Изоляция сервера от терминальных пользователей
В конфигурации терминального сервера серверное приложение, как и клиентское приложение, использует общую и персональную папки. При установке программы по умолчанию персональная папка сервера записывается в C:\IB\Ib10Server. Если для рабочей папки сервера используется другая директория, то путь к используемой папке нужно указать в файле C:\Program Files (x86)\IB\Ib10Platform\config\service.ini. Наличие собственной рабочей папки для сервера объясняется необходимостью изолировать данные от терминальных пользователей. Кроме того, эту же рабочую папку используют MSSQLAdm и консольное приложение сервера.
В персональной рабочей папке сервера хранятся файлы:
- ini, cfg, conf;
- log;
- сертификаты SSL (pem).
При первоначальной установке платформы в конфигурации терминального сервера персональная папка сервера изолирована от терминальных пользователей - у них нет прав доступа к рабочей папке сервера.
Если в качестве персональной папки сервера используется другая директория, для изоляции рабочей директории сервера нужно ограничить доступ к ней терминальных пользователей. Запрет доступа к папке устанавливается при помощи стандартных средств операционной системы. Одним из таких средств является команда icacls.exe. Эта команда позволяет отображать или изменять списки управления доступом к файлам и папкам файловой системы при помощи различных параметров. Синтаксис применения данной команды для ограничения доступа к директории следующий:
icacls.exe <директория> /deny <пользователь>:(OI)(CI)(F)
Например, команда для запрета доступа к директории C:\IB\Ib10Server для всех терминальных пользователей выглядит следующим образом:
icacls.exe C:\IB\Ib10Server /deny *RD:(OI)(CI)(F)
Стоить отметить, что на владельца директории(тот, кто ее создал) ограничение не устанавливается, хотя он также может являться терминальным пользователем.
Данная команда вызывается при помощи командной строки Windows или указывается в .bat-файле.