SharePointi turvalisuse alused Primer / Vältida levinud vigu

VÄRSKENDUS 12/18/07: Vaata Paul Liebrand artiklit mõnede tehniliste tagajärgedega eemaldamise või muutmise nimel vaikenimed (näha oma kommentaar allpool, samuti).

Ülevaade:

SharePointi on lihtne seadistada ja hallata. Aga, See on osutunud raskeks tõesti mähkida oma käed ümber mõned esmakordselt administraatoritele. Mitte ainult, et, Olen näinud mõned tulevad täiuslik arusaamisega esmaspäevast ainult kaotanud reedel sest nad ei pea seda tegema iga konfiguratsiooni vahepealsel ajal administraatorid. (Ma tunnistan, et kellel see probleem ise). See blogi loodetavasti pakub kasulikku SharePointi turvalisuse primer ja punktid suunas mõned konfiguratsiooni parimad.

Tähtis märkus:

See kirjeldus põhineb karbist SharePointi Turve. Minu isiklik kogemus on orienteeritud läheduses MOSS, nii et võib mõned MOSS konkreetne värk siin, kuid usun, et see on täpne WSS. Loodan, et keegi nägi kõik vead ja puudujäägid osutab, et kommentaarides või kirjuta mulle. Teen parandused post kiirustades.

Põhialused:

Käesolev ülevaade eesmärkidel, seal on neli põhimõttelist aspekti turvalisus: kasutajad/rühmad, turvatavate objektide, õigusetasemed ja pärand.

Kasutajate ja rühmade Break down:

  • Üksikud kasutajad: Tõmmatakse aktiivse kataloogi või loodud otseselt SharePointis.
  • Rühmad: Vastendatud otse kataloogist active directory või loodud SharePointi. Rühmad on rühm kasutajaid. Rühmad on globaalne kogum. Kunagi "seotud" konkreetse turvatavale objektile.

Turvatavate objektide Break down-vähemalt:

  • Saidid
  • Dokumenditeegid
  • Üksikute kaupade loendite ja dokumenditeekide
  • Kaustad
  • BDC seadeid.

Seal muud turvatavate objektide, Aga sa saad pildi.

Õiguste tasemed: Kimp granuleeritud / madala taseme kasutusõigused, mis sisaldada üksusi nagu luua/lugeda/Kustuta kannete loendid.

Pärand: Vaikimisi üksuste päri turvasätted sisaldavad eesmärgiks. Alamsaitidele päri õigusi oma emalt. Dokumenditeegid päri oma kodulehele. Nii edasi ja nii edasi.

Kasutajate ja rühmade seotud turvatavate objektide kaudu õigusetasemed ja pärand.

Kõige olulisem turvaeeskirjade mõista, Kunagi 🙂 :

  1. Rühmad on lihtsalt kogude kasutajad.
  2. Rühmad on globaalne saidikogumisse (St. ei ole sellist asja nagu saidi tasandil määratletud rühma).
  3. Olenemata rühmanimi, rühmad ei ole, Ümbruskonnas ja ise, on kõik konkreetsed tase turvalisus.
  4. Rühmad on turvalisus seoses konkreetsete turvatava objekti.
  5. Võib määrata erinevad õigused iga turvatava objektiga samasse.
  6. Web taotluse poliitika trump see kõik (vt allpool).

Turvalisuse administraatorid kaotas meres rühma ja kasutaja listings saab alati toetuda need aksioomid juhtida ja mõista nende turvalisuse konfiguratsiooni.

Levinud vigu:

  • Rühmanimed vääralt tähendada loa: Karbist välja, SharePointi pakutakse välja rühmi, mille nimi tähendada turvalisuse omane tase. Kaaluda rühma "Toetaja". Üks võõras SharePointi Turve võib hästi vaadata seda nime ja eeldada, et selle rühma liige saab "kaasa" Kõik saidi/nimekiri/teeki portaalis. See võib olla tõsi, kuid mitte sellepärast, et rühma nimi juhtub olema "toetaja". See on ainult tõsi karbist, sest rühm on andnud õigustetaset, mis võimaldab neil lisage/redigeerige/kustutage sisu kell juursait. Pärimise teel, "toetajad" rühm võib samuti lisage/redigeerige/kustutage sisu kell igal all-leheküljel. Üks saab "break" pärimise kett ja muutus sub saidi selliste õigusetase selle liikmete nn "toetaja" rühma ei saa kaasa aidata, Aga ainult lugege (näiteks). See ei oleks mõistlik, ilmselt, Kuna on väga segane.
  • Rühmad on määratletud saidi tasemel. On lihtne segi kasutajaliides. Microsoft pakub mugava lingi kasutaja/rühma juhtimise kaudu igas kohas "inimesed ja rühmad" link. See on lihtne uskuda, et kui ma olen saidi "xyzzy" ja rühma xyzzy's inimeste kaudu luua ja sõprade link mis ma olen lihtsalt loodud grupp, mis eksisteerib üksnes xyzzy. Mis ei ole. Tegelikult olen loonud terve saidikogumi rühma.
  • Rühmade koosseis ei muutu saidi (St. See on sama kõikjal kasutatakse): Kaaluda grupp "omanik" ja kaks saidid, "HR" ja "Logistika". On normaalne mõelda, et kaks όksikisiku ise neid saite — HR omanik ja logistika omanik. Kasutajaliides lihtsustab turvalisuse administraatori mishandle selle stsenaariumi. Kui ma ei tea paremini, Võiksid pääseda inimeste ja rühmade lingid HR veebilehe kaudu, Valige omanikud"" rühmitada ning lisada minu HR omanik selle rühma. Kuu aega hiljem, Logistika on real. Ma pääsen inimesed ja rühmad logistika kodulehekülg, lisada tõmme omanikud"" rühm. Ma näen HR omanik ja Eemalda teda, mõtlesin, et ma teda kõrvaldades omanikud logistika veebilehekülg. Tegelikult, Ma olen teda eemaldamine globaalse omanikud fraktsioon. Lõbusus ensues.
  • Ei suutnud nime gruppideks eriülesanded: Kinnitajad"" rühm on suurepärane näide. Mida võivad elanikud selle rühma heaks? Kui nad selle kinnitada? Ma tõesti tahan inimesi logistika osakond saavad tunnustada HR dokumente? Loomulikult ei. Alati nime Sõprade põhineb nende rolli organisatsioonis. See vähendab riski, et rühm on määratud sobimatu õigusetaseme turvatava objekti jaoks. Oma kavandatud rolli gruppideks nimi. Eelmise stsenaariumi HR/logistika, Tuleks luua kaks uut rühma: "HR omanikud" ja "logistika omanikud" ja iga mõistlik õigusetasemed ja neile kasutajatele oma töö tegemiseks vajalik miinimumsumma määramine.

Muud Kasulikud viited:

Kui oled teinud seda kaugele:

Palun andke mulle teada kaudu kommentaare oma mõtteid või kirjuta mulle. Kui teate muud head viited, Palun tehke sama!

Technorati Tags:

8 mõtteid "SharePointi turvalisuse alused Primer / Vältida levinud vigu

  1. Perry

    Rohkem lõkse:

    * On teatud eriõiguste kättesaadavad mujal laeva Turvaplaanis ja ole nähtav inimeste ja rühmade osas: "Nõutavad isikupärastamisteenuste õigused" ja "äriandmete kataloogi õigused"

    * Olen lugenud, on olemas ka SharePoint Designeri erilube saadaval mõned maetud sees html kuskil kauge xml.

    * Esmane ja teisene administraatorid saidikogumi hoitakse mujal saidikogumi seaded, ning inimeste ja gruppide osas ei ole nähtav on.

    * Teatud kontode on maagiline (erilist) sõltumata sellest, mida näed inimesi ja rühmi piirkonnas võimeid: web servereid sisseehitatud ülematerühma liikmed, Serveripargi konto.

    (PS: Kustutamine spam Kommentaarid aitaks parandada loetavust siin.)

    Vastus
  2. Jean Wright
    See on väga hea postitus. Mul on sattunud sellesse lõksu paaril korral. Infoturbe halduse saan keeruline, kui alustate segamine ehtsuse tõendamise ja muu tagatise määramise meetodid. Seda tuleb arvestada planeerimise käigus ja ära.
    Vastus
  3. Mark Miller kirjutas:
    (Märkus: Paul: Mark palus mul teha väike muutus tema kommentaari, kuid ei saa muuta live on eraruumides kommentaare nii olen lisanud selle uuesti siia muutus ja kustutada originaal).
    Paul,
    Selle info esitamiseks kokkuvõtlik lähenemine tuli väga hästi. Ma eriti meeldis lõkse"" jagu, Kuna ma olen sattunud mõned need ise.
    Teine asi, mida sa ütlesid tabab kodus: õppe esmaspäeval ei tähenda mitte tingimata saad meeles pidada reedel. Ma olen rõõmus, et keegi peale minu kasutab oma blogi nagu "ketipöörlejaga" süsteemi nende kriitiline asju, mis on tehtud regulaarselt.
    Hea töö.
    Tervitades,
    Mark
    EndUserSharePoint.com

    November 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Vastus
  4. Paul Galvin
    Arvan, et see on ilmselt mõistlik eemaldada need vaikerühmad, eriti toetaja ja omanik. Nad on overbroad ja kergesti segi. Ma eelistan kasutada "kõik autenditud kasutajad" asemel "külaline" kontserni kui ka. Kui konkreetne komplekt kasutajatele tuleks ainult kirjutuskaitstud juurdepääsuga, siis soovitan asjakohaselt kirjeldav nimega reklaamirühma või SharePointi rühma loomine, näiteks. "Logistika külastajaid".
    –Paul G
    Vastus
  5. Nime pole
    See kõlab nagu esimene asi, mida sa peaksid tegema, on lihtsalt prügimäele külastaja, Toetaja ja omanike rühmad ja asendada need oma loogilistesse gruppidesse. See oleks mõistlik seda teha?
    Vastus

Jäta vastus

Teie e-posti aadressi ei avaldata. Kohustuslikud väljad on tähistatud *