Разграничение прав доступа к информации Системы
Содержание |
Защита от несанкционированного подключения к ASB-серверу и перехвата данных
Подключиться к ASB-серверу может только авторизованный пользователь. Первое, что делает ASB-сервер при подключении клиента - определяет, под какой учетной записью выполняется подключение, и аутентифицирует (т.е. проверяет подлинность) пользователя. Не вдаваясь в подробности можно отметить, что аутентификация пользователя основана на проверке пароля, хотя сам пароль при этом по сети не передается. Далее выполняется авторизация подключения, т.е. выяснение, разрешено ли данному пользователю подключиться к ASB-серверу. Все узлы сети с точки зрения ASB-сервера делятся на три зоны безопасности, в которых действуют разные разрешения на подключение.
Разделение на зоны безопасности описано в файле настроек ASB-сервера asbsrv.ini списками разрешений на подключение в разделах "ASBP Server\Bind Addresses" и "HTTP Server\Bind Addresses". Изменять списки разрешений на подключение настоятельно не рекомендуется. Вопрос почти всегда можно решить включением пользователя в соответствующую группу.
В зоне безопасности "Интернет" для связи между клиентом и сервером применяются SSL-версии протоколов ASBP и HTTP, называемые ASBPS и HTTPS, чем достигается аутентификация сервера и шифрование обмена данными во избежание перехвата информации посторонними лицами.
Зона локальный компьютер, т.е. собственно сервер
- Подключение по протоколу ASBP разрешено только членам группы AP_Users.
- Подключение по протоколу HTTP разрешено только членам группы AP_HTTPAccess.
Зона локальная сеть, т.е. сеть Вашего предприятия
- Подключение по протоколу ASBP разрешено только членам группы AP_Users.
- Подключение по протоколу HTTP разрешено только членам группы AP_HTTPAccess.
Зона Интернет, т.е. все остальные узлы
- Подключение по протоколу ASBP разрешено только членам группы AP_InetUsers.
- Подключение по протоколу HTTP разрешено только членам группы AP_InetHTTPAccess.
Защита файлов и каталогов на уровне файловой системы
Сетевые разрешения
Сетевые разрешения назначаются в связи с открытием общего доступа к папке и действуют только при обращении из сети (не действуют при обращении непосредственно с сервера). Посмотреть или изменить сетевые разрешения на сервере можно в Проводнике, позиционировавшись на общую папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Доступ", а затем нажав кнопку "Разрешения". Сетевые разрешения распространяются на общую папку, а также на все вложенные в нее папки и файлы. После установки Системы на сервере всем пользователям разрешен полный доступ ко всем общим папкам АвтоПарка и ASB. И это не представляет проблемы, поскольку в Windows 2000 имеется гораздо более гибкий инструмент файловой безопасности: разрешения NTFS.
Разрешения NTFS
Разрешения NTFS можно назначить только на диске с файловой системой NTFS; действуют они как при обращении из сети, так и непосредственно с сервера. Посмотреть или изменить разрешения NTFS на сервере можно в Проводнике, позиционировавшись на папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Безопасность". Разрешения NTFS можно назначить индивидуально для вложенных папок и файлов, либо использовать механизм наследования разрешений от папки вложенным папкам и файлам.
В процессе установки Системы на сервер разрешения NTFS назначаются следующим образом.
Каталог | Разрешения от родительского объекта | Пользователи | Доступ |
ASBClient |
не наследуются |
Локальные
администраторы и System |
полный доступ |
AP_Users, AP_Admin, Programmers | только чтение | ||
ASBServer |
не наследуются |
Локальные администраторы и System | полный доступ |
|
наследуются |
AP_Users, AP_Admin, Programmers | только чтение |
AutoPark |
не наследуются |
Локальным администраторам и System | полный доступ |
AP_Admin, Programmers | модификация | ||
AP_Users | только чтение | ||
|
наследуются |
AP_Users | модификация |
|
наследуются |
AP_Users | модификация |
|
наследуются |
AP_Users | модификация |
|
наследуются |
AP_Users | модификация |
|
наследуются |
AP_XLT_Authors | модификация |
|
наследуются |
AP_DOT_Authors | модификация |
AutoParkSrv |
не наследуются |
Локальным администраторам и System |
полный доступ |
AP_Admin, Programmers |
только чтение | ||
Data |
не наследуются |
Локальным администраторам и System |
полный доступ |
AP_Admin, Programmers | модификация |