Kategorija Arhiva: SharePoint sigurnost

"Pristup odbijen” na Default.aspx na SharePoint 2010 Sub stranica

Jedan od mojih klijenata je otišao živjeti sa svojim SharePoint 2010 okoliš danas.  Otkrili smo da određene skupine korisnika ne mogu pristupiti svojim zadanu početnu stranicu.  SharePoint je odgovorio "Access denied" i obično "Prijavite se kao drugi korisnik" ili "Zahtjev pristupa" odgovor. 

Kada smo koristili izvanredan "Provjeri" Access funkciju je potvrdio da su krajnji korisnici doista imaju pristup.  Još, nisu mogli doći do stranice.

Pratio sam mnogo puteva do raznih krajeva mrtvih dok nisam odlučio usporediti web-dijelove na stranici slomljena protiv sličnog radnog stranici.  To sam učinio stavljanjem stranicu u održavanje modu dodavanjem "?Sadržaj = 1 "na stranici. Tako, izgledalo je kao "http://poslužitelj / podmjesto / podmjesto / Default.aspx?Sadržaj = 1 ". 

To mi je pokazao dva web-dijelove pod nazivom "Error" s opisom kao "ERROR" na stranici slomljena.  Nisam mislila da se zaslon poklopac na vrijeme.

Sam ih ukloniti i kako riješiti problem.

Vidio sam pitanje kao što je ovaj došao gore na forumima u prošlosti i bio sam iznimno skeptičan oko plakata inzistiranje da je sigurnost postavljena ispravno.  Ja * znam * sam sigurnost postaviti pravo Osmijeh  Sljedeći put, Ja ću biti otvoreniji i manje skeptični.

</kraj>

Pretplatite se na moj blog.

Slijedite me na Twitter-u http://www.twitter.com/pagalvin

Korištenje tijeka rada za vrstu sadržaja Simulacija sigurnost

Još jedan dan, drugi MSDN-forumi inspirirana nakon.

Netko je pitao da li bi mogli osigurati vrstu sadržaja kao da kad korisnik klikne na "novi" gumb na prilagođeni popis, samo vrste sadržaja kojoj ta osoba ima pristup će se pojaviti u padajućem popisu.  Kao što znamo, to nije podržan out of the box.

Ovo pitanje dolazi sada i onda i ovaj put, Imao sam novu ideju.  Pretpostavimo da imamo scenarij ovako:

  • Imamo helpdesk ticketing sustava.
  • Helpdesk ticketing sustava omogućava korisnicima da unesete redovito helpdesk ulaznica informacije, kao što su problematika, Problem status, itd..
  • Želimo omogućiti "super" korisnicima da odredite "hitnost" teren.
  • Drugi korisnici nemaju pristup tom području.  Sustav će uvijek dodijeliti "srednji" prioritet razini na njihove zahtjeve.

Ono što smo mogli učiniti je napraviti dva odvojena SharePoint popisa i dvije različite vrste sadržaja, jedan za "super" korisnicima, a drugi za sve ostale.

Tijek rada na svakom popisu kopira podatke na glavni popis (Stvarni helpdesk ulaznica popis) a proces nastavlja od tamo.

Ovaj pristup može raditi teći neku vrstu stupca razini sigurnosti kao dobro. 

Nisam ga pokušali, ali se osjeća razumna i daje prilično jednostavan, ako je prilično grubo, Opcija provesti neku vrstu vrste sadržaja, pa čak i stupac razinu sigurnosti.

</kraj>

Pretplatite se na moj blog.

Slijedite me na Twitter-u http://www.twitter.com/pagalvin

Sadržaj Odobrenje kao siromah čovjeka Automatic točke razinu sigurnosti

Postoji zajednički poslovni scenarij s InfoPath obrazaca.  Želimo omogućiti ljudima da ispunite InfoPath obrasce te ih poslali na knjižnice.  Želimo jaslice (i nitko drugi) imati pristup tim oblicima.

Ovo pitanje dolazi sada i onda na obrascima (e.g. http://social.technet.microsoft.com/Forums/en-US/sharepointadmin/thread/76ccef5a-d71c-4b7c-963c-613157e2a966/?prof=required)

Brz način da se riješi ovo je omogućiti odobravanje sadržaja na obrascu knjižnici.  Idi u knjižnicu postavke verzija te ga postaviti kao što je prikazano:

image 

Kliknite na "zahtijevaju odobrenje sadržaja", a koji će vam omogućiti da odaberete vrijednost za Nacrt artikla sigurnosti.

To je nešto protu-intuitivna, jer ne vjerujemo da će u smislu "odobrenje sadržaja", kada sve što želite učiniti je spriječiti ljude od gledanja drugih korisnika oblike.  Međutim, to dobro radi (po mom iskustvu).  Samo ne odobravam one oblike i uvijek ću smatrati "propuh". 

Dati odobrenje prava na ljude koji bi trebali biti u mogućnosti da ih vidjeti i što ste zatvorili petlju.

To baš i nije velika vijest, ali pitanje ne dolazi do neke pravilnosti, pa sam mislio da će to biti vrijedno objavljivanja.

</kraj>

Pretplatite se na moj blog.

Slijedite me na Twitter-u http://www.twitter.com/pagalvin

Ono što je ograničen pristup svakom?

UPDATE 11/03/08: Budite sigurni da pročitate izvrsnu i detaljan komentar iz Dessie Lunsford na ovaj post.

Ja sam radio na tajnom projektu tech uređivanje za nadolazećem knjigu i reference ovaj blog ulazak Tyler Butler na MSDN ECM blog. This is the first time I personally read a clear definition of the meaning of Limited Access. Here’s the meat of the definition:

U sustavu SharePoint, anonimni korisnik’ Prava se određuje ograničen pristup razine dozvola. Ograničenog pristupa je posebna razina dozvole koja ne može biti dodijeljena korisniku ili grupi izravno. Razlog postoji, jer ako imate biblioteku ili podmjesta koja je slomljena dopuštenje za nasljeđivanje, a ti dati upute / grupa pristup samo to knjižnica / podmjesto, kako bi vidjeli njegov sadržaj, korisnik / grupa mora imati neki pristup root webu. Inače korisnik / grupa će biti u mogućnosti pregledavati knjižnica / subloka, iako oni imaju prava tamo, jer postoje stvari na webu korijena koji su potrebni za prikaz stranice ili biblioteku. Stoga, kada dati grupe dozvole samo za podmjesta ili biblioteku koja se urušava i dopuštenje za nasljeđivanje, SharePoint automatski će dobiti ograničen pristup toj grupi ili korisniku na korijen webu.

Ovo pitanje dolazi sada i onda na MSDN forumima, a ja sam uvijek bio znatiželjan (ali ne dovoljno znatiželjan da to shvatiti prije nego što danas :)).

</kraj>

Pretplatite se na moj blog.

Slijedite me na Twitter-u http://www.twitter.com/pagalvin

Technorati Tags:

Quick Savjet: Konfiguracija sigurnost Dopustite administratori pristupiti bilo moje stranice na SharePoint

U znak da socijalni računarstva počinje da skinu sa SharePoint, I see an increased number of My Site type questions. One common question goes something like this:

"I am an administrator and I need to be able to access every My Site. How do I do that?"

The trick here is that each My Site is its own site collection. SharePoint security is normally administered at the site collection level and this trips up many a SharePoint administrator. Normalno, she already has access to configure security in the "main" zbirki web-mjesta i ne mogu shvatiti da to ne znači automatski raditi za moje web stranice.

Zbirki web-mjesta zajedno živjeti u veće posude, which is the web application. Farm admins can can configure security at the web app level and this is how admins can grant themselves access to any site collection in the web application. This blog entry describes one of my personal experiences with web application policies. I defined a web application policy by accident: http://paulgalvin.spaces.live.com/Blog/cns!1CC1EDB3DAA9B8AA!255.entry.

Web application policies can be dangerous and I suggest that they be used sparingly. If I were an admin (i hvala bogu nisam), I would create a separate AD account named something like "SharePoint Web App Administrator" and give that one account the web application security role it needs. I would not configure this kind of thing for the regular farm admin or individual site collection admins. It will tend to hide potential problems because the web app role overrides any lower level security settings.

</kraj>

Pretplatite se na moj blog.

Slijedite me na Twitter-u http://www.twitter.com/pagalvin

Technorati Tags: ,

Pregledi i stupci se na popisima iu bibliotekama dokumenata ne mogu osigurati

UPDATE (02/29/08): Ovaj novi projekt codeplex čini se da pružaju metodu za osiguravanje pojedine stupce: http://www.codeplex.com/SPListDisplaySetting. If you have any experience working with it, molimo vas da ostavite komentar.

Forum plakati često postaviti pitanje ovako: "I have a manager view and and a staff view of a list. How do I secure the manager view so that staff can not use it?"

They also frequently ask a related question: "I want to secure a specific metadata column so that only managers may edit that column while others may not even see it."

These answers apply to both WSS 3.0 i mahovina:

  • SharePoint does not provide out-of-the-box support for securing views.
  • SharePoint does not provide out-of-the-box support for security columns.

There are several techniques one can follow to meet these kinds of security requirements. Here’s what I can think of:

  • Use out-of-the-box item level security. Views always honor item level security configuration. Event receivers and/or workflow can automate security assignment.
  • Use personal views for "privileged" views. These are easy enough to set up. Međutim, due to their "personal" nature, these need to be configured for each user. Use standard security configuration to prevent anyone else from creating a personal view.
  • Use a data view web part and implement some kind of AJAXy security trimming solution.
  • Roll your own list display functionality and incorporate security trimming at the column level.
  • Modify the data entry forms and use JavaScript in conjunction with the security model to implement column-level security trimming.
  • Use an InfoPath form for data entry. Implement column-level security trimming via web service calls to SharePoint and conditionally hide fields as needed.
  • Roll your own ASP.NET data entry function that implements column level security trimming.

None of those options are really that great, but there is at least a path to follow if you need to, even if it’s hard.

NAPOMENA: If you go down any of these paths, don’t forget about "Actions -> Open with Windows Explorer". You want to be sure that you test with that feature to make sure that it doesn’t work as a "back door" and defeat your security scheme.

If you have other ideas for or experiences with securing columns or views, please elektronička pošta mene or leave a comment and I’ll update this posting as appropriate.

</kraj>

Pretplatite se na moj blog.

Technorati Tags:

Otopina: System.IO.FileNotFoundException na “SPSite = new SPSite(url)”

UPDATE: Sam objavio ovo pitanje na MSDN ovdje (http://forums.microsoft.com/Forums/ShowPost.aspx?PostID=2808543&SiteID=1&mode=1) and Michael Washam of Microsoft responded with a concise answer.

I stvorio je web servis da djeluju kao BDC-friendly fasada to a SharePoint list. When I used this from my development environment, Internet izrađen prekid. Kada sam doselila to na novi server, Naišao sam ovu pogrešku:

System.IO.FileNotFoundException: Web aplikacija na http://localhost/sandbox nije mogao biti pronađen. Provjerite jeste li ispravno upisali URL. Ako URL treba posluživanje postojeći sadržaj, Administrator sustava možda ćete morati dodati novi URL mapiranje zahtjev za namjeravanu primjenu. na Microsoft.SharePoint.SPSite .. ctor(SPFarm farma, Uri requestUri, Booleova contextSite, SPUserToken userToken) na Microsoft.SharePoint.SPSite .. ctor(String requestUrl) na Conchango.xyzzy.GetExistingDocument(String minId, String maxId, String titleFilter) u C:\Documents and Settings Paul My Documents Visual Studio 2005 Projects xyzzy BDC_DocReview BDC_DocReview DocReviewFacade.asmx.cs:linija 69

Ovdje je linija 69:

pomoću (SPSite stranica = new SPSite("http://localhost/sandbox"))

Pokušao sam različite varijacije na URL, uključujući i korištenje poslužitelja pravo ime, njegova IP adresa, prateći kose na URL, itd.. I always got that error.

Koristio sam Google to research it. Lots of people face this issue, ili varijante njega, ali nitko se činilo da su to riješiti.

Vragolast MOSS dostavi detaljan pogreška da to nije palo na pamet provjeriti 12 hive logs. Konačno, oko 24 sata nakon moj kolega preporučio bih učiniti, Provjerio sam iz 12 Grozd dnevnik i našli ovo:

Iznimka se dogodila dok je pokušavao steći lokalnu farmu:
System.Security.SecurityException: Traženi registra pristup nije dopušten.
na System.ThrowHelper.ThrowSecurityException(ExceptionResource resursima) na
(String ime, Booleova pisati) na
(String ime) na
() na
() na
(SPFarm& farma, Booleova& isJoined)
Zona skupštini da nije bilo:  MyComputer

To je otvorilo nove putove istraživanja, tako da je povratak na Google. To me dovelo do toga Post foruma: http://forums.codecharge.com / posts.php?post_id = 67135. That didn’t really help me but it did start making me think there was a database and/or security issue. I soldiered on and Andrew Connell je post finally triggered the thought that I should make sure that the application pool’s identity account had appropriate access to the database. I thought it already did. Međutim, moj kolega je otišao i dao identiteta app bazen račun puni pristup SQL.

Čim je napravio tu promjenu, everything started working.

Što se dogodilo sljedeća najbolja izražava se kao haiku pjesma:

Problemi podići svoje ruke.
You swing and miss. Try again.
Uspjeh! But how? Zašto?

Ona nije željela ostaviti stvari samo tako, radije dati minimalnu potrebnu dozvolu (i vjerojatno s okom na pisanje blogu; Sam je pobijedio na punch, muhahahahaha!).

Ona uklanja uzastopnih dozvole od identiteta app pool račun sve dok … there was no longer any explicit permission for the app pool identity account at all. The web service continued to work just fine.

We went and rebooted the servers. Everything continued to work fine.

Tako, da recap: we gave the app pool identity full access and then took it away. The web service started working and never stopped working. Bizarre.

Ako itko zna zašto se to trebalo radio, molimo vas da ostavite komentar.

</kraj>

Technorati Tags:

Minimalna sigurnosna Obavezno za InfoPath Forms

I needed to meet a security requirement for an InfoPath form today. In this business situation, a relatively small number of individuals are allowed to create a new InfoPath form and a much wider audience are allowed to edit it. (Ovo je nova najam na ukrcaj oblik koristi ljudskim resursima koji pokreće tijek rada).

Da bi se taj cilj, Stvorio sam stvorio dvije nove razine dozvola ("create and update" and "update only"), broke inheritance for the form library and assigned permissions to a "create, ažurirati" user and a separate "update only" korisnik. The mechanics all worked, but it turned out to be a little more involving than I expected. (Ako se osjećate pomalo nesiguran na SharePoint dozvole, provjeriti ovaj blog post). The required security configuration for the permission level was not the obvious set of granular permissions. To create an update-only permission level for an InfoPath form, Ja sam sljedeće:

  1. Otvori novu razinu ovlasti.
  2. Raspremiti sve opcije.
  3. Selected only the following from "List permissions":
    • Uredi artikle
    • Pogledajte artikle
    • Pogledajte Application Pages

Odabir ove opcije omogućuje korisniku da ažurirate obrazac, ali ne napravite ga.

The trick was to enable the "View Application Pages". There isn’t any verbage on the permission level that indicates that’s required for update-only InfoPath forms, ali ispada da je.

Create-and-Update was even stranger. I followed the same steps, 1 kroz 3 gore. I had to specifically add a "Site Permission" opcija: "Use client integration features". Opet, Opis tamo ne čine ga izgledaju kao da bi trebao biti obavezan za InfoPath obrazac, ali je.

</kraj>

Technorati Tags: ,

SharePoint ne daje “Tko ima pristup” Izvješća

UPDATE 01/28/08: Ovaj projekt codeplex bavi ovaj problem: http://www.codeplex.com/AccessChecker. I have not used it, ali izgleda obećavajuće, ako je to pitanje morate obratiti u vašem okruženju.

UPDATE 11/13/08: Joel Oleson napisao gore jako dobar post na većem broju upravljanja sigurnošću ovdje: http://www.sharepointjoel.com / Lists / Postova / Post.aspx?2D4fc2 2D183c% 2D8320%%% Lista = 0cd1a63d 2Dba5369008acb&ID = 113. It links to a number of other useful resources.

Forum korisnici i klijenti često postavljaju pitanje uzduž ovih linija: "Kako mogu generirati popis svih korisnika s pristupom na web-mjestu" ili "Kako mogu automatski upozoriti sve korisnike s pristupom na popis o promjenama na popis?"

There is no out of the box solution for this. If you think about it for a moment, to nije teško shvatiti zašto.

SharePoint security is very flexible. There are at least four major categories of users:

  • Anonimni korisnici.
  • Korisnici i SharePoint grupe.
  • Active Directory Korisnici.
  • Radi baziranu provjeru autentičnosti (FBA) Korisnici.

Fleksibilnost znači da, iz perspektive zaštite, any given SharePoint site will be dramatically different from another. In order to generate an access list report, potrebno je utvrditi koliko stranica je osiguran, query multiple different user profile repositories and then present it in a useful fashion. That’s a hard problem to solve generically.

Kako su to organizacije koje se bave? I’d love to hear from you in comments or e-mail.

</kraj>

SharePoint Sigurnost Osnove Primer / Izbjegnite zamke zajedničkih

UPDATE 12/18/07: Vidi Paula Liebrand je članak za nekih tehničkih posljedica uklanjanja ili mijenjanja imena zadane grupe (vidjeti njegov komentar ispod, kao i).

Pregled:

SharePoint security is easy to configure and manage. Međutim, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Ja priznajem da imaju ovaj problem sam). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Važna napomena:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or elektronička pošta mene. I’ll make corrections post haste.

Osnove:

Za potrebe ovog pregleda, postoje četiri temeljna aspekta sigurnosti: Korisnici / grupe, securable objekti, razina dozvole i baština.

Korisnici i grupe razbiti se:

  • Individualni korisnici: Povukao iz aktivnog imenika ili stvorili izravno u SharePoint.
  • Grupe: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" na određenu securable objekta.

Securable objekti razbiti barem:

  • Stranice
  • Document knjižnice
  • Pojedinačne stavke popisa i biblioteke dokumenata
  • Mape
  • Različiti BDC postavke.

Postoje drugi objekti securable, ali ćete dobiti sliku.

Razine dozvola: Snop granule / low level access rights that include such things as create/read/delete entries in lists.

Baština: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Korisnici i grupe se odnose na securable objekata preko razina dozvole i nasljedstvo.

Najvažnijih sigurnosnih pravila razumjeti, Ever 🙂 :

  1. Grupe su jednostavno skupovi izabranih korisnika.
  2. Grupe su globalne unutar zbirke web-mjesta (i.e. ne postoji takva stvar kao grupa definiranih na razini web-mjesta).
  3. Naziv grupe ne izdržati, skupine ne, sami po sebi, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Možete dodijeliti različite razine dozvole u istoj skupini za svaki objekt securable.
  6. Web aplikacija politike adut sve to (vidi dolje).

Sigurnosni administratori izgubljeni u moru i grupe korisnika oglasi se uvijek može osloniti na tim aksiomima za upravljanje i razumjeti njihovu sigurnosnu konfiguraciju.

Zajednički Zamke:

  • Skupina imena lažno podrazumijeva dozvolu: Out of the box, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" grupa ne može doprinijeti na sve, , ali samo čitati (na primjer). This would not be a good idea, očito, jer će biti vrlo zbunjujući.
  • Grupe nisu definirane na razini web-mjesta. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" link. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Grupe članstvo ne ovisi o web-mjestu (i.e. to je svugdje ista skupina koristi): Consider the group "Owner" i dva mjesta, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Ja mogu pristupiti ljudima i skupinama veze putem HR web-mjestu, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Zapravo, I’m removing her from the global Owners group. Hilarity ensues.
  • Neuspjeh u ime skupine na temelju specifične uloge: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Trebao sam stvorio dvije nove skupine: "HR Owners" and "Logistics Owners" osjetljiv i dodijeliti razine dozvola za svaki i najmanji iznos potreban za one korisnike da rade svoj posao.

Ostali Korisni Reference:

Ako ste napravili je to daleko:

Please let me know your thoughts via the comments or email me. If you know other good references, molimo vas da učinite isto!

Technorati Tags: