Fonaments de seguretat de SharePoint imprimació / Evitar trampes comuns

ACTUALITZACIÓ 12/18/07: Veure article de Paul Liebrand algunes conseqüències tècniques de eliminant o modificant els noms de grup per defecte (veure el seu comentari a continuació, així).

Visió de conjunt:

Seguretat de SharePoint és fàcil de configurar i administrar. No obstant això, ha demostrat ser difícil per a alguns administradors primera vegada realment embolicar les seves mans al voltant. No només allò, He vist alguns administradors arribar a una entesa perfecte dilluns a només han perdut per divendres, ja que no cal fer qualsevol configuració en el temps intermedis. (Reconec que té aquest problema jo mateix). Aquesta entrada del blog esperem que proporciona una útil introducció de seguretat de SharePoint i apunta cap a algunes pràctiques millors de configuració de seguretat.

Nota important:

Aquesta descripció es basa de la caixa de seguretat de SharePoint. La meva experiència personal està orientat als voltants molsa perquè hi pot haver alguns molsa matèria específica aquí, però crec que és precís per WSS. Espero que ningú veure errors o omissions a assenyalar que en els comentaris o Rebi per email. Vaig a fer correccions enviar de pressa.

Fonaments:

Als efectes d'aquesta visió de conjunt, hi ha quatre aspectes fonamentals a la seguretat: els usuaris/grups, SecurAble objectes, nivells de permís i l'herència.

Els usuaris i grups trencar a:

  • Usuaris individuals: Va treure de l'actiu directori o creades directament en SharePoint.
  • Grups: Assignades directament des de l'active directory o creat en SharePoint. Els grups són una col·lecció d'usuaris. Els grups són globals en una col·lecció de llocs. Ells mai "lligat" a un objecte de securable específic.

SecurAble objectes trencar cap avall per com a mínim:

  • Llocs
  • Biblioteques de documents
  • Elements individuals en les llistes i biblioteques de documents
  • Carpetes
  • Diverses escenes del BDC.

Hi ha altres objectes securable, però apareix el quadre.

Nivells de permís: Un farcell de granular / drets d'accés de nivell baix que inclouen coses com crear/llegir/suprimir entrades de llistes.

L'herència: Per defecte les entitats hereta la configuració de seguretat del seu objecte que conté. Subllocs hereten el permís dels seus pares. Les biblioteques de documents hereta des del seu lloc. Així successivament i així successivament.

Els usuaris i grups relacionar objectes securable mitjançant els nivells de permís i l'herència.

Les normes de seguretat més importants d'entendre, alguna vegada 🙂 :

  1. Grups només són col·leccions d'usuaris.
  2. Els grups són globals dins d'una col·lecció de llocs (i. e. no hi ha cap tal cosa com a grup definit en l'àmbit de lloc).
  3. Nom del grup malgrat les, grups no, a i de si mateixos, tenir qualsevol nivell particular de seguretat.
  4. Grups tenir seguretat en el context d'un objecte específic securable.
  5. Pot assignar nivells de permís diferent a un mateix grup per a cada objecte de securable.
  6. Normes d'aplicació web tot això superen (Vegeu a continuació).

Els administradors de la seguretat perduts en un mar de llistats de grups i usuaris sempre poden confiar en aquests axiomes de gestionar i entendre la seva configuració de seguretat.

Trampes comuns:

  • Grup noms falsament implica l'autorització: Fora de la caixa, SharePoint defineix un conjunt dels grups els noms dels quals implica un nivell de seguretat inherent. Considerar el grup "La contribuent". Un desconegut amb seguretat de SharePoint bé pot mirar aquest nom i assumir que qualsevol membre d'aquest grup poden "contribuir" a qualsevol lloc/llista/biblioteca al portal. Això pot ser cert, però no perquè el nom del grup passa a ser "la contribuent". Això només és cert fora de la caixa perquè el grup s'ha proporcionat un nivell de permís que els permet afegir, editar i suprimir contingut en el lloc arrel. Per herència, els col·laboradors"" grup també pot afegir, editar i suprimir contingut en cada sub-lloc. Un pot "trencar" la cadena d'herència i canvi el nivell de permís d'un sub-site que els membres de la anomenada "contribuent" grup no poden aportar res, però només llegir (per exemple). Això no seria una bona idea, Òbviament, des d'aleshores seria molt confús.
  • Grups no es defineixen en l'àmbit de lloc. És fàcil confondre per la interfície d'usuari. Microsoft proporciona un enllaç convenient a la gestió de l'usuari/grup a través de "persones i grups de tots els llocs" enllaç. És fàcil creure que quan estic al lloc "xyzzy" i crea un grup a través persones de xyzzy i grups que he creat un grup que només existeix a xyzzy enllaç. Aquest no és el cas. En realitat he creat un grup per a la col·lecció de llocs sencer.
  • Membres de grups no varia en el lloc (i. e. és el mateix a tot arreu que el grup s'utilitza): Considerar el "propietari de grup" i dos llocs, "L'H" i "Logística". Seria normal a pensar que els individus separats dos vols propis aquells llocs — un propietari HR i propietari d'una logística. La interfície d'usuari fa que sigui fàcil per a un administrador de seguretat de embalat aquest escenari. Si no saben millor, Puguin accedir a les persones i grups enllaços via el lloc d'HR, Seleccioneu els propietaris"" grup i afegir el meu propietari HR a aquest grup. Un mes més tard, Logística ve en línia. Accedir les persones i grups des del lloc de logística, afegir tiri dels propietaris"" grup. Veig el propietari HR allà i treure-la, pensant que estic traient ella dels propietaris en el lloc de logística. De fet, Jo li estic traient del grup propietaris global. Sobrevé hilaritat.
  • Fracassant a grups de nom basat en el paper específic: Els examinadors"" grup és un exemple perfecte. Què pot membres d'aquest aprova grup? On van aprovar-lo? Realment vull Departament de logística de gent per poder aprovar els documents de HR? Per descomptat no. Sempre nom basats en el seu paper dins l'organització de grups. Això reduirà el risc que el grup té assignat un nivell de permís inadequat per a un determinat objecte securable. Grups de nom basats en el seu paper destinat. En el cas anterior HR/logística, He ha creat dos nous grups: "HR propietaris" i "logística propietaris" i assignar els nivells de permís sensible per a cada un i l'import mínim necessari per a aquells usuaris a fer la seva feina.

Altres referències útils:

Si ho heu fet això molt:

Si us plau deixi'm saber els seus pensaments mitjançant els comentaris o email. Si coneixeu altres bones referències, Si us plau, fer el mateix!

Etiquetas de Technorati:

8 comentaris a "Fonaments de seguretat de SharePoint imprimació / Evitar trampes comuns

  1. Perry

    Trampes més:

    * Hi ha certs permisos especials disponibles en qualsevol altre lloc a l'SSP i no visible en l'apartat de persones i grups: "Permisos de serveis de personalització" i "permisos de catàleg de dades empresarials"

    * He llegit que també hi ha permisos especials de SharePoint Designer disponibles en alguns xml arcans enterrat dins html en algun lloc.

    * El primari i secundari als administradors per a una col·lecció de llocs es mantenen en un altre lloc en les escenes d'una col·lecció de llocs, i són no visible en l'apartat de persones i grups.

    * Certs comptes tenen màgic (especial) habilitats sense tenir en compte el que veu en l'àrea de persones i grups: membres del grup d'administradors predefinit en els servidors web, i el compte de servei de granja.

    (PS: Eliminar els comentaris de spam milloraria la llegibilitat aquí.)

    Resposta
  2. Jean Wright
    Aquest és un lloc molt bo. M'han caigut en aquest parany en diverses ocasions. Gestió de la seguretat pot aconseguir complex quan comences barrejant mètodes d'autenticació i seguretat diferent mètodes d'agrupament. Això ha de ser considerada com a part del procés de planificació i no ser passat per alt.
    Resposta
  3. Mark Miller va escriure:
    (Nota de pau: Mark em va demanar que faci un canvi petit a seu comentari però no puc editar comentaris d'espais en directe per la qual cosa he afegit un nou aquí amb el canvi i suprimia l'original).
    Paul,
    L'enfocament resum per presentar aquesta informació va sortir molt bé. Em va agradar especialment les trampes"" secció, ja que jo he caigut en alguns d'aquells a mi mateix.
    Una altra cosa que va dir va colpejar a casa: l'aprenentatge el dilluns no no necessàriament significa que recordareu el divendres. M'alegro que algú a part de mi està utilitzant el seu blog com una tickler"" sistema per a aquestes coses crítiques que no es fan sobre una base regular.
    Bon treball.
    Pel que fa,
    Mark
    EndUserSharePoint.com

    Novembre 27 9:04 SÓC
    (http://www.EndUserSharePoint.com)

    Resposta
  4. Paul Galvin
    Crec que és probablement una bona idea per treure aquells grups d'omissió, especialment col. laborador i propietari. Són overbroad i confonia. Prefereixo utilitzar "tots els usuaris autenticat" en lloc d'un visitant"" grup, així. Si posa un específic d'usuaris ha només accés només de lectura llavors recomanaria crear un grup d'anuncis o grup del SharePoint amb un nom descriptiu adequadament, e. g. "Logística visitants".
    –Paul G
    Resposta
  5. Sense nom
    Sembla que la primera cosa que hauríeu de fer és bolcat al visitant, Col. laborador i propietari de grups i substituir-los amb el seu propi grups lògics. Això tindria sentit fer?
    Resposta

Deixi una contestació

no es publicarà la seva adreça de correu electrònic. Els camps necessaris estan marcats *