AKTUALIZOVAT 12/18/07: Naleznete v článku Paul Liebrand některé technické důsledky odstranění nebo změně výchozí názvy skupin (viz jeho komentář níže a také).
Přehled:
Je snadno konfigurovat a spravovat zabezpečení služby SharePoint. Avšak, To se ukázalo jako obtížné pro některé správce poprvé opravdu zabalit své ruce kolem ní. Nejen, že, Viděl jsem, že někteří správci přicházejí k dokonalé porozumění v pondělí jen proto, aby ztratili to do pátku, protože neměli dělat všechny konfigurace v uplynulém čase. (Přiznám se, že s tímto problémem sám). Tato položka blogu snad poskytuje užitečné primer bezpečnostní služby SharePoint a ukazuje na některé doporučené postupy konfigurace zabezpečení.
Důležitá poznámka:
Tento popis je založena na box zabezpečení služby SharePoint. Moje osobní zkušenost je orientovaný kolem MOSS, tak tam může být nějaký MOSS konkrétní věci zde, ale věřím, že to je přesný pro WSS. Doufám, že někdo viděl nějaké chyby nebo opomenutí naznačí, v komentářích nebo napište mi. Zajistím, aby opravy místo spěchu.
Základy:
Pro účely tohoto přehledu, Existují čtyři základní aspekty bezpečnosti: Uživatelé a skupiny, zabezpečené objekty, úrovně oprávnění a dědičnosti.
Uživatelé a skupiny Break dolů:
- Jednotliví uživatelé: Stáhl z aktivního adresáře nebo vytvořených přímo ve službě SharePoint.
- Skupiny: Přímo mapovaná z adresáře active directory nebo vytvořených v SharePoint. Skupiny jsou kolekce uživatelů. Skupiny jsou globální v kolekci webů. Oni se nikdy "vázáno" pro určitý zabezpečený objekt.
Zabezpečené objekty Break se alespoň:
- Weby
- Knihovny dokumentů
- Jednotlivé položky v seznamech a knihovnách dokumentů
- Složky
- Různé nastavení záložního řadiče domény.
Tam jiné zabezpečené objekty, ale dostanete obrázek.
Úrovně oprávnění: Svazek ve formě / nízká úroveň přístupová práva, které zahrnují takové věci jako vytváření, čtení a odstranění položek v seznamech.
Dědičnost: Ve výchozím nastavení entit dědí nastavení zabezpečení na jejich obsahující objektu. Podřízené weby dědí oprávnění z nadřazeného webu. Knihovny dokumentů dědí z jejich webu. Tak dále a tak dále.
Uživatelé a skupiny se vztahují k zabezpečeným objektům prostřednictvím úrovně oprávnění a dědičnosti.
Nejdůležitější bezpečnostní pravidla, pochopit, Ever 🙂 :
- Skupiny jsou jednoduše skupinám uživatelů.
- Skupiny jsou globální v rámci kolekce webů (tj. neexistuje nic takového jako skupiny definované na úrovni webu).
- Název skupiny není odolat, skupiny nemají, v místě a samy o sobě, žádné konkrétní úroveň bezpečnosti.
- Skupiny mají v kontextu určitého zabezpečeného objektu zabezpečení.
- Může přidělit různé úrovně oprávnění ke skupině stejné pro každý zabezpečený objekt.
- Webové aplikace politiky trumf, to vše (viz níže).
Správci zabezpečení ztratil v moři uživatelů a skupin výpisů může vždy spolehnout na tyto axiomy řídit a pochopit jejich konfigurace zabezpečení.
Společné úskalí:
- Názvy skupin falešně naznačují oprávnění: Out of the box, SharePoint definuje sadu skupin, jejichž jména vyplývá základní úroveň zabezpečení. Zvažte skupině "Přispěvatel". Jeden obeznámeni s bezpečnostní služby SharePoint může dobře podívat se na to jméno a předpokládat, že každý člen této skupiny může "přispět" všechny stránky/seznam/knihovny v portálu. To může být pravda, ale ne proto, že název skupiny je náhodou "Přispěvatel". To je pravda z krabice jen proto, že skupina byla poskytnuta úroveň oprávnění, která jim umožňuje přidat, upravit či odstranit obsah v kořenové lokalitě. Prostřednictvím dědičnosti, Přispěvatelé"" Skupina může také přidat/upravit/smazat obsah na všechny dílčí weby. Jeden může "break" řetězec dědičnosti a změnit úroveň oprávnění podřízený_web takové že členové takzvaného "Přispěvatel" Skupina nemůže přispět na všech, ale jen číst (například). To by nebyl dobrý nápad, očividně, vzhledem k tomu, že by bylo velmi matoucí.
- Skupiny nejsou definovány na úrovni webu. Je to snadné záměně uživatelské rozhraní. Společnost Microsoft poskytuje vhodný odkaz na uživatelů/skupin správy prostřednictvím každé stránky "lidé a skupiny" odkaz. Je snadné se domnívat, že když jsem na webu "xyzzy" a vytvořit skupinu prostřednictvím si xyzzy lidi a spojit skupiny, které jste právě vytvořili skupinu, která existuje jen v xyzzy. To není případ. Jsem vlastně vytvořil skupinu pro celou kolekci webů.
- Skupiny členství nebude měnit o webu (tj. je to stejná všude, kam se používá skupina): Zvažte skupině "vlastník" a dva weby, "HR" a "Logistika". Bylo by vhodné si myslet, že dvou samostatných jedinců by vlastnit ty stránky — HR vlastníka a majitel logistiky. Uživatelské rozhraní usnadňuje správci zabezpečení špatně zacházet tohoto scénáře. Kdybych neznal lépe, Možná přístup osoby a skupiny odkazy prostřednictvím webu HR, Vyberte "vlastníci" seskupení a přidejte své HR vlastníka této skupiny. O měsíc později, Logistika přichází na lince. Z logistické stránky přístup k lidem a skupinám, Přidat vytáhnout "vlastníci" Skupina. Vidím tam majitel HR a odstranit ji, myslí, že jsem ji odstranění od vlastníků na stránce logistiky. Vlastně, Jsem ji vyjmete z globální skupiny Vlastníci. Veselí vyplývá.
- Není-li název skupiny založené na roli: Schvalovatelé"" Skupina je dokonalým příkladem. Co mohou členové této skupiny schválení? Kde mohou schválí? Opravdu chci, oddělení logistiky lidé mohli schválit HR dokumenty? Samozřejmě že ne. Vždy jméno skupiny na základě jejich role v rámci organizace. Tím se sníží riziko, že skupina je přiřazena úroveň nevhodné oprávnění pro určitý zabezpečený objekt. Jméno skupiny na základě jejich zamýšleného role. V předchozím scénáři HR/logistika, Měl jsem vytvořil dvě nové skupiny: "HR vlastníci" a "Logistika vlastníci" a přiřadit úrovně rozumné oprávnění pro každého a minimální částka potřebná pro ty uživatele, aby dělali svoji práci.
Další užitečné odkazy:
- Webové aplikace politiky gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Informační středisko pro zabezpečení služby SharePoint: http://www.sharepointsecurity.com/
- Odkazy z Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Pokud jste to dotáhli tak daleko:
Prosím, dejte mi vědět vaše myšlenky přes Komentáře, nebo napište mi. Pokud znáte jiné dobré reference, Prosím o totéž!