Основні відомості про безпеку Access 2010

Нові можливості версії 2010

• <c0>Нова технологія шифрування</c0>.     Система Office 2010 пропонує нову технологію шифрування, потужнішу, ніж у системі Office 2007.

• <c0>Підтримка продуктів шифрування сторонніх виробників</c0>.     Програма Access 2010 дає змогу за бажання використовувати технологію шифрування сторонніх виробників. У цій статті не розглядається використання продуктів сторонніх виробників.

Нові можливості версії 2007

• <c0>Можливість переглядати дані навіть тоді, коли вміст бази даних вимкнуто</c0>.     У програмі Microsoft Office Access 2003, щоб переглядати дані, коли встановлено високий рівень безпеки, потрібно було позначити підпис коду та базу даних як надійні. Зараз можна переглядати дані, не вирішуючи, чи потрібно позначити базу даних як надійну.

• <c0>Простіше використання</c0>.     Якщо помістити файли бази даних (у новому форматі файлів Access або в попередніх форматах файлів) у таке надійне розташування, як папка з файлами чи мережева папка, які визначено як надійні, то ці файли відкриватимуться та працюватимуть без відображення повідомлень із попередженням або запитів на ввімкнення вимкнутого вмісту. Також, якщо відкривати бази даних з попередніх версій Access, такі як файли MDB або MDE, у програмі Access 2010 і ці бази даних мають цифрові підписи, а ви довіряєте видавцю, то ці файли відкриваються без запитів про довіру. Однак пам’ятайте, що код VBA у підписаній базі даних не працюватиме, якщо видавця не позначено як надійного або якщо цифровий підпис неприпустимий. Підпис стає неприпустимим, коли хто-небудь, окрім користувача, який поставив підпис, намагається підробити вміст бази даних.

• Центр безпеки та конфіденційності     Центр безпеки та конфіденційності – це діалогове вікно, де визначено єдине розташування для вибору та змінення настройок безпеки для програми Access. Центр безпеки та конфіденційності використовується для створення та змінення надійних розташувань, а також для визначення настройок безпеки для програми Access. Ці настройки впливають на поведінку нових і наявних баз даних під час їх відкриття в цьому екземплярі Access. Центр безпеки та конфіденційності також забезпечує логічне оцінювання компонентів бази даних і визначає, чи безпечно відкривати базу даних, чи Центр безпеки та конфіденційності має вимкнути базу даних і дати змогу користувачу самостійно вирішувати, чи потрібно її вмикати.

  Загальні відомості про використання Центру безпеки та конфіденційності див. в статті Перегляд настройок безпеки та конфіденційності в Центрі безпеки та конфіденційності.

• <c0>Менше повідомлень із попередженням</c0>.     Попередні версії програми Access примушували користувачів мати справу з різними оповіщеннями, принаймні як два приклади яких можна назвати безпеку макросів і режим ізольованого програмного середовища. За замовчуванням, у разі відкриття файлу типу ACCDB, який не позначено як надійний, відображається єдиний засіб – рядок повідомлень.

  

  Якщо потрібно позначити базу даних як надійну, можна використати рядок повідомлень, щоб увімкнути будь-який вимкнутий вміст бази даних – запити на змінення (запити, які додають, видаляють або змінюють дані), макроси, елементи керування ActiveX, вирази (функції, результат яких – єдине значення) і код VBA – під час відкриття бази даних, яка містить принаймні один такий компонент.

• <c0>Нові способи підписання та розповсюдження файлів баз даних</c0>.     У версіях Access, які передують версії 2007, використовувався редактор Visual Basic, щоб застосовувати сертифікат безпеки до окремих компонентів бази даних. Тепер потрібно упакувати базу даних, потім підписати та розповсюдити пакет.

  Якщо видобути базу даних із підписаного пакета в надійне розташування, база даних відкриється без відображення рядка повідомлень. Якщо видобути базу даних із підписаного пакета в ненадійне розташування, але вибрано довіру до сертифіката пакета, а підпис припустимий, база даних відкриється без відображення рядка повідомлень.

  Примітка.: Коли ви пакуєте та підписуєте ненадійну базу даних або базу даних із неприпустимим цифровим підписом, ви повинні використовувати рядок повідомлень, щоб позначати базу даних як надійну під час кожного її відкриття, доки її не буде розміщено в надійному розташуванні.

• <c0>Криптостійкіший алгоритм для шифрування баз даних у форматі файлів ACCDB, який використовує функцію пароля бази даних</c0>.     У процесі шифрування бази даних дані в таблицях стають зашифрованими, це запобігає доступу до них з боку сторонніх користувачів.

  Примітка.: У випадку шифрування бази даних із паролем зашифрована база даних використовує блокування на рівні сторінок незалежно від настройок програми. Це може вплинути на доступність даних у спільному середовищі.

• <c0>Новий підклас дій макросів, які працюють, коли базу даних вимкнуто</c0>.     Ці безпечніші макроси також надають можливості з обробки помилок. Також можна вбудувати макроси (навіть ті, що містять дії, які не підтримує програма Access) безпосередньо у властивості форм, звітів або елементів керування, які логічно співпрацюють із модулем коду VBA або макросом із попередньої версії Access.

Зрештою, пам’ятайте про наведені нижче правила.

• Якщо відкривати базу даних із надійного розташування, усі її компоненти працюватимуть без запитів про довіру.

• Якщо пакувати, підписувати та розгортати базу даних у попередньому форматі файлів (MDB або MDE), усі компоненти працюють без запитів про довіру, якщо база даних містить припустимий цифровий підпис від надійного видавця та ви довіряєте сертифікату.

• Якщо підписувати та розгортати ненадійну базу даних у ненадійному розташуванні, Центр безпеки та конфіденційності за замовчуванням вимикає базу даних, і під час кожного відкриття цієї бази даних потрібно буде її вмикати.

Програма Access і безпека на рівні користувача

У програмі Access не підтримується функція безпеки на рівні користувача для баз даних, створених у нових форматах файлів (ACCDB й ACCDE). Однак, якщо відкрити в програмі Access 2010 базу даних із попередньої версії Access, до якої застосовано систему безпеки на рівні користувача, ці настройки діятимуть.

Якщо перетворити базу даних із попередньої версії Access із безпекою на рівні користувача на файл у новому форматі, програма Access автоматично видалить усі настройки безпеки, і буде застосовано правила для захисту файлів ACCDB або ACCDE.

Зрештою, пам’ятайте, що всі користувачі можуть бачити всі об’єкти бази даних щоразу під час відкриття баз даних із файлами в новому форматі.

Архітектура безпеки Access

Щоб зрозуміти архітектуру безпеки Access, потрібно пам’ятати, що база даних Access – не файл у тому самому розумінні, що й книга Excel або документ Word. Натомість база даних Access – це набір таких об’єктів, як таблиці, форми, запити, макроси, звіти тощо, які часто функціонують взаємозалежно. Так, якщо створюється форма для введення даних, не можна вводити або зберігати дані в цій формі, доки елементи керування форми не буде зв’язано з таблицею.

Кілька компонентів програми Access можуть бути потенційно небезпечними, тому їх вимкнуто в ненадійній базі даних:

• Запити на змінення (запити, які вставляють, видаляють або змінюють дані)

• Макроси

• Певні вирази (функції, які повертають єдине значення)

• Код VBA

Щоб посилити захист даних, програма Access і Центр безпеки та конфіденційності виконують ряд перевірок безпеки під час кожного відкриття бази даних. Процес відбувається, як описано нижче.

• Коли відкривається файл ACCDB або ACCDE, програма Access надсилає дані про розташування бази даних до Центру безпеки та конфіденційності. Якщо Центр безпеки та конфіденційності визначає, що розташування надійне, то база даних працює з повною функціональністю. Якщо відкривається база даних у попередньому форматі файлів, програма Access надсилає до Центру безпеки та конфіденційності дані про розташування файлу та докладні відомості про його цифровий підпис (якщо є).

  Центр безпеки та конфіденційності перевіряє цей "доказ", щоб оцінити рівень довіри до бази даних, потім сповіщає програму Access про спосіб відкриття бази даних. Програма Access або вимикає базу даних, або відкриває її з повною функціональністю.

  Примітка.: Пам’ятайте, що настройки, які встановили ви або ваш системний адміністратор у Центрі безпеки та конфіденційності, впливають на запити про довіру під час відкриття бази даних у програмі Access.

  Докладні відомості про використання Центру безпеки та конфіденційності див. в розділі Див. також.

• Якщо Центр безпеки та конфіденційності вимикає вміст бази даних, то під час відкриття бази даних відображається рядок повідомлень.

  

  Щоб увімкнути вміст бази даних, натисніть кнопку Параметри, потім у діалоговому вікні, яке відкриється, виберіть потрібні параметри. Програма Access вмикає вимкнутий вміст, і база даних повторно відкривається з повною функціональністю. В іншому випадку вимкнуті компоненти не працюють.

• Якщо відкривається ненадійна база даних без підпису, створена в попередньому форматі файлів (MDB або MDE), то за замовчуванням програма Access вимикає весь виконуваний вміст.

Неактивний режим

Коли Центр безпеки та конфіденційності оцінює базу даних як ненадійну, у програмі Access ця база даних відкривається в неактивному режимі – це означає, що вимикається весь виконуваний вміст незалежно від формату файлів бази даних.

У неактивному режимі програма Access вимикає наведені нижче компоненти.

• Код VBA, усі посилання в коді VBA й усі небезпечні вирази.

• Небезпечні операції в усіх макросах. Небезпечними вважаються всі операції, які дають змогу користувачу змінювати базу даних або надають доступ до ресурсів за межами бази даних. Проте іноді операції, заборонені програмою Access, можна вважати безпечними. Наприклад, якщо ви довіряєте особі, яка створила базу даних, ви можете довіряти всім небезпечним діям макросів.

• Запити деяких типів.

  • <c0>Запити на змінення</c0>.    Ці запити додають, оновлюють і видаляють дані.

  • <c0>Запити мови визначення даних (DDL)</c0>.     Ці запити використовуються для створення або змінення таких об’єктів бази даних, як таблиці та процедури.

  • <c0>Запити до сервера SQL</c0>.    Ці запити надсилають команди безпосередньо до сервера баз даних, який підтримує стандарт ODBC. Наскрізні запити працюють із таблицями на сервері, не задіюючи обробник баз даних Access.

• Елементи керування ActiveX

Під час відкриття бази даних програма Access спробує завантажити надбудови – програми, які розширюють функціональність Access або відкритої бази даних. Можливо, вам також буде потрібно запустити майстри, які створюють об’єкти у відкритій базі даних. Коли завантажується надбудова або відкривається майстер, програма Access надсилає доказ до Центру безпеки та конфіденційності, який приймає додаткові рішення щодо довіри та вмикає чи вимикає об’єкт або дію. Коли Центр безпеки та конфіденційності вимикає базу даних, а ви не погоджуєтеся з таким рішенням, ви майже завжди можете скористатися рядком повідомлень, щоб увімкнути вміст бази даних. Надбудови становлять виняток із цього правила. Якщо в Центрі безпеки та конфіденційності (в області Надбудови) установити прапорець Усі розширення програм мають бути підписані надійними видавцями, програма Access відобразить запит про ввімкнення надбудови, але не в рядку повідомлень.

На початок сторінки

Відкриття Центру безпеки та конфіденційності

1. На вкладці Файл клацніть елемент Параметри.

   Відкриється діалогове вікно Параметри Access.

2. Клацніть Центр безпеки та конфіденційності, потім у розділі Центр безпеки та конфіденційності Microsoft Office Access клацніть Настройки Центру безпеки та конфіденційності.

3. Виберіть пункт Надійні розташування, потім виконайте одну з наведених нижче дій.

   • Занотуйте шлях принаймні до одного надійного розташування.

   • Створіть надійне розташування. Для цього виберіть команду Додати нове розташування, потім виберіть потрібні параметри в діалоговому вікні Надійне розташування Microsoft Office.

Розміщення бази даних у надійному розташуванні

• Скористайтесь найзручнішим для вас способом, щоб перемістити або скопіювати файл бази даних до надійного розташування. Наприклад, щоб скопіювати або перемістити файл, можна використати Провідник Windows, також можна відкрити файл у програмі Access і зберегти його в надійному розташуванні.

Відкриття бази даних у надійному розташуванні

• Скористайтесь найзручнішим для вам способом, щоб відкрити файл. Наприклад, можна двічі клацнути файл бази даних у Провіднику Windows або, якщо працює програма Access, можна натиснути кнопку Відкрити на вкладці Файл, щоб знайти та відкрити файл.

На початок сторінки

Створення підписаного пакета

1. Відкрийте базу даних, яку потрібно упакувати й підписати.

2. На вкладці "Файл" виберіть елемент Зберегти й опублікувати, потім у розділі Розширені параметри клацніть елемент Упакувати й підписати.

   Відобразиться діалогове вікно Вибір сертифіката.

3. Виберіть цифровий сертифікат і натисніть кнопку OK.

   Відкриється діалогове вікно Створення підписаного пакета Microsoft Office Access.

4. У списку Зберегти в виберіть розташування для підписаного пакета бази даних.

5. У полі Ім’я файлу введіть ім’я підписаного пакета й натисніть кнопку Створити.

   Програма Access створює файл ACCDC і розміщує його у вибраному розташуванні.

Видобування й використання підписаного пакета

1. На вкладці Файл виберіть команду Відкрити.

   Відкриється діалогове вікно Відкрити.

2. Виберіть тип файлу Підписані пакети Microsoft Office Access (ACCDC).

3. Використайте список Пошук в, щоб знайти папку з файлом у форматі ACCDC, виберіть його й натисніть кнопку Відкрити.

4. Виконайте одну з таких дій:

   • Якщо вибрано режим довіри сертифікату безпеки, використаному для підписання пакета розгортання, відкриється діалогове вікно Витягнути базу даних до. Перейдіть до наступного кроку.

   • Якщо ще не вирішено, чи можна довіряти сертифікату безпеки, відкриється наведене нижче повідомлення.

     

     Якщо базі даних можна довіряти, натисніть кнопку Відкрити. Якщо всі сертифікати цього постачальника вважаються надійними, виберіть елемент Довіряти всім даним видавця. Відкриється діалогове вікно Витягнути базу даних до.

     Примітка.: Якщо для підписання пакета бази даних використовується самостійно підписаний сертифікат, а під час відкриття пакета було вибрано елемент Довіряти всім даним видавця, пакети, які підписано з використанням самостійно підписаних сертифікатів, завжди будуть довіреними.

5. За потреби у списку Зберегти в виберіть розташування для видобутої бази даних і введіть для неї інше ім’я у полі Ім’я файлу.

   Порада.: Якщо базу даних видобуто до надійного розташування, її вміст буде автоматично вмикатися під час відкриття. Якщо вибрано ненадійне розташування, певну частину вмісту бази даних, можливо, буде вимкнуто за замовчуванням.

6. Натисніть кнопку OK.

На початок сторінки

Надійність бази даних

Незалежно від поведінки програми Access під час відкриття бази даних, якщо ця база надійшла від надійного видавця, можна ввімкнути виконувані компоненти, тобто довіряти базі даних.

• У рядку повідомлень натисніть кнопку Увімкнути вміст.

Застосування нової технології шифрування до бази даних Access 2007

Щоб перейти до нової технології шифрування, видаліть поточний пароль бази даних і знову додайте його.

Шифрування за допомогою пароля бази даних

1. Відкрийте базу даних, яку потрібно зашифрувати, в режимі монопольного доступу.

   Відкриття бази даних у монопольному режимі

   1. На вкладці Файл виберіть команду Відкрити.

   2. У діалоговому вікні Відкриття перейдіть до файлу, який потрібно відкрити, а потім виберіть цей файл.

   3. Клацніть стрілку біля кнопки Відкрити та виберіть пункт Монопольний доступ.

      

2. На вкладці Файл послідовно виберіть пункти Відомості та Шифрувати паролем.

   Відкриється діалогове вікно Установлення пароля бази даних.

3. Введіть пароль у полі Пароль, введіть його ще раз у полі Підтвердження.

   Примітки.: 

   • Використовуйте надійні паролі, у яких поєднуються букви верхнього й нижнього регістра, числа та символи. Якщо в паролі не поєднуються ці елементи, він ненадійний. Приклад надійного пароля: Y6dh!et5. Приклад ненадійного пароля: Dim27. Пароль має містити не менше 8 символів. Краще використовувати кодову фразу, яка містить не менше 14 символів.

   • Пам’ятати свій пароль дуже важливо. Якщо ви забудете пароль, корпорація Майкрософт не зможе його відновити. Зберігайте записані паролі в безпечному місці подалі від інформації, яку вони захищають.

4. Натисніть кнопку OK.

Дешифрування та відкриття бази даних

1. Відкрийте зашифровану базу даних звичайним способом.

   Відобразиться діалогове вікно Потрібний пароль.

2. Введіть пароль у полі Введіть пароль бази даних і натисніть кнопку OK.

Видалення пароля

1. На вкладці Файл послідовно виберіть пункти Відомості та Розшифрувати базу даних.

   Відкриється діалогове вікно Скасування пароля бази даних.

2. Введіть пароль у полі Пароль і натисніть кнопку OK.

На початок сторінки

Створення самостійно підписаного сертифіката для тестування можливостей

1. Перейдіть до папки, що містить файли програм Office 2010. За замовчуванням вони містяться в папці Диск:\Program Files\Microsoft Office\Office14. У цій папці знайдіть і двічі клацніть файл SelfCert.exe.

   Відкриється діалогове вікно Створення цифрового сертифіката.

2. У полі Ім’я вашого сертифіката введіть описову назву сертифіката.

3. Натисніть кнопку OK двічі.

Підписування коду бази даних

1. Відкрийте базу даних, до якої потрібно надати спільний доступ.

2. На вкладці Знаряддя бази даних у групі Макроси клацніть елемент Visual Basic, щоб запустити редактор Visual Basic.

   Сполучення клавіш: натисніть ALT+F11.

3. У вікні проекту виберіть базу даних або проект Visual Basic for Applications (VBA), який потрібно підписати.

4. У Visual Basic у меню Знаряддя виберіть пункт Цифровий підпис.

   З’явиться діалогове вікно Цифровий підпис.

5. Клацніть пункт Вибрати, щоб вибрати тестовий сертифікат.

   Відобразиться діалогове вікно Вибір сертифіката.

6. Виберіть сертифікат для застосування.

   Якщо виконано дії, описані в попередньому розділі, виберіть сертифікат, створений за допомогою програми SelfCert.

7. Натисніть кнопку OK, щоб закрити діалогове вікно Самостійно підписаний сертифікат, знову натисніть кнопку OK і закрийте діалогове вікно Цифровий сертифікат.

Поради щодо підписання баз даних старіших версій

• Проект VBA потрібно заблокувати перед підписанням, щоб користувачі не змогли ненавмисно внести до нього зміни та зробити підпис недійсним.

  Примітка.: Блокування проекту VBA не позбавляє інших користувачів можливості замінювати один цифровий підпис іншим. Адміністратори організації можуть повторно підписувати шаблони та надбудови і, таким чином, контролювати, що саме користувачі можуть запускати на своїх комп’ютерах.

• Під час додавання цифрового підпису до проекту VBA рекомендовано отримати часову позначку, щоб інші користувачі могли перевірити свій підпис, навіть після закінчення терміну дії сертифіката, який використовується для підписання. Перегляньте Інтернет-версія Office, щоб отримати докладні відомості про безпеку VBA та часові позначки.

Змінення розділу реєстру

1. В операційній системі Microsoft Windows натисніть кнопку Пуск і виберіть пункт Виконати.

2. У полі Відкрити введіть команду regedit і натисніть клавішу Enter.

   Запуститься редактор реєстру.

3. Розгорніть папку HKEY_LOCAL_MACHINE і перейдіть до розділу реєстру

   \Software\Microsoft\Office\14.0\Access Connectivity Engine\Engines

4. У правій області редактора реєстру двічі клацніть елемент SandboxMode.

   З’явиться діалогове вікно Редагування значення DWORD.

5. У полі Значення змініть значення 3 на 2 та натисніть кнопку OK.

6. Закрийте редактор реєстру.

Увага!    Пам’ятайте, що якщо спочатку не активувати вміст бази даних, програма Access вимикатиме всі небезпечні вирази незалежно від змінення цього параметра реєстру.

На початок сторінки