Грунтовка основи безпеки SharePoint / Уникнути поширених помилок

ОНОВЛЕННЯ 12/18/07: Paul Liebrand у статті деякі технічні наслідки про видалення або модифікації імена груп за промовчанням (Переглянути свій коментар нижче, а також).

Огляд:

Безпеки SharePoint є легко налаштувати і керувати. Однак, Вона виявилася важким для деяких вперше адміністратори дійсно обернути руки навколо нього. Не тільки це, Я бачив деякі адміністратори прийти досконалим розуміння на понеділок тільки до втратив його п'ятницю, тому що вони не мають виконувати ніяких додаткових налаштувань в проміжний час. (Я визнаю себе з цією проблемою). Цей запис у блозі, сподіваюся, забезпечує корисну грунтовка безпеки SharePoint і вказує на деякі конфігурації кращі методи додержання безпеки.

Важливе зауваження:

Такий Опис базується на з коробки SharePoint безпеки. Мій особистий досвід орієнтованих навколо МОСС, так що там можуть бути деякі МОХ конкретні речі тут, але я вважаю, що це точні для WSS. Я сподіваюся, що хто-небудь бачачи, будь-які помилки або упущення відзначають, що в коментарях або Напишіть мені. Я зроблю корекції пост haste.

Основи:

Для цілей цього огляд, є чотири основних аспектів безпеки: користувачів і групи, захищені об'єкти, рівні дозволів і спадкування.

Користувачі та групи розбити вниз, щоб:

  • Окремі користувачі: Витяг з активним Довідник "або" створено безпосередньо в SharePoint.
  • Групи: Підключеного безпосередньо з active directory або створеним у SharePoint. Групи є колекція користувачів. Групи мають глобальний характер в колекції сайтів. Вони ніколи не "зв'язали" до конкретних захищеного об'єкта.

Захищені об'єкти розбити вниз, щоб принаймні:

  • Сайти
  • Бібліотеки документів
  • Окремих елементів у списках і бібліотеках документів
  • Папки
  • Різні параметри служби ПБД.

Є інші захищені об'єкти, але ви отримаєте картинку.

Рівні дозволів: Пучок гранульований / низький рівень доступу прав, які включають такі речі, як створити/читання/видалення записів у списках.

Успадкування: За замовчуванням осіб успадковують параметри безпеки їх містять об'єкт. Дочірніх сайтів успадковують дозволи від своїх батьківських. Успадковувати бібліотек документів з їх сайту. Так далі і тому подібне.

Користувачі та групи ставляться до захищеного об'єктів через рівні дозволів і спадкування.

Найбільш важливі правила безпеки зрозуміти, Ever 🙂 :

  1. Групи є просто колекції користувачів.
  2. Групи є глобальний в межах колекції сайтів (тобто. Існує немає такого поняття, як група, визначені на рівні сайту).
  3. Ім'я групи не витримати, групи не роблять, у та себе, мати будь-якої конкретної рівень безпеки.
  4. Групи мають безпеки у контексті конкретних захищеного об'єкта.
  5. Можна призначити рівні різних дозволів в ту ж групу для кожного захищеного об'єкта.
  6. Web застосування політики Трамп все це (див нижче).

Безпеки адміністратори втратила в море Група і користувач списки завжди можете покластися на ці аксіом, управляти і розуміти їх конфігурація безпеки.

Поширених помилок:

  • Імена груп помилково передбачають дозвіл: З коробки, SharePoint визначає набір груп, назви яких має на увазі властиві рівень безпеки. Розглянемо групи "Учасник". Незнайомі з безпеки SharePoint можна також подивитися на це ім'я і припустити, що будь-який член групи може "сприяти" для будь-якого сайту/списку/бібліотека на порталі. Це може бути правдою, але не тому, що назва трапляється бути "Учасник". Це тільки так з коробки, тому що групі була надана рівень дозволів, що дає їм можливість додавати/редагувати/видаляти вміст в корінь сайту. Через успадкування, Автори"" Група також може додавати/редагувати/видаляти вміст в суб-сайтів. "Зруйнувати" ланцюжка наслідування і змінити рівень дозволів на дочірній сайт, такі що члени так звані "учасник" Група не може працювати на всіх, але тільки читати (Наприклад). Це не було б непогано, Очевидно, оскільки було б дуже заплутаною.
  • Групи не визначено на рівні сайту. Це легко можна сплутати інтерфейсу користувача. Корпорація Майкрософт надає зручний посилання користувач/Група управління через кожен сайт "людей і груп" посилання. Легко вважати, що, коли я на сайті "xyzzy" і створити групу через xyzzy, людей і груп, що я тільки що створили групу, яка існує тільки в xyzzy сайт. Це не випадок. Я насправді створив групу для збору весь сайт.
  • Членство в групах і не змінюється на сайті (тобто. Це та ж скрізь Група використовується): Група "власник розглянемо" і два сайти, "УПРАВЛІННЯ ПЕРСОНАЛОМ" і «Логістика». Це було б нормально думати, що два окремих героїв буде володіти цими сайтами — HR власника та власника логістики. Користувальницький інтерфейс робить її легкою для безпеки адміністратора, щоб погано звертатися такий сценарій. Якщо я не знаю краще, Може отримати доступ до людей і груп посилання через HR-сайт, Виберіть "власників" групувати та додати мій HR власника до цієї групи. Через місяць, Логістика поставляється на лінії. Доступ до користувачів і групи з логістики сайту, додати підтягти "власників" Група. Я бачу власник HR і видалити її, думаючи, що я перебуваю видалення її з власників на сайті логістики. Насправді, Я впевнений, видалення її з глобальної власники групи. Настає розваг.
  • В іншому випадку для іменування груп на основі конкретних роль: "Затверджувачів" Група є прекрасним прикладом. Що може членів цієї групи затвердити? Де вони можуть затверджувати? Я дійсно хочу, люди логістичному відділі для того, щоб затвердити Кадрової документації? Звичайно, не. Завжди іменування груп на основі їх роль в рамках організації. Це дозволить скоротити ризик, що група отримує недоречним дозволу рівня на певному захищеному об'єкті. Іменування груп на основі їх призначенням ролі. У попередній сценарій HR/логістики, Я повинен створив дві нові групи: "Управління Персоналом власників" і "логістика власників" і призначити рівні розумної дозволів для кожного і мінімальна сума, необхідна для тих користувачів, щоб зробити їх роботу.

Інші корисні посилання:

Якщо ви вже зробили це набагато:

Будь ласка, дайте мені знати ваші думки через коментарі або напишіть мені. Якщо ви знаєте інші хороші посилання, будь ласка, зробити те ж саме!

Бірки Technorati:

8 думки про «Грунтовка основи безпеки SharePoint / Уникнути поширених помилок

  1. Перрі

    Більше помилок:

    * Є певні особливі дозволи, доступні в інших місцях на SSP і не видно в розділі людей і груп: "Персоналізація дозволи послуг" і "каталогу бізнес-даних дозволи"

    * Я прочитав, що є також спеціальні дозволи SharePoint Designer, доступні в деяких таємних xml похований усередині html десь.

    * Первинний і вторинний адміністраторів для колекції сайтів зберігаються в іншому місці в настройках колекції сайтів, і не видно в розділі людей і груп.

    * Певні облікові записи мають магічні (спеціальні) здібностей незалежно від того, що ви бачите в області людей і груп: Члени групи адміністраторів вбудований на веб-серверах, і обліковий запис служби ферми.

    (PS: Видаляти спам-коментарі б покращити чіткість тут.)

  2. Paul Liebrand
    Демпінг групи не може бути гарною ідеєю. Деякі МОХ функціональність спирається на цих груп буде там конкретно навколо нового матеріалу членство. http://liebrand.wordpress.com/2007/12/06/sharepoint-security-permission-levels/ Це обговорюється більш докладно.
    @Paul — Великий піст!
    Paul Liebrand
  3. Жан Райт
    Це дуже хороший пост. Я впала в цю пастку на кілька разів. Керування безпеки може отримати комплекс, коли змішування методи аутентифікації і різних безпеки способи групування. Це має бути розглянутий як частина процесу планування і, не слід забувати.
  4. Пише Марк Міллер:
    (Примітка від Пола: Марк попросив мене зробити невелика зміна на свій коментар, але я не можна редагувати live spaces коментарів, так що я додав його заново тут зі зміною і видаляються оригіналу).
    Пол,
    Резюме підхід для представлення цієї інформації прийшли з дуже добре. Мені особливо сподобалася «підводні камені" розділ, з того часу я закохалася в деякі з цих себе.
    Інша справа, що ви сказали зачепити: навчання в понеділок не не обов'язково означає, що ви пам'ятаєте його в п'ятницю. Я радий, хтось крім мене використовують свій блог в якості делікатне за "становище" система для тих критичних речей, що не робиться на регулярній основі.
    Хорошу роботу.
    З повагою,
    Марк
    EndUserSharePoint.com

    Листопад 27 9:04 AM
    (http://www.EndUserSharePoint.com)

  5. Paul Galvin
    Я думаю, що це, мабуть, гарна ідея, щоб видалити ці групи за промовчанням, особливо вкладником і власник. Вони надмірному і легко заплутатися. Я віддаю перевагу використовувати "всі автентифіковані користувачі" замість "відвідувач" Група також. Якщо певні значення з користувачів слід лише доступ лише для читання, то я б рекомендував створення групи Оголошень або групи SharePoint з відповідним чином описове ім'я, Наприклад. "Логістика відвідувачів".
    –Paul G
  6. Без імені
    Схоже, що перше, що потрібно зробити, просто скинути відвідувач, Автор і власник групи і замінити їх на свій власний логічні групи. Б це сенс робити?

Дати відповідь

Ваша електронна адреса не буде опублікований. Обов'язкові поля позначені * *