SharePoint turvallisuuden perusteet Primer / Välttää yhteisen sudenkuopat

PÄIVITYS 12/18/07: Paul Liebrand artikkelissa on joitakin teknisiä vaikutuksia poistaa se tai muuttaa ryhmän oletusnimet (Katso hänen kommentoida alla sekä).

Yleiskatsaus:

SharePoint on helppo määrittää ja hallita. Kuitenkin, se on osoittautunut vaikeaksi jotkut ensimmäistä kertaa ylläpitäjät todella kääri kätensä ympärille. Paitsi että, Olen nähnyt jotkut ylläpitäjät tullut täydellinen ymmärrystä maanantaina vain on menettänyt sen perjantaina, koska heillä ei ollut jotta ajaa jokin kokoonpano väliajan. (Myönnän olevani ongelman itse). Tämän blogimerkinnän toivottavasti tarjoaa hyödyllisiä SharePoint turvallisuus primer ja ennakoi security configuration toimintaohjeita.

Tärkeä huomautus:

Tämä kuvaus perustuu out of box SharePoint-suojauksilla. Oma kokemus on suuntautunut noin MOSS, joten joitakin MOSS tiettyjä juttuja täällä, mutta mielestäni se on tarkka WSS. Toivon, että kenenkään nähdä kaikki virheet tai laiminlyönnit huomauttavat siitä kommentteja tai email we. Teen korjaukset Päättäkää.

Perusteet:

Katsauksessa tarkoitetaan, on olemassa neljä pääasioita, turvallisuus: käyttäjät tai ryhmät, suojattavia kohteita, käyttöoikeustasot ja perintö.

Käyttäjät ja ryhmät murtaa alas:

  • Yksittäiset käyttäjät: Vedettiin active directory tai luotu suoraan SharePoint.
  • Ryhmät: Suoraan yhdistetty active Directorysta tai luotu SharePoint. Ryhmät ovat joukko käyttäjiä. Ryhmät ovat maailmanlaajuisia sivustokokoelmassa. He ole koskaan "sidottu" tiettyyn suojattavaan kohteeseen.

Suojattavia kohteita murtaa alas vähintään:

  • Sivustot
  • Asiakirjakirjastot
  • Yksittäiset kohteet luetteloiden ja asiakirjakirjastojen
  • Kansiot
  • Eri BDC-asetuksia.

Muita suojattavia kohteita, mutta saat kuvan.

Käyttöoikeustasot: Nippu rakeinen / alhainen taso käyttöoikeudet, jotka sisältävät sellaisia asioita kuin luoda, lukea tai poistaa merkinnät luetteloissa.

Perintö: Oletusarvoisesti yksiköt suojausasetukset periytyvät sisältävän objektin. Alisivustot perivät käyttöoikeudet pääsivustosta. Asiakirjakirjastojen perivät sivuston. Ja niin edelleen.

Käyttäjät ja ryhmät liittyvät suojattavia kohteita kautta käyttöoikeustasot ja perintö.

Tärkein suojaussäännöt ymmärtää, Ever 🙂 :

  1. Ryhmät ovat yksinkertaisesti joukko käyttäjiä.
  2. Ryhmät ovat maailmanlaajuisia sivustokokoelman (ts. ei ole sellaista asiaa kuin ryhmän sivuston tasolla).
  3. Ryhmänimi ei kestä, ryhmät eivät, Kaupungissa ja itse, ole mitään tiettyä tasoa turvallisuus.
  4. Ryhmät on tiettyjä suojattavia yhteydessä.
  5. Voit määrittää eri käyttöoikeustasoja samaan ryhmään joka suojattavan.
  6. Web Sovelluskäytännöt valtti kaiken tämän (Katso alla).

Suojauksen hallinnan polveilevia ja käyttäjäryhmien listat aina luottaa nämä aksioomat hallita ja ymmärtää niiden suojauksen määritys.

Viat:

  • Ryhmänimet väärin edellytä lupaa: Kättelyssä, SharePoint määrittää ryhmät joiden nimet tarkoita luonnostaan turvallisuustaso. Pitää ryhmän "Osallistuja". Yksi tunne SharePoint-suojauksilla hyvin tarkastella samanniminen ja olettaa, että kyseisen ryhmän jäsen voi "edistää" sivustosta/luettelosta/asiakirjakirjastoon portaalissa. Tämä voi olla totta mutta ei siksi, että ryhmän nimi sattuu olemaan "osallistuja". Tämä on vain totta kättelyssä, koska ryhmä on antanut käyttöoikeustaso, jonka avulla ne voivat lisätä, muokata tai poistaa sisältöä pääsivusto. Perintönä, "kirjoittajat" Ryhmä voi myös lisätä, muokata tai poistaa sisältöä kaikki osa-sivuston. Yksi "rikkoa" perintö ketju ja muuttaa käyttöoikeustason osa sivusto niin että jäsenet ns "avustaja" ryhmä ei osallistu, mutta vain lukea (esimerkiksi). Tämä ei olisi hyvä, tietenkin, koska olisi hyvin sekava.
  • Ryhmät määritellään ei-sivuston tasolla. Se on helppo sekoittaa käyttöliittymän. Microsoft tarjoaa kätevän yhteyden käyttäjän tai ryhmän johto jokaisen sivuston "ihmisten ja ryhmien" linkki. Se on helppo uskoa, että kun olen sivuston "xyzzy" luodaan ryhmä xyzzy's ihmisten ja ryhmien linkki jonka olen juuri luonut ryhmä, joka on olemassa vain klo xyzzy. Joka ei ole. Olen itse luonut ryhmän koko sivustokokoelman.
  • Ryhmien jäsenyys ei vaihtele toimipaikoittain (ts. se on sama kaikkialla ryhmän käytetään): Pitää ryhmän "omistaja" ja kaksi sivustoa, "HR" ja "Logistiikka". Se olisi normaalia ajatella, että kaksi eri henkilöä itse näitä sivustoja — HR-omistaja ja logistiikan omistaja. Käyttöliittymä helpottaa suojauksesta vastaava järjestelmänvalvoja voi huonosti tässä tilanteessa. Jos en tiedä paremmin, Saatat saada henkilöt ja ryhmät-linkkien kautta HR-sivusto, Valitse "omistajat" Ryhmä ja lisäämällä HR omistaja ryhmän. Kuukautta myöhemmin, Logistiikka tulee linja. I-KIRJAIN pääsy henkilöt ja ryhmät logistiikka-sivustosta, Lisää vedä ylös "omistajat" Ryhmä. Katso HR omistaja ja poistaa hänet, ajatellut, että olen poistaa hänen omistajilta logistiikka-sivustossa. Itse asiassa, Olen poistaa global omistajien-ryhmästä. Iloisuus ensues.
  • Ei nimi ryhmään erityisasema: "Hyväksyjät" ryhmä on täydellinen esimerkki. Mitä voi jäsenten ryhmän hyväksy? Jossa häntä hyväksymään se? Todella haluan ihmisiä logistiikan osasto voi hyväksyä HR asiakirjoja? Ei tietenkään. Aina nimi ryhmiin niiden rooli organisaatiossa. Tämä vähentää ryhmälle on määritetty tietyn suojattavan sopimatonta käyttöoikeustaso. Nimi ryhmään aiotun rooli. Edellisen HR/logistiikka-menetelmän, Olen luonut kaksi uutta ryhmää: "HR omistajat" ja "logistiikka omistajat" järkevä käyttöoikeustasot kullekin ja nämä käyttäjät tekevät työnsä vaadittu vähimmäismäärä.

Muut hyödylliset viitteet:

Jos olet tehnyt näin pitkälle:

Kerro minulle ajatuksiasi kautta kommentteja tai lähetä minulle sähköpostia. Jos tiedät muita hyvät referenssit, Tee sama!

Technorati Tags:

8 ajatuksia ”SharePoint turvallisuuden perusteet Primer / Välttää yhteisen sudenkuopat

  1. Perry

    Sudenkuoppia:

    * On olemassa tiettyjä erikoisoikeuksia saatavilla muualla jaettujen palveluiden tarjoajan ja ei näy henkilöt ja ryhmät-osassa: "Mukauttamispalveluiden käyttöoikeudet" ja "yritystietoluetteloon käyttöoikeudet"

    * Olen lukenut että on käytettävissä myös SharePoint Designer erikoisoikeuksia noin arcane XML hautajaiset sisältä html jonnekin.

    * Ensisijainen ja toissijaisia järjestelmänvalvojia Sivustokokoelman säilytetään muualla sivustokokoelman asetukset, ja ne eivät näy henkilöt ja ryhmät-osassa.

    * Tietyille tileille on maaginen (erityistä) kykyjä riippumatta siitä, mitä näet henkilöt ja ryhmät-alueella: web-palvelimet sisäiset Järjestelmänvalvojat-ryhmän jäsenten, ja maatilan tili.

    (PS: Poistaa spam kommentit parantaa luettavuutta täällä.)

    Vastaus
  2. Jean Wrightin
    Tämä on erittäin hyvä viesti. Ovat langenneet tähän ansaan harvoin. Suojauksen hallinta voi saada monimutkainen, kun alkaa sekoittamalla todennusmenetelmät ja erilaiset ryhmittelytavoista. Tämä on otettava huomioon osana suunnitteluprosessia ja ei pidä unohtaa.
    Vastaus
  3. Mark kirjoitti:
    (Huomautus Paul: Mark pyysi minua tekemään pieni muutos hänen kommentti mutta voi muokata live tilat kommentteja, niin olen lisännyt sitä uudelleen täällä muutos ja poistaa alkuperäisen).
    Paul,
    Yhteenveto lähestymistapa esittää tämän info irtosi hyvin. Pidin erityisesti "karikot" jakso, koska olen pudonnut pari niitä itse.
    Toinen asia mitä sanoi perille: oppimisen maanantaina ei ei välttämättä tarkoita muistat perjantaina. Olen iloinen, joku minun lisäkseni käyttää niiden blogin juttu"" järjestelmä niitä kriittisiä asioita, jotka eivät ole tehneet säännöllisesti.
    Hyvää työtä.
    Terveisin,
    Mark
    EndUserSharePoint.com

    Marraskuuta 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Vastaus
  4. Paul Galvin
    Mielestäni se on luultavasti hyvä ajatus poistaa näiden oletusryhmät, erityisesti avustaja ja omistaja. Ne ovat overbroad ja helposti. Mieluummin käyttää "All Authenticated Users" sijasta "kävijä" sekä ryhmän. Jos ja käyttäjien pitäisi vain luku-tilassa, niin suosittelen, luoda mainosryhmän tai SharePoint-ryhmän asianmukaisesti kuvaava nimi, virrankatkaisu. "Logistiikka Visitors".
    –Paul G
    Vastaus

Jätä vastaus

Sähköpostiosoitettasi ei julkaista. pakolliset kentät on merkitty *