AJOU 12/18/07: Wè Paul Liebrand atik pou kèk konsekans teknik ki retire ou modifier non gwoup defo (wè l' kòmantè ki pi ba osi byen).
Kourikoulòm:
SharePoint sekirite fasil pou configure epi kontwole. Sepandan, li te éprouvée difisil pou kèk administratè premye fwa nwobe vrèman men yo antoure li. Pa sèlman sa, Mwen wè kèk administratè rive a yon konpweyansyon bon nèt nan Lendi sèlman pou pèdi li Vandredi paske yo pa t gen pou fè okenn configuration intervenir lè. (Mwen admèt ke pou gen pwoblèm sa a kont mwen). Antre blog sa a, bay yon bon SharePoint sekirite detonatè yo ak pwen yo bò kote kèk sekirite configuration meyè pratik.
Nòt enpòtan:
Dekri teren sa a te baze sou soti nan bwat la, SharePoint sekirite. Eksperyans pèsonèl mwen oryante nan bab PANYÒL se konsa ka gen kèk bab PANYÒL espesifik bagay isit la, Men, mwen kwè ke li li ki egzat pou WSS. Mwen espere ke yon moun wè yon mal osinon yon omissions ap montre sa nan kòmantè oubyen e-mail m. M' ap fè koreksyon pas anpresman.
Fondamamtal:
Pou rezon de kourikoulòm sa a, genyen kat aspè fondamantal yo pou sekirite: utilisateurs gwoup yo, sécurisable atik ki gen valè, nivo pèmisyon Et eritaj.
Utilisateurs Et gwoup yo pran pou:
- Utilisateurs grenn pa grenn: Tiré de aktif répertoire ou créé dirèkteman nan SharePoint.
- Gwoup yo: Avec ki soti dirèkteman nan aktif répertoire oubyen te kreye nan SharePoint. Gwoup yo se yon koleksyon de nèg. Gwoup yo ki nan yon kote ki gen koleksyon mondyal. Yo ki pa janm "mare" pou yon espesifik objet sécurisable.
Sécurisable atik ki gen valè kase pou pi piti:
- Pozisyon
- Dokiman bibliyotèk
- Grenn pa grenn atik nan lis Et bibliyotèk dokiman
- Dossiers
- Plizyè BDC paramètres.
Gen lòt objets sécurisable, Men, ou jwenn foto an.
Nivo pèmisyon yo: Yon pake de granulaire / ti kiyè aksè dwa ki gen ladan tou kreye/lire/supprimer antre nan lis.
Eritaj: Pa defo òganizasyon eritye sekirite nòmal nan bagay ki yo. Pozisyon de baz eritye pèmisyon de paran yo. Dokiman bibliyotèk eritye nan direksyon yo. Se konsa Sur, se konsa suite.
Utilisateurs Et gwoup yo rakonte pou sécurisable atik ki gen valè via pèmisyon nivo Et eritaj.
Règles sekirite ki pi enpòtan pou w konprann, Ever 🙂 :
- Gwoup sont koleksyon senpleman yo Des utilisateurs.
- Gwoup sont global nan yon kote ki gen ranmase kèt (c'est-à-dire. se pa yon bagay tankou yon gwoup jan l defini nan nivo kote ki gen yon).
- Non gwoup ki pa withstanding, gwoup yo pa fè, nan ak tèt yo, gen kèk patikilye nivo sekirite.
- Gwoup yo gen sekirite nan yon kontèks pou yon espesifik objè sécurisable.
- Ou kapab plase nivo diferan pèmisyon pou gwoup la menm pou tout objet sécurisable.
- Web aplikasyon politik trump tout sa (voir ki pi ba).
Administratè sekirite ki pèdi nan yon lanmè Des annonces gwoup Et kap itilize li an ka toujou se sou sa yo axioms pou gérer Et konprann configuration sekirite yo.
Pièges komen:
- Gwoup non tort implique pèmisyon: Soti nan bwat la, SharePoint définit ansanm yon gwoup yo ki non vie di yon epe nivo sekirite. Konsidere "Collaborateurs" gwoup la. Yonn etranj ak sekirite SharePoint ka byen gade non sa yo e ta pwan pou nenpòt manb nan gwoup sa kapab "kontribye" pou kèk kote ki gen/lis/bibliyotèk nan a Portal, Arizona. Sa ka rive vre Men se pa paske non gwoup la rive pou "collaborateurs". Sa sèlman tout bon nan bwat la paske gwoup la te founi yon nivo pèmisyon permet yo pou ajoute/edisyon/supprimer kontan nan plas kote rasin. Nan eritaj, "collaborateurs" gwoup ka tou ajoute/edisyon/supprimer kontan nan chak kote ki gen de baz. Yonn ka "kraze" chèn eritaj ak pèmisyon nivo sib kote yon chanjman sa manm yo de a sa yo rele "Collaborateurs" gwoup pa kapab kontribye ditou, Men sèlman lire (pa ekzanp). Sa a pa ta yon bon lide, Evidamman, depi li t' ap pote anpil ki pa klè.
- Gwoup yo ki pa defini nan nivo kote ki gen yon. Se fasil pou fè an boulvès/magregò pou moun kap itilize li an entèfas. Microsoft bay yon pratik lyen pou administrasyon kap itilize li an/gwoup via "moun ak gwoup yo kote chak" lyen. Se fasil pou kwè ke lè mwen pa nan direksyon "xyzzy" mwen kreye yon gwoup nan moun xyzzy yo ak gwoup yo ki relye ke mwen te jis te kreye yon gwoup ki te sèlman yon pwofon nan xyzzy. Sa se pa ka a. Mwen te gen aktyèlman te kreye yon gwoup pou tout kote ki gen koleksyon.
- Manm gwoup yo pa varye, selon kote ki gen (c'est-à-dire. se menm bagay la tou tout kote ke gwoup la te itilize): Konsidere gwoup la, "mèt" Et de pozisyon, "H" ak "Lojistik". Li ta nòmal pou panse de lòt moun ki ta ka posede pozisyon sa — yon senp h ak yon mèt lojistik. Entèfas kap itilize li an ki fè li fasil pou yon administratè sekirite pou mishandle scénario sa a. Si mwen pa t konnen ki pi bon, Mwen te ka accès moun ak gwoup lyen via la kote ki gen h, fè chwa "Propriétaires" gwoup e ajoute mèt h m' pou gwoup sa. Yon mwa apwe, Lojistik vin sou liy. Mwen jwenn moun ak gwoup nan sit lojistik la, ajoute rale moute "Propriétaires" gwoup. Mwen wè mèt h la, retire l, panse ke mwen menm ki retire l' soti nan pwopwiyetè nan plas kote lojistik. an reyalite, M ap retire l' nan gwoup pwopwiyetè Mondyal la. S' hilarity.
- Ne pou gwoup non yo baze sou yon wòl: "Approbateurs" gwoup se yon ekzanp pafè. Sa kapab manm approuver gwoup sa a? Ki kote yo ta apwouve li? Èske mwen vle li toutbon Depatman lojistik moun gen dwa pou apwouve h dokiman? Men wi pa. Toujou non gwoup baze sou wòl yo andedan òganizasyon an. Sa a pwal redwi risk pou yo ke gwoup la nan yon nivo pa apwopriye pèmisyon pou yon bagay sécurisable an patikilye. Gwoup non yo baze sou wòl ak entansyon pou voye yo. Nan pwemye scénario h/lojistik, Mwen ta dwe te kreye de nouvo gwoup: "H Propriétaires" Et "lojistik Propriétaires" Et Deziyen yon nivo sansib pèmisyon pou chak Et montan minimòm egzije pou tout moun pou yo fè travay yo.
Lòt itil Références:
- Web aplikasyon politik gotcha an: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Clearinghouse pou sekirite SharePoint: http://www.sharepointsecurity.com/
- Lyen de Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Si ou te fè l' sa a byen lwen:
Tanpri, kite m' konnen lide ou via kòmantè oubyen e-mail m. Si w konnen lòt bon referans, Silvouplè fè menm bagay la tou!