תחל יסודות האבטחה של SharePoint / להימנע מלכודות נפוצות

עדכון 12/18/07: עיין במאמר פול Liebrand עבור כמה השלכות טכניות של הסרה או שינוי של שמות קבוצות ברירת מחדל (ראה גם את ההערה למטה).

מבט כולל:

אבטחה SharePoint קל להגדיר ולנהל. עם זאת, זה הוכיח להיות קשה עבור מנהלים מסוימים בפעם הראשונה באמת לעטוף את ידיהם סביבו. לא רק זה, . ראיתי כמה מנהלי לבוא הבנה מושלמת ביום שני רק לאבד אותה עד יום שישי. כי הם לא היו צריכים לעשות בכל תצורה הזמן להתערב. (אני מודה שיש בעיה זו בעצמי). את הבלוג בתקווה מספק פריימר אבטחה שימושי SharePoint, מצביע לעבר האבטחה תצורה מומלצות.

הערה חשובה:

תיאור זה מבוסס על מהקופסה SharePoint אבטחה. את הניסיון האישי שלי הוא מונחה סביב מוס אז שיהיה מוס מסוים פה דברים, אבל אני מאמין שזה מדויק עבור WSS. אני מקווה כי מישהו רואה שגיאות שגיאות או השמטות ניתן להצביע זה בהערות או שלח לי דוא. אני אכין תיקונים לכתוב בחיפזון.

יסודות:

למטרות של סקירה זו, ישנם ארבעה ההיבטים הבסיסיים לבטחון: משתמשים/קבוצות, האובייקטים שניתנים לאבטחה, רמות הרשאה וירושה.

משתמשים וקבוצות לבשר למטה:

  • למשתמשים בודדים: שלף מתוך active ספריות או שנוצר ישירות ב- SharePoint.
  • קבוצות: שמופו ישירות מ- active directory או שנוצר ב- SharePoint. קבוצות הן אוסף של משתמשים. קבוצות הן כלליות באוסף אתרים. הם אף פעם לא "קשורות" לאובייקט ניתן לאבטחה מסוים.

האובייקטים שניתנים לאבטחה לבשר למטה לפחות:

  • אתרים
  • ספריות מסמכים
  • פריטים בודדים בתוך רשימות וספריות מסמכים
  • תיקיות
  • הגדרות BDC שונות.

שם שאר האובייקטים שניתנים לאבטחה, . אבל הבנתם את התמונה.

רמות הרשאה: צרור פרטנית / זכויות גישה ברמה נמוכה כוללים דברים כמו ליצור/קריאה/מחיקת ערכים ברשימות.

ירושה: כברירת מחדל בישויות יורשים את הגדרות האבטחה שלהם אובייקט מכיל. אתרי המשנה יירשו הרשאות מהאב שלהם. ספריות מסמכים בהורשה מאתר שלהם. הלאה וכן הלאה.

המשתמשים והקבוצות מתייחסות האובייקטים שניתנים לאבטחה באמצעות רמות הרשאה וירושה.

הכללים החשובים ביותר אבטחה כדי להבין, אי פעם 🙂 :

  1. קבוצות הן פשוט אוספים של משתמשים.
  2. קבוצות הן כלליות בתוך אוסף אתרים (כלומר. אין דבר כזה כמו קבוצה מוגדרים ברמת האתר).
  3. שם הקבוצה למרות, קבוצות אינם, בולטים של עצמם, יש רמה מסוימת של אבטחה.
  4. קבוצות יש אבטחה בהקשר של אובייקט ניתן לאבטחה מסוים.
  5. ייתכן שתקצה רמות הרשאה שונות לאותה קבוצה עבור כל אובייקט ניתן לאבטחה.
  6. מדיניות יישום אינטרנט טראמפ מכל זה (ראה להלן).

מנהלי אבטחה לאיבוד בתוך ים של רישומים משתמש וקבוצה תמיד אפשר להסתמך על אלה אקסיומות לנהל ולהבין את תצורת האבטחה שלהם.

מלכודות נפוצות:

  • שמות קבוצות לרמוז באופן כוזב הרשאה: מחוץ לקופסה, SharePoint מגדיר סדרה של קבוצות ששמם מרמז על רמה הטבועה של אבטחה. שקול את קבוצת "משתתפים". אחד לא מוכר עם SharePoint אבטחה ייתכן ובכן תסתכל על השם הזה ונניח כי כל חבר בקבוצה זו יכול "לתרום" לספריית בכל אתר/רשימת/בפורטל. יכול להיות שזה נכון, אבל לא בגלל השם של הקבוצה במקרה "משתתפים". הדבר נכון רק מחוץ לקופסה כי הקבוצה סופק רמת הרשאה המאפשרת להם הוספת/עריכת/מחיקת התוכן באתר שורש. דרך ירושה, "התורמים" קבוצה עשוי גם הוספת/עריכת/מחיקת תוכן ב כל אתר משנה. אחד יכול "לשבור" שרשרת הורשה ושינוי רמת ההרשאה של תת אתר כזה כי חברי התורם"כביכול" קבוצה לא יכולה. לתרום בכלל, אבל קריאה בלבד (לדוגמה). זה לא יהיה רעיון טוב, . ברור, מאז זה יהיה מאוד מבלבל.
  • קבוצות שאינם מוגדרים ברמת האתר. זה קל להתבלבל באמצעות ממשק המשתמש. Microsoft מספקת קישור נוח לניהול משתמש/קבוצה דרך "אנשים וקבוצות כל אתר" קישור. זה קל להאמין שכאשר אני נמצא באתר "xyzzy" ליצור קבוצה דרך של xyzzy ב האנשים ואת קבוצות לקשר את זה אני פשוט יצר קבוצה שקיים רק ב xyzzy. זה לא המקרה. למעשה יצרתי קבוצה עבור אוסף האתרים כולו.
  • הקבוצות החברות אינו משתנה על ידי האתר (כלומר. זה אותו הדבר בכל מקום שהקבוצה משמשת): שקול את קבוצת "בעל" שני אתרים, "HR" ולוגיסטיקה "". יהיה נורמלי לחשוב כי שני אנשים נפרדים יהיו בעלי אתרים אלה — בעלים HR לבין בעל לוגיסטיקה. ממשק המשתמש מקל על מנהל אבטחה mishandle את התרחיש הזה. אם לא הייתי מכיר אותו, אני יכול לגשת הקישורים אנשים וקבוצות דרך האתר HR, בחרו הבעלים"" לקבץ ולהוסיף את הבעלים HR שלי לאותה קבוצה. חודש לאחר מכן, הלוגיסטיקה מגיע על הקו. לגשת אנשים וקבוצות מתוך אתר לוגיסטיקה, להוסיף להעלות. את הבעלים"" קבוצה. פנה לבעלים HR שם ולהסיר אותה, לחשוב כי אני משהה אותה מבעלי האתר לוגיסטיקה. למעשה, . מסירה אותה מהקבוצה בעלי גלובלית. עליצות מתפתח.
  • אי-שם קבוצות המבוסס על תפקיד ספציפי: המאשרים"" הקבוצה היא דוגמה מושלמת. מה יכולים בני אשר קבוצה זו? איפה הם יכולים לאשר את זה? אני באמת רוצה אנשים מחלקת הלוגיסטיקה כדי שניתן יהיה לאשר מסמכים HR? . כמובן שלא. תמיד שם קבוצות על בסיס תפקידם בארגון. פעולה זו תקטין את הסיכון כי הקבוצה מוקצית רמת הרשאה לא הולם עבור אובייקט ניתן לאבטחה מסוים. שם קבוצות בהתבסס על תפקידו המיועד. בתרחיש הקודם של HR/לוגיסטיקה, אני צריך יצרתי שתי קבוצות חדשות: "בעלי HR" לוגיסטיקה בעלי "" ולהקצות רמות הרשאה הגיונית עבור כל אחד, הסכום המינימלי הנדרש עבור אותם משתמשים לעשות את העבודה שלהם.

הפניות שימושיות אחרות:

אם כבר הגעת רחוק:

. בבקשה תן לי יודע את המחשבות שלך באמצעות ההערות או לשלוח לי אימייל.. אם אתה יודע אחרת המלצות טובות, בבקשה לעשות את אותו הדבר!

תגיות טכנורטי:

8 מחשבות על "תחל יסודות האבטחה של SharePoint / להימנע מלכודות נפוצות

  1. פרי

    החסרונות יותר:

    * ישנם מסוימים הרשאות מיוחדות זמין במקומות אחרים ב- SSP, אינם גלויים במדור אנשים וקבוצות: "התאמה אישית של שירותים" והרשאות "קטלוג נתונים עסקיים"

    * קראתי כי יש גם הרשאות מיוחדות SharePoint Designer זמין ב- xml העלומה כמה קבור בתוך html איפשהו.

    * ראשי ומנהלי משני עבור אוסף אתרים נשמרים במקום בהגדרות אוסף אתרים, הם אינם גלויים במדור אנשים וקבוצות.

    * חשבונות מסוימים יש קסום (מיוחד) היכולות בין מה שאתה רואה באזור אנשים וקבוצות: חברים בקבוצה Administrators מובנה על שרתי אינטרנט, חשבון השירות החווה.

    (נ.: מחיקת תגובות ספאם לשפר את הקריאות כאן.)

  2. ז'אן רייט
    זה פוסט טוב מאוד. נפלתי למלכודת הזאת בכמה הזדמנויות. ניהול האבטחה עשוי להפוך למורכב כאשר אתה מתחיל ערבוב שיטות אימות אבטחה שונים שיטות הקיבוץ. זה צריך להיחשב כחלק של תהליך התכנון, לא צריך להתעלם.
  3. מארק מילר כתב:
    (הערה מפול: מארק ביקש ממני לבצע שינוי קטן לתגובה שלו אבל אין באפשרותי לערוך הערות רווחים בשידור חי ולכן יש להוסיף אותו מחדש עם השינוי שנמחקו המקורי).
    פול,
    הגישה ערסל כדי להציג מידע זה ירד טוב מאוד. אהבתי במיוחד את החסרונות"" סעיף, מאז נפלתי אל תוך כמה כאלה בעצמי.
    עוד דבר שאמרת פגע בבית: למידה ביום שני לא בהכרח שתזכור את זה ביום שישי. אני שמחה שמישהי חוץ ממני היא באמצעות הבלוג שלהם כמו "משעשעת" מערכת עבור הדברים הקריטיים האלה לא נעשים על בסיס קבוע.
    . עבודה טובה.
    ברכות,
    מארק
    EndUserSharePoint.com

    בנובמבר 27 9:04 AM
    (http://www.EndUserSharePoint.com)

  4. פול Galvin
    לדעתי, שזה כנראה רעיון טוב כדי להסיר אותן קבוצות ברירת מחדל, במיוחד משתתף ובעלים. הם והתבטאות, מתבלבלים בקלות. אני מעדיף להשתמש "כל המשתמשים המאומתים" במקום אורח"" הקבוצה גם כן. אם ספציפי של משתמשים צריכים רק לגישה למידע לקריאה-בלבד לאחר מכן אני ממליץ יצירת קבוצה לספירה או קבוצת SharePoint עם שם תיאורי כראוי, המסופקים. "לוגיסטיקה אורחים".
    –פול G
  5. ללא שם
    זה נשמע כאילו הדבר הראשון שאתה צריך לעשות הוא פשוט לזרוק את המבקר, קבוצות משתתפים והבעלים ולהחליף אותם עם קבוצות לוגיות משלך. יהיה זה הגיוני לעשות?

תשאיר הודעה

כתובת האימייל שלך לא תפורסם. שדות חובה מסומנים *