Защита файлов и папок
Кроме предоставления разрешений для экземпляра служб Notification Services и других внешних приложений необходимо обеспечить доступ к файлам и папкам, которые используются приложениями.
Защита файлов
При настройке экземпляра служб Notification Services создайте файл конфигурации экземпляра (ICF) или настройте экземпляр с помощью управляющих объектов служб Notification Services. При разработке приложения создайте файл определения приложения (ADF) или определите приложение с помощью NMO.
Файлы с кодом XML или NMO, которые используются для настройки экземпляров и определения приложений, могут содержать секретные сведения. Такие сведения необходимо защитить.
Некоторые приложения также имеют файлы времени выполнения. Например, если приложение использует файл поставщика событий наблюдателя файловой системы, то для документирования схемы событий поставщику требуется файл языка определения XML-схемы (XSD). Если для форматирования уведомлений используются XSL-преобразования (XSLT), то для приложения необходимы файлы XSLT, определяющие порядок форматирования уведомлений. Эти файлы должны быть доступными для учетной записи, под которой запускается ядро служб Notification Services, и они должны быть защищенными.
Чтобы обеспечить доступ приложений к файлам времени выполнения и защиту конфигурации экземпляра и определений приложений, следует отделить файлы времени выполнения от других файлов, а затем настроить безопасность на уровне папок.
Защита папок
Учетная запись, под которой запускается ядро, должна иметь доступ к папкам времени выполнения. Это включает доступ к папкам с файлами модуля форматирования данных, схемы поставщика событий или файлами пользовательских компонентов, а также доступ к папкам, из которых извлекаются события и в которые помещаются уведомления.
Необходимо предоставить ядру доступ к этим папкам, а также ограничить доступ таким образом, чтобы злонамеренные пользователи не могли отсылать данные о событиях, получать уведомления или читать файлы. Например, если используется поставщик событий наблюдателя файловой системы или подобный поставщик, считывающий данные из папки, то необходимо убедиться, что ядро также может считывать данные файлы из этой папки, что зарегистрированные пользователи и приложения могут помещать файлы в эту папку, а злонамеренные пользователи не смогут прочитать или записать файлы в эту папку.
В зависимости от требуемого уровня безопасности можно защитить эти файлы с помощью одного или двух следующих способов:
- Для ограничения доступа к папкам и содержащимся в них файлам можно использовать разрешения NTFS. Дополнительные сведения о разрешениях NTFS см. в документации по Microsoft Windows.
- Если требуется исключить несанкционированный доступ к данным, то можно использовать файловую систему с шифрованием (EFS) для шифрования отдельных файлов и папок. Дополнительные сведения о EFS см. в документации по Windows.
См. также
Основные понятия
Обеспечение безопасности служб Notification Services