NAUJINIMAS 12/18/07: Paul Liebrand straipsnyje ieškokite tam tikrų techninių pasekmių pašalinti ar pakeisti numatytąjį grupių pavadinimus (pamatyti savo komentarą žemiau, taip pat).
Apžvalga:
SharePoint saugumas yra lengva konfigūruoti ir valdyti. Tačiau, tai buvo įrodyta, kad būti sunku kai kurie pirmą kartą administratoriai tikrai wrap savo rankas aplink jį. Ne tik, kad, Aš mačiau kai kurie administratoriai yra puikus suprasti pirmadienį tik ji prarado penktadienis nes jie ne daryti bet kokios konfigūracijos per tą laiką. (Prisipažinsiu, kad turintys šią problemą save). Šio dienoraščio įrašas tikiuosi suteikia naudingos SharePoint saugos gruntas ir rodo į kai kurių saugos konfigūracijos geriausios praktikos.
Svarbi pastaba:
Šis aprašas yra grindžiamas out of the box SharePoint saugos. Mano asmeninė patirtis yra orientuota aplink samanų, ten gali būti kai kurių MOSS konkrečių dalykų čia, bet manau, kad tai tikslus, WSS. Tikiuosi, kad kas nors pamatyti bet kokios klaidos ar praleidimai bus nurodyta, kad komentaruose arba rašykite man. I padaryti pataisas po skubotai.
Pagrindai:
Pagal ši apžvalga, yra keturi pagrindiniai aspektai su saugumu: vartotojai/grupės, apsaugotuose objektuose, teisių lygius ir paveldėjimo.
Vartotojai ir grupės pertrauka į:
- Atskiriems vartotojams: Paimta iš aktyvaus katalogą arba sukurtas tiesiogiai į SharePoint.
- Grupių: Susietų tiesiogiai iš active directory ar sutverti į SharePoint. Grupės yra vartotojų kolekcija. Grupės yra pasaulio svetainių rinkinio. Jie niekada "susieti" į konkretų apsaugotą objektą.
Apsaugotuose objektuose pertrauka iki ne mažiau kaip:
- Svetainių
- Dokumentų bibliotekos
- Atskirų prekių sąrašų ir dokumentų bibliotekų
- Aplankai
- Įvairius BDC parametrus.
Yra kitų apsaugotuose objektuose, bet jūs gaunate paveikslėlį.
Teisių lygiai: Granuliuotas paketas / žemo lygio prieigos teises, kurios apima tokius dalykus kaip sukurti/skaitymo/naikinimo įrašų sąrašuose.
Paveldėjimo: Pagal numatytuosius nustatymus subjektai paveldėti saugos parametrus iš jų su objekto. Antrinės svetainės paveldi teises iš savo pirminės. Dokumentų bibliotekos paveldi iš savo svetainės. Taip toliau ir taip toliau.
Vartotojai ir grupės yra susijusios su apsaugotuose objektuose per teisių lygius ir paveldėjimo.
Svarbiausia saugumo taisykles, kurios turi suprasti, Kada nors 🙂 :
- Grupės yra tiesiog kolekcijos vartotojų.
- Grupės yra pasaulio svetainių rinkinyje (ty. nėra tokio dalyko kaip apibrėžti vietos lygmeniu grupė).
- Grupės pavadinimas ne išlaikyti, grupių ar ne, Vietovė ir patys, jau bet kuriuo konkrečiu saugumo lygį.
- Grupės turi saugumo atsižvelgiant į konkretų apsaugotą objektą.
- Galite nustatyti skirtingus teisių lygius, į tą pačią grupę už kiekvieno apsaugoto objekto.
- Interneto taikymo politiką koziris visa tai (Žiūrėkite žemiau).
Saugos administratoriams prarado naudotojų ir naudotojų grupių sąrašus jūroje visada gali pasitikėti šių axioms valdyti ir suprasti jų saugos konfigūraciją.
Bendras spąstus:
- Grupių pavadinimus klaidingai reiškia leidimą: Out of the box, SharePoint apibrėžia tam tikrų grupių, kurių pavadinimai reiškia būdingą saugumo lygį. Vertinti grupę "Pagalbininkas". Viena susipažinę su SharePoint saugos gali gerai pažvelgti į šį pavadinimą ir manyti, kad bet kuris tos grupės narys gali "prisidėti" bet koks svetainės/sąrašas/bibliotekos portale. Tai gali būti tiesa, bet ne todėl, kad grupės pavadinimas būna, kad "pagalbininkas". Tai tik tiesa out of the box, nes grupė buvo pateiktas teisių rinkinio, kuris leidžia jiems pridėti/redaguoti/trinti turinį šakninėje svetainėje. Paveldėjus, autoriai"" grupė taip pat gali pridėti/redaguoti/trinti turinį kiekvieną sub-vietoje. Vienas gali "pertrauka" paveldo grandinėje ir kaitos antrinė svetainė tokių teisių lygį kad nariai vadinamasis "autorius" grupė negali padėti visai, bet tik skaityti (pvz.). Tai būtų gera idėja, akivaizdžiai, nes tai būtų labai paini.
- Grupes nėra apibrėžti vietos lygmeniu. Tai lengva supainioti vartotojo sąsaja. Microsoft pateikia patogus nuorodą, kad vartotojas/grupės valdymas per kiekvieną svetainės "žmonės ir grupės" nuoroda. Tai paprasta manyti, kad kai aš ne svetainės "xyzzy" ir sukurti grupę per xyzzy's žmones ir grupes nuorodą, kad aš ką tik sukurtos grupės, kuri tik yra ne xyzzy. Tai nėra atvejis. Aš iš tiesų sukūriau grupę visą svetainių rinkinio.
- Grupės narystės nesiskirtų site (ty. tai tas pats visur grupė naudojama): Mano grupės "savininkas" ir dvi vietas, "HR" ir "Logistika". Tai būtų normalu, kad manau, kad dviejų atskirų asmenų būtų savo tas svetaines — HR savininkas ir logistikos savininkas. Vartotojo sąsaja leidžia lengvai saugumo administratorius gali mishandle šis scenarijus. Jei aš žinau geriau, Gali pasiekti žmones ir grupes nuorodos HR svetainėje, Pasirinkite "savininkai" grupė ir pridėti mano HR savininkas su ta grupe. Po mėnesio, Logistikos ateina eilutės. Pasiekti asmenis ir grupes iš logistikos svetainės, pridėti atsigriebti "savininkai" grupė. Matau HR savininkas ten ir panaikinti jai, galvoju, kad aš pašalinti ją iš savininkų vietoje logistikos. tiesą sakant, Aš pašalinti ją iš pasaulio savininkų grupės. Linksmumas prasideda.
- Nepavykus pavadinimas grupes pagal konkretų vaidmenį: Tvirtintojai"" grupė yra puikus pavyzdys. Kas gali nariai šios grupės tvirtinti? Kur jie gali patvirtinti tai? Ar tikrai norite žmonių logistikos skyrius HR dokumentams patvirtinti, kad? Žinoma, ne. Visada pavadinimas grupėms atsižvelgiant į jų vaidmenį organizacijoje. Tai padės sumažinti riziką, kad grupei priskiriama netinkamas teisių lygį už atskirą apsaugotą objektą. Pavadinimas grupes pagal jų numatytą vaidmenį. Pagal ankstesnį HR/logistikos scenarijų, Aš turėtų sukūrė dvi naujas grupes: "HR savininkai" ir "logistikos savininkai" ir priskirti protinga teisių lygiai kiekvienam ir mažiausio kiekio, būtino tiems vartotojams atlikti savo darbą.
Kitos naudingos nuorodos:
- Interneto taikymo politikos gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Clearinghouse SharePoint saugos: http://www.sharepointsecurity.com/
- Nuorodos iš Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Jei jūs jau tapo taip toli:
Prašome leiskite man ώinoti savo mintis per komentarus arba email man. Jei žinote kitų geros nuorodos, Prašome padaryti tą patį!