Безопасность в Access 2010

Новое в версии 2010

• Новая технология шифрования.     В Office 2010 доступна новая технология шифрования, более стойкая, чем в Office 2007.

• Поддержка программ шифрования сторонних компаний.     В Access 2010 при желании можно использовать технологии шифрования сторонних компаний. В этой статье не рассматривается использование сторонних программ.

Новое в версии 2007

• Возможность просмотра данных без включения содержимого базы данных.     Если в Microsoft Office Access 2003 задан уровень безопасности "Высокий", для просмотра данных необходимо подписать базу данных кодом и сделать ее доверенной. Теперь данные можно просматривать, не принимая решение о доверии базе данных.

• Удобство использования.     Если файлы базы данных (как в новом формате Access, так и в более ранних) находятся в надежном расположении, например в локальной или сетевой папке, помеченной как надежная, они будут открываться и выполняться без выдачи предупреждений и запросов о включении отключенного содержимого. Кроме того, при открытии в Access 2010 баз данных из более ранних версий Access, например MDB- или MDE-файлов, которые имеют цифровую подпись и надежного издателя, они также выполняются без вопросов о доверии. Однако следует помнить, что код VBA в подписанных базах данных не будет выполняться, пока издатель не будет признан надежным, а также в том случае, если цифровая подпись станет недействительной. Подпись становится недействительной, когда кто-либо, кроме подписавшего лица, незаконно изменяет содержимое базы данных.

• Центр управления доверием     Центр управления безопасностью — это диалоговое окно, в котором можно задавать и изменять параметры безопасности Access. Оно используется для создания или изменения надежных расположений, а также для настройки параметров безопасности Access. Эти параметры определяют поведение новых и существующих баз данных при их открытии в этом экземпляре Access. Программные средства центра управления безопасностью позволяют оценить компоненты базы данных и определить, безопасно ли открывать базу данных и следует ли отключить ее и предоставить пользователю возможность ее включить.

  Общие сведения об использовании центра управления безопасностью см. в статье Просмотр параметров безопасности в Центре управления безопасностью.

• Меньше предупреждающих сообщений.     В предыдущих версиях Access вам приходилось иметь дело с различными оповещениями, касающимися, например, безопасности макросов и режима песочницы. По умолчанию при открытии ACCDB-файла, которому вы еще не доверяете, теперь отображается только панель сообщений.

  

  Если вы хотите доверять базе данных, на панели сообщений включите все отключенное содержимое базы данных, например запросы на изменение (запросы, которые добавляют, удаляют или изменяют данные), макросы, элементы ActiveX, выражения (функции, возвращающие одно значение) и код VBA.

• Новые способы подписания и распространения файлов базы данных.     В Access до версии 2007 для применения сертификата безопасности к отдельным компонентам базы данных использовался редактор Visual Basic. Теперь база данных упаковывается, а затем подписывается и распространяется.

  Если извлечь базу данных из подписанного пакета в надежное расположение, она открывается без вывода панели сообщений. Если база данных из подписанного пакета извлекается в ненадежное расположение, но у вас есть надежный сертификат пакета, а подпись действительна, то база данных открывается без отображения панели сообщений.

  Примечание: Если вы упаковали и подписали базу данных, которая не является доверенной или содержит недействительную цифровую подпись, необходимо делать ее доверенной с помощью панели сообщений каждый раз при ее открытии, если она не находится в надежном расположении.

• Более стойкий алгоритм шифрования баз данных в формате ACCDB с использованием пароля.     В процессе шифрования происходит перемешивание данных в таблицах, что исключает их несанкционированный просмотр.

  Примечание: В базе данных, зашифрованной с помощью пароля, будет использоваться постраничная блокировка независимо от параметров приложения. Это может повлиять на доступность данных в среде общего доступа.

• Новый подкласс макрокоманд, выполняющихся при отключенной базе данных.     Эти безопасные макрокоманды включают также возможности обработки ошибок. Вы можете внедрять макросы (даже содержащие макрокоманды, которые Access отключает) непосредственно в формы, отчеты или свойства элементов управления, которые будут правильно работать с модулем кода VBA или макросом из более ранних версий Access.

Наконец, при работе с базами данных помните следующее:

• При открытии базы данных в надежном расположении все компоненты запускаются без проверки на доверие.

• При упаковке, подписании и развертывании базы данных в более старом формате файла (MDB или MDE) все компоненты запускаются без проверки на доверие в том случае, если она имеет действительную цифровую подпись надежного издателя и сертификат считается надежным.

• При подписании и развертывании недоверенной базы данных в ненадежном расположении центр управления безопасностью по умолчанию отключает ее, и каждый раз при открытии ее нужно включать.

Access и защита на уровне пользователя

В Access не поддерживается защита на уровне пользователя для баз данных, созданных в новом формате (ACCDB и ACCDE-файлы). Однако при открытии базы данных из более ранней версии Access, имеющей защиту на уровне пользователя, в Access 2010 эти параметры будут продолжать действовать.

При преобразовании такой базы данных в новый формат приложение Access автоматически удаляет все параметры безопасности и применяет правила защиты ACCDB- и ACCDE-файлов.

Наконец, следует помнить, что каждый раз при открытии базы данных в новом формате все пользователи имеют возможность просмотра всех ее объектов.

Архитектура безопасности Access

Чтобы понять архитектуру безопасности Access, необходимо помнить, что база данных Access — это не файл в том же смысле, что и книга Excel или документ Word. База данных Access — это набор объектов (таблиц, форм, запросов, макроов, отчетов и так далее), которые часто зависят друг от друга. Например, при создании формы ввода данных невозможно вводить или хранить в ней данные, если только не привязать (связать) элементы управления в форме с таблицей.

Некоторые компоненты Access могут быть небезопасны, поэтому в ненадежных базах данных они отключаются:

• запросы на изменение (запросы, которые добавляют, удаляют или изменяют данные);

• макросы;

• некоторые выражения (функции, возвращающие одно значение);

• код VBA.

Чтобы защитить данные, в Access и центре управления безопасностью выполняется ряд проверок безопасности при каждом открытии базы данных. Этот процесс описан ниже.

• При открытии ACCDB-файла или ACCDE-файла приложение Access сообщает местоположение файла базы данных центру управления безопасностью. Если центр определяет это место как надежное, база данных работает с полным набором возможностей. При открытии базы данных с более ранним форматом файлов в центр управления безопасностью передаются расположение и цифровая подпись (при ее наличии).

  Центр управления безопасностью проверяет эти "свидетельства", чтобы определить, является ли база данных доверенной, а затем информирует Access о том, как следует ее открывать. Access либо отключает ее, либо открывает с полным набором возможностей.

  Примечание: Следует помнить, что параметры, выбранные вами или администратором в центре управления безопасностью, определяют решения о доверии, принимаемые при открытии базы данных в Access.

  Дополнительные сведения об использовании центра управления безопасностью можно найти в статьях, указанных в разделе См. также.

• Если центр управления безопасностью отключает содержимое базы данных, то при ее открытии выводится панель сообщений.

  

  Чтобы включить содержимое базы данных, щелкните Параметры, а затем выберите соответствующие параметры в появившемся диалоговом окне. Access включит отключенное содержимое, и база данных откроется заново с полным набором возможностей. В противном случае отключенные компоненты не будут работать.

• При открытии базы данных, которая была создана в более раннем формате (MDB-файлы или MDE-файлы), не подписана и не является доверенной, Access по умолчанию отключает любое исполняемое содержимое.

Отключенный режим

Когда центр управления безопасностью определяет, что база данных не является доверенной, Access открывает ее в отключенном режиме, т. е. отключает любое исполняемое содержимое независимо от формата файла базы данных.

В этом режиме Access отключает перечисленные ниже компоненты.

• Код VBA и все ссылки в нем, а также все небезопасные выражения.

• Небезопасные макрокоманды во всех макросах. "Небезопасными" считаются макрокоманды, позволяющие пользователю изменять базу данных или получать доступ к ресурсам вне базы данных. Однако макрокоманды, которые Access отключает, иногда могут считаться "безопасными". Например, если вы доверяете создателю базы данных, можно доверять и всем небезопасным макрокомандам.

• Некоторые типы запросов:

  • Запросы на выполнение действий    Они добавляют, обновляют и удаляют данные.

  • Запросы DDL     Они используются для создания или изменения объектов базы данных, таких как таблицы и процедуры.

  • SQL", "Сквозные запросы"    Эти команды отправляются непосредственно на сервер базы данных, который поддерживает стандарт ODBC. Запросы к серверу работают с таблицами на сервере без использования яда баз данных Access.

• Элементы ActiveX.

При открытии базы данных приложение Access может попытаться загрузить надстройки — программы, расширяющие возможности Access либо открытой базы данных. Кроме того, вы можете запустить мастер, создающий объекты в открытой базе данных. При загрузке надстройки или запуске мастера приложение Access отправляет сведения об этом в центр управления безопасностью, который принимает дополнительные решения по доверию и либо отключает, либо включает объект или действие. Если центр управления безопасностью отключил базу данных, но вы не согласны с таким решением, почти всегда можно воспользоваться панелью сообщений, чтобы включить содержимое. Исключением из этого правила являются надстройки. Если в центре управления безопасностью (в области Надстройки) установлен флажок Требовать подписи расширений приложений надежным издателем, Access предлагает включить надстройку, но это выполняется без использования панели сообщений.

К началу страницы

Открытие центра управления безопасностью

1. На вкладке Файл выберите команду Параметры.

   Откроется диалоговое окно Параметры Access.

2. Щелкните Центр управления безопасностью и в группе Центр управления безопасностью Microsoft Office Access, щелкните Параметры центра управления безопасностью.

3. Выберите Надежные расположения и сделайте одно из следующего:

   • Запишите путь к одному или нескольким надежным расположениям.

   • Создайте надежное расположение. Для этого нажмите кнопку Добавить новое расположение, а затем укажите значения параметров в диалоговом окне Надежное расположение Microsoft Office.

Размещение базы данных в надежном расположении

• Для перемещения или копирования файла базы данных в надежное расположение можно использовать любой удобный для вас способ. Например, вы можете воспользоваться проводником или открыть файл в Access и сохранить его в надежном расположении.

Открытие базы данных в надежном расположении

• Откройте файл удобным для вас способом. Например, дважды щелкните файл базы данных в проводнике или, если приложение Access запущено, нажмите на вкладке Файл кнопку Открыть и выберите нужный файл.

К началу страницы

Создание подписанного пакета

1. Откройте базу данных, которую вы хотите упаковать и подписать.

2. На вкладке "Файл" нажмите кнопку Сохранить и опубликовать, а затем в разделе Дополнительно — кнопку Упаковать и подписать.

   Откроется диалоговое окно Выбор сертификата.

3. Выберите цифровой сертификат, а затем нажмите кнопку ОК.

   Откроется диалоговое окно Создать подписанный пакет Microsoft Office Access.

4. В списке Сохранить в выберите расположение для подписанного пакета базы данных.

5. В поле Имя файла введите имя для подписанного пакета, а затем нажмите кнопку Создать.

   Access создаст ACCDC-файл и поместит его в папку, которую вы выбрали.

Извлечение и использование подписанного пакета

1. На вкладке Файл нажмите кнопку Открыть.

   Появится диалоговое окно Открытие файла.

2. Выберите тип файла Подписанные пакеты Microsoft Office Access (*.accdc).

3. В списке Папка перейдите к папке, в которой содержится ACCDC-файл, выберите его и нажмите кнопку Открыть.

4. Сделайте одно из следующего:

   • Если вы ранее выразили доверие сертификату безопасности, который использовался для подписания пакета развертывания, откроется диалоговое окно Извлечь базу данных в. Перейдите к следующему шагу.

   • Если вы еще не указали, следует ли доверять сертификату безопасности, появится следующее сообщение:

     

     Если вы доверяете базе данных, нажмите кнопку Открыть. Если вы доверяете всем сертификатам данного поставщика, нажмите кнопку Доверять всему от издателя. Появится диалоговое окно Извлечь базу данных в.

     Примечание: Если использовать самозаверяющий сертификат для подписания пакета базы данных, а затем нажать кнопку Доверять всему от издателя при его открытии, то все пакеты, подписанные самозаверяющими сертификатами, будут считаться доверенными.

5. В списке Сохранить в выберите местоположение для извлеченной базы данных, а затем в поле Имя файла введите другое имя для извлеченной базы данных.

   Совет: Если извлечь базу данных в надежное расположение, ее содержимое будет автоматически включаться при ее открытии. Если выбранное расположение не является доверенным, некоторое содержимое базы данных может быть по умолчанию отключено.

6. Нажмите кнопку ОК.

К началу страницы

Доверие базе данных

Независимо от поведения Access при открытии базы данных, если эта база данных получена от надежного издателя, вы можете включить исполняемые компоненты в файле, то есть сделать базу данных доверенной.

• Нажмите на панели сообщений кнопку Включить содержимое.

Переключение зашифрованной базы данных Access 2007 на новую технологию шифрования

Для перехода на новую технологию шифрования удалите текущий пароль базы данных, а затем снова добавьте его.

Шифрование с использованием пароля базы данных

1. Откройте в монопольном режиме базу данных, которую вы хотите зашифровать.

   Открытие базы данных в монопольном режиме

   1. На вкладке Файл выберите команду Открыть.

   2. В диалоговом окне Открытие найдите файл, который нужно открыть, и выделите его.

   3. Щелкните стрелку рядом с кнопкой Открыть, а затем выберите команду Монопольно.

      

2. На вкладке Файл выберите пункт Сведения и нажмите кнопку Зашифровать паролем.

   Откроется диалоговое окно Задание пароля базы данных.

3. Введите пароль в поле Пароль и повторите его в поле Подтверждение.

   Примечания: 

   • Используйте надежные пароли, состоящие из букв в верхнем и нижнем регистре, цифр и символов. В ненадежных паролях не используются сочетания таких элементов. Надежный пароль: Y6dh!et5. Ненадежный пароль: House27. Пароль должен состоять не менее чем из 8 знаков. Лучше всего использовать парольную фразу длиной не менее 14 знаков.

   • Очень важно запомнить свой пароль. Если вы забудете пароль, корпорация Майкрософт не сможет его восстановить. Храните записаные пароли в надежном месте от сведений, которые они помогают защитить.

4. нажмите кнопку ОК.

Расшифровка и открытие базы данных

1. Откройте зашифрованную базу данных точно так же, как и любую другую.

   Появится диалоговое окно Необходимо ввести пароль.

2. Введите пароль в поле Введите пароль базы данных и нажмите кнопку ОК.

Удаление пароля

1. На вкладке Файл выберите пункт Сведения и нажмите кнопку Расшифровать базу данных.

   Откроется диалоговое окно Удаление пароля базы данных.

2. Введите пароль в поле Пароль и нажмите кнопку ОК.

К началу страницы

Создание самозаверяющего сертификата

1. Перейдите к папке с файлами Office 2010. По умолчанию используется папка буква_диска:\Program Files\Microsoft Office\Office14. В этой папке найдите и дважды щелкните файл SelfCert.exe.

   Откроется диалоговое окно Создание цифрового сертификата.

2. В поле Имя вашего сертификата введите имя нового тестового сертификата.

3. Дважды нажмите кнопку ОК.

Подписывание базы данных программным способом

1. Откройте базу данных, которую вы хотите подписать.

2. На вкладке Инструменты базы данных в группе Макрос нажмите кнопку Visual Basic, чтобы запустить редактор Visual Basic.

   Сочетание клавиш.  Нажмите клавиши ALT+F11.

3. В окне обозревателя проектов выберите базу данных или проект VBA (Visual Basic для приложений), который вы хотите подписать.

4. В меню Сервис выберите пункт Цифровая подпись.

   Откроется диалоговое окно Цифровая подпись.

5. Нажмите кнопку Выбор, чтобы выбрать тестовый сертификат.

   Откроется диалоговое окно Выбор сертификата.

6. Выберите сертификат, который вы хотите применить.

   Если вы выполняли процедуру, описанную в предыдущем разделе, выберите сертификат, созданный с помощью средства SelfCert.

7. Чтобы закрыть диалоговое окно Выбор сертификата, нажмите кнопку ОК, а затем нажмите кнопку ОК еще раз, чтобы закрыть диалоговое окно Цифровая подпись.

Советы по подписанию баз данных старых версий

• Чтобы пользователи решения не могли случайно изменить проект VBA, сделав вашу подпись недействительной, заблокируйте проект VBA перед его подписанием.

  Примечание: Блокирование проекта VBA не помешает другим пользователям заменить имеющуюся цифровую подпись другой подписью. Например, администраторы организаций могут заново подписывать шаблон и надстройки, чтобы точно определять, какие компоненты пользователи смогут запускать на своих компьютерах.

• При добавлении цифровой подписи к проекту VBA можно добавить также метку времени, позволяющую пользователям проверять подпись даже после истечения срока действия сертификата, с помощью которого она была поставлена. Дополнительные сведения о безопасности проектов VBA и метках времени см. в Office в Интернете.

Изменение раздела реестра

1. В Microsoft Windows нажмите кнопку Пуск, а затем выберите команду Выполнить.

2. В поле Открыть введите regedit, а затем нажмите клавишу ВВОД.

   Запустится редактор реестра.

3. Разверните папку HKEY_LOCAL_MACHINE и перейдите к следующему разделу реестра:

   \Software\Microsoft\Office\14.0\Access Connectivity Engine\Engines

4. В правой области редактора реестра дважды щелкните параметр SandboxMode.

   Откроется диалоговое окно Изменение параметра DWORD.

5. В поле Значение поменяйте значение с 3 на 2 и нажмите кнопку ОК.

6. Закройте редактор реестра.

Важно    Следует помнить, что если не сделать базу данных доверенной, Access отключит любые небезопасные выражения независимо от того, изменен ли данный параметр реестра.

К началу страницы