ファイルおよびフォルダのセキュリティ保護
Notification Services のインスタンスおよびすべての外部アプリケーションに権限を設定するだけでなく、アプリケーションが使用するファイルやフォルダに対するアクセスについても管理する必要があります。
ファイルのセキュリティ保護
Notification Services のインスタンスを構成する際には、インスタンス構成ファイル (ICF) を作成するか、または Notification Services 管理オブジェクト (NMO) を使用してインスタンスを構成します。アプリケーションを開発する際には、アプリケーション定義ファイル (ADF) を作成するか、または NMO を使用してアプリケーションを定義します。
インスタンス構成およびアプリケーション定義に使用される XML または NMO のコードを含むファイルには、セキュリティを脅かす可能性のある情報が含まれる場合があります。そのため、これらのファイルをセキュリティで保護する必要があります。
また、一部のアプリケーションには実行時ファイルがあります。たとえば、アプリケーションがファイル システム監視イベント プロバイダを使用する場合、イベント スキーマを記述する XML スキーマ定義言語 (XSD) ファイルがプロバイダに必要です。通知の書式設定に XSL 変換 (XSLT) を使用している場合、通知を書式設定する方法を指定する XSLT ファイルがアプリケーションに必要です。Notification Services エンジンを実行するアカウントがこれらのファイルにアクセスできるようにすると共に、これらのファイルをセキュリティで保護する必要があります。
アプリケーションが実行時ファイルにアクセスでき、インスタンス構成とアプリケーション定義がセキュリティで保護されるようにするには、実行時ファイルを他のファイルから分離し、フォルダ レベルでセキュリティをカスタマイズすることを検討してください。
フォルダのセキュリティ保護
エンジンを実行するアカウントが、実行時フォルダにアクセスできるようにする必要があります。これには、コンテンツ フォーマッタ ファイル、イベント プロバイダのスキーマ ファイル、またはカスタム コンポーネント ファイルを格納するフォルダに対するアクセスが含まれます。これらのフォルダでイベントを取得し、通知を送信します。
これらのフォルダに対するアクセス権をエンジンに許可する一方で、悪意のあるユーザーによるイベント データの送信、通知の取得、およびファイルの読み取りを防止するために、フォルダに対するアクセスを制限する必要もあります。たとえば、ファイル システム監視イベント プロバイダ、またはフォルダに追加されたイベント データを読み取る同様のプロバイダを使用する場合、このフォルダに追加されたファイルをエンジンが読み取ることができるようにして、権限を持つユーザーおよびアプリケーションがこのフォルダにファイルを追加できるようにすると共に、悪意のあるユーザーがこのフォルダ内のファイルを読み取りおよび書き込みできないようにする必要があります。
必要なセキュリティのレベルによって、次の方法のいずれかまたは両方でこれらのファイルをセキュリティで保護できます。
- フォルダとフォルダ内のすべてのファイルへのアクセスを制限するには、NTFS アクセス許可を使用できます。NTFS アクセス許可の詳細については、Microsoft Windows のマニュアルを参照してください。
- データが許可なく公開される可能性がある場合は、暗号化ファイル システム (EFS) を使用して、特定のファイルとフォルダを暗号化できます。EFS の詳細については、Windows のマニュアルを参照してください。
参照
概念
Notification Services のセキュリティの設定