Η ΕΝΗΜΕΡΩΜΈΝΗ ΈΚΔΟΣΗ 12/18/07: Δείτε το άρθρο του Paul Liebrand για κάποιες τεχνικές συνέπειες της αφαίρεση ή τροποποίηση στα προεπιλεγμένα ονόματα ομάδας (Δείτε το παρακάτω σχόλιο καθώς και).
Επισκόπηση:
Ασφαλείας του SharePoint είναι εύκολο να ρυθμίσετε και να διαχειριστείτε. Ωστόσο, έχει αποδειχθεί ότι είναι δύσκολο για κάποιο πρώτους διαχειριστές να πραγματικά να τυλίξει τα χέρια τους γύρω από αυτό. Δεν είναι μόνο ότι, Έχω δει μερικοί διοικητές που έρχονται σε μια τέλεια κατανόηση τη Δευτέρα μόνο για να έχουν χάσει μέχρι την Παρασκευή επειδή δεν έχουν να κάνουν οποιαδήποτε ρύθμιση παραμέτρων στο μεσοδιάστημα. (Ομολογώ να έχουν αυτό το πρόβλημα ο ίδιος). Αυτό το ιστολόγιο εισόδου Ας ελπίσουμε ότι παρέχει έναν χρήσιμο SharePoint ασφαλείας εγχυτήρα και σημεία προς ορισμένες βέλτιστες πρακτικές ρυθμίσεις ασφαλείας.
Σημαντική σημείωση:
Αυτή η περιγραφή είναι με βάση έξω από το πλαίσιο ασφαλείας του SharePoint. Η προσωπική μου εμπειρία είναι προσανατολισμένη γύρω από τα ΒΡΎΑ, έτσι μπορεί να υπάρξει κάποια το ΒΡΎΟ συγκεκριμένα πράγματα εδώ, αλλά πιστεύω ότι είναι ακριβή για WSS. Ελπίζω ότι βλέποντας οποιαδήποτε λάθη ή παραλείψεις θα επισημάνω ότι στα σχόλια ή email μου. Θα σας κάνω διορθώσεις ειπείν.
Βασικές αρχές:
Για τους σκοπούς αυτής της επισκόπησης, Υπάρχουν τέσσερις θεμελιώδεις πτυχές ασφάλειας: Οι χρήστες/ομάδες, ασφαλιζόμενα αντικείμενα, επίπεδα δικαιωμάτων και κληρονομικότητα.
Χρήστες και ομάδες σπάσει προς τα κάτω για να:
- Μεμονωμένους χρήστες: Τράβηξε από ενεργό κατάλογο ή δημιουργήθηκε απευθείας στο SharePoint.
- Ομάδες: Αντιστοιχισμένα απευθείας από την υπηρεσία καταλόγου active directory ή δημιουργήθηκε το SharePoint. Ομάδες είναι μια συλλογή των χρηστών. Ομάδες είναι παγκόσμια σε μια συλλογή τοποθεσιών. Ποτέ δεν «δετική" σε ένα συγκεκριμένο ασφαλιζόμενο αντικείμενο.
Ασφαλιζόμενα αντικείμενα σπάσει προς τα κάτω για τουλάχιστον:
- Τοποθεσίες
- Βιβλιοθήκες εγγράφων
- Μεμονωμένα στοιχεία σε λίστες και βιβλιοθήκες εγγράφων
- Φάκελοι
- Διάφορες ρυθμίσεις BDC.
Υπάρχουν άλλα ασφαλιζόμενα αντικείμενα, αλλά μπορείτε να πάρετε την εικόνα.
Επίπεδα δικαιωμάτων: Μια δέσμη των κοκκώδη / χαμηλό επίπεδο πρόσβασης δικαιωμάτων που περιλαμβάνουν τέτοια πράγματα όπως Δημιουργήστε/Διαβάστε/διαγράψτε καταχωρήσεις σε λίστες.
Κληρονομικότητα: Από προεπιλογή, οντότητες κληρονομούν τις ρυθμίσεις ασφαλείας από τους αντικειμένου που περιέχει. Δευτερεύουσες τοποθεσίες που κληρονομούν δικαιώματα από το γονικό τους. Βιβλιοθήκες εγγράφων που κληρονομούν από το site τους. Ούτω καθεξής και ούτω καθεξής.
Χρήστες και ομάδες που σχετίζονται με ασφαλιζόμενα αντικείμενα μέσω επίπεδα δικαιωμάτων και κληρονομικότητα.
Τους σημαντικότερους κανόνες ασφαλείας για την κατανόηση, Ever 🙂 :
- Ομάδες είναι απλώς συλλογές των χρηστών.
- Ομάδες, είναι παγκόσμια μέσα σε μια συλλογή τοποθεσιών (ήτοι. δεν υπάρχει κανένα τέτοιο πράγμα όπως μια ομάδα που ορίζονται σε επίπεδο τοποθεσίας).
- Όνομα ομάδας, δεν αντέχουν, ομάδες δεν, μέσα και τον εαυτό τους, έχουν τις ειδικές επίπεδο ασφαλείας.
- Ομάδες έχουν ασφάλεια στο πλαίσιο της ένα συγκεκριμένο ασφαλιζόμενο αντικείμενο.
- Μπορεί να μπορείτε να αντιστοιχίσετε διαφορετικά επίπεδα δικαιωμάτων στην ίδια ομάδα για κάθε ασφαλιζόμενο αντικείμενο.
- Πολιτικές εφαρμογής Web ατού όλα αυτά (Δείτε παρακάτω).
Οι διαχειριστές ασφαλείας που χάνεται σε μια θάλασσα των λιστών χρηστών και ομάδας χρηστών μπορεί πάντα να βασίζεται στην αυτά τα αξιώματα για να διαχειριστεί και να κατανοήσουν τους ρύθμιση παραμέτρων ασφαλείας.
Κοινές παγίδες:
- Ονόματα ομάδων υπονοεί άδεια: Από το κουτί, SharePoint καθορίζει ένα σύνολο των ομάδων, των οποίων το όνομα υπονοεί μια εγγενή επίπεδο ασφάλειας. Θεωρούν την ομάδα "Συνεργάτη". Καλά, ένα δεν είναι εξοικειωμένοι με το SharePoint ασφαλείας μπορεί να εξετάσουμε αυτό το όνομα και να υποθέσουμε ότι κάθε μέλος αυτής της ομάδας μπορεί να «συμβάλει" σε κάθε site/λίστα/βιβλιοθήκη στην πύλη. Που μπορεί να είναι αλήθεια αλλά όχι επειδή το όνομα της ομάδας που συμβαίνει να είναι "συνεργάτη". Αυτό ισχύει μόνο από το κουτί γιατί η ομάδα έχει προσφέρει ένα επίπεδο δικαιωμάτων που τους δίνει τη δυνατότητα να προσθέσετε/επεξεργαστείτε/διαγράψετε περιεχόμενο στην περιοχή ρίζας. Μέσω κληρονομιάς, Οι συνεισφέροντες"" ομάδα μπορεί επίσης να προσθέσετε/επεξεργαστείτε/διαγράψετε περιεχόμενο σε κάθε υπο-site. Μπορεί να "σπάσει κάποιος" την κληρονομιά αλυσίδα και αλλαγή το επίπεδο δικαιωμάτων από μια δευτερεύουσα τοποθεσία ότι μέλη του το λεγόμενο "συνεισφέρων" Ομάδα δεν μπορεί να συμβάλει σε όλα, αλλά μόνο διαβάσει (για παράδειγμα). Αυτό δεν θα ήταν μια καλή ιδέα, προφανώς, Δεδομένου ότι θα είναι πολύ συγκεχυμένη.
- Ομάδες δεν έχουν οριστεί σε επίπεδο τοποθεσίας. Είναι εύκολο να μπερδευτείτε από το περιβάλλον εργασίας χρήστη. Η Microsoft παρέχει μια βολική σύνδεση με το χρήστη/ομάδα διαχείρισης μέσω κάθε περιοχή "άτομα και ομάδες" σύνδεση. Είναι εύκολο να πιστέψει κανείς ότι όταν είμαι στο site "xyzzy" και μπορώ να δημιουργήσω μια ομάδα μέσω του xyzzy άνθρωποι και ομάδες σύνδεση που έχω μόλις δημιουργήσει μια ομάδα που υπάρχει μόνο στο xyzzy. Αυτό δεν συμβαίνει. Πραγματικά έχω δημιουργήσει μια ομάδα για τη συλλογή του ολόκληρο το site.
- Ομάδες μελών να μην αποκλίνει από την ιστοσελίδα (ήτοι. το ίδιο είναι παντού Ομίλου χρησιμοποιείται): Εξετάσει η ομάδα ιδιοκτήτης"" και δύο τοποθεσίες, "HR" και "Logistics". Θα ήταν φυσιολογικό να σκεφτείτε ότι δύο άτομα ξεχωριστά θα ιδίων αυτές τις τοποθεσίες — ιδιοκτήτης ΥΕ και ένας ιδιοκτήτης Logistics. Το περιβάλλον εργασίας χρήστη το καθιστά εύκολο για ένα διαχειριστή για την ασφάλεια να χειρίζομαι αυτό το σενάριο. Αν δεν ήξερα καλύτερα, Μπορεί να έχω πρόσβαση σε συνδεσμους άτομα και ομάδες, μέσω της ιστοσελίδας του HR, Επιλέξτε "ιδιοκτήτες" ομάδα και να προσθέσετε μου HR ιδιοκτήτης σε αυτή την ομάδα. Ένα μήνα αργότερα, Logistics έρχεται στη γραμμή. Έχω πρόσβαση άτομα και ομάδες από το χώρο των Logistics, Προσθέστε έλξης μέχρι οι ιδιοκτήτες"" Ομάδα. Δείτε τον ιδιοκτήτη HR εκεί και να απομακρύνει, σκέφτεται ότι είμαι απομάκρυνση της από ιδιοκτήτες επί του τόπου της εφοδιαστικής. Στην πραγματικότητα, Είμαι απομάκρυνση της από την παγκόσμια ομάδα ιδιοκτητών. Ακολουθεί ιλαρότητα.
- Παραλείποντας να όνομα ομάδες με βάση το συγκεκριμένο ρόλο: Οι υπεύθυνοι έγκρισης"" ομάδα είναι ένα τέλειο παράδειγμα. Τι μπορώ να μέλη του αυτή έγκριση ομάδας? Όπου μπορεί να την επικυρώνουν? Θέλω πραγματικά τμήμα Logistics τους ανθρώπους να είναι σε θέση να εγκρίνει έγγραφα της HR? Φυσικά δεν. Πάντα το όνομα ομάδες με βάση το ρόλο τους μέσα στην οργάνωση. Αυτό θα μειώσει τον κίνδυνο ότι η ομάδα έχει εκχωρηθεί ένα επίπεδο ακατάλληλη δικαιωμάτων για ένα συγκεκριμένο ασφαλιζόμενο αντικείμενο. Όνομα ομάδες με βάση την προβλεπόμενη ρόλο τους. Στο προηγούμενο σενάριο HR/Logistics, Θα πρέπει να έχουν δημιουργηθεί δύο νέες ομάδες: "HR ιδιοκτήτες" και «Logistics ιδιοκτήτες" και να αναθέσετε επίπεδα για κάθε τεχνολογία λογική άδεια και το ελάχιστο ποσό που απαιτείται για εκείνους τους χρήστες να κάνουν τη δουλειά τους.
Άλλες χρήσιμες αναφορές:
- Web εφαρμογή πολιτικής gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Γραφείο συμψηφισμού για SharePoint ασφαλείας: http://www.sharepointsecurity.com/
- Συνδέσεις από Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Αν έχετε κάνει αυτό μακριά:
Παρακαλώ επιτρέψτε μου να γνωρίζω τις σκέψεις σας μέσω σχόλια ή email μου. Αν γνωρίζετε άλλες καλές αναφορές, παρακαλώ να κάνει το ίδιο!