微軟 Visual SourceSafe 2005 英文光碟正式版 (Visual SourceSafe 資料庫安全性) 軟體簡介: 微軟VisualSourceSafe2005英文光碟正式版(VisualSourceSafe資料庫安全性) 相關網址: http://www.microsoft.com/ 安裝說明: 無 內容說明: 本資訊乃針對任何建立VSS資料庫、授與其他使用者權限來存取包含資料庫的檔案共 用資料夾,或在VSSAdministrator程式中管理使用者權限和指派的Visual SourceSafe(VSS)使用者所提供。 術語 安全性是指依據Windows使用者憑證和權限來控制資源存取的過程。 權限是與本機資源或網路共用資源相關的規則,例如,檔案、目錄或印表機;權限可 以授與群組、全域群組、甚至個別的Windows使用者。當您授與Windows權限時, 您可指定群組和使用者的存取層級。 作業系統或檔案系統安全性在每次Windows使用者與共用資源互動時檢查其權限,以 判斷該使用者是否具有必要的權限。例如,如果該使用者嘗試將檔案儲存在某資料夾 ,該使用者必須對該資料夾具有寫入權限。 共用使Windows資源,如資料夾和印表機,可供其他人使用。共用資源權限限制共用 資源在網路上僅供特定Windows使用者使用。共用資料夾的管理員授與權限給 Windows使用者,以啟用資料夾和子資料夾的遠端存取權。共用Windows資源與在 VSS中共用檔案和專案不同。 權限在VSS中會指定哪些VSS使用者可存取特定VSS專案。在VSS中有四個使用 者存取權層級:讀取、簽出/簽入、新增/重新命名/刪除和終結(Destroy)。可指定資 料庫的新使用者的預設層級。 指派在VSS中會指定某特定VSS使用者可存取哪些VSS專案。 VSS資料庫資料夾是指包含資料庫的Srcsafe.ini檔的Windows資料夾,以及其他 VSS資料夾,如Data和Users。 保護資料庫和管理使用者 VSSAdministrator程式提供管理VSS使用者的工具,為個別使用者或VSS資料庫 中的個別VSS專案指定存取權限。不過,若要真正保護資料庫安全,您必須利用 Windows整合安全性,設定該些資料夾的共用和安全權限來限制VSS資料夾的存取。 如下圖所示,共用的VSS資料庫的安全性就等於它所在的共用網路資料夾的安全性。 遵循資料庫鎖定程式,在建立資料庫或新增或刪除VSS使用者時設定或變更資料庫資 料夾的共用權限,來加強Windows安全性。否則,網路上的惡意使用者可輕易穿越 VSS使用者「權限和指派」(RightsandAssignments)的透明牆。不要仰賴VSS保 護資料安全:即使唯讀VSS使用者也可以從他們有存取權的VSS資料庫中刪除共用 網路資料夾。 VisualSourceSafe安全架構 您在VSSAdministrator程式中設定的VSS使用者「權限和指派」與VSS資料庫資 料夾的Windows共用權限無關。VSS使用VSS使用者名稱和密碼來進行使用者管理 和存取VSS。VSS使用者名稱是用於VSSAdministrator程式中管理使用者的權限和 指派,並在登入時、歷程記錄資訊中和檔案報告中識別使用者。使用者可使用使用者 名稱和密碼登入VSS。VSS為每一個VSS使用者建立和記錄初始設定檔Ss.ini,該 檔案包含設定值來自訂該使用者的VSS環境。若要保護該起始設定檔,請遵循《 Howto:LockDownaVisualSourceSafeDatabase》(英文)中的說明。 有關Windows安全性、存取控制和權限的詳細資訊,請參閱[Windows說明]。 保護資料庫的指導方針 若要保護資料庫安全,您必須使用Windows整合安全性來限制VSS資料夾的存取權 ,讓只有獲授權的Windows使用者可存取該資料庫或執行VSSAdministrator程式 。VSS資料庫的安全性由包含它的資料夾的安全性來決定。若要為VSS資料庫實作此 處所描述的安全性,必須在NT檔案系統(NTFS)上安裝該資料庫,WindowsNT4.0 、Windows2000、WindowsXP和更新版本上都有NTFS。VSS資料庫安裝在NTFS磁 碟區之後,您就可以授與個別檔案和資料夾的權限;檔案配置表(FAT)檔案系統會套 用相同權限至整個共用資料夾。 限制共用權限 當您建立共用資料庫時,建議您最好使用Windows檔案總管來限制VSS資料夾的共 用權限。您必須移除當您共用VSS資料庫資料夾時自動新增的Everyone群組。您 可以建立兩個Windows使用者群組–VSS系統管理員和VSS使用者–並授與每 一個群組對VSS資料庫資料夾和其他VSS資料夾的適當權限。還需要授與每一個 VSS使用者對Users/username資料夾的讀寫權限,此資料夾名稱對應該使用者的 VSS使用者名稱。如需說明,請參閱《Howto:LockDownaVisualSourceSafe Database》(英文)。 管理使用者 在新增或刪除VSS使用者時,您不僅要在VSSAdministrator程式中使用該使用者 清單來管理該些使用者,還要新增或移除其Windows共用權限。如需說明,請參閱《 Howto:LockDownaVisualSourceSafeDatabase》(英文)。 其他考量 在安全位置安裝資料庫 在VSS安裝期間,根據預設,會在ProgramFiles之下的VSSData資料夾中建立 資料庫。該資料庫僅供個人使用,不得共用。唯有當其他程式要求您在預設位置使用 資料庫時,才這麼做。 對VSS資料夾具有完整控制權限的任何Windows使用者都可以置換Win32資料夾中 的可執行檔:請遵循《Howto:LockDownaVisualSourceSafeDatabase》(英文 )中的程式,僅授與完整控制權限給VSSAdministrator群組中的使用者。而且,所 有VSS資料庫使用者都需要VSS資料庫資料夾的權限,如果該資料夾是在 ProgramFiles資料夾之下,它將包含可執行檔和相關資源。 請勿在系統資料夾或在Documents和Settings資料夾中建立共用資料庫。 隱藏VSSData共用資料夾 您可以隱藏網路共用資料夾,使遠端Windows使用者很難判斷伺服器是否有共用資料 夾及是否有安裝VSS。當Windows使用者瀏覽伺服器時,網路共用資料夾不會出現。 若要隱藏網路共用資料夾,請在資料夾名稱結尾新增$,例如,不使用 \\server\vssdb1而使用\\server\vssdb1$。您必須告訴VSS使用者資料庫的真正 位置,他們才能新增該資料庫至[開啟SourceSafe資料庫]對話方塊中的[可用的 資料庫]清單中。 Shadow資料夾 如果您建立VSS專案的shadow資料夾,shadow資料夾並不會繼承VSS資料夾的 Windows使用者權限。將shadow資料夾的讀寫權限授與所有VSS使用者,並只授與 讀取權限給任何需要shadow資料夾之唯讀存取權的Windows使用者。如需詳細資訊 ,請參閱CreateShadowFolders(英文)。 建議您在不同於VSS資料夾的共用資料夾之下建立shadow資料夾,讓對於 shadow資料夾具有唯讀存取權的Windows使用者對於包含該資料夾的共用資料夾不 具任何存取權限。亦建議您為特定VSS專案而不要為根專案$建立shadow資料夾 ,讓對於shadow資料夾具有存取權的Windows使用者只能存取該VSS專案,而不 能存取整個資料庫。 注意當您從VSS專案刪除檔案或專案時,該檔案或專案並未自shadow資料夾中 刪除。 日誌檔 如果您要建立日誌檔,建議您將檔案放置在與Srcsafe.ini檔相同的資料夾中,並授 與該日誌檔的Windows讀寫權限給VSS使用者,來保護該檔案。 安裝和執行VSS所需的權限 您必須是Windows系統管理員才能在該電腦上安裝VSS,但不需要「系統管理員」權 限亦可執行VSSAdministrator程式或VSSExplorer和命令列。 Admin和Guest使用者名稱 建立VSS資料庫時,根據預設會建立兩個使用者名稱:Admin和Guest。Admin使用 者和Guest使用者的密碼為空白。建議您在VSSAdministrator程式中使用Change Password命令來設定Admin使用者的密碼。您可以在VSSAdministrator程式中使 用ChangePassword命令來刪除Guest使用者或設定Guest使用者的密碼。如需詳 細資訊,請參閱ChangeaUserPassword(英文)。 密碼 如果您的VSS使用者必須輸入使用者名稱和密碼來登入VSS,請告訴他們不要對作業 系統和VSS使用相同密碼。如果密碼一樣,駭客會發現VSS密碼,駭客可能使用該 使用者的身份來存取作業系統和所有程式。 SSUSER和SSPWD環境變數 您可以在電腦上將SSUSER和SSPWD環境變數設定為您的VSS使用者名稱和密碼, 以避免每次在命令列輸入VSS命令或啟動VSSExplorer時出現登入提示。 如果您設定該些環境變數,則您電腦的任何使用者可能可以讀取該些變數並使用您的 使用者名稱和密碼來執行VSS。 使用網路名稱讓使用者自動登入 VisualSourceSafe提供[Usenetworknameforautomaticuserlogin]選項, 它可讓VisualSourceSafe與MicrosoftVisualInterDev、VisualStudio.Net 和FrontPage進行整合。有關使用本選項時的安全性考量之資訊,請參閱Microsoft KnowledgeBase文章Q283618。 使用VSS專案權限 如果您想要指定個別VSS使用者或個別VSS專案的存取權,請使用VSS Administrator程式中的[Tools(工具)]功能表上的[RightsbyProject(依專案 的權限)]和[RightsAssignmentsforUsers(使用者的權限指派)]。在Visual SourceSafe6.0c版和更早的版本中,您可以選取[SourceSafeOptions( SourceSafe選項)]對話方塊中的[ProjectSecurity(專案安全性)]索引標籤上的 [EnableProjectSecurity(啟用專案安全性)]來啟動功能表命令。在Visual SourceSafe的較新版本中,您可以選取[SourceSafeOptions(SourceSafe選項) ]對話方塊中的[ProjectRights(專案權限)]索引標籤上的[EnableRights andAssignments(啟用權限和指派)]命令來啟動功能表命令。 審核使用者活動 VisualSourceSafe2005isaversioncontrolsystemdesignedforindividual developersorsmallteams,whoneedalightweight,filesystem-based applicationforsourcecodecontrol.