ACTUALITZACIÓ 12/18/07: Veure article de Paul Liebrand algunes conseqüències tècniques de eliminant o modificant els noms de grup per defecte (veure el seu comentari a continuació, així).
Visió de conjunt:
Seguretat de SharePoint és fàcil de configurar i administrar. No obstant això, ha demostrat ser difícil per a alguns administradors primera vegada realment embolicar les seves mans al voltant. No només allò, He vist alguns administradors arribar a una entesa perfecte dilluns a només han perdut per divendres, ja que no cal fer qualsevol configuració en el temps intermedis. (Reconec que té aquest problema jo mateix). Aquesta entrada del blog esperem que proporciona una útil introducció de seguretat de SharePoint i apunta cap a algunes pràctiques millors de configuració de seguretat.
Nota important:
Aquesta descripció es basa de la caixa de seguretat de SharePoint. La meva experiència personal està orientat als voltants molsa perquè hi pot haver alguns molsa matèria específica aquí, però crec que és precís per WSS. Espero que ningú veure errors o omissions a assenyalar que en els comentaris o Rebi per email. Vaig a fer correccions enviar de pressa.
Fonaments:
Als efectes d'aquesta visió de conjunt, hi ha quatre aspectes fonamentals a la seguretat: els usuaris/grups, SecurAble objectes, nivells de permís i l'herència.
Els usuaris i grups trencar a:
- Usuaris individuals: Va treure de l'actiu directori o creades directament en SharePoint.
- Grups: Assignades directament des de l'active directory o creat en SharePoint. Els grups són una col·lecció d'usuaris. Els grups són globals en una col·lecció de llocs. Ells mai "lligat" a un objecte de securable específic.
SecurAble objectes trencar cap avall per com a mínim:
- Llocs
- Biblioteques de documents
- Elements individuals en les llistes i biblioteques de documents
- Carpetes
- Diverses escenes del BDC.
Hi ha altres objectes securable, però apareix el quadre.
Nivells de permís: Un farcell de granular / drets d'accés de nivell baix que inclouen coses com crear/llegir/suprimir entrades de llistes.
L'herència: Per defecte les entitats hereta la configuració de seguretat del seu objecte que conté. Subllocs hereten el permís dels seus pares. Les biblioteques de documents hereta des del seu lloc. Així successivament i així successivament.
Els usuaris i grups relacionar objectes securable mitjançant els nivells de permís i l'herència.
Les normes de seguretat més importants d'entendre, alguna vegada 🙂 :
- Grups només són col·leccions d'usuaris.
- Els grups són globals dins d'una col·lecció de llocs (i. e. no hi ha cap tal cosa com a grup definit en l'àmbit de lloc).
- Nom del grup malgrat les, grups no, a i de si mateixos, tenir qualsevol nivell particular de seguretat.
- Grups tenir seguretat en el context d'un objecte específic securable.
- Pot assignar nivells de permís diferent a un mateix grup per a cada objecte de securable.
- Normes d'aplicació web tot això superen (Vegeu a continuació).
Els administradors de la seguretat perduts en un mar de llistats de grups i usuaris sempre poden confiar en aquests axiomes de gestionar i entendre la seva configuració de seguretat.
Trampes comuns:
- Grup noms falsament implica l'autorització: Fora de la caixa, SharePoint defineix un conjunt dels grups els noms dels quals implica un nivell de seguretat inherent. Considerar el grup "La contribuent". Un desconegut amb seguretat de SharePoint bé pot mirar aquest nom i assumir que qualsevol membre d'aquest grup poden "contribuir" a qualsevol lloc/llista/biblioteca al portal. Això pot ser cert, però no perquè el nom del grup passa a ser "la contribuent". Això només és cert fora de la caixa perquè el grup s'ha proporcionat un nivell de permís que els permet afegir, editar i suprimir contingut en el lloc arrel. Per herència, els col·laboradors"" grup també pot afegir, editar i suprimir contingut en cada sub-lloc. Un pot "trencar" la cadena d'herència i canvi el nivell de permís d'un sub-site que els membres de la anomenada "contribuent" grup no poden aportar res, però només llegir (per exemple). Això no seria una bona idea, Òbviament, des d'aleshores seria molt confús.
- Grups no es defineixen en l'àmbit de lloc. És fàcil confondre per la interfície d'usuari. Microsoft proporciona un enllaç convenient a la gestió de l'usuari/grup a través de "persones i grups de tots els llocs" enllaç. És fàcil creure que quan estic al lloc "xyzzy" i crea un grup a través persones de xyzzy i grups que he creat un grup que només existeix a xyzzy enllaç. Aquest no és el cas. En realitat he creat un grup per a la col·lecció de llocs sencer.
- Membres de grups no varia en el lloc (i. e. és el mateix a tot arreu que el grup s'utilitza): Considerar el "propietari de grup" i dos llocs, "L'H" i "Logística". Seria normal a pensar que els individus separats dos vols propis aquells llocs — un propietari HR i propietari d'una logística. La interfície d'usuari fa que sigui fàcil per a un administrador de seguretat de embalat aquest escenari. Si no saben millor, Puguin accedir a les persones i grups enllaços via el lloc d'HR, Seleccioneu els propietaris"" grup i afegir el meu propietari HR a aquest grup. Un mes més tard, Logística ve en línia. Accedir les persones i grups des del lloc de logística, afegir tiri dels propietaris"" grup. Veig el propietari HR allà i treure-la, pensant que estic traient ella dels propietaris en el lloc de logística. De fet, Jo li estic traient del grup propietaris global. Sobrevé hilaritat.
- Fracassant a grups de nom basat en el paper específic: Els examinadors"" grup és un exemple perfecte. Què pot membres d'aquest aprova grup? On van aprovar-lo? Realment vull Departament de logística de gent per poder aprovar els documents de HR? Per descomptat no. Sempre nom basats en el seu paper dins l'organització de grups. Això reduirà el risc que el grup té assignat un nivell de permís inadequat per a un determinat objecte securable. Grups de nom basats en el seu paper destinat. En el cas anterior HR/logística, He ha creat dos nous grups: "HR propietaris" i "logística propietaris" i assignar els nivells de permís sensible per a cada un i l'import mínim necessari per a aquells usuaris a fer la seva feina.
Altres referències útils:
- Web aplicació política gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Centre d'informació per a la seguretat del SharePoint: http://www.sharepointsecurity.com/
- Enllaços de Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Si ho heu fet això molt:
Si us plau deixi'm saber els seus pensaments mitjançant els comentaris o email. Si coneixeu altres bones referències, Si us plau, fer el mateix!