SharePoint Keamanan fundamental Primer / Menghindari perangkap umum

UPDATE 12/18/07: Lihat artikel Paul Liebrand untuk konsekuensi beberapa teknis menghapus atau memodifikasi nama grup default (Lihat komentar di bawah ini juga).

Sekilas pandang:

Keamanan SharePoint mudah untuk mengkonfigurasi dan mengelola. Namun, Hal ini telah terbukti menjadi sulit bagi beberapa administrator pertama kali untuk benar-benar membungkus tangan mereka di sekitar itu. Tidak hanya itu, Saya telah melihat beberapa administrator yang datang ke pemahaman yang sempurna pada hari Senin hanya untuk telah hilang oleh Jumat karena mereka tidak perlu melakukan konfigurasi apapun dalam waktu intervensi. (Aku mengakui untuk memiliki masalah ini sendiri). Blog entry ini mudah-mudahan menyediakan SharePoint keamanan primer yang berguna dan menunjuk ke arah beberapa konfigurasi pengamanan.

Catatan penting:

Keterangan ini berdasarkan dari kotak keamanan SharePoint. Pengalaman pribadi saya berorientasi di sekitar MOSS sehingga mungkin terdapat MOSS beberapa spesifik hal di sini, tapi saya percaya secara akurat untuk WSS. Saya berharap bahwa siapa pun yang melihat semua kesalahan atau tidak akan menunjukkan bahwa dalam komentar atau email saya. Aku akan membuat koreksi posting tergesa-gesa.

Dasar-dasar:

Untuk tujuan dari tinjauan ini, ada empat aspek-aspek fundamental keamanan: pengguna/kelompok, Securable objects, tingkat izin dan warisan.

Pengguna dan grup istirahat ke:

  • Masing-masing pengguna: Ditarik dari aktif direktori atau dibuat secara langsung dalam SharePoint.
  • Kelompok: Dipetakan langsung dari active directory atau dibuat di SharePoint. Kelompok adalah kumpulan pengguna. Kelompok global dalam situs koleksi. Mereka tidak pernah "terikat" untuk objek securable tertentu.

Securable objects istirahat ke setidaknya:

  • Situs
  • Dokumen perpustakaan
  • Setiap item dalam daftar dan dokumen perpustakaan
  • Folder
  • Berbagai pengaturan BDC.

Ada lain securable objects, tapi Anda mendapatkan gambar.

Izin tingkat: Seikat rinci / hak rendah tingkat akses yang mencakup hal-hal seperti membuat/membaca/menghapus entri dalam daftar.

Warisan: Secara default entitas mewarisi pengaturan keamanan dari objek yang mengandung mereka. Sub situs mewarisi izin dari orang tua mereka. Dokumen perpustakaan mewarisi dari situs mereka. Seterusnya dan sebagainya.

Pengguna dan grup yang berhubungan dengan securable objects melalui tingkat izin dan warisan.

Aturan-aturan keamanan yang paling penting untuk memahami, Ever 🙂 :

  1. Kelompok yang cukup koleksi pengguna.
  2. Kelompok global dalam situs koleksi (yaitu. tidak ada hal seperti itu sebagai sebuah kelompok yang didefinisikan pada tingkat situs).
  3. Nama grup tidak, kelompok tidak, di lokasi dan dari diri mereka sendiri, memiliki tingkat keamanan tertentu.
  4. Kelompok memiliki keamanan dalam konteks securable objek tertentu.
  5. Anda dapat menetapkan tingkat berbeda izin untuk kelompok yang sama untuk setiap objek securable.
  6. Web aplikasi kebijakan truf semua ini (Lihat di bawah).

Keamanan Administrator hilang di lautan daftar grup dan pengguna dapat selalu mengandalkan aksioma ini untuk mengelola dan memahami konfigurasinya keamanan.

Common Pitfalls:

  • Nama grup palsu menyiratkan izin: Keluar dari kotak, SharePoint mendefinisikan sebuah set kelompok yang namanya berarti tingkat melekat keamanan. Mempertimbangkan kelompok "Kontributor". Salah satu yang tidak terbiasa dengan keamanan SharePoint mungkin baik melihat nama itu dan menganggap bahwa setiap anggota grup tersebut dapat "berkontribusi" untuk setiap situs/daftar/perpustakaan di portal. Itu mungkin benar, tetapi bukan karena nama kelompok ini kebetulan "kontributor". Hal ini hanya berlaku dari kotak karena kelompok telah menyediakan tingkat izin yang memungkinkan mereka untuk menambah/menyunting/menghapus konten di situs akar. Melalui warisan, "kontributor" kelompok juga dapat menambah/menyunting/menghapus konten di setiap sub situs. Satu dapat "break" rantai warisan dan perubahan tingkat izin sub-site seperti bahwa anggota apa yang disebut "kontributor" Grup tidak dapat memberikan kontribusi sama sekali, tapi hanya membaca (misalnya). Ini tidak akan ide yang baik, jelas, karena itu akan sangat membingungkan.
  • Kelompok tidak didefinisikan pada tingkat situs. Mudah menjadi bingung oleh antarmuka pengguna. Microsoft menyediakan link nyaman ke pengguna Grup manajemen melalui setiap situs "orang-orang dan kelompok" link. Sangat mudah untuk percaya bahwa ketika aku di situs "tidak ada" cara membuat grup melalui orang-orang tidak ada 's dan kelompok link yang aku baru saja menciptakan sebuah kelompok yang hanya ada di tidak ada. Hal itu tidak terjadi. Saya benar-benar telah membuat grup untuk seluruh situs koleksi.
  • Keanggotaan grup tidak bervariasi oleh situs (yaitu. ini adalah sama di mana-mana kelompok digunakan): Mempertimbangkan group "pemilik" dan dua situs, "HR" dan "Logistik". Itu akan menjadi normal untuk berpikir bahwa dua individu yang terpisah akan sendiri situs tersebut — pemilik HR dan pemilik logistik. User interface membuatnya mudah bagi administrator keamanan untuk mishandle skenario ini. Jika saya tidak tahu lebih baik, Saya mungkin mengakses orang dan kelompok link melalui situs HR, Pilih pemilik"" kelompok dan menambahkan pemilik HR saya ke grup yang. Sebulan kemudian, Logistik datang pada baris. Saya mengakses orang dan kelompok dari situs Logistics, menambahkan pull up "pemilik" kelompok. Saya melihat pemilik HR di sana dan menghapus nya, berpikir bahwa saya mengeluarkan dia dari pemilik situs logistik. Sebenarnya, Saya mengeluarkan dia dari kelompok pemilik global. Kegembiraan yang terjadi kemudian.
  • Gagal untuk kelompok-kelompok nama yang didasarkan pada peran tertentu: "Approvers" kelompok adalah contoh sempurna. Apa yang bisa anggota menyetujui grup ini? Dimana mereka dapat menyetujui? Apakah saya benar-benar ingin Departemen Logistik orang mampu untuk menyetujui dokumen HR? Tentu saja tidak. Selalu nama kelompok berdasarkan peran mereka dalam organisasi. Ini akan mengurangi risiko bahwa kelompok diberikan tingkat izin tidak pantas untuk suatu securable obyek tertentu. Nama kelompok berdasarkan peran mereka dimaksudkan. Dalam skenario HR logistik sebelumnya, Saya harus membuat dua kelompok-kelompok baru: "HR pemilik" dan "logistik pemilik" dan menetapkan tingkat izin masuk akal untuk masing-masing dan jumlah minimum yang diperlukan untuk para pengguna untuk melakukan pekerjaan mereka.

Referensi lain yang berguna:

Jika Anda telah membuat ini jauh:

Tolong beritahu saya tahu pikiran Anda melalui komentar atau email saya. Jika Anda tahu lain referensi yang baik, Silakan melakukan hal yang sama!

Technorati Tags:

8 pemikiran tentang “SharePoint Keamanan fundamental Primer / Menghindari perangkap umum

  1. Perry

    Perangkap lebih:

    * Ada izin khusus tertentu tersedia di tempat lain dalam SSP dan tidak terlihat di bagian orang-orang dan kelompok: "Personalisasi layanan permissions" dan "Business Data Catalog izin"

    * Saya telah membaca bahwa ada juga khusus SharePoint Designer izin tersedia dalam beberapa xml misterius yang terkubur di dalam html di suatu tempat.

    * Primer dan sekunder administrator untuk koleksi situs disimpan di tempat lain dalam pengaturan situs koleksi, dan tidak terlihat di bagian orang-orang dan kelompok.

    * Account tertentu memiliki ajaib (khusus) kemampuan terlepas dari apa yang Anda lihat di orang-orang dan kelompok wilayah: anggota dari grup Administrator built-in pada server web, dan Account layanan pertanian.

    (PS: Menghapus komentar spam akan meningkatkan keterbacaan di sini.)

    Balasan
  2. Jean Wright
    Ini adalah posting yang sangat baik. Aku telah jatuh ke dalam perangkap ini pada beberapa kesempatan. Manajemen keamanan dapat menjadi kompleks ketika Anda mulai mencampur metode otentikasi dan keamanan berbeda metode pengelompokan. Ini perlu dipertimbangkan sebagai bagian dari proses perencanaan dan tidak boleh diabaikan.
    Balasan
  3. Mark Miller wrote:
    (Catatan dari Paulus: Mark meminta saya untuk membuat perubahan kecil ke komentar tapi aku tidak bisa edit hidup ruang komentar sehingga saya telah menambahkan lagi di sini dengan perubahan dan dihapus asli).
    Paul,
    Pendekatan ringkasan untuk menyajikan info ini datang dari sangat baik. Aku terutama suka "perangkap" bagian, karena aku telah jatuh ke dalam beberapa dari mereka sendiri.
    Hal lain yang Anda katakan menghantam rumah: belajar pada hari Senin tidak tidak selalu berarti Anda akan ingat pada hari Jumat. Aku senang seseorang selain saya menggunakan blog mereka sebagai "pengingat" sistem untuk hal-hal penting yang tidak dilakukan secara teratur.
    Good work.
    Salam,
    Mark
    EndUserSharePoint.com

    November 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Balasan
  4. Paul Galvin
    Saya pikir itu mungkin ide yang baik untuk menghapus grup default mereka, terutama kontributor dan pemilik. Mereka overbroad dan mudah bingung. Saya lebih suka menggunakan "semua dikonfirmasi pengguna" tempat dari pengunjung"" kelompok juga. Jika spesifik set pengguna harus hanya akses hanya-baca maka saya akan merekomendasikan membuat grup iklan atau grup SharePoint dengan nama yang tepat deskriptif, misalnya. "Logistik pengunjung".
    –Paul G
    Balasan
  5. Tidak ada nama
    Kedengarannya seperti hal pertama yang harus Anda lakukan adalah hanya membuang pengunjung, Kontributor dan pemilik grup dan menggantinya dengan kelompok-kelompok logis Anda sendiri. Apakah ini masuk akal untuk melakukan?
    Balasan

Tinggalkan balasan

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai *