الدليل التمهيدي لأساسيات الأمان SharePoint / تجنب المزالق عام

التحديث 12/18/07: انظر المادة بول ليبراند 's عن بعض النتائج التقنية لإزالة أو تعديل أسماء المجموعات الافتراضية (انظر تعليقه أدناه، فضلا عن).

نظرة عامة:

الأمن SharePoint سهلة لتكوين وإدارة. ومع ذلك, قد ثبت أن صعبة لبعض المسؤولين المرة الأولى حقاً التفاف أيديهم حوله. ليس هذا فقط, لقد رأيت بعض المسؤولين التوصل إلى فهم الكمال يوم الاثنين إلا فقدت يوم الجمعة لأنه لم يكن لديهم للقيام بأي تكوين في الفترة الفاصلة. (اعترف بوجود هذه المشكلة نفسي). هذا بلوق دخول نأمل أن يوفر تمهيدي أمن SharePoint مفيدة ويشير نحو تكوين الأمان بعض أفضل الممارسات.

ملاحظة هامة:

ويستند هذا الوصف من خارج منطقة الجزاء الأمن SharePoint. تجربتي الشخصية هي الموجه حول موس حيث قد يكون هناك بعض الأشياء المحددة موس هنا, ولكن أعتقد أنها دقيقة ل WSS. ويحدوني الأمل في أن أي شخص رؤية أي أخطاء أو إغفاﻻت وسوف نشير أنه في تعليقات أو أرسل لي. سوف يجعل تصحيحات وظيفة العجلة.

أساسيات:

لأغراض هذه النظرة العامة, وهناك أربعة جوانب أساسية للأمن: مستخدمون/مجموعات, الكائنات القابلة للتأمين, مستويات الأذونات والميراث.

المستخدمين والمجموعات كسر وصولاً إلى:

  • المستخدمين الفرديين: انسحبت من النشطة دليل أو تم إنشاؤه مباشرة في SharePoint.
  • المجموعات: تم تعيينها مباشرة من خدمة active directory أو التي تم إنشاؤها في SharePoint. المجموعات مجموعة من المستخدمين. المجموعات العالمية في مجموعة الموقع. أنهم ابدأ "مرتبطة" لكائن قابل للتأمين المحددة.

الكائنات القابلة للتأمين كسر وصولاً إلى مالا يقل عن:

  • مواقع
  • مكتبات المستندات
  • العناصر الفردية في القوائم ومكتبات المستندات
  • المجلدات
  • إعدادات BDC مختلف.

هناك أخرى الكائنات القابلة للتأمين, ولكن يمكنك الحصول على الصورة.

مستويات الأذونات: باقة من الحبيبية / حقوق الوصول إلى مستوى منخفض تتضمن أشياء مثل إنشاء أو قراءة أو حذفها الإدخالات في القوائم.

الميراث: بشكل افتراضي الكيانات ترث إعدادات الأمان على الكائن التي تحتوي على. المواقع الفرعية ترث الأذونات من موقعها الأصل. مكتبات المستندات ترث من موقعهم. هكذا، وهكذا دواليك.

تتعلق بالمستخدمين والمجموعات للكائنات القابلة للتأمين عبر مستويات الأذونات والميراث.

قواعد الأمن الأكثر أهمية فهم, من أي وقت مضى 🙂 :

  1. المجموعات مجرد مجموعات من المستخدمين.
  2. المجموعات عالمي داخل مجموعة الموقع (الأول-هاء. لا يوجد أي شيء من هذا القبيل كمجموعة تعريفها على مستوى الموقع).
  3. لا تحمل اسم المجموعة, مجموعات لا, في ومن أنفسهم, أي مستوى معين من الأمن.
  4. لدى المجموعات الأمنية في سياق كائن قابل للتأمين المحددة.
  5. قد يمكنك تعيين مستويات مختلفة من الأذونات للمجموعة نفسها لكل كائن قابل للتأمين.
  6. سياسات تطبيق الويب تبز كل هذا (انظر أدناه).

مسؤولي الأمن فقدت في بحر قوائم المستخدم والمجموعة يمكن دائماً الاعتماد على هذه البديهيات إدارة وفهم على تكوين الأمان.

المخاطر الشائعة:

  • أسماء المجموعة زورا يعني إذن: من خارج منطقة الجزاء, تعريف SharePoint مجموعة من مجموعات أسماؤها يعني مستوى الملازمة للأمن. النظر في مجموعة "المساهمين". واحد غير مألوف مع الأمن SharePoint قد ننظر في هذا الاسم جيدا ونفترض أن أي عضو من أعضاء هذا الفريق يمكن أن "يسهم" إلى أي موقع/قائمة/مكتبة في المدخل. قد يكون ذلك صحيحاً ولكن ليس لأن اسم المجموعة يحدث أن تكون "المساهم". هذا صحيح فقط من خارج منطقة الجزاء لأن الفريق قدم مستوى إذن تمكنهم من إضافة/تحرير/حذف المحتوى في الموقع الجذر. عن طريق الوراثة, أن المساهمين "" المجموعة قد أيضا إضافة/تحرير/حذف المحتوى في كل موقع فرعي. واحد يمكن أن "كسر" سلسلة الوراثة وتغير مستوى الأذونات من موقع فرعي من هذا القبيل أن أعضاء ما يسمى "المساهم" لا يمكن أن تسهم المجموعة على الإطلاق, ولكن للقراءة فقط (فعلى سبيل المثال). هذا لن يكون فكرة جيدة, ومن الواضح أن, نظراً لأنه سيكون مربكاً للغاية.
  • لم يتم تعريف مجموعات على مستوى الموقع. فمن السهل أن يتم الخلط بين واجهة المستخدم. Microsoft توفر وصلة مريحة لإدارة المستخدم/المجموعة عبر "الأشخاص والمجموعات موقع كل" وصلة. فمن السهل أن نرى أنه عندما أكون في موقع "xyzzy" وإنشاء مجموعة من خلال الناس ل xyzzy، وربط المجموعات التي أنشأتها فقط مجموعة موجود فقط في xyzzy. وهذا ليس الحال. لقد قمت بإنشاء مجموعة لمجموعة الموقع كله فعلا.
  • عضوية المجموعات لا تختلف حسب الموقع (الأول-هاء. أنه هو نفسه في كل مكان يتم استخدام المجموعة): النظر في مجموعة "مالك" وموقعين, "الموارد البشرية" و "تسويق". فإنه سيكون من الطبيعي أعتقد أن الشخصين منفصلة سوف تملك تلك المواقع — مالك الموارد بشرية ومالكا للنقل والإمداد. واجهة المستخدم يجعل من السهل بالنسبة لمسؤول أمن باضاعتها هذا السيناريو. إذا لم أكن أعرف أفضل, أنا يمكن الوصول إلى الارتباطات الشعب والمجموعات عن طريق موقع الموارد البشرية, حدد "الملاك" في المجموعة وإضافة بلدي مالك الموارد البشرية بهذه المجموعة. وبعد شهر, ويأتي اللوجستية على الخط. الوصول إلى الأشخاص والمجموعات من موقع الخدمات اللوجستية, إضافة سحب ما يصل أصحاب "" المجموعة. راجع مالك الموارد البشرية هناك، وإزالة لها, التفكير أن أنا إزالة لها من أصحابها في موقع الخدمات اللوجستية. في الحقيقة, أنا إزالة لها من مجموعة أصحاب العالمية. تستتبعه مرح.
  • الفشل باسم المجموعات استناداً إلى دور محدد: "الموافقين" المجموعة مثال ممتاز. ما يمكن لأعضاء هذه المجموعة الموافقة? حيث أنها توافق عليه? هل حقاً نريد شعب الإدارة اللوجستية ليتمكن من الموافقة على وثائق حقوق الإنسان? بالطبع لا. دائماً اسم المجموعات استناداً إلى دورها داخل المنظمة. وهذا سوف يقلل من خطر أن المجموعة يتم تعيين مستوى إذن غير مناسبة لكائن معين قابل للتأمين. اسم المجموعات استناداً إلى دورها المقصود. في السيناريو السابق الموارد البشرية والسوقيات, وينبغي أن يكون تم إنشاؤها فريقين جديدين: "أصحاب الموارد البشرية" و "أصحاب النقل والإمداد" وتعيين مستويات أذونات معقولة لكل والحد الأدنى المطلوب لهؤلاء المستخدمين القيام بعملهم.

مراجع أخرى مفيدة:

إذا كنت قد جعلت من هذا الآن:

واسمحوا لي أن أعرف أفكارك عن طريق التعليقات أو البريد الإلكتروني لي. إذا كنت تعرف غيرها من المراجع الجيدة, الرجاء القيام بنفس!

[تشنورتي] بطاقات:

8 افكار عن "الدليل التمهيدي لأساسيات الأمان SharePoint / تجنب المزالق عام

  1. بيري

    مطبات أكثر:

    * وهناك بعض الأذونات الخاصة متوفرة في أي مكان آخر في موفر الخدمات المشتركة ولا تظهر في المقطع الأشخاص والمجموعات: "أذونات خدمات إضفاء الطابع الشخصي" و "أذونات كتالوج بيانات العمل"

    * وقد قرأت أن هناك أيضا أذونات SharePoint Designer خاصة متوفرة في بعض xml غامضة مدفونة داخل إتش تي أم آل في مكان ما.

    * الابتدائي والثانوي المسؤولين عن "مجموعة الموقع" يتم الاحتفاظ في مكان آخر في إعدادات "مجموعة الموقع", وهي لا تظهر في المقطع الأشخاص والمجموعات.

    * حسابات معينة قد السحرية (الخاصة) قدراته بغض النظر عن ما تراه في منطقة الشعب والمجموعات: أعضاء مجموعة Administrators المضمنة على ملقمات ويب, وحساب خدمة المزرعة.

    (ملاحظة:: حذف التعليقات المزعج أن تحسين وضوح القراءة هنا.)

    الرد
  2. ليبراند بول
    إلقاء المجموعات قد لا تكون فكرة جيدة. تعتمد بعض الوظائف الدنيا على هذه المجموعات أن يكون هناك على وجه التحديد حول الأشياء العضوية الجديدة. http://liebrand.wordpress.com/2007/12/06/sharepoint-security-permission-levels/ ويناقش هذا بمزيد من التفصيل.
    @ بول — وظيفة كبيرة!
    ليبراند بول
    الرد
  3. رأيت جان
    هذه وظيفة جيدة جداً. لقد سقطت في هذا الفخ في مناسبات قليلة. يمكن الحصول على إدارة الأمن المعقدة عند البدء في خلط أساليب المصادقة والأمن مختلف أساليب التجميع. وهذا يجب أن يؤخذ كجزء من عملية التخطيط، وينبغي عدم إغفال.
    الرد
  4. وكتب مارك ميلر:
    (ملاحظة من بول: سألني مارك إجراء تغيير طفيف على تعليقه ولكن تعذر تحرير التعليقات ممنوع يعيش حتى لقد أضيف أنه جديد هنا مع التغير وحذف الأصلي).
    بول,
    خرج النهج الموجزة لتقديم هذه المعلومات جيدا. اعجبني خصوصا العثرات "" قسم, ومنذ لقد سقطت عدد قليل من تلك نفسي.
    آخر شيء قلته ضربت المنزل: التعلم اليوم الاثنين لا يعني ليس بالضرورة عليك أن تتذكر أنه يوم الجمعة. أنا سعيد لشخص ما إلى جانب لي هو استخدام بلوق ك "tickler" نظام لهذه الأمور الحاسمة التي لا تتم بصورة منتظمة.
    عمل جيد.
    وتعتبر,
    مارك
    EndUserSharePoint.com

    تشرين الثاني/نوفمبر 27 9:04 صباحا
    (http://www.EndUserSharePoint.com)

    الرد
  5. بول غالفين
    وأعتقد أنها على الأرجح فكرة جيدة إزالة هذه المجموعات الافتراضية, خاصة المساهم ومالك. وهي الفضفاضة والخلط بسهولة. أنا أفضل لاستخدام "كافة المستخدمين المصادق عليهم" بدلاً من "الزائر" المجموعة فضلا عن. إذا كانت مجموعة معينة من المستخدمين يجب أن حق الوصول للقراءة فقط فقط ثم أوصى بإنشاء فريق أو مجموعة SharePoint مع اسم وصفي على نحو ملائم, مثلاً. "السوقيات الزائرين".
    –بول ز
    الرد

اترك ردًا

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها *