עדכון 12/18/07: עיין במאמר פול Liebrand עבור כמה השלכות טכניות של הסרה או שינוי של שמות קבוצות ברירת מחדל (ראה גם את ההערה למטה).
מבט כולל:
אבטחה SharePoint קל להגדיר ולנהל. עם זאת, זה הוכיח להיות קשה עבור מנהלים מסוימים בפעם הראשונה באמת לעטוף את ידיהם סביבו. לא רק זה, . ראיתי כמה מנהלי לבוא הבנה מושלמת ביום שני רק לאבד אותה עד יום שישי. כי הם לא היו צריכים לעשות בכל תצורה הזמן להתערב. (אני מודה שיש בעיה זו בעצמי). את הבלוג בתקווה מספק פריימר אבטחה שימושי SharePoint, מצביע לעבר האבטחה תצורה מומלצות.
הערה חשובה:
תיאור זה מבוסס על מהקופסה SharePoint אבטחה. את הניסיון האישי שלי הוא מונחה סביב מוס אז שיהיה מוס מסוים פה דברים, אבל אני מאמין שזה מדויק עבור WSS. אני מקווה כי מישהו רואה שגיאות שגיאות או השמטות ניתן להצביע זה בהערות או שלח לי דוא. אני אכין תיקונים לכתוב בחיפזון.
יסודות:
למטרות של סקירה זו, ישנם ארבעה ההיבטים הבסיסיים לבטחון: משתמשים/קבוצות, האובייקטים שניתנים לאבטחה, רמות הרשאה וירושה.
משתמשים וקבוצות לבשר למטה:
- למשתמשים בודדים: שלף מתוך active ספריות או שנוצר ישירות ב- SharePoint.
- קבוצות: שמופו ישירות מ- active directory או שנוצר ב- SharePoint. קבוצות הן אוסף של משתמשים. קבוצות הן כלליות באוסף אתרים. הם אף פעם לא "קשורות" לאובייקט ניתן לאבטחה מסוים.
האובייקטים שניתנים לאבטחה לבשר למטה לפחות:
- אתרים
- ספריות מסמכים
- פריטים בודדים בתוך רשימות וספריות מסמכים
- תיקיות
- הגדרות BDC שונות.
שם שאר האובייקטים שניתנים לאבטחה, . אבל הבנתם את התמונה.
רמות הרשאה: צרור פרטנית / זכויות גישה ברמה נמוכה כוללים דברים כמו ליצור/קריאה/מחיקת ערכים ברשימות.
ירושה: כברירת מחדל בישויות יורשים את הגדרות האבטחה שלהם אובייקט מכיל. אתרי המשנה יירשו הרשאות מהאב שלהם. ספריות מסמכים בהורשה מאתר שלהם. הלאה וכן הלאה.
המשתמשים והקבוצות מתייחסות האובייקטים שניתנים לאבטחה באמצעות רמות הרשאה וירושה.
הכללים החשובים ביותר אבטחה כדי להבין, אי פעם 🙂 :
- קבוצות הן פשוט אוספים של משתמשים.
- קבוצות הן כלליות בתוך אוסף אתרים (כלומר. אין דבר כזה כמו קבוצה מוגדרים ברמת האתר).
- שם הקבוצה למרות, קבוצות אינם, בולטים של עצמם, יש רמה מסוימת של אבטחה.
- קבוצות יש אבטחה בהקשר של אובייקט ניתן לאבטחה מסוים.
- ייתכן שתקצה רמות הרשאה שונות לאותה קבוצה עבור כל אובייקט ניתן לאבטחה.
- מדיניות יישום אינטרנט טראמפ מכל זה (ראה להלן).
מנהלי אבטחה לאיבוד בתוך ים של רישומים משתמש וקבוצה תמיד אפשר להסתמך על אלה אקסיומות לנהל ולהבין את תצורת האבטחה שלהם.
מלכודות נפוצות:
- שמות קבוצות לרמוז באופן כוזב הרשאה: מחוץ לקופסה, SharePoint מגדיר סדרה של קבוצות ששמם מרמז על רמה הטבועה של אבטחה. שקול את קבוצת "משתתפים". אחד לא מוכר עם SharePoint אבטחה ייתכן ובכן תסתכל על השם הזה ונניח כי כל חבר בקבוצה זו יכול "לתרום" לספריית בכל אתר/רשימת/בפורטל. יכול להיות שזה נכון, אבל לא בגלל השם של הקבוצה במקרה "משתתפים". הדבר נכון רק מחוץ לקופסה כי הקבוצה סופק רמת הרשאה המאפשרת להם הוספת/עריכת/מחיקת התוכן באתר שורש. דרך ירושה, "התורמים" קבוצה עשוי גם הוספת/עריכת/מחיקת תוכן ב כל אתר משנה. אחד יכול "לשבור" שרשרת הורשה ושינוי רמת ההרשאה של תת אתר כזה כי חברי התורם"כביכול" קבוצה לא יכולה. לתרום בכלל, אבל קריאה בלבד (לדוגמה). זה לא יהיה רעיון טוב, . ברור, מאז זה יהיה מאוד מבלבל.
- קבוצות שאינם מוגדרים ברמת האתר. זה קל להתבלבל באמצעות ממשק המשתמש. Microsoft מספקת קישור נוח לניהול משתמש/קבוצה דרך "אנשים וקבוצות כל אתר" קישור. זה קל להאמין שכאשר אני נמצא באתר "xyzzy" ליצור קבוצה דרך של xyzzy ב האנשים ואת קבוצות לקשר את זה אני פשוט יצר קבוצה שקיים רק ב xyzzy. זה לא המקרה. למעשה יצרתי קבוצה עבור אוסף האתרים כולו.
- הקבוצות החברות אינו משתנה על ידי האתר (כלומר. זה אותו הדבר בכל מקום שהקבוצה משמשת): שקול את קבוצת "בעל" שני אתרים, "HR" ולוגיסטיקה "". יהיה נורמלי לחשוב כי שני אנשים נפרדים יהיו בעלי אתרים אלה — בעלים HR לבין בעל לוגיסטיקה. ממשק המשתמש מקל על מנהל אבטחה mishandle את התרחיש הזה. אם לא הייתי מכיר אותו, אני יכול לגשת הקישורים אנשים וקבוצות דרך האתר HR, בחרו הבעלים"" לקבץ ולהוסיף את הבעלים HR שלי לאותה קבוצה. חודש לאחר מכן, הלוגיסטיקה מגיע על הקו. לגשת אנשים וקבוצות מתוך אתר לוגיסטיקה, להוסיף להעלות. את הבעלים"" קבוצה. פנה לבעלים HR שם ולהסיר אותה, לחשוב כי אני משהה אותה מבעלי האתר לוגיסטיקה. למעשה, . מסירה אותה מהקבוצה בעלי גלובלית. עליצות מתפתח.
- אי-שם קבוצות המבוסס על תפקיד ספציפי: המאשרים"" הקבוצה היא דוגמה מושלמת. מה יכולים בני אשר קבוצה זו? איפה הם יכולים לאשר את זה? אני באמת רוצה אנשים מחלקת הלוגיסטיקה כדי שניתן יהיה לאשר מסמכים HR? . כמובן שלא. תמיד שם קבוצות על בסיס תפקידם בארגון. פעולה זו תקטין את הסיכון כי הקבוצה מוקצית רמת הרשאה לא הולם עבור אובייקט ניתן לאבטחה מסוים. שם קבוצות בהתבסס על תפקידו המיועד. בתרחיש הקודם של HR/לוגיסטיקה, אני צריך יצרתי שתי קבוצות חדשות: "בעלי HR" לוגיסטיקה בעלי "" ולהקצות רמות הרשאה הגיונית עבור כל אחד, הסכום המינימלי הנדרש עבור אותם משתמשים לעשות את העבודה שלהם.
הפניות שימושיות אחרות:
- תפסתי אותך אינטרנט יישום מדיניות: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- מסלקת עבור SharePoint אבטחה: http://www.sharepointsecurity.com/
- קישורים מאתרים ג'ואל אולסן: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
אם כבר הגעת רחוק:
. בבקשה תן לי יודע את המחשבות שלך באמצעות ההערות או לשלוח לי אימייל.. אם אתה יודע אחרת המלצות טובות, בבקשה לעשות את אותו הדבר!