Αστάρι βασικές αρχές ασφαλείας του SharePoint / Αποφύγετε πολλές συνηθισμένες παγίδες

Η ΕΝΗΜΕΡΩΜΈΝΗ ΈΚΔΟΣΗ 12/18/07: Δείτε το άρθρο του Paul Liebrand για κάποιες τεχνικές συνέπειες της αφαίρεση ή τροποποίηση στα προεπιλεγμένα ονόματα ομάδας (Δείτε το παρακάτω σχόλιο καθώς και).

Επισκόπηση:

Ασφαλείας του SharePoint είναι εύκολο να ρυθμίσετε και να διαχειριστείτε. Ωστόσο, έχει αποδειχθεί ότι είναι δύσκολο για κάποιο πρώτους διαχειριστές να πραγματικά να τυλίξει τα χέρια τους γύρω από αυτό. Δεν είναι μόνο ότι, Έχω δει μερικοί διοικητές που έρχονται σε μια τέλεια κατανόηση τη Δευτέρα μόνο για να έχουν χάσει μέχρι την Παρασκευή επειδή δεν έχουν να κάνουν οποιαδήποτε ρύθμιση παραμέτρων στο μεσοδιάστημα. (Ομολογώ να έχουν αυτό το πρόβλημα ο ίδιος). Αυτό το ιστολόγιο εισόδου Ας ελπίσουμε ότι παρέχει έναν χρήσιμο SharePoint ασφαλείας εγχυτήρα και σημεία προς ορισμένες βέλτιστες πρακτικές ρυθμίσεις ασφαλείας.

Σημαντική σημείωση:

Αυτή η περιγραφή είναι με βάση έξω από το πλαίσιο ασφαλείας του SharePoint. Η προσωπική μου εμπειρία είναι προσανατολισμένη γύρω από τα ΒΡΎΑ, έτσι μπορεί να υπάρξει κάποια το ΒΡΎΟ συγκεκριμένα πράγματα εδώ, αλλά πιστεύω ότι είναι ακριβή για WSS. Ελπίζω ότι βλέποντας οποιαδήποτε λάθη ή παραλείψεις θα επισημάνω ότι στα σχόλια ή email μου. Θα σας κάνω διορθώσεις ειπείν.

Βασικές αρχές:

Για τους σκοπούς αυτής της επισκόπησης, Υπάρχουν τέσσερις θεμελιώδεις πτυχές ασφάλειας: Οι χρήστες/ομάδες, ασφαλιζόμενα αντικείμενα, επίπεδα δικαιωμάτων και κληρονομικότητα.

Χρήστες και ομάδες σπάσει προς τα κάτω για να:

  • Μεμονωμένους χρήστες: Τράβηξε από ενεργό κατάλογο ή δημιουργήθηκε απευθείας στο SharePoint.
  • Ομάδες: Αντιστοιχισμένα απευθείας από την υπηρεσία καταλόγου active directory ή δημιουργήθηκε το SharePoint. Ομάδες είναι μια συλλογή των χρηστών. Ομάδες είναι παγκόσμια σε μια συλλογή τοποθεσιών. Ποτέ δεν «δετική" σε ένα συγκεκριμένο ασφαλιζόμενο αντικείμενο.

Ασφαλιζόμενα αντικείμενα σπάσει προς τα κάτω για τουλάχιστον:

  • Τοποθεσίες
  • Βιβλιοθήκες εγγράφων
  • Μεμονωμένα στοιχεία σε λίστες και βιβλιοθήκες εγγράφων
  • Φάκελοι
  • Διάφορες ρυθμίσεις BDC.

Υπάρχουν άλλα ασφαλιζόμενα αντικείμενα, αλλά μπορείτε να πάρετε την εικόνα.

Επίπεδα δικαιωμάτων: Μια δέσμη των κοκκώδη / χαμηλό επίπεδο πρόσβασης δικαιωμάτων που περιλαμβάνουν τέτοια πράγματα όπως Δημιουργήστε/Διαβάστε/διαγράψτε καταχωρήσεις σε λίστες.

Κληρονομικότητα: Από προεπιλογή, οντότητες κληρονομούν τις ρυθμίσεις ασφαλείας από τους αντικειμένου που περιέχει. Δευτερεύουσες τοποθεσίες που κληρονομούν δικαιώματα από το γονικό τους. Βιβλιοθήκες εγγράφων που κληρονομούν από το site τους. Ούτω καθεξής και ούτω καθεξής.

Χρήστες και ομάδες που σχετίζονται με ασφαλιζόμενα αντικείμενα μέσω επίπεδα δικαιωμάτων και κληρονομικότητα.

Τους σημαντικότερους κανόνες ασφαλείας για την κατανόηση, Ever 🙂 :

  1. Ομάδες είναι απλώς συλλογές των χρηστών.
  2. Ομάδες, είναι παγκόσμια μέσα σε μια συλλογή τοποθεσιών (ήτοι. δεν υπάρχει κανένα τέτοιο πράγμα όπως μια ομάδα που ορίζονται σε επίπεδο τοποθεσίας).
  3. Όνομα ομάδας, δεν αντέχουν, ομάδες δεν, μέσα και τον εαυτό τους, έχουν τις ειδικές επίπεδο ασφαλείας.
  4. Ομάδες έχουν ασφάλεια στο πλαίσιο της ένα συγκεκριμένο ασφαλιζόμενο αντικείμενο.
  5. Μπορεί να μπορείτε να αντιστοιχίσετε διαφορετικά επίπεδα δικαιωμάτων στην ίδια ομάδα για κάθε ασφαλιζόμενο αντικείμενο.
  6. Πολιτικές εφαρμογής Web ατού όλα αυτά (Δείτε παρακάτω).

Οι διαχειριστές ασφαλείας που χάνεται σε μια θάλασσα των λιστών χρηστών και ομάδας χρηστών μπορεί πάντα να βασίζεται στην αυτά τα αξιώματα για να διαχειριστεί και να κατανοήσουν τους ρύθμιση παραμέτρων ασφαλείας.

Κοινές παγίδες:

  • Ονόματα ομάδων υπονοεί άδεια: Από το κουτί, SharePoint καθορίζει ένα σύνολο των ομάδων, των οποίων το όνομα υπονοεί μια εγγενή επίπεδο ασφάλειας. Θεωρούν την ομάδα "Συνεργάτη". Καλά, ένα δεν είναι εξοικειωμένοι με το SharePoint ασφαλείας μπορεί να εξετάσουμε αυτό το όνομα και να υποθέσουμε ότι κάθε μέλος αυτής της ομάδας μπορεί να «συμβάλει" σε κάθε site/λίστα/βιβλιοθήκη στην πύλη. Που μπορεί να είναι αλήθεια αλλά όχι επειδή το όνομα της ομάδας που συμβαίνει να είναι "συνεργάτη". Αυτό ισχύει μόνο από το κουτί γιατί η ομάδα έχει προσφέρει ένα επίπεδο δικαιωμάτων που τους δίνει τη δυνατότητα να προσθέσετε/επεξεργαστείτε/διαγράψετε περιεχόμενο στην περιοχή ρίζας. Μέσω κληρονομιάς, Οι συνεισφέροντες"" ομάδα μπορεί επίσης να προσθέσετε/επεξεργαστείτε/διαγράψετε περιεχόμενο σε κάθε υπο-site. Μπορεί να "σπάσει κάποιος" την κληρονομιά αλυσίδα και αλλαγή το επίπεδο δικαιωμάτων από μια δευτερεύουσα τοποθεσία ότι μέλη του το λεγόμενο "συνεισφέρων" Ομάδα δεν μπορεί να συμβάλει σε όλα, αλλά μόνο διαβάσει (για παράδειγμα). Αυτό δεν θα ήταν μια καλή ιδέα, προφανώς, Δεδομένου ότι θα είναι πολύ συγκεχυμένη.
  • Ομάδες δεν έχουν οριστεί σε επίπεδο τοποθεσίας. Είναι εύκολο να μπερδευτείτε από το περιβάλλον εργασίας χρήστη. Η Microsoft παρέχει μια βολική σύνδεση με το χρήστη/ομάδα διαχείρισης μέσω κάθε περιοχή "άτομα και ομάδες" σύνδεση. Είναι εύκολο να πιστέψει κανείς ότι όταν είμαι στο site "xyzzy" και μπορώ να δημιουργήσω μια ομάδα μέσω του xyzzy άνθρωποι και ομάδες σύνδεση που έχω μόλις δημιουργήσει μια ομάδα που υπάρχει μόνο στο xyzzy. Αυτό δεν συμβαίνει. Πραγματικά έχω δημιουργήσει μια ομάδα για τη συλλογή του ολόκληρο το site.
  • Ομάδες μελών να μην αποκλίνει από την ιστοσελίδα (ήτοι. το ίδιο είναι παντού Ομίλου χρησιμοποιείται): Εξετάσει η ομάδα ιδιοκτήτης"" και δύο τοποθεσίες, "HR" και "Logistics". Θα ήταν φυσιολογικό να σκεφτείτε ότι δύο άτομα ξεχωριστά θα ιδίων αυτές τις τοποθεσίες — ιδιοκτήτης ΥΕ και ένας ιδιοκτήτης Logistics. Το περιβάλλον εργασίας χρήστη το καθιστά εύκολο για ένα διαχειριστή για την ασφάλεια να χειρίζομαι αυτό το σενάριο. Αν δεν ήξερα καλύτερα, Μπορεί να έχω πρόσβαση σε συνδεσμους άτομα και ομάδες, μέσω της ιστοσελίδας του HR, Επιλέξτε "ιδιοκτήτες" ομάδα και να προσθέσετε μου HR ιδιοκτήτης σε αυτή την ομάδα. Ένα μήνα αργότερα, Logistics έρχεται στη γραμμή. Έχω πρόσβαση άτομα και ομάδες από το χώρο των Logistics, Προσθέστε έλξης μέχρι οι ιδιοκτήτες"" Ομάδα. Δείτε τον ιδιοκτήτη HR εκεί και να απομακρύνει, σκέφτεται ότι είμαι απομάκρυνση της από ιδιοκτήτες επί του τόπου της εφοδιαστικής. Στην πραγματικότητα, Είμαι απομάκρυνση της από την παγκόσμια ομάδα ιδιοκτητών. Ακολουθεί ιλαρότητα.
  • Παραλείποντας να όνομα ομάδες με βάση το συγκεκριμένο ρόλο: Οι υπεύθυνοι έγκρισης"" ομάδα είναι ένα τέλειο παράδειγμα. Τι μπορώ να μέλη του αυτή έγκριση ομάδας? Όπου μπορεί να την επικυρώνουν? Θέλω πραγματικά τμήμα Logistics τους ανθρώπους να είναι σε θέση να εγκρίνει έγγραφα της HR? Φυσικά δεν. Πάντα το όνομα ομάδες με βάση το ρόλο τους μέσα στην οργάνωση. Αυτό θα μειώσει τον κίνδυνο ότι η ομάδα έχει εκχωρηθεί ένα επίπεδο ακατάλληλη δικαιωμάτων για ένα συγκεκριμένο ασφαλιζόμενο αντικείμενο. Όνομα ομάδες με βάση την προβλεπόμενη ρόλο τους. Στο προηγούμενο σενάριο HR/Logistics, Θα πρέπει να έχουν δημιουργηθεί δύο νέες ομάδες: "HR ιδιοκτήτες" και «Logistics ιδιοκτήτες" και να αναθέσετε επίπεδα για κάθε τεχνολογία λογική άδεια και το ελάχιστο ποσό που απαιτείται για εκείνους τους χρήστες να κάνουν τη δουλειά τους.

Άλλες χρήσιμες αναφορές:

Αν έχετε κάνει αυτό μακριά:

Παρακαλώ επιτρέψτε μου να γνωρίζω τις σκέψεις σας μέσω σχόλια ή email μου. Αν γνωρίζετε άλλες καλές αναφορές, παρακαλώ να κάνει το ίδιο!

Technorati Tags:

8 thoughts on «Αστάρι βασικές αρχές ασφαλείας του SharePoint / Αποφύγετε πολλές συνηθισμένες παγίδες

  1. Perry

    Περισσότερες παγίδες:

    * Υπάρχουν ορισμένα ειδικά δικαιώματα διαθέσιμες αλλού στο ΣΑΠ και δεν είναι ορατά στην ενότητα άτομα και ομάδες: "Εξατομίκευση υπηρεσίες δικαιώματα" και "δικαιώματα καταλόγου εταιρικών δεδομένων"

    * Έχω διαβάσει ότι υπάρχουν επίσης ειδικά δικαιώματα του SharePoint Designer διαθέσιμες σε κάποιες απόκρυφες xml θαμμένος μέσα html κάπου.

    * Πρωτοβάθμιας και δευτεροβάθμιας διαχειριστές για μια συλλογή τοποθεσιών διατηρούνται αλλού σε μια συλλογή τοποθεσιών ρυθμίσεις, και δεν είναι ορατά στην ενότητα άτομα και ομάδες.

    * Ορισμένους μαγική λογαριασμών· (ειδική) ικανότητες, ανεξάρτητα από αυτό που βλέπετε στην περιοχή άτομα και ομάδες: μέλη της ομάδας Administrators ενσωματωμένο στους εξυπηρετητές web, και το λογαριασμό της υπηρεσίας συμπλέγματος.

    (PS: Διαγραφή spam σχόλια θα βελτιώσει το ευανάγνωστο εδώ.)

  2. Παύλος Liebrand
    Ντάμπινγκ των ομάδων μπορεί να μην είναι μια καλή ιδέα. Κάποια το ΒΡΎΟ λειτουργικότητα που βασίζεται σε αυτές τις ομάδες να είναι εκεί, ειδικά γύρω από το νέο υλικό της ιδιότητα μέλους. http://liebrand.wordpress.com/2007/12/06/sharepoint-security-permission-levels/ αυτό συζητά με περισσότερες λεπτομέρειες.
    @Paul — μεγάλη θέση!
    Παύλος Liebrand
  3. Jean Ράιτ
    Αυτό είναι μια πολύ καλή θέση. Έχω πέσει σε αυτή την παγίδα σε μερικές περιπτώσεις. Διαχείριση της ασφάλειας μπορεί να πάρει σύνθετη όταν αρχίζετε ανάμειξη μεθόδους ελέγχου ταυτότητας και ασφάλειας διαφορετικές μέθοδοι ομαδοποίησης. Αυτό πρέπει να εξεταστεί ως μέρος της διαδικασίας σχεδιασμού και δεν πρέπει να παραβλέπεται..
  4. Mark Miller έγραψε:
    (Σημείωση από Paul: Σήμα μου ζήτησε να κάνω μια μικρή αλλαγή σε σχόλιό του, αλλά δεν μπορείτε να επεξεργαστείτε σχόλια live χώρους, έτσι έχω προστεθεί εκ νέου εδώ με την αλλαγή και να διαγραφεί το πρωτότυπο).
    Paul,
    Η συνοπτική προσέγγιση για την παρουσίαση αυτή την πληροφορία βγήκε πολύ καλά. Μου άρεσε ιδιαίτερα το "παγίδες" τμήμα, από τότε έχω πέσει σε μερικά από αυτά τον εαυτό μου.
    Ένα άλλο πράγμα που είπατε χτυπήσει το σπίτι: μάθησης για τη Δευτέρα δεν είναι απαραιτήτως δεν σημαίνει ότι θα την απομνημονεύσετε την Παρασκευή. Είμαι ευτυχής κάποιος εκτός από εμένα τους blog χρησιμοποιεί ως ένα "ανάδευσης" σύστημα για αυτών των κρίσιμων πράγματα που δεν γίνονται σε τακτική βάση.
    Καλή δουλειά.
    Χαιρετισμούς,
    Σήμα
    EndUserSharePoint.com

    Νοεμβρίου 27 9:04 Π.Μ.
    (http://www.EndUserSharePoint.com)

  5. Paul Galvin
    Νομίζω ότι είναι πιθανώς μια καλή ιδέα να καταργείτε αυτές τις προεπιλεγμένες ομάδες, ειδικά συνεργάτης και ιδιοκτήτης. Είναι overbroad και εύκολα συγχέεται. Εγώ προτιμώ σε χρήση "όλοι οι εξουσιοδοτημένοι χρήστες" στη θέση ενός επισκέπτη"" Ομάδα καθώς και. Αν ένα συγκεκριμένο σύνολο χρηστών θα πρέπει να μόνο πρόσβαση μόνο για ανάγνωση τότε θα ήθελα να συστήσω δημιουργώντας μια ομάδα Διαφημίσεων ή την ομάδα του SharePoint, με μια κατάλληλα περιγραφικό όνομα, π.χ.. «Logistics επισκέπτες».
    –Paul G
  6. Χωρίς όνομα
    Αυτό ακούγεται σαν το πρώτο πράγμα που πρέπει να κάνετε είναι ακριβώς να πετάξουμε στον επισκέπτη, Ομάδες συμβαλλόντων και ιδιοκτήτη και την αντικατάστασή τους με το δικό σας λογικές ομάδες. Θα αυτό έχει νόημα να το κάνουμε?

Αφήνω μια απάντηση

Η διεύθυνση email σας δεν θα δημοσιευθεί. τα απαιτούμενα πεδία είναι επισημασμένα *