Primer Základy zabezpečení serveru SharePoint / Vyhnout se nástrahám společného

AKTUALIZOVAT 12/18/07: Naleznete v článku Paul Liebrand některé technické důsledky odstranění nebo změně výchozí názvy skupin (viz jeho komentář níže a také).

Přehled:

Je snadno konfigurovat a spravovat zabezpečení služby SharePoint. Avšak, To se ukázalo jako obtížné pro některé správce poprvé opravdu zabalit své ruce kolem ní. Nejen, že, Viděl jsem, že někteří správci přicházejí k dokonalé porozumění v pondělí jen proto, aby ztratili to do pátku, protože neměli dělat všechny konfigurace v uplynulém čase. (Přiznám se, že s tímto problémem sám). Tato položka blogu snad poskytuje užitečné primer bezpečnostní služby SharePoint a ukazuje na některé doporučené postupy konfigurace zabezpečení.

Důležitá poznámka:

Tento popis je založena na box zabezpečení služby SharePoint. Moje osobní zkušenost je orientovaný kolem MOSS, tak tam může být nějaký MOSS konkrétní věci zde, ale věřím, že to je přesný pro WSS. Doufám, že někdo viděl nějaké chyby nebo opomenutí naznačí, v komentářích nebo napište mi. Zajistím, aby opravy místo spěchu.

Základy:

Pro účely tohoto přehledu, Existují čtyři základní aspekty bezpečnosti: Uživatelé a skupiny, zabezpečené objekty, úrovně oprávnění a dědičnosti.

Uživatelé a skupiny Break dolů:

Jednotliví uživatelé: Stáhl z aktivního adresáře nebo vytvořených přímo ve službě SharePoint.
Skupiny: Přímo mapovaná z adresáře active directory nebo vytvořených v SharePoint. Skupiny jsou kolekce uživatelů. Skupiny jsou globální v kolekci webů. Oni se nikdy "vázáno" pro určitý zabezpečený objekt.

Zabezpečené objekty Break se alespoň:

Weby
Knihovny dokumentů
Jednotlivé položky v seznamech a knihovnách dokumentů
Složky
Různé nastavení záložního řadiče domény.

Tam jiné zabezpečené objekty, ale dostanete obrázek.

Úrovně oprávnění: Svazek ve formě / nízká úroveň přístupová práva, které zahrnují takové věci jako vytváření, čtení a odstranění položek v seznamech.

Dědičnost: Ve výchozím nastavení entit dědí nastavení zabezpečení na jejich obsahující objektu. Podřízené weby dědí oprávnění z nadřazeného webu. Knihovny dokumentů dědí z jejich webu. Tak dále a tak dále.

Uživatelé a skupiny se vztahují k zabezpečeným objektům prostřednictvím úrovně oprávnění a dědičnosti.

Nejdůležitější bezpečnostní pravidla, pochopit, Ever 🙂 :

Skupiny jsou jednoduše skupinám uživatelů.
Skupiny jsou globální v rámci kolekce webů (tj. neexistuje nic takového jako skupiny definované na úrovni webu).
Název skupiny není odolat, skupiny nemají, v místě a samy o sobě, žádné konkrétní úroveň bezpečnosti.
Skupiny mají v kontextu určitého zabezpečeného objektu zabezpečení.
Může přidělit různé úrovně oprávnění ke skupině stejné pro každý zabezpečený objekt.
Webové aplikace politiky trumf, to vše (viz níže).

Správci zabezpečení ztratil v moři uživatelů a skupin výpisů může vždy spolehnout na tyto axiomy řídit a pochopit jejich konfigurace zabezpečení.

Společné úskalí:

Názvy skupin falešně naznačují oprávnění: Out of the box, SharePoint definuje sadu skupin, jejichž jména vyplývá základní úroveň zabezpečení. Zvažte skupině "Přispěvatel". Jeden obeznámeni s bezpečnostní služby SharePoint může dobře podívat se na to jméno a předpokládat, že každý člen této skupiny může "přispět" všechny stránky/seznam/knihovny v portálu. To může být pravda, ale ne proto, že název skupiny je náhodou "Přispěvatel". To je pravda z krabice jen proto, že skupina byla poskytnuta úroveň oprávnění, která jim umožňuje přidat, upravit či odstranit obsah v kořenové lokalitě. Prostřednictvím dědičnosti, Přispěvatelé"" Skupina může také přidat/upravit/smazat obsah na všechny dílčí weby. Jeden může "break" řetězec dědičnosti a změnit úroveň oprávnění podřízený_web takové že členové takzvaného "Přispěvatel" Skupina nemůže přispět na všech, ale jen číst (například). To by nebyl dobrý nápad, očividně, vzhledem k tomu, že by bylo velmi matoucí.
Skupiny nejsou definovány na úrovni webu. Je to snadné záměně uživatelské rozhraní. Společnost Microsoft poskytuje vhodný odkaz na uživatelů/skupin správy prostřednictvím každé stránky "lidé a skupiny" odkaz. Je snadné se domnívat, že když jsem na webu "xyzzy" a vytvořit skupinu prostřednictvím si xyzzy lidi a spojit skupiny, které jste právě vytvořili skupinu, která existuje jen v xyzzy. To není případ. Jsem vlastně vytvořil skupinu pro celou kolekci webů.
Skupiny členství nebude měnit o webu (tj. je to stejná všude, kam se používá skupina): Zvažte skupině "vlastník" a dva weby, "HR" a "Logistika". Bylo by vhodné si myslet, že dvou samostatných jedinců by vlastnit ty stránky — HR vlastníka a majitel logistiky. Uživatelské rozhraní usnadňuje správci zabezpečení špatně zacházet tohoto scénáře. Kdybych neznal lépe, Možná přístup osoby a skupiny odkazy prostřednictvím webu HR, Vyberte "vlastníci" seskupení a přidejte své HR vlastníka této skupiny. O měsíc později, Logistika přichází na lince. Z logistické stránky přístup k lidem a skupinám, Přidat vytáhnout "vlastníci" Skupina. Vidím tam majitel HR a odstranit ji, myslí, že jsem ji odstranění od vlastníků na stránce logistiky. Vlastně, Jsem ji vyjmete z globální skupiny Vlastníci. Veselí vyplývá.
Není-li název skupiny založené na roli: Schvalovatelé"" Skupina je dokonalým příkladem. Co mohou členové této skupiny schválení? Kde mohou schválí? Opravdu chci, oddělení logistiky lidé mohli schválit HR dokumenty? Samozřejmě že ne. Vždy jméno skupiny na základě jejich role v rámci organizace. Tím se sníží riziko, že skupina je přiřazena úroveň nevhodné oprávnění pro určitý zabezpečený objekt. Jméno skupiny na základě jejich zamýšleného role. V předchozím scénáři HR/logistika, Měl jsem vytvořil dvě nové skupiny: "HR vlastníci" a "Logistika vlastníci" a přiřadit úrovně rozumné oprávnění pro každého a minimální částka potřebná pro ty uživatele, aby dělali svoji práci.

Další užitečné odkazy:

Webové aplikace politiky gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
Informační středisko pro zabezpečení služby SharePoint: http://www.sharepointsecurity.com/
Odkazy z Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx

Pokud jste to dotáhli tak daleko:

Prosím, dejte mi vědět vaše myšlenky přes Komentáře, nebo napište mi. Pokud znáte jiné dobré reference, Prosím o totéž!

Doplněk Technorati značky: SharePoint

8 myšlenky na „Primer Základy zabezpečení serveru SharePoint / Vyhnout se nástrahám společného”

Beze jména Květen 15, 2007 na 8:52 odp.

Ahoj,

Skvělý blog s zajímavé informace.
Lze ji použít t vyřešit můj problém.

Thanx
M.
http://www.vanjobb.hu/

Odpovědět ↓
Perry Srpen 28, 2007 na 8:52 odp.

Další úskalí:

* Existují některé zvláštní oprávnění k dispozici jinde v zprostředkovatele sdílených služeb a nejsou viditelné v části osoby a skupiny: "Oprávnění služeb přizpůsobení" a "katalogu obchodních dat oprávnění"

* Četl jsem, že existují také zvláštní oprávnění aplikace SharePoint Designer v nějaké tajemné xml pohřbeno uvnitř html někde k dispozici.

* Primární a sekundární správce kolekce webů jsou uloženy jinde v nastavení kolekce webů, a nejsou viditelné v části osoby a skupiny.

* Některé účty mají kouzelné (speciální) schopnosti bez ohledu na to, co vidíte v oblasti osob a skupin: členy předdefinované skupiny Administrators na webových serverech, a účet služby farmy.

(PS: Odstranit spam Komentáře by se zlepšila čitelnost zde.)

Odpovědět ↓
Jan napsal/a: Červen 19, 2007 na 8:52 odp.

No myslím, že design vašeho blogu je velmi zajímavé.

Ahoj, Jmenuji se John, and my site is http://geocities.com/whitejohn29/

Odpovědět ↓
Paul Liebrand Prosinec 6, 2007 na 8:52 odp.

Dumping the groups may not be a good idea. Some MOSS functionality relies on those groups to be there specifically around the new membership stuff. http://liebrand.wordpress.com/2007/12/06/sharepoint-security-permission-levels/ discusses this in more detail.

@Paul — velké post!

Paul Liebrand

http://liebrand.wordpress.com

Odpovědět ↓
Jean Wright Listopad 27, 2007 na 8:52 odp.

To je velmi dobrý post. Spadla jsem do této pasti na několika příležitostech. Správa zabezpečení můžete získat komplexní, když nezačnete míchat metody ověřování a zabezpečení různých metod seskupení. To musí být považován za součást procesu plánování a by neměly být přehlédnuty.

Odpovědět ↓
Napsal Mark Miller: Listopad 27, 2007 na 8:52 odp.

(Poznámka: od Paula: Mark požádal, abych malou změnu k jeho komentář, ale nelze upravovat živé prostory komentáře, takže jsem přidal to znovu tady s změny a odstranit původní).

Pavel,

Souhrnný přístup k prezentaci této informace se vydařil velmi dobře. Jsem především rád nástrahy"" sekce, vzhledem k tomu, že jsem se dostal do některé z těchto sám.

Další věc, co jste řekl trefou: učení v pondělí ještě nemusí být nutně neznamená, že budu si ji pamatovat v pátek. Jsem rád, že někdo vedle mě využívá jejich blog jako dráždidlo"" systém pro ty důležité věci, které nejsou prováděny v pravidelných intervalech.

Dobrá práce.

S pozdravem,

Mark

EndUserSharePoint.com

Listopad 27 9:04 AM
(http://www.EndUserSharePoint.com)

Odpovědět ↓
Paul Galvin Listopad 27, 2007 na 8:52 odp.

Myslím, že je to pravděpodobně vhodné odebrat tyto výchozí skupiny, especially Contributor and Owner. They are overbroad and easily confused. I prefer to use "All Authenticated Users" místo návštěvník"" group as well. If a specific set of users should only read-only access then I’d recommend creating an AD group or SharePoint group with an appropriately descriptive name, např.. "Logistika návštěvníků".

–Paul G

Odpovědět ↓
Beze jména Listopad 27, 2007 na 8:52 odp.

Vypadá to, že první věc, kterou byste měli udělat, je jen výpis návštěvník, Skupiny přispěvatelů a majitel a nahradit je logické skupiny. Bylo by to smysl dělat?

Odpovědět ↓

Paul Galvin SharePoint prostor

Primer Základy zabezpečení serveru SharePoint / Vyhnout se nástrahám společného

8 myšlenky na „Primer Základy zabezpečení serveru SharePoint / Vyhnout se nástrahám společného”

Zanechte odpovědět na Paul Liebrand Zrušit odpověď