التحديث 12/18/07: انظر المادة بول ليبراند 's عن بعض النتائج التقنية لإزالة أو تعديل أسماء المجموعات الافتراضية (انظر تعليقه أدناه، فضلا عن).
نظرة عامة:
الأمن SharePoint سهلة لتكوين وإدارة. ومع ذلك, قد ثبت أن صعبة لبعض المسؤولين المرة الأولى حقاً التفاف أيديهم حوله. ليس هذا فقط, لقد رأيت بعض المسؤولين التوصل إلى فهم الكمال يوم الاثنين إلا فقدت يوم الجمعة لأنه لم يكن لديهم للقيام بأي تكوين في الفترة الفاصلة. (اعترف بوجود هذه المشكلة نفسي). هذا بلوق دخول نأمل أن يوفر تمهيدي أمن SharePoint مفيدة ويشير نحو تكوين الأمان بعض أفضل الممارسات.
ملاحظة هامة:
ويستند هذا الوصف من خارج منطقة الجزاء الأمن SharePoint. تجربتي الشخصية هي الموجه حول موس حيث قد يكون هناك بعض الأشياء المحددة موس هنا, ولكن أعتقد أنها دقيقة ل WSS. ويحدوني الأمل في أن أي شخص رؤية أي أخطاء أو إغفاﻻت وسوف نشير أنه في تعليقات أو أرسل لي. سوف يجعل تصحيحات وظيفة العجلة.
أساسيات:
لأغراض هذه النظرة العامة, وهناك أربعة جوانب أساسية للأمن: مستخدمون/مجموعات, الكائنات القابلة للتأمين, مستويات الأذونات والميراث.
المستخدمين والمجموعات كسر وصولاً إلى:
- المستخدمين الفرديين: انسحبت من النشطة دليل أو تم إنشاؤه مباشرة في SharePoint.
- المجموعات: تم تعيينها مباشرة من خدمة active directory أو التي تم إنشاؤها في SharePoint. المجموعات مجموعة من المستخدمين. المجموعات العالمية في مجموعة الموقع. أنهم ابدأ "مرتبطة" لكائن قابل للتأمين المحددة.
الكائنات القابلة للتأمين كسر وصولاً إلى مالا يقل عن:
- مواقع
- مكتبات المستندات
- العناصر الفردية في القوائم ومكتبات المستندات
- المجلدات
- إعدادات BDC مختلف.
هناك أخرى الكائنات القابلة للتأمين, ولكن يمكنك الحصول على الصورة.
مستويات الأذونات: باقة من الحبيبية / حقوق الوصول إلى مستوى منخفض تتضمن أشياء مثل إنشاء أو قراءة أو حذفها الإدخالات في القوائم.
الميراث: بشكل افتراضي الكيانات ترث إعدادات الأمان على الكائن التي تحتوي على. المواقع الفرعية ترث الأذونات من موقعها الأصل. مكتبات المستندات ترث من موقعهم. هكذا، وهكذا دواليك.
تتعلق بالمستخدمين والمجموعات للكائنات القابلة للتأمين عبر مستويات الأذونات والميراث.
قواعد الأمن الأكثر أهمية فهم, من أي وقت مضى 🙂 :
- المجموعات مجرد مجموعات من المستخدمين.
- المجموعات عالمي داخل مجموعة الموقع (الأول-هاء. لا يوجد أي شيء من هذا القبيل كمجموعة تعريفها على مستوى الموقع).
- لا تحمل اسم المجموعة, مجموعات لا, في ومن أنفسهم, أي مستوى معين من الأمن.
- لدى المجموعات الأمنية في سياق كائن قابل للتأمين المحددة.
- قد يمكنك تعيين مستويات مختلفة من الأذونات للمجموعة نفسها لكل كائن قابل للتأمين.
- سياسات تطبيق الويب تبز كل هذا (انظر أدناه).
مسؤولي الأمن فقدت في بحر قوائم المستخدم والمجموعة يمكن دائماً الاعتماد على هذه البديهيات إدارة وفهم على تكوين الأمان.
المخاطر الشائعة:
- أسماء المجموعة زورا يعني إذن: من خارج منطقة الجزاء, تعريف SharePoint مجموعة من مجموعات أسماؤها يعني مستوى الملازمة للأمن. النظر في مجموعة "المساهمين". واحد غير مألوف مع الأمن SharePoint قد ننظر في هذا الاسم جيدا ونفترض أن أي عضو من أعضاء هذا الفريق يمكن أن "يسهم" إلى أي موقع/قائمة/مكتبة في المدخل. قد يكون ذلك صحيحاً ولكن ليس لأن اسم المجموعة يحدث أن تكون "المساهم". هذا صحيح فقط من خارج منطقة الجزاء لأن الفريق قدم مستوى إذن تمكنهم من إضافة/تحرير/حذف المحتوى في الموقع الجذر. عن طريق الوراثة, أن المساهمين "" المجموعة قد أيضا إضافة/تحرير/حذف المحتوى في كل موقع فرعي. واحد يمكن أن "كسر" سلسلة الوراثة وتغير مستوى الأذونات من موقع فرعي من هذا القبيل أن أعضاء ما يسمى "المساهم" لا يمكن أن تسهم المجموعة على الإطلاق, ولكن للقراءة فقط (فعلى سبيل المثال). هذا لن يكون فكرة جيدة, ومن الواضح أن, نظراً لأنه سيكون مربكاً للغاية.
- لم يتم تعريف مجموعات على مستوى الموقع. فمن السهل أن يتم الخلط بين واجهة المستخدم. Microsoft توفر وصلة مريحة لإدارة المستخدم/المجموعة عبر "الأشخاص والمجموعات موقع كل" وصلة. فمن السهل أن نرى أنه عندما أكون في موقع "xyzzy" وإنشاء مجموعة من خلال الناس ل xyzzy، وربط المجموعات التي أنشأتها فقط مجموعة موجود فقط في xyzzy. وهذا ليس الحال. لقد قمت بإنشاء مجموعة لمجموعة الموقع كله فعلا.
- عضوية المجموعات لا تختلف حسب الموقع (الأول-هاء. أنه هو نفسه في كل مكان يتم استخدام المجموعة): النظر في مجموعة "مالك" وموقعين, "الموارد البشرية" و "تسويق". فإنه سيكون من الطبيعي أعتقد أن الشخصين منفصلة سوف تملك تلك المواقع — مالك الموارد بشرية ومالكا للنقل والإمداد. واجهة المستخدم يجعل من السهل بالنسبة لمسؤول أمن باضاعتها هذا السيناريو. إذا لم أكن أعرف أفضل, أنا يمكن الوصول إلى الارتباطات الشعب والمجموعات عن طريق موقع الموارد البشرية, حدد "الملاك" في المجموعة وإضافة بلدي مالك الموارد البشرية بهذه المجموعة. وبعد شهر, ويأتي اللوجستية على الخط. الوصول إلى الأشخاص والمجموعات من موقع الخدمات اللوجستية, إضافة سحب ما يصل أصحاب "" المجموعة. راجع مالك الموارد البشرية هناك، وإزالة لها, التفكير أن أنا إزالة لها من أصحابها في موقع الخدمات اللوجستية. في الحقيقة, أنا إزالة لها من مجموعة أصحاب العالمية. تستتبعه مرح.
- الفشل باسم المجموعات استناداً إلى دور محدد: "الموافقين" المجموعة مثال ممتاز. ما يمكن لأعضاء هذه المجموعة الموافقة? حيث أنها توافق عليه? هل حقاً نريد شعب الإدارة اللوجستية ليتمكن من الموافقة على وثائق حقوق الإنسان? بالطبع لا. دائماً اسم المجموعات استناداً إلى دورها داخل المنظمة. وهذا سوف يقلل من خطر أن المجموعة يتم تعيين مستوى إذن غير مناسبة لكائن معين قابل للتأمين. اسم المجموعات استناداً إلى دورها المقصود. في السيناريو السابق الموارد البشرية والسوقيات, وينبغي أن يكون تم إنشاؤها فريقين جديدين: "أصحاب الموارد البشرية" و "أصحاب النقل والإمداد" وتعيين مستويات أذونات معقولة لكل والحد الأدنى المطلوب لهؤلاء المستخدمين القيام بعملهم.
مراجع أخرى مفيدة:
- ويب تطبيق سياسة مسكتك: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- مركز تبادل المعلومات للأمن SharePoint: http://www.sharepointsecurity.com/
- وصلات من جويل Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
إذا كنت قد جعلت من هذا الآن:
واسمحوا لي أن أعرف أفكارك عن طريق التعليقات أو البريد الإلكتروني لي. إذا كنت تعرف غيرها من المراجع الجيدة, الرجاء القيام بنفس!