Разграничение прав доступа к информации Системы

Содержание 1 Защита от несанкционированного подключения к ASB-серверу и перехвата данных 1.1 Зона локальный компьютер, т.е. собственно сервер 1.2 Зона локальная сеть, т.е. сеть Вашего предприятия 1.3 Зона Интернет, т.е. все остальные узлы 2 Защита файлов и каталогов на уровне файловой системы 2.1 Сетевые разрешения 2.2 Разрешения NTFS

Защита от несанкционированного подключения к ASB-серверу и перехвата данных

Подключиться к ASB-серверу может только авторизованный пользователь. Первое, что делает ASB-сервер при подключении клиента - определяет, под какой учетной записью выполняется подключение, и аутентифицирует (т.е. проверяет подлинность) пользователя. Не вдаваясь в подробности можно отметить, что аутентификация пользователя основана на проверке пароля, хотя сам пароль при этом по сети не передается. Далее выполняется авторизация подключения, т.е. выяснение, разрешено ли данному пользователю подключиться к ASB-серверу. Все узлы сети с точки зрения ASB-сервера делятся на три зоны безопасности, в которых действуют разные разрешения на подключение.

Разделение на зоны безопасности описано в файле настроек ASB-сервера asbsrv.ini списками разрешений на подключение в разделах "ASBP Server\Bind Addresses" и "HTTP Server\Bind Addresses". Изменять списки разрешений на подключение настоятельно не рекомендуется. Вопрос почти всегда можно решить включением пользователя в соответствующую группу.

В зоне безопасности "Интернет" для связи между клиентом и сервером применяются SSL-версии протоколов ASBP и HTTP, называемые ASBPS и HTTPS, чем достигается аутентификация сервера и шифрование обмена данными во избежание перехвата информации посторонними лицами.

Зона локальный компьютер, т.е. собственно сервер

• Подключение по протоколу ASBP разрешено только членам группы AP_Users.
• Подключение по протоколу HTTP разрешено только членам группы AP_HTTPAccess.

Зона локальная сеть, т.е. сеть Вашего предприятия

• Подключение по протоколу ASBP разрешено только членам группы AP_Users.
• Подключение по протоколу HTTP разрешено только членам группы AP_HTTPAccess.

Зона Интернет, т.е. все остальные узлы

• Подключение по протоколу ASBP разрешено только членам группы AP_InetUsers.
• Подключение по протоколу HTTP разрешено только членам группы AP_InetHTTPAccess.

Защита файлов и каталогов на уровне файловой системы

Сетевые разрешения

Сетевые разрешения назначаются в связи с открытием общего доступа к папке и действуют только при обращении из сети (не действуют при обращении непосредственно с сервера). Посмотреть или изменить сетевые разрешения на сервере можно в Проводнике, позиционировавшись на общую папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Доступ", а затем нажав кнопку "Разрешения". Сетевые разрешения распространяются на общую папку, а также на все вложенные в нее папки и файлы. После установки Системы на сервере всем пользователям разрешен полный доступ ко всем общим папкам АвтоПарка и ASB. И это не представляет проблемы, поскольку в Windows 2000 имеется гораздо более гибкий инструмент файловой безопасности: разрешения NTFS.

Разрешения NTFS

Разрешения NTFS можно назначить только на диске с файловой системой NTFS; действуют они как при обращении из сети, так и непосредственно с сервера. Посмотреть или изменить разрешения NTFS на сервере можно в Проводнике, позиционировавшись на папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Безопасность". Разрешения NTFS можно назначить индивидуально для вложенных папок и файлов, либо использовать механизм наследования разрешений от папки вложенным папкам и файлам.

В процессе установки Системы на сервер разрешения NTFS назначаются следующим образом.

Каталог	Разрешения от родительского объекта	Пользователи	Доступ
ASBClient	не наследуются	Локальные администраторы и System	полный доступ
		AP_Users, AP_Admin, Programmers	только чтение
ASBServer	не наследуются	Локальные администраторы и System	полный доступ
ASBServer\HTTP	наследуются	AP_Users, AP_Admin, Programmers	только чтение
AutoPark	не наследуются	Локальным администраторам и System	полный доступ
		AP_Admin, Programmers	модификация
		AP_Users	только чтение
AutoPark\Basis	наследуются	AP_Users	модификация
AutoPark\Rep	наследуются	AP_Users	модификация
AutoPark\Tjr	наследуются	AP_Users	модификация
AutoPark\Tmp	наследуются	AP_Users	модификация
AutoPark\Xlt	наследуются	AP_XLT_Authors	модификация
AutoPark\Txt\Dot	наследуются	AP_DOT_Authors	модификация
AutoParkSrv	не наследуются	Локальным администраторам и System	полный доступ
		AP_Admin, Programmers	только чтение
Data	не наследуются	Локальным администраторам и System	полный доступ
		AP_Admin, Programmers	модификация