Разграничение прав доступа к информации Системы
Содержание |
Защита от несанкционированного подключения к ASB-серверу и перехвата данных
Подключиться к ASB-серверу может только авторизованный пользователь. Первое, что делает ASB-сервер при подключении клиента - определяет, под какой учетной записью выполняется подключение, и аутентифицирует (т.е. проверяет подлинность) пользователя. Не вдаваясь в подробности можно отметить, что аутентификация пользователя основана на проверке пароля, хотя сам пароль при этом по сети не передается. Далее выполняется авторизация подключения, т.е. выяснение, разрешено ли данному пользователю подключиться к ASB-серверу. Все узлы сети с точки зрения ASB-сервера делятся на три зоны безопасности, в которых действуют разные разрешения на подключение.
Разделение на зоны безопасности описано в файле настроек ASB-сервера asbsrv.ini списками разрешений на подключение в разделах "ASBP Server\Bind Addresses" и "HTTP Server\Bind Addresses". Изменять списки разрешений на подключение настоятельно не рекомендуется. Вопрос почти всегда можно решить включением пользователя в соответствующую группу.
В зоне безопасности "Интернет" для связи между клиентом и сервером применяются SSL-версии протоколов ASBP и HTTP, называемые ASBPS и HTTPS, чем достигается аутентификация сервера и шифрование обмена данными во избежание перехвата информации посторонними лицами.
Зона локальный компьютер, т.е. собственно сервер
- Подключение по протоколу ASBP разрешено только членам группы AP_Users.
- Подключение по протоколу HTTP разрешено только членам группы AP_HTTPAccess.
Зона локальная сеть, т.е. сеть Вашего предприятия
- Подключение по протоколу ASBP разрешено только членам группы AP_Users.
- Подключение по протоколу HTTP разрешено только членам группы AP_HTTPAccess.
Зона Интернет, т.е. все остальные узлы
- Подключение по протоколу ASBP разрешено только членам группы AP_InetUsers.
- Подключение по протоколу HTTP разрешено только членам группы AP_InetHTTPAccess.
Защита файлов и каталогов на уровне файловой системы
Путеводитель по разрешениям файловой системы
Сетевые разрешения
Сетевые разрешения назначаются в связи с открытием общего доступа к папке и действуют только при обращении из сети (не действуют при обращении непосредственно с сервера). Посмотреть или изменить сетевые разрешения на сервере можно в Проводнике, позиционировавшись на общую папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Доступ", а затем нажав кнопку "Разрешения". Сетевые разрешения распространяются на общую папку, а также на все вложенные в нее папки и файлы. После установки Системы на сервере всем пользователям разрешен полный доступ ко всем общим папкам АвтоПарка и ASB. И это не представляет проблемы, поскольку в Windows 2000/XP/2003/2008/Vista имеется гораздо более гибкий инструмент файловой безопасности: разрешения NTFS.
Разрешения NTFS
Разрешения NTFS можно назначить только на диске с файловой системой NTFS; действуют они как при обращении из сети, так и непосредственно с сервера. Посмотреть или изменить разрешения NTFS на сервере можно в Проводнике, позиционировавшись на папку, выбрав в контекстном меню пункт "Свойства", далее в диалоге - вкладку "Безопасность". Разрешения NTFS можно назначить индивидуально для вложенных папок и файлов, либо использовать механизм наследования разрешений от папки вложенным папкам и файлам.
В процессе установки Системы на сервер разрешения NTFS назначаются следующим образом:
| Папка | Разрешения от родительского объекта | Группы пользователей | Доступ |
| ASBClient | не наследуются | Администраторы, System | полный доступ |
| Локальные (под Windows Vista/2008) | только чтение | ||
| AP_Admin, Programmers, AP_Users | только чтение | ||
| ASBServer | не наследуются | Администраторы, System | полный доступ |
| Локальные (под Windows Vista/2008) | только чтение | ||
|
наследуются | AP_Admin, Programmers, AP_Users | только чтение |
| AutoPark | не наследуются | Администраторы, System | полный доступ |
| Локальные (под Windows Vista/2008) | только чтение | ||
| AP_Admin, Programmers | модификация | ||
| AP_Users | только чтение | ||
|
наследуются |
AP_Users | модификация |
|
наследуются | AP_Users | модификация |
|
наследуются | AP_Users | модификация |
|
наследуются | AP_Users | модификация |
|
наследуются | AP_XLT_Authors | модификация |
|
наследуются | AP_DOT_Authors | модификация |
| AutoParkSrv | не наследуются | Администраторы, System | полный доступ |
| Локальные (под Windows Vista/2008) | только чтение | ||
| AP_Admin, Programmers | только чтение | ||
|
наследуются | AP_Guard (пользователь) | только чтение |
| Data | не наследуются | Администраторы, System | полный доступ |
| Локальные (под Windows Vista/2008) | только чтение | ||
| AP_Admin, Programmers | модификация |
Здесь: System (или Local System) - встроенная учетная запись под которой выполняются службы операционной системы; администраторы - встроенная локальная группа "Администраторы", в состав которой автоматически входят и администраторы домена. Внимание! Изменение описанных разрешений, в том числе изменение значения флагов наследования, может привести к непредсказуемым последствиям. Утилита "Разрешения NTFS" из папки "Восстановление настроек по умолчанию" позволяет восстановить описанные выше разрешения.
Права на файлы базы данных проекта
Права на файлы в связи с вхождением в стандартные группы пользователей назначаются системой. Права на файлы в связи с вхождением в прочие группы, а также изменения в права стандартных групп оформляются в "Главное меню - Прочее - Администратор - Пользователи и права - Установленные Администратором права на файлы базы данных".
Согласно принадлежности текущего пользователя к той или иной группе определяются его возможности доступа к информации. Правила определения прав следующие: права групп, в которые входит пользователь, суммируются, затем применяются права, установленные пользователю напрямую.
Файлы базы данных
Перечень имеющихся в системе файлов базы данных. Заполняется Системой (см. "F9-Обновить").
- Код
- Имя
- Внутреннее имя файла базы данных
- Описание
- Краткое описание содержимого файла
Оформление
- Объект (группа/пользователь)
- группа или пользователь, которому предоставляются права
- Файл базы данных
- Права
- Временные/Постоянные
Нет доступа/Чтение/Модификация - Примечание
- причина, по которой предоставлены права (например, выполнение какого пункта невозможно без данных прав)
Рекомендуемые правила разбора ситуации с недостатком прав
- Установить в точности, выполнение каких действий потребовало предоставления прав.
- Установить, в качестве какой роли (группы пользователей) выполняется данное действие.
- Убедиться, что пользователь отнесен к данной группе.
- Оформить предоставление требуемого права для данной группы.
Анализ установленных прав пользователей
Для анализа установленных прав служат следующие пункты:
"F10 - Прочее - Администратор - Пользователи и права - Пользователи - F9 - Итоговые права пользователя",
"F10 - Прочее - Администратор - Пользователи и права - Группы пользователей - F9 - Итоговые права группы",
"F10 - Прочее - Администратор - Пользователи и права - Файлы - F9 - Итоговые права на файл",
"F10 - Прочее - Администратор - Пользователи и права - Итоговые права текущего пользователя".
Эти окна состоят из двух таблиц. В верхней показываются итоговые права конкретного пользователя/группы на конкретный файл, в нижней - все имеющиеся назначения прав, из которых получаются итоговые права.
Точки доступа
Сокрытие части отчетов
Часть отчетов (файлы *.rep), которые должны быть доступны для изготовления и просмотра только ограниченному кругу пользователей (обычно, это зарплатные формы - справки, расчетные листы и т.п.) можно скрыть следующим образом:
- Создать папку на сервере C:\AutoPark\SRP (где SRP - сокращение SecretRePorts), внутри нее подпапку $$ для непериодических форм.
- Группу пользователей AP_Users лишить прав на папку C:\AutoPark\SRP.
- Группам пользователей, которым разрешено видеть скрытые отчеты, дать права на C:\AutoPark\SRP.
- В файле <ИмяПроекта>.red настроить путь к отчетам, просмотр которых должен быть ограничен, на папку SRP.
Пример red файла
AvPay21_??.rep = rep\$$ AvPay22_??.rep = rep\$$ AvPay04_??.rep = rep\$$ AvPay??_??.rep = srp\$$ _??_????.rep = srp slp_????.rep = srp sal_????.rep = srp psts*_??.rep = srp\$$ pats*_??.rep = srp\$$ money_??.rep = srp\$$ pdday_??.rep = srp\$$ pdoc*_??.rep = srp\$$ _??.rep = rep\$$ _??01.rep = rep\01 и т.д....
Уже имеющиеся готовые отчеты, просмотр которых должен быть ограничен, перенести в папку C:\AutoPark\SRP (ненужные, из rep\$$ можно удалить).
