Разграничение прав доступа к информации Системы

Материал из AutoPark
Перейти к: навигация, поиск

Содержание

Защита от несанкционированного подключения к ASB-серверу и перехвата данных

Подключиться к ASB-серверу может только авторизованный пользователь. Первое, что делает ASB-сервер при подключении клиента - определяет, под какой учетной записью выполняется подключение, и аутентифицирует (т.е. проверяет подлинность) пользователя. Не вдаваясь в подробности можно отметить, что аутентификация пользователя основана на проверке пароля, хотя сам пароль при этом по сети не передается. Далее выполняется авторизация подключения, т.е. выяснение, разрешено ли данному пользователю подключиться к ASB-серверу. Все узлы сети с точки зрения ASB-сервера делятся на три зоны безопасности, в которых действуют разные разрешения на подключение.

Разделение на зоны безопасности описано в файле настроек ASB-сервера asbsrv.ini списками разрешений на подключение в разделах "ASBP Server\Bind Addresses" и "HTTP Server\Bind Addresses". Изменять списки разрешений на подключение настоятельно не рекомендуется. Вопрос почти всегда можно решить включением пользователя в соответствующую группу.

В зоне безопасности "Интернет" для связи между клиентом и сервером применяются SSL-версии протоколов ASBP и HTTP, называемые ASBPS и HTTPS, чем достигается аутентификация сервера и шифрование обмена данными во избежание перехвата информации посторонними лицами.

Зона локальный компьютер, т.е. собственно сервер

Зона локальная сеть, т.е. сеть Вашего предприятия

Зона Интернет, т.е. все остальные узлы

Защита файлов и каталогов на уровне файловой системы

Путеводитель по разрешениям файловой системы

Сетевые разрешения

Сетевые разрешения назначаются в связи с открытием общего доступа к папке и действуют только при обращении из сети (не действуют при обращении непосредственно с сервера). Посмотреть или изменить сетевые разрешения на сервере можно в Проводнике, позиционировавшись на общую папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Доступ", а затем нажав кнопку "Разрешения". Сетевые разрешения распространяются на общую папку, а также на все вложенные в нее папки и файлы. После установки Системы на сервере всем пользователям разрешен полный доступ ко всем общим папкам АвтоПарка и ASB. И это не представляет проблемы, поскольку в Windows XP/2003/2008/Vista имеется гораздо более гибкий инструмент файловой безопасности: разрешения NTFS.

Разрешения NTFS

Разрешения NTFS можно назначить только на диске с файловой системой NTFS; действуют они как при обращении из сети, так и непосредственно с сервера. Посмотреть или изменить разрешения NTFS на сервере можно в Проводнике, позиционировавшись на папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Безопасность". Разрешения NTFS можно назначить индивидуально для вложенных папок и файлов, либо использовать механизм наследования разрешений от папки вложенным папкам и файлам.

В процессе установки Системы на сервер разрешения NTFS назначаются следующим образом:

Папка Разрешения от родительского объекта Группы пользователей Доступ
ASBClient не наследуются Администраторы, System полный доступ
Локальные (под Windows Vista/2008) только чтение
AP_Admin, Programmers, AP_Users только чтение
ASBServer не наследуются Администраторы, System полный доступ
Локальные (под Windows Vista/2008) только чтение
  • ASBServer\HTTP
наследуются AP_Admin, Programmers, AP_Users только чтение
AutoPark не наследуются Администраторы, System полный доступ
Локальные (под Windows Vista/2008) только чтение
AP_Admin, Programmers модификация
AP_Users только чтение
  • AutoPark\Basis

наследуются

AP_Users модификация
  • AutoPark\Rep
наследуются AP_Users модификация
  • AutoPark\Tjr
наследуются AP_Users модификация
  • AutoPark\Tmp
наследуются AP_Users модификация
  • AutoPark\Xlt
наследуются AP_XLT_Authors модификация
  • AutoPark\Txt\Dot
наследуются AP_DOT_Authors модификация
AutoParkSrv не наследуются Администраторы, System полный доступ
Локальные (под Windows Vista/2008) только чтение
AP_Admin, Programmers только чтение
  • AutoParkSrv\Backup
наследуются AP_Guard (пользователь) только чтение
Data не наследуются Администраторы, System полный доступ
Локальные (под Windows Vista/2008) только чтение
AP_Admin, Programmers модификация

Здесь: System (или Local System) - встроенная учетная запись под которой выполняются службы операционной системы; администраторы - встроенная локальная группа "Администраторы", в состав которой автоматически входят и администраторы домена. Внимание! Изменение описанных разрешений, в том числе изменение значения флагов наследования, может привести к непредсказуемым последствиям. Утилита "Разрешения NTFS" из папки "Восстановление настроек по умолчанию" позволяет восстановить описанные выше разрешения.

Права на файлы базы данных проекта

Права на файлы в связи с вхождением в стандартные группы пользователей назначаются системой. Права на файлы в связи с вхождением в прочие группы, а также изменения в права стандартных групп оформляются в "Главное меню - Прочее - Администратор - Пользователи и права - Установленные Администратором права на файлы базы данных".

Согласно принадлежности текущего пользователя к той или иной группе определяются его возможности доступа к информации. Правила определения прав следующие: права групп, в которые входит пользователь, суммируются, затем применяются права, установленные пользователю напрямую.

Файлы базы данных

Перечень имеющихся в системе файлов базы данных. Заполняется Системой (см. "F9-Обновить").

Код
Имя
Внутреннее имя файла базы данных
Описание
Краткое описание содержимого файла

Оформление

Объект (группа/пользователь)
группа или пользователь, которому предоставляются права
Файл базы данных
Права
Временные/Постоянные
Нет доступа/Чтение/Модификация
Группе/Только менеджеру
Степень детализации
Все записи файла БД/Только перечисленные группы записей БД/Кроме перечисленных групп записей БД
Примечание
причина, по которой предоставлены права (например, выполнение какого пункта невозможно без данных прав)
Группы записей БД

Рекомендуемые правила разбора ситуации с недостатком прав

  1. Установить в точности, выполнение каких действий потребовало предоставления прав.
  2. Установить, в качестве какой роли (группы пользователей) выполняется данное действие.
  3. Убедиться, что пользователь отнесен к данной группе.
  4. Оформить предоставление требуемого права для данной группы.

Анализ установленных прав пользователей

Для анализа установленных прав служат следующие пункты:
"F10 - Прочее - Администратор - Пользователи и полномочия - Пользователи - F9 - Итоговые права пользователя",
"F10 - Прочее - Администратор - Пользователи и полномочия - Группы пользователей - F9 - Итоговые права группы",
"F10 - Прочее - Администратор - Пользователи и полномочия - Файлы - F9 - Итоговые права на файл",
"F10 - Прочее - Администратор - Пользователи и полномочия - Итоговые права текущего пользователя".

Эти окна состоят из двух таблиц. В верхней показываются итоговые права конкретного пользователя/группы на конкретный файл, в нижней - все имеющиеся назначения прав, из которых получаются итоговые права.

Точки доступа

Обновление прав пользователя

После изменения администратором прав пользователя (например, на файлы базы данных или на прохождение точек доступа), чтобы изменения вступили в силу, пользователю необходимо обновить права. Сделать это должен сам пользователь, выполнив "F10 - Прочее - Сервис - Настройки - Обновить права".

Сокрытие части отчетов

Часть отчетов (файлы *.rep), которые должны быть доступны для изготовления и просмотра только ограниченному кругу пользователей (обычно, это зарплатные формы - справки, расчетные листы и т.п.) можно скрыть следующим образом:

Пример red файла

AvPay21_??.rep = rep\$$
AvPay22_??.rep = rep\$$
AvPay04_??.rep = rep\$$
AvPay??_??.rep = srp\$$
_??_????.rep   = srp
slp_????.rep   = srp
sal_????.rep   = srp
psts*_??.rep   = srp\$$
pats*_??.rep   = srp\$$
money_??.rep   = srp\$$
pdday_??.rep   = srp\$$
pdoc*_??.rep   = srp\$$
_??.rep        = rep\$$
_??01.rep      = rep\01
и т.д....

Уже имеющиеся готовые отчеты, просмотр которых должен быть ограничен, перенести в папку C:\AutoPark\SRP (ненужные, из rep\$$ можно удалить).

Личные инструменты
Пространства имён
Варианты
Действия
Навигация
Инструменты
Другие ресурсы