SharePoint Sigurnost Osnove Primer / Izbjegnite zamke zajedničkih

UPDATE 12/18/07: Vidi Paula Liebrand je članak za nekih tehničkih posljedica uklanjanja ili mijenjanja imena zadane grupe (vidjeti njegov komentar ispod, kao i).

Pregled:

SharePoint security is easy to configure and manage. Međutim, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Ja priznajem da imaju ovaj problem sam). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Važna napomena:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or elektronička pošta mene. I’ll make corrections post haste.

Osnove:

Za potrebe ovog pregleda, postoje četiri temeljna aspekta sigurnosti: Korisnici / grupe, securable objekti, razina dozvole i baština.

Korisnici i grupe razbiti se:

  • Individualni korisnici: Povukao iz aktivnog imenika ili stvorili izravno u SharePoint.
  • Grupe: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" na određenu securable objekta.

Securable objekti razbiti barem:

  • Stranice
  • Document knjižnice
  • Pojedinačne stavke popisa i biblioteke dokumenata
  • Mape
  • Različiti BDC postavke.

Postoje drugi objekti securable, ali ćete dobiti sliku.

Razine dozvola: Snop granule / low level access rights that include such things as create/read/delete entries in lists.

Baština: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Korisnici i grupe se odnose na securable objekata preko razina dozvole i nasljedstvo.

Najvažnijih sigurnosnih pravila razumjeti, Ever 🙂 :

  1. Grupe su jednostavno skupovi izabranih korisnika.
  2. Grupe su globalne unutar zbirke web-mjesta (i.e. ne postoji takva stvar kao grupa definiranih na razini web-mjesta).
  3. Naziv grupe ne izdržati, skupine ne, sami po sebi, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Možete dodijeliti različite razine dozvole u istoj skupini za svaki objekt securable.
  6. Web aplikacija politike adut sve to (vidi dolje).

Sigurnosni administratori izgubljeni u moru i grupe korisnika oglasi se uvijek može osloniti na tim aksiomima za upravljanje i razumjeti njihovu sigurnosnu konfiguraciju.

Zajednički Zamke:

  • Skupina imena lažno podrazumijeva dozvolu: Out of the box, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" grupa ne može doprinijeti na sve, , ali samo čitati (na primjer). This would not be a good idea, očito, jer će biti vrlo zbunjujući.
  • Grupe nisu definirane na razini web-mjesta. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" link. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Grupe članstvo ne ovisi o web-mjestu (i.e. to je svugdje ista skupina koristi): Consider the group "Owner" i dva mjesta, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Ja mogu pristupiti ljudima i skupinama veze putem HR web-mjestu, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Zapravo, I’m removing her from the global Owners group. Hilarity ensues.
  • Neuspjeh u ime skupine na temelju specifične uloge: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Trebao sam stvorio dvije nove skupine: "HR Owners" and "Logistics Owners" osjetljiv i dodijeliti razine dozvola za svaki i najmanji iznos potreban za one korisnike da rade svoj posao.

Ostali Korisni Reference:

Ako ste napravili je to daleko:

Please let me know your thoughts via the comments or email me. If you know other good references, molimo vas da učinite isto!

Technorati Tags:

8 misli o „SharePoint Sigurnost Osnove Primer / Izbjegnite zamke zajedničkih

  1. Kruškovača

    Više zamke:

    * Postoje određene posebne dozvole dostupni drugdje u SSP-a ne vidi u ljudima i skupinama dio: "Personalization services permissions"and "Business Data Catalog permissions"

    * Pročitao sam da postoje i posebne SharePoint Designer dozvole dostupne u nekim kompliciranih xml zakopana unutar html negdje.

    * Primarni i sekundarni Administratori zbirke web-mjesta za se čuvaju na drugom mjestu u mjestu Collection postavke, i ne vidi u ljudima i skupinama sekciji.

    * Određeni računi imaju čarobni (poseban) sposobnosti bez obzira na ono što vidite u ljudima i skupinama područja: članovi ugrađeni u grupe administratora na web poslužitelja, i račun Farma Service.

    (PS: Brisanje spam komentare bi poboljšali čitljivost ovdje.)

  2. Jean Wright
    Ovo je jako dobar post. Ja sam pao u ovu zamku na nekoliko navrata. Upravljanje sigurnošću mogu dobiti kompleks kada počnete miješanje metoda provjere autentičnosti i različite sigurnosne metode grupiranja. To treba uzeti u obzir kao dio procesa planiranja, a ne treba zanemariti.
  3. Mark Miller je napisao:
    (Napomena od Pavla: Marko me je zamolio da napravite malu promjenu u svom komentaru, ali ja ne mogu urediti Live Spaces komentare pa sam ga dodao je ponovno ovdje s promjenama i izbrisati izvorni).
    Pavle,
    Sažetak pristup za predstavljanje ove informacije sišla vrlo dobro. I especially liked the "Pitfalls" dio, jer sam upao u neki od onih koji sebe.
    Još jedna stvar koju je pogodio dom: učenja u ponedjeljak ne znači nužno da ćete ga se sjetiti u petak. I’m glad someone besides me is using their blog as a "tickler" Sustav za one kritične stvari koje se ne obavlja na redovnoj osnovi.
    Dobar posao.
    Pozdrav,
    Označi
    EndUserSharePoint.com

    Studeni 27 9:04 AM
    (http://www.EndUserSharePoint.com)

  4. Paul Galvin
    Mislim da je vjerojatno dobra ideja da se ukloniti one zadane grupe, especially Contributor and Owner. They are overbroad and easily confused. I prefer to use "All Authenticated Users" in place of a "Visitor" group as well. If a specific set of users should only read-only access then I’d recommend creating an AD group or SharePoint group with an appropriately descriptive name, e.g. "Logistics Visitors".
    –Pavao G
  5. No name
    To zvuči kao prva stvar koju trebate učiniti je samo izvatkom posjetitelja, Ženski i vlasnik grupe i zamijeniti ih sa svoje vlastite logičke grupe. Da li bi to imalo smisla napraviti?

Dopust jedan Odgovor

Vaša email adresa neće biti objavljena. obavezna polja su označena *