پرایمر مبانی امنیت شیرپوینت / اجتناب از بروز اشتباه متداول

تکمیلی 12/18/07: مشاهده مقاله پل Liebrand برای برخی از پیامدهای فنی از بین بردن و یا تغییر گروه پیش فرض نام (نظر خود را در زیر و همچنین).

بررسی اجمالی:

SharePoint security is easy to configure and manage. اما, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (من به داشتن این مشکل خودم اعتراف). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

نکته مهم:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or ایمیل من. I’ll make corrections post haste.

اصول:

هدف از این مرور, چهار جنبه اساسی برای امنیت وجود دارد: کاربران / گروه ها, اشیاء مجموعه قابل تامین, سطح اجازه و ارث.

کاربران و گروه ها شکستن به پایین:

  • کاربران شخصی: کشیده از اکتیو دایرکتوری و یا به طور مستقیم در شیرپوینت.
  • گروه های دسته جمعی: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" به یک شیء خاص مجموعه قابل تامین.

اشیاء مجموعه قابل تامین شکستن به حداقل:

  • سایت
  • کتابخانه های سند
  • اقلام در لیست ها و کتابخانه های سند
  • پوشه ها
  • مختلف BDC تنظیمات.

مجموعه قابل تامین اشیاء دیگر, اما شما می توانید از تصویر.

سطوح اجازه: بسته نرم افزاری از دانه / low level access rights that include such things as create/read/delete entries in lists.

وراثت: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

کاربران و گروه های مربوط به اشیاء مجموعه قابل تامین از طریق سطوح اجازه و ارث.

مهم ترین قوانین امنیتی به درک, همیشه 🙂 :

  1. گروه ها به سادگی مجموعه ای از کاربران.
  2. گروه ها در مجموعه سایت های جهانی (i.e. چنین چیزی به عنوان یک گروه در یک سطح سایت تعریف شده وجود ندارد).
  3. نام گروه تحمل نیست, گروه انجام نمی, و خود را, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. شما ممکن است سطوح مجوز متفاوت به همان گروه برای هر شیء مجموعه قابل تامین اختصاص.
  6. وب سیاست کاربرد مغلوب ساختن پیشی جستن از این همه (پایین را ببینید).

مدیران امنیت از دست رفته را در دریایی از گروه و لیست کاربر همیشه می توانید در مورد این بدیهیات تکیه می کنند برای مدیریت و تنظیمات امنیتی خود را درک.

مشکلات متداول:

  • نام گروه به دروغ این مفهوم را میرسانند اجازه: خارج از کادر, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" گروه نمی تواند در همه, اما فقط به عنوان خوانده شده (مثلا). This would not be a good idea, بدیهی است که, از آنجایی که این امر می تواند بسیار گیج کننده است.
  • گروه ها در سطح سایت تعریف نشده. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" پیوند. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • عضویت در گروه ها توسط سایت متفاوت (i.e. آن همان است که در همه جا این گروه استفاده شده است): Consider the group "Owner" و دو سایت, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, من ممکن است دسترسی به افراد و گروه ها لینک ها را از طریق سایت HR, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. در واقع, I’m removing her from the global Owners group. Hilarity ensues.
  • عدم به نام گروه بر اساس نقش خاص: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, من باید دو گروه جدید: "HR Owners" and "Logistics Owners" و اختصاص سطوح اجازه معقول برای هر یک و مقدار حداقل مورد نیاز برای کاربرانی که به انجام کار خود را.

مفید دیگر منابع:

اگر شما ساخته شده است آن را در این دور:

Please let me know your thoughts via the comments or email me. If you know other good references, لطفا همین کار را!

برچسب ها:

8 دیدگاه در "پرایمر مبانی امنیت شیرپوینت / اجتناب از بروز اشتباه متداول

  1. درخت گلابی

    بیشتر مشکلات:

    * برخی مجوز خاص موجود در نقاط دیگر SSP و قابل مشاهده در افراد و گروه ها وجود دارد بخش: "Personalization services permissions"and "Business Data Catalog permissions"

    * من در جایی خواندم که نیز وجود دارد مجوز طراح شیرپوینت خاص موجود در برخی از XML محرمانه به خاک سپرده شد در داخل HTML غیر فعال جایی.

    * اولیه و ثانویه برای مدیران مجموعه سایت نگهداری می شوند در جای دیگر در تنظیمات مجموعه سایت, و در افراد و گروه ها در بخش قابل رویت نیست.

    * حساب خاصی داشته جادویی (ویژه) توانایی صرف نظر از آنچه شما را در خلق و گروه های منطقه را ببینید: اعضای ساخته شده در گروه مدیران سایت در وب سرور, و مزرعه حساب خدمات.

    (PS: حذف نظرات هرزنامه خوانایی اینجا را بهبود بخشد.)

    پاسخ
  2. ژان رایت
    این پست بسیار خوب است. من به این دام در چند نوبت کاهش یافته است. امنیت مدیریت می توانید پیچیده در زمانی که شما شروع روش های تأیید هویت اختلاط و روش های مختلف امنیتی دسته بندی. این باید به عنوان بخشی از فرایند برنامه ریزی در نظر گرفته شود و نباید نادیده گرفته شود.
    پاسخ
  3. علامت گذاری بفرم میلر نوشت:
    (یادداشتی از پل: علامت گذاری بفرم از من خواست برای ایجاد یک تغییر کوچک به نظر او، اما من می توانم نظرات فضاهای زنده را ویرایش کنید، بنابراین من آن اضافه نو در اینجا با تغییر و حذف اصلی).
    پل,
    روش خلاصه برای ارائه این اطلاعات به خیلی خوب. I especially liked the "Pitfalls" بخش, از آنجایی که من به چند از آن خودم افتاده.
    چیز دیگری که شما گفت hit خانه: یادگیری در تاریخ دوشنبه نه لزوما شما آن را در روز جمعه به یاد داشته باشید معنی. I’m glad someone besides me is using their blog as a "tickler" سیستم برای کسانی که به چیزهایی که مهم است که به طور منظم انجام نمی شود.
    کار خوب.
    با احترام,
    علامت گذاری به عنوان
    EndUserSharePoint.com

    نوامبر 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    پاسخ
  4. پل گالوین
    من فکر می کنم که احتمالا ایده خوبی است برای حذف آن گروه پیش فرض, especially Contributor and Owner. They are overbroad and easily confused. I prefer to use "All Authenticated Users" in place of a "Visitor" group as well. If a specific set of users should only read-only access then I’d recommend creating an AD group or SharePoint group with an appropriately descriptive name, e.g. "Logistics Visitors".
    –پل G
    پاسخ
  5. بدون نام
    این برای تلفن های موبایل مانند اولین چیزی که شما باید انجام دهید این است که فقط روگرفت بازدید کننده, نویسندگان و گروه های صاحب امتیاز و جایگزین کردن آنها خود را با گروه های خود منطقی. آیا این را حس نمی?
    پاسخ

پاسخ

آدرس ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند *