Apprêt de fondamentaux de sécurité SharePoint / Éviter les pièges

MISE À JOUR 12/18/07: Voir l'article de Paul Liebrand pour certaines conséquences techniques de supprimer ou de modifier les noms de groupe par défaut (voir son commentaire ci-dessous ainsi).

Vue d'ensemble:

Sécurité de SharePoint est facile à configurer et à gérer. Cependant, Il s'est avéré difficile pour les nouveaux administrateurs à vraiment envelopper les mains autour d'elle. Non seulement cela, J'ai vu certains administrateurs de parvenir à une compréhension parfaite lundi seulement pour avoir perdu en vendredi parce qu'ils n'ont pas à faire n'importe quelle configuration dans l'intervalle. (J'avoue avoir ce problème moi-même). Cette entrée de blog, j'espère que fournit une amorce de sécurité SharePoint utile et est orientée vers des meilleures pratiques de configuration de sécurité.

Remarque importante:

Cette description est issue hors de la zone de sécurité de SharePoint. Mon expérience personnelle est orienté autour de MOSS donc il peut y avoir des trucs spécifiques MOSS ici, mais je crois que c'est exact pour WSS. J'espère que quelqu'un voyant toute erreur ou omission sera signaler dans les commentaires ou Ecrivez-moi. Je vais faire des corrections post hâte.

Principes de base:

Aux fins de cette vue d'ensemble, Il y a quatre aspects fondamentaux de la sécurité: utilisateurs/groupes, objets sécurisables, héritage et niveaux d'autorisation.

Utilisateurs et groupes break down to:

  • Utilisateurs individuels: Tiré d'active directory ou créés directement dans SharePoint.
  • Groupes: Directement mappé d'active directory ou créé dans SharePoint. Les groupes sont une collection d'utilisateurs. Les groupes sont mondiaux dans une collection de sites. Ils sont jamais "liés" pour un objet sécurisable spécifique.

Objets sécurisables pause au moins:

  • Sites
  • Bibliothèques de documents
  • Éléments individuels dans les listes et les bibliothèques de documents
  • Dossiers
  • Divers paramètres de BDC.

Il autres objets sécurisables, mais vous obtenez l'image.

Niveaux d'autorisation: Un faisceau de granulaire / droits d'accès de bas niveau qui incluent des choses comme créer/lire/effacer les entrées dans les listes.

Héritage: Par défaut des entités héritent des paramètres de sécurité de leur objet conteneur. Sous-sites héritent de l'autorisation de leur parent. Bibliothèques de documents héritent de leur site. Ainsi de suite, etc..

Les utilisateurs et les groupes se rapportent à des objets sécurisables via les niveaux d'autorisation et d'héritage.

Règles de sécurité les plus importantes à comprendre, Jamais 🙂 :

  1. Les groupes sont tout simplement des collections d'utilisateurs.
  2. Les groupes sont globales au sein d'une collection de sites (i.e. Il n'y a rien de tel qu'un groupe défini à un niveau de site).
  3. Nom du groupe ne pas résister, groupes ne, dans et d'eux-mêmes, avoir un niveau particulier de sécurité.
  4. Les groupes ont la sécurité dans le contexte d'un objet sécurisable spécifique.
  5. Vous peut attribuer des niveaux d'autorisation différents pour le même groupe pour chaque objet sécurisable.
  6. Stratégies d'application Web l'emporte sur tout cela (voir ci-dessous).

Les administrateurs de sécurité perdus dans une mer de listes d'utilisateurs et de groupes peuvent toujours compter sur ces axiomes de gérer et de comprendre leur configuration de la sécurité.

Pièges:

  • Noms de groupe impliquent faussement la permission: Out of the box, SharePoint définit un ensemble de groupes dont les noms impliquent un niveau inhérent de sécurité. Considérons le groupe « Contributeur ». Un peu familier avec sécurité SharePoint peut bien regarder ce nom et supposer que n'importe quel membre de ce groupe peut "contribuer" à n'importe quel site/liste/bibliothèque dans le portail. C'est peut-être vrai mais pas parce que le nom du groupe se trouve être « contributeur ». Ceci n'est vrai out of the box parce que le groupe a bénéficié d'un niveau d'autorisation qui leur permet d'ajouter/modifier/supprimer des contenus à la racine du site. Par héritage, les contributeurs »" groupe peut également ajouter/modifier/supprimer contenu à chaque sous-site. On peut "casser" la chaîne d'héritage et le changement du niveau d'autorisation d'un sous-site que les membres de la soi-disant « contributeur" groupe ne peuvent pas contribuer à tous les, mais seulement lire (par exemple). Ce ne serait pas une bonne idée, de toute évidence, car il serait très confuse.
  • Les groupes ne sont pas définis à un niveau de site. Il est facile de confondre par l'interface utilisateur. Microsoft fournit un lien pratique vers gestion utilisateur/groupe par l'intermédiaire "de personnes et de groupes de chaque site" lien. Il est facile de croire que quand je suis au site "xyzzy" et j'ai créer un groupe par le biais personnes de xyzzy et groupes lien que je viens de créer un groupe qui existe seulement à xyzzy. Ce n'est pas le cas. J'ai effectivement créé un groupe pour la collecte de l'ensemble du site.
  • Appartenance à des groupes ne varie pas par site (i.e. C'est le même partout où que le groupe est utilisé): Considérons le groupe propriétaire »" et deux sites, « HR" et « Logistique ». Il serait normal de penser que deux personnes différentes détiendrait ces sites — un propriétaire de HR et propriétaire d'une logistique. L'interface utilisateur, il est facile pour un administrateur de sécurité à altérer ce scénario. Si je ne savais pas mieux, Je pourrais accéder les personnes et les groupes liens via le site RH, Sélectionnez les propriétaires"" groupe et ajouter mon propriétaire HR à ce groupe. Un mois plus tard, Logistique est en ligne. J'ai accéder des personnes et des groupes depuis le site de logistique, ajouter pull up les propriétaires"" Groupe. Je vois le propriétaire HR là et lui enlever, pensant que je suis lui retirer propriétaires sur le site de logistique. En fait, Je suis lui retirer le groupe global des propriétaires. Hilarité s'ensuit.
  • Négliger de nom basé sur le rôle spécifique des groupes: Les approbateurs"" groupe est un parfait exemple. Ce qui peut les membres de cette approbation de groupe? Où est-ce qu'ils peuvent approuver il? Ai-je vraiment envie département logistique personnes pour pouvoir approuver des documents RH? Bien sûr que non. Toujours nommer des groupes fondées sur leur rôle au sein de l'Organisation. Cela permettra de réduire le risque que le groupe est assigné un niveau d'autorisation inappropriés pour un objet sécurisable particulier. Nommer des groupes fondées sur leur rôle. Dans le scénario précédent de HR/logistique, Je devrais avoir créé deux nouveaux groupes: « Les propriétaires des ressources humaines" « les propriétaires de logistique et" et attribuer des niveaux d'autorisation raisonnable pour chacun et le montant minimal requis pour les utilisateurs de faire leur travail.

Autres références utiles:

Si vous avez fait il ce bien:

S'il vous plaît laissez-moi savoir votre opinion via les commentaires ou à m'envoyer un email. Si vous connaissez d'autres bonnes références, Veuillez faire de même!

Tags Technorati:

8 réflexions sur "Apprêt de fondamentaux de sécurité SharePoint / Éviter les pièges

  1. Perry

    Plus de pièges:

    * Il y a certaines autorisations spéciales disponibles ailleurs dans le SSP et non visible dans la section des personnes et des groupes: « Autorisations de services de personnalisation » et « autorisations de catalogue de données métiers"

    * J'ai lu qu'il y a également des autorisations SharePoint Designer spéciales disponibles dans certains arcane xml enfouie à l'intérieur quelque part html.

    * Le primaire et le secondaire aux administrateurs d'une Collection de sites sont conservés ailleurs dans les paramètres de la Collection de sites, sont pas visibles dans la section des personnes et des groupes.

    * Certains comptes ont magique (spécial) capacités, indépendamment de ce que vous voyez dans le domaine des personnes et des groupes: membres du groupe Administrateurs intégrés sur les serveurs web, et le compte de Service de la ferme.

    (PS: Supprimer les commentaires spam améliorerait la lisibilité ici.)

    Réponse
  2. Jean Wright
    C'est un très bon poste. Je suis tombée dans ce piège à quelques reprises. Gestion de la sécurité peut devenir complexe lorsque vous commencez à mélanger les méthodes d'authentification et sécurité différente méthodes de regroupement. Cela doit être envisagée dans le cadre du processus de planification et ne doit pas être négligé.
    Réponse
  3. Mark Miller a écrit:
    (Note de Paul: Mark m'a demandé de faire une petite modification à son commentaire, mais je ne peux modifier des espaces vivants commentaires donc j'ai ajouté un nouveau ici avec le changement et supprimé l'original).
    Paul,
    L'approche sommaire pour présenter cette info est entré très bien. J'ai particulièrement aimé les pièges »" Section, depuis que j'ai tombé dans quelques-uns de ces moi.
    Autre chose que vous avez dit frappé Accueil: apprentissage lundi ne signifie pas nécessairement que vous vous souviendrez de ce vendredi. Je suis heureux que quelqu'un en dehors de moi est à l'aide de leur blog comme un rappel »" système pour les choses essentielles qui ne sont pas fait sur une base régulière.
    Bon travail.
    En ce qui concerne,
    Mark
    EndUserSharePoint.com

    Novembre 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Réponse
  4. Paul Galvin
    Je pense que c'est probablement une bonne idée de supprimer les groupes par défaut, surtout le collaborateur et le propriétaire. Ils sont d'une portée trop large et facilement confondus. Je préfère utiliser "tous les utilisateurs authentifiés" à la place d'un « visiteur" groupe ainsi. Si spécifique à un ensemble d'utilisateurs doivent accès en lecture seule uniquement alors je recommande la création d'un groupe ou un groupe SharePoint avec un nom descriptif de manière appropriée, e.g. « Logistique visiteurs ».
    –Paul G
    Réponse
  5. Pas de nom
    On dirait que la première chose que vous devez faire est juste vider le visiteur, Contributeur et propriétaire des groupes et les remplacer par vos propres groupes logiques. Cela ferait sens pour faire?
    Réponse

Laisser une réponse

Votre adresse email ne sera pas publiée. les champs requis sont indiqués *