (step S63 in FIG. 13), selects the reject folder and file, and rejects the folder / file list 37. Is created (step S64 in FIG. 13).

計算機3は上記のステップS64の処理で作成した拒否フォルダ/ファイルリスト37に特別許可ファイルのパス付きのファイル名を追加し(図13ステップS65)、アクセス制限を有効にし(図13ステップS66)、設定を終了する。   The computer 3 adds the file name with the path of the special permission file to the reject folder / file list 37 created in the process of step S64 (step S65 in FIG. 13), enables the access restriction (step S66 in FIG. 13), Finish the setting.

計算機3上でのファイル実行時、ライブラリロード時の動作手順については、上述した本発明の一実施例におけるステップS41〜S47の処理と同様であり、計算機3上でのファイル操作をする際の動作手順については、上述した本発明の一実施例におけるステップS51〜S56の処理と同様である。   The operation procedure when executing a file on the computer 3 and loading a library is the same as the processing in steps S41 to S47 in the embodiment of the present invention described above, and the operation when performing a file operation on the computer 3 The procedure is the same as the processing in steps S51 to S56 in the above-described embodiment of the present invention.

このように、本実施例では、計算機3内に、管理サーバ1の機能を含有する管理ツール34を設けることで、計算機3単体でも、上述した本発明の一実施例と同様の効果を得ることができる。   As described above, in this embodiment, by providing the management tool 34 containing the function of the management server 1 in the computer 3, the same effect as in the above-described embodiment of the present invention can be obtained even with the computer 3 alone. Can do.

本発明の一実施例による計算機システムの構成を示すブロック図である。It is a block diagram which shows the structure of the computer system by one Example of this invention. 図1の管理サーバの構成例を示すブロック図である。It is a block diagram which shows the structural example of the management server of FIG. 図1のクライアントの構成例を示すブロック図である。It is a block diagram which shows the structural example of the client of FIG. 図1のクライアント(#T)の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the client (#T) of FIG. 本発明の一実施例における全実行ファイル、ライブラリ識別リストの構成を示す図である。It is a figure which shows the structure of all the execution files in one Example of this invention, and a library identification list. 図1の管理サーバの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the management server of FIG. 図1の許可ファイルリストの作成処理を示すフローチャートである。It is a flowchart which shows the preparation process of the permission file list | wrist of FIG. 図1の許可ファイルリストの作成処理を示すフローチャートである。It is a flowchart which shows the preparation process of the permission file list | wrist of FIG. 図1のクライアント(#T)上でのファイル実行時、ライブラリロード時の動作を示すフローチャートである。6 is a flowchart showing operations when executing a file and loading a library on the client (#T) in FIG. 1. 図1のクライアント(#T)上でのファイル操作の動作を示すフローチャートである。7 is a flowchart showing file operation operations on the client (#T) in FIG. 1. 本発明の他の実施例による計算機システムの構成を示すブロック図である。It is a block diagram which shows the structure of the computer system by the other Example of this invention. 図11の計算機の構成例を示すブロック図である。It is a block diagram which shows the structural example of the computer of FIG. 図11の計算機の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the computer of FIG.

符号の説明Explanation of symbols

1 管理サーバ
2−1〜2−N クライアント(#1〜#N)
3 計算機
11 許可テンプレート
12 拒否テンプレート
13,26,38 CPU
14,27,39 メインメモリ
14a,27a,39a 制御プログラム
15,28,35 記憶部
16,29,40 IF部
21 プロセスの呼び出し元
22 フック手法
23 システム
24 許可ファイルリスト
25 拒否フォルダ/ファイルリスト
110,210,310 内部バス 1 management server
2-1 to 2-N clients (# 1 to #N)
3 Calculator
11 Authorization templates
12 Rejected Template 13, 26, 38 CPU
14, 27, 39 Main memory 14a, 27a, 39a Control program 15, 28, 35 Storage unit 16, 29, 40 IF unit
21 Process caller
22 Hook method
23 System
24 Allowed file list
25 Rejected folder / file list 110, 210, 310 Internal bus

Claims (29)

複数の計算機からなる計算機システムであって、
管理用の計算機に、オペレーティングシステムによるファイル操作の呼び出しの対象がシステム管理者が許可指定したファイルを示す許可ファイルリストと、前記ファイル操作の呼び出しの対象がシステム管理者が拒否指定したファイルを示す拒否ファイルリストと、前記許可ファイルリストを自動更新する更新手段とを有し、
管理対象の計算機各々に、前記ファイル操作の呼び出しに対して割込みを行って前記システム管理者の認めないファイル操作の呼び出しを補足すフック手段と、前記拒否ファイルリストに載っているファイルに対する前記ファイル操作の呼び出しを禁止する手段と、前記許可ファイルリストに載っていないファイルに対する前記ファイル操作の呼び出しを禁止する手段とを有することを特徴とする計算機システム。 A computer system comprising a plurality of computers,
On the management computer, a file list that indicates the file that is specified by the system administrator for the file operation call by the operating system, and a file that is specified by the system administrator for the file operation call is rejected. A file list, and update means for automatically updating the allowed file list,
Hook means for interrupting the file operation call to each managed computer and supplementing the file operation call not approved by the system administrator, and the file operation on the file on the reject file list A computer system, and means for prohibiting the file operation call for a file not on the permitted file list. 前記ファイル操作の呼び出しは、少なくともファイル書込み、移動、削除、名前の変更、プロセスの生成、ライブラリの読込みを含むことを特徴とする請求項1記載の計算機システム。   2. The computer system according to claim 1, wherein the file operation call includes at least file writing, moving, deleting, renaming, process generation, and library reading. 前記フック手段は、少なくとも警告メッセージを含む前記ファイル操作の呼び出しの結果以外の処理を返すことを特徴とする請求項1または請求項2記載の計算機システム。   3. The computer system according to claim 1, wherein the hook unit returns a process other than a result of the file operation call including at least a warning message. 前記フック手段は、前記システム管理者の認めた正統な署名のついたファイルに関して実行許可がなくてもインストール可能とすることを特徴とする請求項1から請求項3のいずれか記載の計算機システム。   The computer system according to any one of claims 1 to 3, wherein the hook unit can be installed without permission to execute a file with a legitimate signature approved by the system administrator. 前記更新手段は、前記システム管理者の認めた正統な署名の入ったインストーラでインストールされた実行ファイル、ライブラリを自動的に前記許可ファイルリストに追加することを特徴とする請求項4記載の計算機システム。   5. The computer system according to claim 4, wherein the updating unit automatically adds an executable file and a library installed by an installer with a legitimate signature approved by the system administrator to the permitted file list. . 前記管理用の計算機は、前記許可ファイルリストと前記拒否ファイルリストとに基づいて前記管理対象の計算機各々のファイル実行許可を自動設定することを特徴とする請求項1から請求項5のいずれか記載の計算機システム。   6. The management computer according to claim 1, wherein the management computer automatically sets the file execution permission of each of the management target computers based on the permission file list and the reject file list. Computer system. 前記更新手段は、前記許可ファイルリストと前記拒否ファイルリストとに記載されていないファイルの許可設定を行った際に前記許可ファイルリスト及び前記拒否ファイルリストを順次更新することを特徴とする請求項1から請求項6のいずれか記載の計算機システム。   The update means sequentially updates the permitted file list and the rejected file list when setting the permission of a file not described in the permitted file list and the rejected file list. The computer system according to claim 6. オペレーティングシステムによるファイル操作の呼び出しの対象がシステム管理者が許可指定したファイルを示す許可ファイルリストと、前記ファイル操作の呼び出しの対象がシステム管理者が拒否指定したファイルを示す拒否ファイルリストと、前記許可ファイルリストを自動更新する更新手段と、前記ファイル操作の呼び出しに対して割込みを行って前記システム管理者の認めないファイル操作の呼び出しを補足すフック手段と、前記拒否ファイルリストに載っているファイルに対する前記ファイル操作の呼び出しを禁止する手段と、前記許可ファイルリストに載っていないファイルに対する前記ファイル操作の呼び出しを禁止する手段とを有することを特徴とする計算機。   The permitted file list that indicates a file specified by the system administrator as a target of file operation invocation by the operating system, the denied file list that indicates a file specified by the system administrator as a target of the file operation call, and the permission Update means for automatically updating the file list, hook means for interrupting the file operation call and supplementing the file operation call not approved by the system administrator, and for the files on the reject file list A computer comprising: means for prohibiting file operation invocation; and means for prohibiting invocation of the file operation on a file not on the permitted file list. 前記ファイル操作の呼び出しは、少なくともファイル書込み、移動、削除、名前の変更、プロセスの生成、ライブラリの読込みを含むことを特徴とする請求項8記載の計算機。   9. The computer according to claim 8, wherein the file operation call includes at least file write, move, delete, rename, process creation, and library read. 前記フック手段は、少なくとも警告メッセージを含む前記ファイル操作の呼び出しの結果以外の処理を返すことを特徴とする請求項8または請求項9記載の計算機。   10. The computer according to claim 8, wherein the hook means returns a process other than a result of the file operation call including at least a warning message. 前記フック手段は、前記システム管理者の認めた正統な署名のついたファイルに関して実行許可がなくてもインストール可能とすることを特徴とする請求項8から請求項10のいずれか記載の計算機。   The computer according to any one of claims 8 to 10, wherein the hook means can be installed without permission to execute a file with a legitimate signature approved by the system administrator. 前記更新手段は、前記システム管理者の認めた正統な署名の入ったインストーラでインストールされた実行ファイル、ライブラリを自動的に前記許可ファイルリストに追加することを特徴とする請求項11記載の計算機。   12. The computer according to claim 11, wherein the updating unit automatically adds an executable file and a library installed by an installer with a legitimate signature approved by the system administrator to the permitted file list. 前記許可ファイルリストと前記拒否ファイルリストとに基づいて前記ファイルの実行許可を自動設定することを特徴とする請求項8から請求項12のいずれか記載の計算機。   13. The computer according to claim 8, wherein execution permission of the file is automatically set based on the permitted file list and the reject file list. 前記更新手段は、前記許可ファイルリストと前記拒否ファイルリストとに記載されていないファイルの許可設定を行った際に前記許可ファイルリスト及び前記拒否ファイルリストを順次更新することを特徴とする請求項8から請求項13のいずれか記載の計算機。   9. The update means sequentially updates the allowed file list and the reject file list when setting the permission of a file that is not described in the allowed file list and the reject file list. The computer according to claim 13. 複数の計算機からなる計算機システムに用いるファイル操作限定方法であって、
管理用の計算機が、オペレーティングシステムによるファイル操作の呼び出しの対象がシステム管理者が許可指定したファイルを示す許可ファイルリストと、前記ファイル操作の呼び出しの対象がシステム管理者が拒否指定したファイルを示す拒否ファイルリストとを保持し、前記許可ファイルリストを自動更新し、
管理対象の計算機各々が、前記ファイル操作の呼び出しに対して割込みを行って前記システム管理者の認めないファイル操作の呼び出しを補足し、前記拒否ファイルリストに載っているファイルに対する前記ファイル操作の呼び出しを禁止し、前記許可ファイルリストに載っていないファイルに対する前記ファイル操作の呼び出しを禁止することを特徴とするファイル操作限定方法。 A file operation limiting method used in a computer system composed of a plurality of computers,
The management computer allows the operating system to call a file operation that is permitted by the system administrator, and lists the permitted files that the file specified by the system administrator. File list and automatically update the allowed file list,
Each of the computers to be managed interrupts the file operation call to supplement the file operation call that is not permitted by the system administrator, and calls the file operation call for the file on the reject file list. A file operation limiting method for prohibiting and prohibiting calling of the file operation for a file not on the permitted file list. 前記ファイル操作の呼び出しは、少なくともファイル書込み、移動、削除、名前の変更、プロセスの生成、ライブラリの読込みを含むことを特徴とする請求項15記載のファイル操作限定方法。   16. The file operation limiting method according to claim 15, wherein the file operation call includes at least file write, move, delete, rename, process creation, and library read. 前記ファイル操作の呼び出しを補足する際に、少なくとも警告メッセージを含む前記ファイル操作の呼び出しの結果以外の処理を返すことを特徴とする請求項15または請求項16記載のファイル操作限定方法。   The file operation limiting method according to claim 15 or 16, wherein when supplementing the file operation call, a process other than the result of the file operation call including at least a warning message is returned. 前記ファイル操作の呼び出しを補足する際に、前記システム管理者の認めた正統な署名のついたファイルに関して実行許可がなくてもインストール可能とすることを特徴とする請求項15から請求項17のいずれか記載のファイル操作限定方法。   18. The installation according to claim 15, wherein when the file operation call is supplemented, a file with a legitimate signature approved by the system administrator can be installed without permission to execute the file operation. File operation limitation method. 前記許可ファイルリストを自動更新する際に、前記システム管理者の認めた正統な署名の入ったインストーラでインストールされた実行ファイル、ライブラリを自動的に前記許可ファイルリストに追加することを特徴とする請求項18記載のファイル操作限定方法。   When automatically updating the permitted file list, executable files and libraries installed by an installer with a legitimate signature approved by the system administrator are automatically added to the permitted file list. Item 18. The file operation limiting method according to Item 18. 前記管理用の計算機が、前記許可ファイルリストと前記拒否ファイルリストとに基づいて前記管理対象の計算機各々のファイル実行許可を自動設定することを特徴とする請求項15から請求項19のいずれか記載のファイル操作限定方法。   20. The management computer automatically sets file execution permission of each of the management target computers based on the permitted file list and the reject file list. File operation limited method. 前記許可ファイルリストを自動更新する際に、前記許可ファイルリストと前記拒否ファイルリストとに記載されていないファイルの許可設定を行った際に前記許可ファイルリスト及び前記拒否ファイルリストを順次更新することを特徴とする請求項15から請求項20のいずれか記載のファイル操作限定方法。   When the permission file list is automatically updated, the permission file list and the rejection file list are sequentially updated when permission settings for files not described in the permission file list and the rejection file list are performed. 21. The file operation limiting method according to any one of claims 15 to 20, wherein the file operation is limited. 計算機に、オペレーティングシステムによるファイル操作の呼び出しの対象がシステム管理者が許可指定したファイルを示す許可ファイルリストと、前記ファイル操作の呼び出しの対象がシステム管理者が拒否指定したファイルを示す拒否ファイルリストとを保持し、
前記計算機が、前記許可ファイルリストを自動更新する更新処理と、前記ファイル操作の呼び出しに対して割込みを行って前記システム管理者の認めないファイル操作の呼び出しを補足すフック処理と、前記拒否ファイルリストに載っているファイルに対する前記ファイル操作の呼び出しを禁止する処理と、前記許可ファイルリストに載っていないファイルに対する前記ファイル操作の呼び出しを禁止する処理とを実行することを特徴とするファイル操作限定方法。 The computer includes a permission file list indicating that the file operation call target by the operating system is specified by the system administrator, and a file rejection list indicating the file operation call target specified by the system administrator. Hold
An update process in which the computer automatically updates the permitted file list; a hook process for interrupting the file operation call and supplementing a file operation call that is not permitted by the system administrator; and the reject file list A file operation limiting method, comprising: executing a process for prohibiting a call to the file operation for a file included in the file and a process for prohibiting a call to the file operation for a file not included in the permitted file list. 前記ファイル操作の呼び出しは、少なくともファイル書込み、移動、削除、名前の変更、プロセスの生成、ライブラリの読込みを含むことを特徴とする請求項22記載のファイル操作限定方法。   23. The file operation limiting method according to claim 22, wherein the file operation call includes at least file write, move, delete, rename, process creation, and library read. 前記フック処理において、少なくとも警告メッセージを含む前記ファイル操作の呼び出しの結果以外の処理を返すことを特徴とする請求項22または請求項23記載のファイル操作限定方法。   24. The file operation limiting method according to claim 22, wherein in the hook process, a process other than a result of the file operation call including at least a warning message is returned. 前記フック処理において、前記システム管理者の認めた正統な署名のついたファイルに関して実行許可がなくてもインストール可能とすることを特徴とする請求項22から請求項24のいずれか記載のファイル操作限定方法。   25. The file operation limitation according to any one of claims 22 to 24, wherein, in the hook processing, the file can be installed without executing permission for a file with a legitimate signature approved by the system administrator. Method. 前記更新処理において、前記システム管理者の認めた正統な署名の入ったインストーラでインストールされた実行ファイル、ライブラリを自動的に前記許可ファイルリストに追加することを特徴とする請求項25記載のファイル操作限定方法。   26. The file operation according to claim 25, wherein, in the update process, an executable file and a library installed by an installer with a legitimate signature approved by the system administrator are automatically added to the permitted file list. Limited method. 前記計算機が、前記許可ファイルリストと前記拒否ファイルリストとに基づいて前記ファイルの実行許可を自動設定することを特徴とする請求項22から請求項26のいずれか記載のファイル操作限定方法。   27. The file operation limiting method according to claim 22, wherein the computer automatically sets execution permission of the file based on the permitted file list and the rejected file list. 前記更新処理において、前記許可ファイルリストと前記拒否ファイルリストとに記載されていないファイルの許可設定を行った際に前記許可ファイルリスト及び前記拒否ファイルリストを順次更新することを特徴とする請求項22から請求項27のいずれか記載のファイル操作限定方法。   23. In the update process, the permission file list and the rejection file list are sequentially updated when permission settings are made for a file that is not described in the permission file list and the rejection file list. The file operation limiting method according to claim 27. オペレーティングシステムによるファイル操作の呼び出しの対象がシステム管理者が許可指定したファイルを示す許可ファイルリストと、前記ファイル操作の呼び出しの対象がシステム管理者が拒否指定したファイルを示す拒否ファイルリストとを保持する計算機に、
前記許可ファイルリストを自動更新する更新処理と、
前記ファイル操作の呼び出しに対して割込みを行って前記システム管理者の認めないファイル操作の呼び出しを補足すフック処理と、
前記拒否ファイルリストに載っているファイルに対する前記ファイル操作の呼び出しを禁止する処理と、
前記許可ファイルリストに載っていないファイルに対する前記ファイル操作の呼び出しを禁止する処理とを実行させるためのプログラム。 It holds a permitted file list indicating a file specified by the system administrator as a target of the file operation call by the operating system, and a reject file list indicating a file specified as a reject by the system administrator as the target of the file operation call. In the calculator,
An update process for automatically updating the allowed file list;
A hook process for interrupting the file operation call and supplementing the file operation call not allowed by the system administrator;
A process for prohibiting the calling of the file operation on a file in the reject file list;
A program for executing a process for prohibiting the call of the file operation for a file not on the permitted file list.
JP2006143465A 2006-05-24 2006-05-24 Computer system, computer and file operation limiting method to be used therefor, and its program Pending JP2007316780A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006143465A JP2007316780A (en) 2006-05-24 2006-05-24 Computer system, computer and file operation limiting method to be used therefor, and its program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006143465A JP2007316780A (en) 2006-05-24 2006-05-24 Computer system, computer and file operation limiting method to be used therefor, and its program

Publications (1)

Publication Number Publication Date
JP2007316780A true JP2007316780A (en) 2007-12-06

Family

ID=38850602

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006143465A Pending JP2007316780A (en) 2006-05-24 2006-05-24 Computer system, computer and file operation limiting method to be used therefor, and its program

Country Status (1)

Country Link
JP (1) JP2007316780A (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010009149A (en) * 2008-06-24 2010-01-14 Fujitsu Ltd Dynamic library loading method and device
JP2010238168A (en) * 2009-03-31 2010-10-21 Fujitsu Ltd Execution control program and information processing system
JP2011123675A (en) * 2009-12-10 2011-06-23 Fujitsu Ltd Method, program, and execution control device
WO2013161974A1 (en) * 2012-04-24 2013-10-31 大日本印刷株式会社 Method for distributing and executing application program capable of detecting falsification
JP2014096143A (en) * 2012-10-09 2014-05-22 Canon Electronics Inc Information processing device, information processing system and information processing method
JP2014096142A (en) * 2012-10-09 2014-05-22 Canon Electronics Inc Information processing device, information processing system and information processing method
JP2015176278A (en) * 2014-03-14 2015-10-05 三菱電機株式会社 Information processing apparatus and information processing method
JP2017123011A (en) * 2016-01-06 2017-07-13 三菱電機株式会社 Processing execution device, processing execution method, and control program
CN116975002A (en) * 2023-09-22 2023-10-31 麒麟软件有限公司 Method for protecting open file under domestic Linux operating system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH056322A (en) * 1991-05-20 1993-01-14 Fuji Xerox Co Ltd Information resource accessing system
JP2003186831A (en) * 2001-12-13 2003-07-04 Sony Corp Network system, information processing device and method, recording medium, and program
JP2004110806A (en) * 2002-08-30 2004-04-08 Matsushita Electric Ind Co Ltd Information filtering device, information filtering method, method execution program and program storage medium
WO2005107134A2 (en) * 2004-04-15 2005-11-10 Clearpath Networks, Inc. Systems and methods for managing a network
JP2005339008A (en) * 2004-05-25 2005-12-08 Nippon Telegr & Teleph Corp <Ntt> Access control method and program, and recording medium

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH056322A (en) * 1991-05-20 1993-01-14 Fuji Xerox Co Ltd Information resource accessing system
JP2003186831A (en) * 2001-12-13 2003-07-04 Sony Corp Network system, information processing device and method, recording medium, and program
JP2004110806A (en) * 2002-08-30 2004-04-08 Matsushita Electric Ind Co Ltd Information filtering device, information filtering method, method execution program and program storage medium
WO2005107134A2 (en) * 2004-04-15 2005-11-10 Clearpath Networks, Inc. Systems and methods for managing a network
JP2007538311A (en) * 2004-04-15 2007-12-27 クリアパス・ネットワークス・インコーポレーテッド System and method for managing a network
JP2005339008A (en) * 2004-05-25 2005-12-08 Nippon Telegr & Teleph Corp <Ntt> Access control method and program, and recording medium

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010009149A (en) * 2008-06-24 2010-01-14 Fujitsu Ltd Dynamic library loading method and device
JP2010238168A (en) * 2009-03-31 2010-10-21 Fujitsu Ltd Execution control program and information processing system
JP2011123675A (en) * 2009-12-10 2011-06-23 Fujitsu Ltd Method, program, and execution control device
WO2013161974A1 (en) * 2012-04-24 2013-10-31 大日本印刷株式会社 Method for distributing and executing application program capable of detecting falsification
JP2014096143A (en) * 2012-10-09 2014-05-22 Canon Electronics Inc Information processing device, information processing system and information processing method
JP2014096142A (en) * 2012-10-09 2014-05-22 Canon Electronics Inc Information processing device, information processing system and information processing method
JP2015176278A (en) * 2014-03-14 2015-10-05 三菱電機株式会社 Information processing apparatus and information processing method
JP2017123011A (en) * 2016-01-06 2017-07-13 三菱電機株式会社 Processing execution device, processing execution method, and control program
CN116975002A (en) * 2023-09-22 2023-10-31 麒麟软件有限公司 Method for protecting open file under domestic Linux operating system
CN116975002B (en) * 2023-09-22 2023-12-26 麒麟软件有限公司 Method for protecting open file under domestic Linux operating system

Similar Documents

Publication Publication Date Title
JP4400059B2 (en) Policy setting support tool
JP2007316780A (en) Computer system, computer and file operation limiting method to be used therefor, and its program
US7516477B2 (en) Method and system for ensuring that computer programs are trustworthy
US7246374B1 (en) Enhancing computer system security via multiple user desktops
JP5429157B2 (en) Confidential information leakage prevention system and confidential information leakage prevention method
RU2430413C2 (en) Managing user access to objects
US8752201B2 (en) Apparatus and method for managing digital rights through hooking a kernel native API
JP2007087395A (en) Control of user authority in computer system
US8452740B2 (en) Method and system for security of file input and output of application programs
JP2005129066A (en) Operating system resource protection
US20100043070A1 (en) File-access control apparatus and program
US20070022091A1 (en) Access based file system directory enumeration
US20040268141A1 (en) Methods and apparatus to provide secure firmware storage and service access
JP4516598B2 (en) How to control document copying
US8132261B1 (en) Distributed dynamic security capabilities with access controls
US20170206371A1 (en) Apparatus and method for managing document based on kernel
JP2004062241A (en) Controller and method for controlling user access right
JP6253333B2 (en) Information processing apparatus, information processing system, and information processing method
JP2008123243A (en) Electronic document management program and electronic document management device
JP5126495B2 (en) Security policy setting device linked with safety evaluation, program thereof and method thereof
JP2007233635A (en) Information management system, information management method, and computer program
US20050182965A1 (en) Proxy permissions controlling access to computer resources
KR100985073B1 (en) Apparatus for controlling access to shared folders on computer networks and method thereof
KR20030005760A (en) Method of access control according to access right of user in Personal Computer and apparatus thereof
WO2018194217A1 (en) Method for controlling document storage location

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100315

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100323

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100803