ОНОВЛЕННЯ 12/18/07: Paul Liebrand у статті деякі технічні наслідки про видалення або модифікації імена груп за промовчанням (Переглянути свій коментар нижче, а також).
Огляд:
Безпеки SharePoint є легко налаштувати і керувати. Однак, Вона виявилася важким для деяких вперше адміністратори дійсно обернути руки навколо нього. Не тільки це, Я бачив деякі адміністратори прийти досконалим розуміння на понеділок тільки до втратив його п'ятницю, тому що вони не мають виконувати ніяких додаткових налаштувань в проміжний час. (Я визнаю себе з цією проблемою). Цей запис у блозі, сподіваюся, забезпечує корисну грунтовка безпеки SharePoint і вказує на деякі конфігурації кращі методи додержання безпеки.
Важливе зауваження:
Такий Опис базується на з коробки SharePoint безпеки. Мій особистий досвід орієнтованих навколо МОСС, так що там можуть бути деякі МОХ конкретні речі тут, але я вважаю, що це точні для WSS. Я сподіваюся, що хто-небудь бачачи, будь-які помилки або упущення відзначають, що в коментарях або Напишіть мені. Я зроблю корекції пост haste.
Основи:
Для цілей цього огляд, є чотири основних аспектів безпеки: користувачів і групи, захищені об'єкти, рівні дозволів і спадкування.
Користувачі та групи розбити вниз, щоб:
- Окремі користувачі: Витяг з активним Довідник "або" створено безпосередньо в SharePoint.
- Групи: Підключеного безпосередньо з active directory або створеним у SharePoint. Групи є колекція користувачів. Групи мають глобальний характер в колекції сайтів. Вони ніколи не "зв'язали" до конкретних захищеного об'єкта.
Захищені об'єкти розбити вниз, щоб принаймні:
- Сайти
- Бібліотеки документів
- Окремих елементів у списках і бібліотеках документів
- Папки
- Різні параметри служби ПБД.
Є інші захищені об'єкти, але ви отримаєте картинку.
Рівні дозволів: Пучок гранульований / низький рівень доступу прав, які включають такі речі, як створити/читання/видалення записів у списках.
Успадкування: За замовчуванням осіб успадковують параметри безпеки їх містять об'єкт. Дочірніх сайтів успадковують дозволи від своїх батьківських. Успадковувати бібліотек документів з їх сайту. Так далі і тому подібне.
Користувачі та групи ставляться до захищеного об'єктів через рівні дозволів і спадкування.
Найбільш важливі правила безпеки зрозуміти, Ever 🙂 :
- Групи є просто колекції користувачів.
- Групи є глобальний в межах колекції сайтів (тобто. Існує немає такого поняття, як група, визначені на рівні сайту).
- Ім'я групи не витримати, групи не роблять, у та себе, мати будь-якої конкретної рівень безпеки.
- Групи мають безпеки у контексті конкретних захищеного об'єкта.
- Можна призначити рівні різних дозволів в ту ж групу для кожного захищеного об'єкта.
- Web застосування політики Трамп все це (див нижче).
Безпеки адміністратори втратила в море Група і користувач списки завжди можете покластися на ці аксіом, управляти і розуміти їх конфігурація безпеки.
Поширених помилок:
- Імена груп помилково передбачають дозвіл: З коробки, SharePoint визначає набір груп, назви яких має на увазі властиві рівень безпеки. Розглянемо групи "Учасник". Незнайомі з безпеки SharePoint можна також подивитися на це ім'я і припустити, що будь-який член групи може "сприяти" для будь-якого сайту/списку/бібліотека на порталі. Це може бути правдою, але не тому, що назва трапляється бути "Учасник". Це тільки так з коробки, тому що групі була надана рівень дозволів, що дає їм можливість додавати/редагувати/видаляти вміст в корінь сайту. Через успадкування, Автори"" Група також може додавати/редагувати/видаляти вміст в суб-сайтів. "Зруйнувати" ланцюжка наслідування і змінити рівень дозволів на дочірній сайт, такі що члени так звані "учасник" Група не може працювати на всіх, але тільки читати (Наприклад). Це не було б непогано, Очевидно, оскільки було б дуже заплутаною.
- Групи не визначено на рівні сайту. Це легко можна сплутати інтерфейсу користувача. Корпорація Майкрософт надає зручний посилання користувач/Група управління через кожен сайт "людей і груп" посилання. Легко вважати, що, коли я на сайті "xyzzy" і створити групу через xyzzy, людей і груп, що я тільки що створили групу, яка існує тільки в xyzzy сайт. Це не випадок. Я насправді створив групу для збору весь сайт.
- Членство в групах і не змінюється на сайті (тобто. Це та ж скрізь Група використовується): Група "власник розглянемо" і два сайти, "УПРАВЛІННЯ ПЕРСОНАЛОМ" і «Логістика». Це було б нормально думати, що два окремих героїв буде володіти цими сайтами — HR власника та власника логістики. Користувальницький інтерфейс робить її легкою для безпеки адміністратора, щоб погано звертатися такий сценарій. Якщо я не знаю краще, Може отримати доступ до людей і груп посилання через HR-сайт, Виберіть "власників" групувати та додати мій HR власника до цієї групи. Через місяць, Логістика поставляється на лінії. Доступ до користувачів і групи з логістики сайту, додати підтягти "власників" Група. Я бачу власник HR і видалити її, думаючи, що я перебуваю видалення її з власників на сайті логістики. Насправді, Я впевнений, видалення її з глобальної власники групи. Настає розваг.
- В іншому випадку для іменування груп на основі конкретних роль: "Затверджувачів" Група є прекрасним прикладом. Що може членів цієї групи затвердити? Де вони можуть затверджувати? Я дійсно хочу, люди логістичному відділі для того, щоб затвердити Кадрової документації? Звичайно, не. Завжди іменування груп на основі їх роль в рамках організації. Це дозволить скоротити ризик, що група отримує недоречним дозволу рівня на певному захищеному об'єкті. Іменування груп на основі їх призначенням ролі. У попередній сценарій HR/логістики, Я повинен створив дві нові групи: "Управління Персоналом власників" і "логістика власників" і призначити рівні розумної дозволів для кожного і мінімальна сума, необхідна для тих користувачів, щоб зробити їх роботу.
Інші корисні посилання:
- Web застосування політики gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Інформаційний SharePoint безпеки: http://www.sharepointsecurity.com/
- Посилання з Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Якщо ви вже зробили це набагато:
Будь ласка, дайте мені знати ваші думки через коментарі або напишіть мені. Якщо ви знаєте інші хороші посилання, будь ласка, зробити те ж саме!