SharePoint Security Fundamentals Unang / Iwasan ang mga karaniwang Pitfalls

I-UPDATE 12/18/07: Tingnan Paul Liebrand ng artikulo para sa ilang mga teknikal na mga kahihinatnan ng pag-alis o pagbabago ng default na pangalan ng grupo (tingnan ang kanyang mga komento sa ibaba pati na rin).

Pangkalahatang-ideya ng:

SharePoint security is easy to configure and manage. Gayunman, it has proven to be difficult for some first-time administrators to really wrap their hands around it. Not only that, I have seen some administrators come to a perfect understanding on Monday only to have lost it by Friday because they didn’t have to do any configuration in the intervening time. (Umamin ako sa pagkakaroon ng problemang ito sa aking sarili). This blog entry hopefully provides a useful SharePoint security primer and points towards some security configuration best practices.

Mahalagang Paunawa:

This description is based on out of the box SharePoint security. My personal experience is oriented around MOSS so there may be some MOSS specific stuff here, but I believe it’s accurate for WSS. I hope that anyone seeing any errors or omissions will point that out in comments or email sa akin. I’ll make corrections post haste.

Fundamentals:

Para sa mga layunin ng pangkalahatang-ideya na ito, mayroong apat na pangunahing mga aspeto upang seguridad: user / group, securable bagay, mga antas ng pahintulot at mana.

Mga gumagamit at mga Grupo masira sa:

  • Indibidwal na mga gumagamit: Nakuha mula sa mga aktibong direktoryo o nilikha nang direkta sa SharePoint.
  • Groups: Mapped directly from active directory or created in SharePoint. Groups are a collection of users. Groups are global in a site collection. They are never "tied" sa isang tiyak na securable bagay.

Securable bagay masira sa hindi bababa sa:

  • Mga site
  • Dokumento library
  • Indibidwal na mga item sa listahan at dokumento aklatan
  • Folder
  • Iba't ibang mga setting ng BDC.

May iba pang mga bagay securable, ngunit makuha mo ang mga larawan.

Pahintulot ng mga antas: Ang isang bundle ng mga butil-butil / low level access rights that include such things as create/read/delete entries in lists.

Pamana: By default entities inherit security settings from their containing object. Sub-sites inherit permission from their parent. Document libraries inherit from their site. So on and so forth.

Mga user at pangkat nauugnay sa securable bagay sa pamamagitan ng mga antas ng pahintulot at mana.

Ang Karamihan Mahalaga Security Panuntunan Upang Intindihin, Ever 🙂 :

  1. Groups ay mga simpleng mga koleksyon ng mga gumagamit.
  2. Groups ay global sa loob ng isang koleksyon site (i.e. walang ganoong bagay bilang isang grupo na tinukoy sa isang antas site).
  3. Ang pangalan ng grupo ay hindi withstanding, mga pangkat ay hindi, in at ng kanilang mga sarili, have any particular level of security.
  4. Groups have security in the context of a specific securable object.
  5. Maaari kang magtalaga ng iba't ibang mga antas ng pahintulot sa parehong group para sa bawat securable bagay.
  6. Web application patakaran tramp ang lahat ng ito (tingnan sa ibaba).

Seguridad ng mga administrator nawala sa isang dagat ng pangkat at mga listahan ng gumagamit ay maaaring laging umaasa sa mga axioms upang pamahalaan at maunawaan ang kanilang seguridad configuration.

Mga Karaniwang Pitfalls:

  • Grupo ng mga pangalan ng maling magpahiwatig pahintulot: Sa labas ng kahon sa, SharePoint defines a set of groups whose names imply an inherent level of security. Consider the group "Contributor". One unfamiliar with SharePoint security may well look at that name and assume that any member of that group can "contribute" to any site/list/library in the portal. That may be true but not because the group’s name happens to be "contributor". This is only true out of the box because the group has been provided a permission level that enables them to add/edit/delete content at the root site. Through inheritance, the "contributors" group may also add/edit/delete content at every sub-site. One can "break" the inheritance chain and change the permission level of a sub-site such that members of the so-called "Contributor" grupo ay hindi maaaring mag-ambag sa lahat, ngunit lamang basahin (halimbawa). This would not be a good idea, nang walang alinlangan, dahil magiging lubhang nakalilito.
  • Groups ay hindi natukoy sa isang antas site. It’s easy to be confused by the user interface. Microsoft provides a convenient link to user/group management via every site’s "People and Groups" link. It’s easy to believe that when I’m at site "xyzzy" and I create a group through xyzzy’s People and Groups link that I’ve just created a group that only exists at xyzzy. That is not the case. I’ve actually created a group for the whole site collection.
  • Grupo ng pagiging miyembro hindi nag-iiba ayon sa site (i.e. ito ay pareho sa lahat ng dako ang grupo ay ginamit): Consider the group "Owner" at dalawang mga site, "HR" and "Logistics". It would be normal to think that two separate individuals would own those sites — an HR owner and a Logistics owner. The user interface makes it easy for a security administrator to mishandle this scenario. If I didn’t know better, Maaari ko ma-access ang mga tao at mga Grupo sa pamamagitan ng mga link sa site HR, select the "Owners" group and add my HR owner to that group. A month later, Logistics comes on line. I access People and Groups from the Logistics site, add pull up the "Owners" group. I see the HR owner there and remove her, thinking that I’m removing her from Owners at the Logistics site. Sa katunayan, I’m removing her from the global Owners group. Hilarity ensues.
  • Bagsak upang pangalanan ang pangkat batay sa mga tiyak na papel: The "Approvers" group is a perfect example. What can members of this group approve? Where can they approve it? Do I really want people Logistics department to be able to approve HR documents? Of course not. Always name groups based on their role within the organization. This will reduce the risk that the group is assigned an inappropriate permission level for a particular securable object. Name groups based on their intended role. In the previous HR/Logistics scenario, Ang dapat kong nalikha dalawang bagong mga grupo: "HR Owners" and "Logistics Owners" at magtalaga ng makabuluhang mga antas ng pahintulot para sa bawat isa at ang minimum na halaga na kinakailangan para sa mga gumagamit na iyon upang gawin ang kanilang mga trabaho.

Iba pang kapaki-pakinabang na sanggunian:

Kung nagawa mo na ito ito malayo:

Please let me know your thoughts via the comments or email me. If you know other good references, mangyaring gawin ang parehong!

Technorati Tags:

8 ano sa tingin mo "SharePoint Security Fundamentals Unang / Iwasan ang mga karaniwang Pitfalls

  1. Peri

    Higit pang mga pitfalls:

    * May ilang mga espesyal na pahintulot magagamit saanman sa SSP at hindi makikita sa mga tao at mga Grupo seksyon: "Personalization services permissions"and "Business Data Catalog permissions"

    * Nabasa ko na mayroon ding mga espesyal na SharePoint Designer pahintulot magagamit sa ilang mga arcane xml buried sa loob ng html sa isang lugar.

    * Ang Pangunahin at Pangalawang Mga Administrator para sa isang Collection ng Site ay pinanatiling sa ibang lugar sa mga setting ng Site Collection, at ito ay hindi makikita sa mga tao at mga Grupo seksyon.

    * Ilang mga account na may kahali-halina (espesyal) kakayahan alintana ng kung ano ang nakikita mo sa mga tao at lugar Groups: kasapi ng built-in na pangkat sa Mga Administrator ang mga web server, at ang Farm Account Serbisyo.

    (PS: Tinatanggal ang spam komento nais mapabuti ang kalinawan dito.)

    Sumagot
  2. Jean Wright
    Ito ay isang napakahusay na post. Ako nahulog sa bitag na ito sa ilang mga okasyon. Seguridad ng pamamahala ay makakakuha ng kumplikado kapag sinimulan mo ang paghahalo pamamaraan authentication at iba't ibang pagpapangkat ng seguridad pamamaraan. Ito ay kailangang isaalang-alang bilang bahagi ng proseso ng pagpaplano at hindi dapat overlooked.
    Sumagot
  3. Mark Miller sinulat:
    (Tala mula sa Paul: Mark nagtanong sa akin upang gumawa ng maliit na pagbabago sa kanyang mga komento ngunit hindi ako makapag-edit ng mga live na komento puwang kaya Idinagdag ko na ito minsan pa rito kasama ang pagbabago at tinanggal ang orihinal).
    Paul,
    Ang buod na diskarte para sa pagtatanghal na ito ng impormasyon ay dumating off nang napakahusay. I especially liked the "Pitfalls" seksyon, dahil ko na nahulog sa ilang ng mga sarili ko.
    Isa pang bagay na sinabi mo pindutin tahanan: pag-aaral sa Lunes ay hindi hindi kinakailangang mangahulugan makikita mo matandaan ito sa Biyernes. I’m glad someone besides me is using their blog as a "tickler" sistema para sa mga kritikal na mga bagay na hindi tapos na sa isang regular na batayan.
    Magandang trabaho.
    Regards,
    Markahan
    EndUserSharePoint.com

    Nobyembre 27 9:04 AM
    (http://www.EndUserSharePoint.com)

    Sumagot
  4. Paul Galvin
    Sa tingin ko ito ay marahil isang magandang ideya upang alisin ang mga grupo ng default, especially Contributor and Owner. They are overbroad and easily confused. I prefer to use "All Authenticated Users" in place of a "Visitor" group as well. If a specific set of users should only read-only access then I’d recommend creating an AD group or SharePoint group with an appropriately descriptive name, e.g. "Logistics Visitors".
    –Paul G
    Sumagot
  5. Walang pangalan
    Mukhang ang unang bagay na dapat mong gawin ay lamang ang tambakan ng basura ng Bisita, Nag-aambag at May-ari ng grupo at palitan ang mga ito gamit ang iyong sariling mga lohikal na mga grupo. Gusto ito magkaroon ng kahulugan na gawin?
    Sumagot

-Iwan ng sagot

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan *