Разграничение прав доступа к информации Системы
м |
|||
Строка 26: | Строка 26: | ||
Разрешения NTFS можно назначить только на диске с файловой системой NTFS; действуют они как при обращении из сети, так и непосредственно с сервера. Посмотреть или изменить разрешения NTFS на сервере можно в Проводнике, позиционировавшись на папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Безопасность". Разрешения NTFS можно назначить индивидуально для вложенных папок и файлов, либо использовать механизм наследования разрешений от папки вложенным папкам и файлам. | Разрешения NTFS можно назначить только на диске с файловой системой NTFS; действуют они как при обращении из сети, так и непосредственно с сервера. Посмотреть или изменить разрешения NTFS на сервере можно в Проводнике, позиционировавшись на папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Безопасность". Разрешения NTFS можно назначить индивидуально для вложенных папок и файлов, либо использовать механизм наследования разрешений от папки вложенным папкам и файлам. | ||
В процессе установки Системы на сервер разрешения NTFS назначаются следующим образом. | В процессе установки Системы на сервер разрешения NTFS назначаются следующим образом. | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
+ | {| bgcolor="#bacedc" border="1" cellpadding="2" cellspacing="0" width="88%"<tbody> bgcolor="#8badc5" | ||
+ | | width="16%" | <b> Каталог</b> | ||
+ | | width="18%" | <b>Разрешения от родительского объекта</b> | ||
+ | | width="48%" | <b>Пользователи</b> | ||
+ | | width="18%" | <b>Доступ</b> | ||
+ | |- | ||
+ | | rowspan="2" width="16%" | <b>ASBClient</b> | ||
+ | | rowspan="2" width="18%" | | ||
+ | не наследуются | ||
+ | | width="48%" | Локальные | ||
+ | администраторы и System | ||
+ | | width="18%" | полный доступ | ||
+ | |- | ||
+ | | width="48%" | AP_Users, AP_Admin, Programmers | ||
+ | | width="18%" | только чтение | ||
+ | |- | ||
+ | | width="16%" | <b>ASBServer</b> | ||
+ | | width="18%" | | ||
+ | не наследуются | ||
+ | | width="48%" | Локальные администраторы и System | ||
+ | | width="18%" | полный доступ | ||
+ | |- | ||
+ | | width="16%" | <ul><li><b>ASBServer\HTTP</b></li></ul> | ||
+ | | width="18%" | | ||
+ | наследуются | ||
+ | | width="48%" | AP_Users, AP_Admin, Programmers | ||
+ | | width="18%" | только чтение | ||
+ | |- | ||
+ | | rowspan="3" width="16%" | <b>AutoPark</b> | ||
+ | | rowspan="3" width="18%" | | ||
+ | не наследуются | ||
+ | | width="48%" | Локальным администраторам и System | ||
+ | | width="18%" | полный доступ | ||
+ | |- | ||
+ | | width="48%" | AP_Admin, Programmers | ||
+ | | width="18%" | модификация | ||
+ | |- | ||
+ | | width="48%" | AP_Users | ||
+ | | width="18%" | только чтение | ||
+ | |- | ||
+ | | width="16%" | <ul><li><b>AutoPark\Basis</b></li></ul> | ||
+ | | width="18%" | | ||
+ | наследуются | ||
+ | | width="48%" | AP_Users | ||
+ | | width="18%" | модификация | ||
+ | |- | ||
+ | | width="16%" | <ul><li><b>AutoPark\Rep</b></li></ul> | ||
+ | | width="18%" | | ||
+ | наследуются | ||
+ | | width="48%" | AP_Users | ||
+ | | width="18%" | модификация | ||
+ | |- | ||
+ | | width="16%" | <ul><li><b>AutoPark\Tjr</b></li></ul> | ||
+ | | width="18%" | | ||
+ | наследуются | ||
+ | | width="48%" | AP_Users | ||
+ | | width="18%" | модификация | ||
+ | |- | ||
+ | | width="16%" | <ul><li><b>AutoPark\Tmp</b></li></ul> | ||
+ | | width="18%" | | ||
+ | наследуются | ||
+ | | width="48%" | AP_Users | ||
+ | | width="18%" | модификация | ||
+ | |- | ||
+ | | width="16%" | <ul><li><b>AutoPark\Xlt</b></li></ul> | ||
+ | | width="18%" | | ||
+ | наследуются | ||
+ | | width="48%" | AP_XLT_Authors | ||
+ | | width="18%" | модификация | ||
+ | |- | ||
+ | | width="16%" | <ul><li><b>AutoPark\Txt\Dot</b></li></ul> | ||
+ | | width="18%" | | ||
+ | наследуются | ||
+ | | width="48%" | AP_DOT_Authors | ||
+ | | width="18%" | модификация | ||
+ | |- | ||
+ | | rowspan="2" width="16%" | <b>AutoParkSrv</b> | ||
+ | | rowspan="2" width="18%" | | ||
+ | не наследуются | ||
+ | | width="48%" | <p>Локальным администраторам и System </p> | ||
+ | | width="18%" | полный доступ | ||
+ | |- | ||
+ | | width="48%" | <p>AP_Admin, Programmers</p> | ||
+ | | width="18%" | только чтение | ||
+ | |- | ||
+ | | rowspan="2" width="16%" | <b>Data</b> | ||
+ | | rowspan="2" width="18%" | | ||
+ | не наследуются | ||
+ | | width="48%" | <p>Локальным администраторам и System</p> | ||
+ | | width="18%" | полный доступ | ||
+ | |- | ||
+ | | width="48%" | AP_Admin, Programmers | ||
+ | | width="18%" | модификация | ||
+ | |} | ||
[[Категория: Администратору]] | [[Категория: Администратору]] |
Версия 16:01, 21 декабря 2007
Защита от несанкционированных действий в системе основана на системе безопасности Windows 2000. Объем полномочий пользователя в Системе определяется членством в группах.
Можно выделить следующие уровни защиты от несанкционированных действий.
- Защита от несанкционированного подключения к ASB-серверу и перехвата данных.
Аутентификация пользователя и зоны безопасности. Подключиться к ASB-серверу может только авторизованный пользователь. Первое, что делает ASB-сервер при подключении клиента – определяет, под какой учетной записью выполняется подключение, и аутентифицирует (т.е. проверяет подлинность) пользователя. Не вдаваясь в подробности можно отметить, что аутентификация пользователя основана на проверке пароля, хотя сам пароль при этом по сети не передается. Далее выполняется авторизация подключения, т.е. выяснение, разрешено ли данному пользователю подключиться к ASB-серверу. Все узлы сети с точки зрения ASB-сервера делятся на три зоны безопасности, в которых действуют разные разрешения на подключение. Зона локальный компьютер, т.е. собственно сервер. Подключение по протоколу ASBP разрешено только членам группы AP_Users. Подключение по протоколу HTTP разрешено только членам группы AP_HTTPAccess. Зона локальная сеть, т.е. сеть Вашего предприятия. Подключение по протоколу ASBP разрешено только членам группы AP_Users. Подключение по протоколу HTTP разрешено только членам группы AP_HTTPAccess. Зона Интернет, т.е. все остальные узлы. Подключение по протоколу ASBP разрешено только членам группы AP_InetUsers. Подключение по протоколу HTTP разрешено только членам группы AP_InetHTTPAccess. Разделение на зоны безопасности описано в файле настроек ASB-сервера asbsrv.ini списками разрешений на подключение в разделах "ASBP Server\Bind Addresses" и "HTTP Server\Bind Addresses". Изменять списки разрешений на подключение настоятельно не рекомендуется. Вопрос почти всегда можно решить включением пользователя в соответствующую группу.
В зоне безопасности "Интернет" для связи между клиентом и сервером применяются SSL-версии протоколов ASBP и HTTP, называемые ASBPS и HTTPS, чем достигается аутентификация сервера и шифрование обмена данными во избежание перехвата информации посторонними лицами.
- Защита файлов и каталогов на уровне файловой системы.
Сетевые разрешения. Сетевые разрешения назначаются в связи с открытием общего доступа к папке и действуют только при обращении из сети (не действуют при обращении непосредственно с сервера). Посмотреть или изменить сетевые разрешения на сервере можно в Проводнике, позиционировавшись на общую папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Доступ", а затем нажав кнопку "Разрешения". Сетевые разрешения распространяются на общую папку, а также на все вложенные в нее папки и файлы. После установки Системы на сервере всем пользователям разрешен полный доступ ко всем общим папкам АвтоПарка и ASB. И это не представляет проблемы, поскольку в Windows 2000 имеется гораздо более гибкий инструмент файловой безопасности: разрешения NTFS. Разрешения NTFS. Разрешения NTFS можно назначить только на диске с файловой системой NTFS; действуют они как при обращении из сети, так и непосредственно с сервера. Посмотреть или изменить разрешения NTFS на сервере можно в Проводнике, позиционировавшись на папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Безопасность". Разрешения NTFS можно назначить индивидуально для вложенных папок и файлов, либо использовать механизм наследования разрешений от папки вложенным папкам и файлам. В процессе установки Системы на сервер разрешения NTFS назначаются следующим образом.
Каталог | Разрешения от родительского объекта | Пользователи | Доступ |
ASBClient |
не наследуются |
Локальные
администраторы и System |
полный доступ |
AP_Users, AP_Admin, Programmers | только чтение | ||
ASBServer |
не наследуются |
Локальные администраторы и System | полный доступ |
|
наследуются |
AP_Users, AP_Admin, Programmers | только чтение |
AutoPark |
не наследуются |
Локальным администраторам и System | полный доступ |
AP_Admin, Programmers | модификация | ||
AP_Users | только чтение | ||
|
наследуются |
AP_Users | модификация |
|
наследуются |
AP_Users | модификация |
|
наследуются |
AP_Users | модификация |
|
наследуются |
AP_Users | модификация |
|
наследуются |
AP_XLT_Authors | модификация |
|
наследуются |
AP_DOT_Authors | модификация |
AutoParkSrv |
не наследуются |
Локальным администраторам и System |
полный доступ |
AP_Admin, Programmers |
только чтение | ||
Data |
не наследуются |
Локальным администраторам и System |
полный доступ |
AP_Admin, Programmers | модификация |