SharePoint drošības pamati Primer / Izvairīties no parastajām kļūdām

ATJAUNINĀJUMS 12/18/07: Skatiet rakstā Paul Liebrand dažas tehniskas sekas noņemt vai modificēt noklusējuma grupu nosaukumus (redzēt savu komentāru zemāk, kā arī).

Pārskats:

Komponenta SharePoint drošību ir viegli konfigurēt un pārvaldīt. Tomēr, tas izrādījies grūti dažiem pirmo reizi administratoriem tiešām wrap to pirkstos. Ne tikai to, ka, Esmu redzējis dažas ierasties perfektu izpratni no pirmdienas līdz esat to pazaudējis, piektdien, jo tie nav jādara jebkurā konfigurācijas intervences laikā, tikai administratoriem. (Jāatzīst, kam šo problēmu sevi). Šī bloga ieraksts cerams sniedz noderīgu SharePoint drošību primer un norāda uz dažiem drošības konfigurācijas labākās prakses.

Svarīga piezīme:

Šis apraksts pamatā ir gatavas komponenta SharePoint drošību. Mana personīgā pieredze orientēta ap MOSS tāpēc var būt dažas SŪNA īpaši stuff here, bet es uzskatu, ka tas ir precīzs WSS. Ceru, ka ikviens redzēt jebkuras kļūdas vai izlaidumi būs norādīti kas komentārus vai e-pasts mani. I'll veikt labojumus pēc steiga.

Pamati:

Šī pārskata izpratnē, ir četri pamata drošības aspekti: lietotāji/grupas, drošināmie objekti, atļauju līmeņi un pārmantošanu.

Lietotājus un grupas uz leju, lai pārtrauktu:

  • Atsevišķiem lietotājiem: Izvilka no aktīvā direktorija vai_ar ī izveidot tieši programmā SharePoint.
  • Grupas: Kartētas tieši no active directory, vai_ar ī izveidot programmā SharePoint. Grupas ir lietotāji kolekcija. Grupām ir globālas vietņu kolekcijā. Viņi nekad "saistīti" līdz konkrētam aizsargājamam objektam.

Drošināmie objekti pārtraukums līdz vismaz:

  • Vietnes
  • Dokumentu bibliotēkas
  • Atsevišķus vienumus sarakstos un dokumentu bibliotēkās
  • Mapes
  • BDC dažādus iestatījumus.

Tur citi aizsargājami objekti, bet jums attēlu.

Atļauju līmeņi: Saišķis, granulu / zema līmeņa piekļuves tiesības, kas ietver tādas lietas kā izveidot/lasīt/izdzēst ierakstu sarakstus.

Mantojums: Pēc noklusējuma personas manto drošības iestatījumi to satur objektu. Apakšvietnēm pārmantot atļaujas no vecākvietnēm. Dokumentu bibliotēkas, kas manto no viņu vietā. Tā tālāk un tā tālāk.

Lietotājus un grupas, kas attiecas uz drošināmos objektos, izmantojot atļauju līmeņus un pārmantošanu.

Svarīgākais drošības noteikumiem jāsaprot, Ever 🙂 :

  1. Ir vienkārši kolekcijas lietotāju grupas.
  2. Grupām ir globālas vietņu kolekcijā (ti. nav tādas lietas kā grupa, kas definē vietnes līmenī).
  3. Nenoliedzot grupas nosaukums, grupām nav, blakus un par sevi, jebkuru konkrētu drošības līmenis.
  4. Grupām ir drošības kontekstā konkrētam aizsargājamam objektam.
  5. Vienai grupai katru aizsargājamam objektam var piešķirt dažādu līmeņu atļaujas.
  6. Web lietojumprogrammu politikas pārspētu visas šīs (sk. tālāk).

Drošības administratoru, zaudējis jūrā lietotāju un lietotāju grupu saraksti vienmēr var paļauties uz šo aksiomu pārvaldīt un izprast savas drošības konfigurācija.

Projektējat:

  • Grupu nosaukumi nepatiesi nenozīmē atļauju: No kastes, SharePoint grupu vārdi, nozīmē drošības pakāpe ir raksturīga kopumu definē. Apsvērt "Veicinātāju" grupai. Viens svešs ar komponenta SharePoint drošību var arī aplūkot šo nosaukumu un pieņemt, ka jebkurš grupas loceklis var "veicināt" jebkurā vietā/saraksts/bibliotēku portāla. Tas var būt taisnība, bet nevis tāpēc, ka notiek grupas nosaukumu "ieguldītājs". Tas ir tikai taisnība, no kastē, jo grupa ir sniegusi atļauju līmeni, kas tiem ļauj pievienot/rediģēt/dzēst saturu saknes vietnē. Ar mantojuma, "iemaksas" grupa var arī pievienot/rediģēt/dzēst saturu pēc katra apakšvietne. Viens var "pārtraukums" mantojuma ķēdē un apakšvietne šādu atļauju līmeņa maiņu, tā saukto "līdzstrādnieks locekļi" grupu nevar palīdzēt visos, bet tikai lasīt (piemēram). Tas būtu laba doma, acīmredzot, jo tas ir ļoti mulsinoši.
  • Grupām nav definēti vietnes līmenī. Tas ir viegli sajaukt ar lietotāja interfeisu. Microsoft nodrošina ērtu saiti uz lietotāju/grupu pārvaldībai, izmantojot katrai vietnei "cilvēki un grupas" saite. Ir viegli domāt, ka es esmu pie vietas "xyzzy" izveidot grupu ar xyzzy ir cilvēki un grupas saite, kas tikko izveidotās grupas, kuras pastāv tikai pie xyzzy. Ka tā nav. Es tiešām esmu izveidojis grupu visai vietņu kolekcijai.
  • Grupas dalību vieta nemainās (ti. tas ir tas pats visur grupa tiek lietota): Apsveriet grupa "īpašnieks" un divas vietas, "HR" un "Logistics". Tas būtu normāli domāt, ka divi atsevišķi indivīdi atzīst šīs vietnes — h īpašnieks un loģistikas īpašnieks. Lietotāja interfeiss atvieglo drošības administratoru, lai mishandle šo scenāriju. Ja nav zināms labāk, Varētu piekļūt personas un grupas saites, izmantojot vietni HR, izvēlieties "īpašniekiem" grupu un pievienot manu HR īpašnieks šai grupai. Mēnesi vēlāk, Loģistikas nāk rindā. Varu piekļūt cilvēkiem un grupām no loģistikas vietā, pievienot pieturēt "īpašniekiem" grupa. Es redzu tur HR īpašnieks un izņemt viņu, domāju, ka esmu noņemt viņu no loģistikas vietņu īpašniekiem. patiesībā, Es esmu viņas noņemšana no pasaules īpašnieku grupas. Jautrība var apsvērt.
  • Kļūdaino vārdu grupas, kas bāzētas uz īpašo lomu: "Apstiprinātājiem" grupa ir perfekts piemērs. Ko var apstiprināt šīs grupas locekļus? Kur viņi var to apstiprināt? Vai es tiešām gribu cilvēkiem loģistikas departaments varētu apstiprināt HR dokumentus? Protams, nav. Vienmēr vārds grupu, atkarībā no viņu lomas organizācijā. Tas samazina risku, ka grupai tiek piešķirts neatbilstoša atļauju līmenis konkrētam aizsargājamam objektam. Nosaukumu grupās atkarībā no to paredzētā nozīme. Iepriekšējā scenārijā HR/loģistika, Ja esat izveidojis divas jaunas grupas: "HR īpašnieki" un "loģistikas īpašnieki" un piešķirt saprātīgu atļauju līmeņus katram, un minimālo summu, kas nepieciešama šiem lietotājiem, lai viņi varētu veikt savu darbu.

Citas noderīgas atsauces:

Ja jūs esat padarījuši šo tālu:

Lūdzu, ļaujiet man zināt jūsu domas, izmantojot komentārus vai e-pastu man. Ja jūs zināt citas labas atsauksmes, lūdzu darīt to pašu!

Technorati Tags: Technorati Tags:

8 domas par "SharePoint drošības pamati Primer / Izvairīties no parastajām kļūdām

  1. Perry

    Vairākas nepilnības:

    * Pastāv dažas īpašas atļaujas pieejamas citviet SSP un nav redzama sadaļā personas un grupas: "Personalizēšanas pakalpojumiem atļaujas" un "biznesa datu kataloga atļaujas"

    * Esmu lasījusi, ka tur pieejami arī īpašās atļaujas SharePoint Designer kāda mistiska XML aprakti iekšpusē kaut kur html.

    * Primārā un sekundārā vietņu kolekcijas administratoriem tiek glabāti citur iestatījumi vietņu kolekcijas, un nav redzami sadaļā personas un grupas.

    * Ir burvju dažiem kontiem (īpaša) spējām, neatkarīgi no tā, ko redzat cilvēku un grupu apgabalā: iebūvētā grupā Administratori web serveros, un fermas pakalpojuma konts.

    (PS: Dzēšot surogātpasta komentārus varētu uzlabot lasāmību šeit.)

    Atbilde
  2. Jean Wright
    Tas ir ļoti labs pastu. Ir iekritis lamatās vairākas reizes. Drošības pārvaldība var kļūt sarežģīta, kad jūs sākat, sajaucot autentifikācijas metodēm un citu drošības grupēšanas metodes. Tas jāņem vērā kā daļa no plānošanas procesa un nedrīkst aizmirst.
    Atbilde
  3. Mark Miller wrote:
    (Piezīme no Paul: Mark lūdza veikt nelielas izmaiņas Jondalara komentārs, bet nevar rediģēt komentārus dzīvo telpās, tāpēc esmu pievieno to no jauna šeit apspriest izmaiņas, un dzēst sākotnējo).
    Paul,
    Kopsavilkuma pieeja rada šī informācija nonāca pie ļoti labi. Es īpaši patika "klupšanas akmeņus" sadaļa, kopš tā laika esmu iekritis daži no tiem sevi.
    Vēl viena lieta, ko jūs teicāt, hit mājās: mācīšanās pirmdien ne vienmēr nenozīmē, jūs atcerēsities, piektdien. Es priecājos, ka kāds bez manis izmantojot to blog kā "smaguma" sistēmu kritisko parādībām, ko nevar izdarīt regulāri.
    Labu darbu.
    Sveicieni,
    Mark
    EndUserSharePoint.com

    Novembris 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Atbilde
  4. Paul Galvin
    Es domāju, ka droši vien tā ir laba ideja, lai novērstu šos noklusējuma grupām, jo īpaši līdzstrādnieks un īpašnieks. Tie ir overbroad un viegli sajaukt. Es gribētu izmantot "visiem autentificētiem lietotājiem" vietā "apmeklētājs" grupas, kā arī. Ja noteiktu kopumu lietotājiem vajadzētu tikai lasāmai piekļuvei, tad es ieteiktu izveidot reklāmu vai SharePoint grupas ar attiecīgi aprakstošu nosaukumu, piem.. "Apmeklētāju loģistika".
    –Paul G
    Atbilde
  5. Bez nosaukuma
    Izklausās, ka vispirms jums vajadzētu darīt, ir vienkārši pametīs apmeklētājs, Ziedotājs un īpašnieku grupām un aizstāt tos ar savu loģiskās grupās. Tas būtu lietderīgi to darīt?
    Atbilde

atstāt atbildi

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti *