SharePoint bezpieczeństwa podstawy Primer / Uniknąć typowych pułapek

AKTUALIZACJA 12/18/07: Paul Liebrand w artykule pewne konsekwencje techniczne usuwanie lub modyfikowanie domyślnej nazwy grupy (Zobacz także jego komentarz poniżej).

Przegląd:

SharePoint bezpieczeństwa jest łatwe do konfigurowania i zarządzania. Jednakże, on okazał się być trudne dla niektórych administratorów po raz pierwszy naprawdę owinąć swoje ręce wokół niego. Nie tylko, że, Mam widział Niektórzy administratorzy są doskonałe zrozumienie w poniedziałek tylko do stracili to piątek, bo nie mają robić żadnej konfiguracji w czasie interwencji. (Przyznam, że o ten problem, ja). Ten wpis w blogu mam nadzieję, że zawiera przydatne podkład zabezpieczeń programu SharePoint i punkty wobec niektórych konfiguracji najważniejsze wskazówki dotyczące zabezpieczeń.

Uwaga:

Ten opis jest oparty na polu SharePoint bezpieczeństwa. Moje osobiste doświadczenie jest zorientowana wokół MOSS, więc mogą być pewne MOSS konkretnych rzeczy tutaj, ale uważam, że jest to dokładne dla WSS. Mam nadzieję, że ktoś widząc błędy lub przeoczenia będzie podkreślić, że w komentarzach lub e-mail ja. Zrobię korekty po pośpiechu.

Podstawy:

Dla celów tego przeglądu, Istnieją cztery podstawowe aspekty bezpieczeństwa: użytkowników/grup, zabezpieczanych obiektów, poziomy uprawnień i dziedziczenie.

Użytkownicy i grupy przerwa w dół do:

  • Użytkowników indywidualnych: Wyciągnął z aktywnym katalogu lub utworzonych bezpośrednio w programie SharePoint.
  • Grupy: Mapowane bezpośrednio z usługi active directory lub utworzone w SharePoint. Grupy są to zbiór użytkowników. Grupy są globalne w zbiorze witryn. Oni nigdy nie "związane są" dla określonego obiektu zabezpieczanego.

Zabezpieczanych obiektów break down do co najmniej:

  • Stron
  • Biblioteki dokumentów
  • Poszczególne pozycje na listach i w bibliotekach dokumentów
  • Foldery
  • Różne ustawienia usługi łączności danych biznesowych.

Tam inne zabezpieczany obiektów, ale masz obraz.

Poziomy uprawnień: Pakiet materiałów sypkich / niski poziom dostępu do praw, które obejmują takie rzeczy jak tworzenie, odczyt/usuwanie wpisów w listach.

Dziedziczenie: Domyślnie elementy dziedziczą ustawienia zabezpieczeń z ich obiektu zawierającego. Podwitryny dziedziczą uprawnienia z rodziców. Biblioteki dokumentów dziedziczą z ich strony. Tak dalej i tak dalej.

Użytkownicy i grupy odnoszą się do zabezpieczanych obiektów za pośrednictwem poziomów uprawnień i dziedziczenie.

Najważniejsze zasady bezpieczeństwa, aby zrozumieć, Ever 🙂 :

  1. Grupy są po prostu Kolekcje użytkowników.
  2. Grupy są globalne w zbiorze witryn (tj.. istnieje coś takiego jak grupa zdefiniowane na poziomie witryny).
  3. Nazwa grupy nie wytrzymać, grupy nie, w i o sobie, mają szczególne poziom bezpieczeństwa.
  4. Grupy mają bezpieczeństwa w kontekście konkretnego obiektu zabezpieczany.
  5. Może przypisać różne poziomy uprawnień do tej samej grupy dla każdego obiektu zabezpieczanego.
  6. Zasady aplikacji sieci Web atutem tego wszystkiego (patrz poniżej).

Administratorzy zabezpieczeń zagubiony w morzu grupy i użytkownika oferty zawsze możesz liczyć na te Aksjomaty do zarządzania i zrozumieć ich konfiguracji zabezpieczeń.

Typowych pułapek:

  • Nazwy grup fałszywie pociąga za sobą uprawnienie: Po wyjęciu z pudełka, SharePoint definiuje zestaw grup, których nazwy oznacza związane poziom bezpieczeństwa. Należy wziąć pod uwagę grupy "Autor". Jeden nieobeznanych z SharePoint bezpieczeństwa może dobrze przyjrzeć się tej nazwy i zakładam, że każdy członek tej grupy może "przyczynić się" do każdej witryny/listy/biblioteki w portalu. Może to być prawdą, ale nie dlatego, że nazwa grupy stanie się "autor". Tylko to prawda po wyjęciu z pudełka, bo Grupa przedstawiła poziom uprawnień, który pozwala na Dodawanie/edycja/usuwanie zawartości na stronie głównej. Za pomocą dziedziczenia, uczestników"" Grupa może również dodać/wydawać/delegować treść na każdej stronie. Jeden może "złamać" łańcucha dziedziczenia i zmiany uprawnień poziom sub-strony, takie że członkowie tzw "respondenta" Grupa nie może przyczynić się w ogóle, ale tylko do odczytu (na przykład). To nie byłby to dobry pomysł, Oczywiście, od tego czasu byłoby bardzo mylące.
  • Grupy nie są zdefiniowane na poziomie witryny. Nietrudno pomylić się przy użyciu interfejsu użytkownika. Firma Microsoft udostępnia wygodny link do użytkownika/grupy zarządzania za pośrednictwem Każda witryna "osób i grup" link. To jest łatwo uwierzyć, że gdy jestem na stronie "xyzzy" i stworzyć grupę przez xyzzy dla osób i grup łącze które właśnie stworzyliśmy grupę, która istnieje tylko w xyzzy. To nie przypadek. Faktycznie stworzyliśmy grupę do zbierania całej witryny.
  • Członkostwo grupy nie zależy od strony (tj.. tak samo jest wszędzie tam, gdzie jest używana grupa): Należy wziąć pod uwagę grupy "właściciela" i dwa miejsca, "HR" i "Logistyka". Byłoby to normalne, aby myśleć, że dwie odrębne osoby chcieliby własne tych miejsc — właścicielem HR i właścicielem logistyki. Interfejs użytkownika ułatwia administratorowi zabezpieczeń mishandle tego scenariusza. Gdybym nie wiedział lepiej, Może uzyskać dostęp do osób i grup linki za pośrednictwem strony HR, Wybierz "właścicieli" grupy i dodać mój właściciel HR do tej grupy. Miesiąc później, Logistyka jest na linii. Dostęp do osób i grup ze strony logistyki, dodać podciągnąć właścicieli"" Grupa. Zobacz właściciela HR i usunąć ją, myśli, że jestem jej usunięcie z właścicieli na stronie logistyki. W zasadzie, Jestem usunięcie jej z globalnej grupy właścicieli. Następuje wesołość.
  • Nie nazwę grupy w oparciu o szczególnej roli: "Osoby zatwierdzające" Grupa jest doskonałym przykładem. Co można członków tej grupy Zatwierdź? Gdzie oni to zatwierdzić? Naprawdę chcesz dział logistyki ludzi, aby mogli zatwierdzać dokumenty HR? Oczywiście nie. Zawsze nazwę grupy na podstawie ich roli w organizacji. Zmniejszy to ryzyko, że grupa jest przypisany poziom uprawnień nieodpowiednie dla określonego obiektu zabezpieczanego. Nazwa grupy w oparciu o ich rolę. W poprzednim scenariuszu HR/logistyka, Powinien zostały utworzone dwa nowe grupy: "HR właścicieli" i logistyka właścicieli"" i przypisać poziomy uprawnień sensowne dla każdego i kwota minimalna wymagana dla tych użytkowników wykonywać swoją pracę.

Inne przydatne odnośniki:

Jeśli już się to znacznie:

Podobać się puszczać mi znać swoje myśli poprzez komentarze lub napisz do mnie. Jeśli znasz inne dobre referencje, proszę zrobić to samo!

Technorati znaczniki:

8 przemyślenia na temat „SharePoint bezpieczeństwa podstawy Primer / Uniknąć typowych pułapek

  1. Perry

    Więcej pułapek:

    * Istnieją pewne uprawnienia specjalne dostępne gdzie indziej w SSP i nie jest widoczna w sekcji osób i grup: "Personalizacja usług uprawnienia" i "Business Data Catalog uprawnienia"

    * Czytałem, że istnieją także specjalne uprawnienia SharePoint Designer dostępne w niektórych tajemnej xml pochowany wewnątrz html gdzieś.

    * Podstawowego i pomocniczego Administratorzy zbioru witryn są przechowywane gdzie indziej w zbiorze witryn ustawienia, i są niewidoczne w sekcji osób i grup.

    * Niektóre konta mają magiczne (specjalne) umiejętności bez względu na to, co widzisz w obszarze osób i grup: członkiem wbudowanej grupy Administratorzy na serwerach sieci web, i konto usługi rolnicze.

    (PS: Usuwanie spamu poprawi czytelność tutaj.)

  2. Jean Wright
    Jest to bardzo dobry post. Spadły w tę pułapkę na kilka razy. Zarządzanie zabezpieczeniami można uzyskać złożone, kiedy możesz rozpocząć mieszanie metod uwierzytelniania i zabezpieczeń różne metody grupowania. To musi być traktowane jako część procesu planowania i nie powinien być pomijany.
  3. Mark Miller napisał:
    (Uwaga od Paul: Mark poprosiła mnie o zrobienie małej zmiany jego komentarz, ale nie można edytować komentarze żywo spacji, więc dodałem go na nowo tutaj zmiany i delegować ten pierwotny).
    Paul,
    Podsumowanie podejście do prezentacji tej informacji wypadli bardzo dobrze. Szczególnie podobało mi się "pułapek" sekcja, Skoro już wyszły kilka tych siebie.
    Inną rzeczą, którą powiedziałaś trafić do domu: Nauka w poniedziałek nie niekoniecznie oznacza, że zapamiętasz go w piątek. Cieszę się, że jest ktoś oprócz mnie za pomocą ich blog jako "drażniącymi" system dla tych krytycznych rzeczy, które nie są wykonywane na bieżąco.
    Dobry praca.
    Chodzi o,
    Mark
    EndUserSharePoint.com

    Listopada 27 9:04 AM
    (http://www.EndUserSharePoint.com)

  4. Paul Galvin
    Myślę, że to chyba dobry pomysł, aby usunąć te domyślne grupy, przede wszystkim autor i właściciel. Oni są overbroad i łatwo pomylić. Ja woleć wobec używać "wszystkich uwierzytelnionych użytkowników" zamiast gościem"" Grupa także. Jeśli określone użytkowników należy tylko przeczytać tylko dostęp, a następnie polecam stworzenie grupy reklam lub grupy programu SharePoint z odpowiednio opisową nazwę, np.. "Logistyka odwiedzający".
    –Paweł G
  5. Bez nazwy
    Wygląda na to, że pierwszą rzeczą, którą powinieneś zrobić jest po prostu wyrzucać gościem, Autor i właściciel grupy i zastąpić je z własnych grupach logicznych. Miałoby to sensu robić?

Odpowiedz

Twoj adres e-mail nie bedzie opublikowany. wymagane pola są zaznaczone *