SharePoint Základy zabezpečenia Primer / Vyhnúť sa nástrahám spoločného

AKTUALIZÁCIA 12/18/07: Paul Liebrand v článku niektoré technické dôsledky odstránenie alebo zmena predvolené názvy skupín (aj viď jeho komentár nižšie).

Prehľad:

SharePoint zabezpečenia je ľahko konfigurovať a spravovať. Avšak, to sa ukázala byť ťažké pre niektorí správcovia prvýkrát naozaj zalamovanie rukami okolo neho. Nielen, že, Videl som niektoré správcovia prísť na dokonalé pochopenie v pondelok len stratili to piatok, pretože nemali robiť všetky konfigurácie v intervenčnom období. (Priznám sa, že má tento problém sám). Tento blog vstupe dúfajme, že poskytuje užitočné primer zabezpečenia SharePoint a smeruje k niektoré konfigurácie bezpečnosť best practices.

Dôležitá poznámka:

Tento opis vychádza z krabice SharePoint zabezpečenia. Moja osobná skúsenosť je orientované okolo Mach, takže tam môže byť nejaké MOSS konkrétne veci tu, ale verím, že je to presné pre WSS. Dúfam, že niekto vidieť akékoľvek chyby alebo opomenutia bude bod, ktorý sa v komentároch alebo napíšte mi. Budem robiť opravy, miesto zhonu.

Základy:

Na účely tohto prehľadu, Existujú štyri základné aspekty bezpečnosti: používatelia a skupiny, objekty so zabezpečením, úrovne povolení a dedičnosť.

Používatelia a skupiny break nadol:

  • Jednotliví používatelia: Vytiahol z aktívneho adresára alebo vytvorený priamo na lokalite SharePoint.
  • Skupiny: Mapované priamo zo služby active directory alebo vytvorené v SharePoint. Skupiny sú zbierka užívateľov. Skupiny sú globálne v kolekcii lokalít. Oni sú nikdy "viazané" pre konkrétny objekt so zabezpečením.

Objekty so zabezpečením break nadol aspoň:

  • Stránky
  • Knižnice dokumentov
  • Jednotlivé položky v zoznamoch a knižniciach dokumentov
  • Priečinky
  • Rôznych nastavení BDC.

Tam iných objekty so zabezpečením, ale dostanete obrázok.

Úrovne povolení: Zväzok zrnitý / nízka úroveň prístupových práv, ktoré patria také veci, ako vytvoriť, čítať alebo odstránenie položiek v zoznamoch.

Dedičnosť: V predvolenom nastavení subjekty dedí nastavenia zabezpečenia obsahujúci objekt. Podlokality dedia povolenia od svojej materskej spoločnosti. Dokumentov knižnice dedia z ich stránok. Tak ďalej a tak ďalej.

Používatelia a skupiny súvisia so zabezpečením objektov pomocou úrovní povolení a dedičnosť.

Najdôležitejšie bezpečnostné pravidlá pochopiť, Vždy 🙂 :

  1. Skupiny sú jednoducho kolekcie užívateľov.
  2. Skupiny sú globálnych v rámci kolekcie lokality (tj. neexistuje žiadna taká vec ako skupina definované na úrovni lokality).
  3. Názov skupiny nie odolávať, skupiny nie, v meste a na seba, mať žiadnu konkrétnu výšku zabezpečenia.
  4. Skupiny majú zabezpečenia v kontexte konkrétnemu objektu.
  5. Môžete priradiť rôzne úrovne povolení do tej istej skupiny pre každý objekt so zabezpečením.
  6. Webová aplikácia politiky tromf všetkých týchto (Pozri nižšie).

Administrátori pre zabezpečenie stratený v mori užívateľov a skupín užívateľov výpisy môže vždy spoľahnúť na tieto axiómy riadiť a pochopiť ich konfigurácia zabezpečenia.

Spoločnej úskalia:

  • Názvy skupín falošne znamenať povolenie: Po vybalení z krabice, SharePoint definuje množinu skupín, ktorých mená znamenajú vlastné úrovne zabezpečenia. Zvážte skupiny "Prispievateľ". Jeden oboznámení s SharePoint zabezpečenia môže dobre pozrite sa na tento názov a predpokladať, že každý člen tejto skupiny "prispieť" k akejkoľvek lokality / / knižnica zoznamov na portáli. To môže byť pravda, ale nie preto, že názov skupiny sa stáva "prispievateľ". To je pravda len z krabice pretože skupina poskytuje úrovne povolení, ktorá im umožní pridať/editovať/mazať obsah v koreňovej lokality. Dedením, "prispievatelia" skupiny môžu tiež pridať/editovať/mazať obsah v každom sub-stránky. Jeden môže "zlomiť" dedičnosť reťazec a zmeniť úrovne povolení sub-stránky takýchto že členom tak-zvané "prispievateľa" skupina nemôže prispieť vôbec, ale iba čítať (napríklad). To by nebolo dobrý nápad, Samozrejme, Vzhľadom k tomu, že by bolo veľmi mätúce.
  • Skupiny nie sú definované na úrovni lokality. Je ľahké byť zmätení používateľského rozhrania. Microsoft poskytuje pohodlné prepojenie používateľ alebo skupina riadenia prostredníctvom každej lokalite "ľudí a skupín" odkaz. Je ľahké sa domnievať, že keď som na mieste "minového" vytvoriť skupinu cez xyzzy minového na ľudí a skupiny odkaz, ktorý ste práve vytvorili skupinu, ktorá existuje iba na xyzzy minového. To nie je prípad. Vlastne ste vytvorili skupinu pre celú miesto zberu.
  • Členstvo v skupinách nelíšila od lokality (tj. je to rovnaké všade skupine sa používa): Zvážte skupiny "vlastník" a dve stránky, "HR" a "Logistických". To by bolo normálne myslieť, že dva samostatné jednotlivcov by vlastné tieto stránky — majiteľom HR a majiteľ logistiky. Používateľské rozhranie uľahčuje zabezpečenia správcu, aby ste nezaobchádzali tento scenár. Ak nevedel lepšie, Možno prístup ľudí a skupín odkazov cez stránku HR, Vyberte "majitelia" skupiny a do skupiny pridať môj HR vlastník. O mesiac neskôr, Logistika prichádza na linke. Aj prístup ľudí a skupiny na lokalite logistiky, Pridať vytiahnuť majiteľa"" skupina. Pozri majiteľ HR a odstráňte ju, myslel, že som odstrániť ju od vlastníkov lokality logistiky. v skutočnosti, Som odstránenie ju z globálnej majitelia skupiny. Veselí vyplýva.
  • Tým, že názov skupiny založené na špecifickú úlohu: "Schvaľovateľov" skupina je dokonalým príkladom. Čo môžu členovia tejto skupiny schváliť? Kde sa schváliť? Naozaj chcem ľudí logistické oddelenie môcť schváliť HR dokumenty? Samozrejme nie. Vždy názov skupiny na základe ich úlohu v rámci organizácie. Tým sa zníži riziko, že skupina priradenú úroveň nevhodné povolenia pre konkrétny objekt so zabezpečením. Názov skupiny na základe ich plánované úlohy. V predchádzajúcom scenári HR/logistika, By sa vytvoriť dve nové skupiny: "Majitelia HR" a "majitelia logistiky" a priradiť rozumné úrovne pre každý a minimálne množstvo požadované pre tých užívateľov, robiť svoju prácu.

Ďalšie užitočné odkazy:

Ak ste urobil ste to tak ďaleko:

Prosím, dajte mi vedieť vaše myšlienky prostredníctvom komentáre, alebo mi email. Ak poznáte iné dobré referencie, Urobte to isté!

Technorati Tags:

8 myšlienky na "SharePoint Základy zabezpečenia Primer / Vyhnúť sa nástrahám spoločného

  1. Perry

    Ďalšie nástrahy:

    * Existujú určité špeciálne povolenia k dispozícii inde v BPL a nie sú viditeľné v sekcii ľudí a skupín: "Povolenia pre služby prispôsobovania" a "katalógu pracovných údajov povolenia"

    * Čítal som, že v niektorých tajomných xml pochovaný vnútri html niekde ešte existujú aj špeciálne povolenia programu SharePoint Designer.

    * Primárnej a sekundárnej správcovia kolekcie lokality sú uchovávané hocikde v kolekcii nastavení, a nie sú viditeľné v sekcii ľudí a skupín.

    * Niektoré účty majú magickú (špeciálne) schopnosti bez ohľadu na to, čo vidíte v oblasti ľudí a skupín: členov vstavanej skupiny Administrators na webové servery, a konto služby farmy.

    (PS: Odstránenie spamu pripomienky by zlepšiť čitateľnosť tu.)

    Odpoveď
  2. Jean Wright
    To je veľmi dobrý post. Spadla som do tejto pasce pár príležitostiach. Správa zabezpečenia môžete získať komplexné keď začnete miešanie metódy overovania a rôznych bezpečnostných metód zoskupenia. To treba brať do úvahy ako súčasť procesu plánovania a by nemali byť prehliadané.
    Odpoveď
  3. Napísal Mark Miller:
    (Poznámka od Paul: Mark ma požiadal, aby vykonať malú zmenu jeho komentár, ale nemôžete upravovať komentáre naživo priestory tak som pridal to znova tu so zmenou a vypúšťa pôvodné).
    Paul,
    Súhrnný prístup k prezentácii tejto info prišiel off veľmi dobre. I najmä líbily "nástrahy" sekcia, pretože ste spadli do pár tých sám.
    Ďalšia vec, ktorú ste povedal zasiahnutých domov: učenie v pondelok nie nevyhnutne neznamená, budete pamätať, že v piatok. Som rád, že niekto vedľa mňa je používať svoj blog ako dráždidlo"" systém pre tieto zásadné veci, ktoré nie sú vykonávané na pravidelnom.
    Dobrá práca.
    S pozdravom,
    Mark
    EndUserSharePoint.com

    November 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Odpoveď
  4. Paul Galvin
    Myslím, že je to asi dobrý nápad odstrániť tieto predvolené skupiny, najmä prispievateľom a majiteľ. Sú overbroad a ľahko zameniť. Dávam prednosť použitie "všetky Authenticated Users" namiesto "návštevník" skupiny aj. Ak konkrétnu skupinu užívateľov by mali iba prístup len na čítanie potom bych odporučiť, vytvorenie Reklamnej skupiny alebo skupiny SharePoint s riadne popisný názov, napr.. "Logistika návštevníkov".
    –Paul G
    Odpoveď
  5. Bez názvu
    Znie to ako prvá vec, ktorú by ste mali urobiť je len vyčítat návštevníka, Prispievateľom a vlastník skupiny a nahradiť svoje vlastné logické skupiny. By to malo zmysel robiť?
    Odpoveď

nechať odpoveď

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *