CẬP NHẬT 12/18/07: Xem bài viết của Paul Liebrand cho một số hậu quả kỹ thuật loại bỏ hoặc sửa đổi tên nhóm mặc định (xem bình luận của ông dưới đây cũng).
Tổng quan:
SharePoint bảo mật là dễ dàng để cấu hình và quản lý. Tuy nhiên, nó đã chứng minh là khó khăn cho một số quản trị viên thời gian đầu tiên để thực sự quấn tay của họ xung quanh nó. Không chỉ vậy, Tôi đã thấy một số quản trị viên đến một sự hiểu biết hoàn hảo về thứ hai chỉ đến đã thất bại bởi thứ sáu vì họ không phải làm bất kỳ cấu hình trong thời gian can thiệp. (Tôi thừa nhận để có vấn đề này bản thân mình). Blog entry này hy vọng cung cấp một SharePoint hữu ích an ninh mồi và điểm hướng tới một số cấu hình an ninh thực tiễn tốt nhất.
Lưu ý quan trọng:
Mô tả này được dựa trên ra khỏi hộp bảo mật SharePoint. Kinh nghiệm cá nhân của tôi hướng xung quanh thành phố MOSS do đó có thể có một số công cụ MOSS cụ thể ở đây, nhưng tôi tin rằng nó là chính xác cho WSS. Tôi hy vọng rằng bất cứ ai nhìn thấy bất kỳ lỗi hoặc thiếu sót sẽ chỉ mà ra trong ý kiến hoặc gửi email cho tôi. Tôi sẽ làm cho chỉnh đăng sự vội vàng.
Nguyên tắc cơ bản:
Cho các mục đích của Tổng quan này, có bốn khía cạnh cơ bản để bảo mật: người dùng/nhóm, securable đối tượng, các cấp phép và thừa kế.
Nhóm và người dùng phá vỡ xuống để:
- Người dùng cá nhân: Kéo từ hoạt động thư mục hoặc tạo trực tiếp trong SharePoint.
- Nhóm: Ánh xạ trực tiếp từ hoạt động thư mục hoặc tạo ra trong SharePoint. Nhóm là một bộ sưu tập của người dùng. Nhóm được toàn cầu trong một bộ sưu tập trang web. Họ không bao giờ "gắn" với một đối tượng cụ thể securable.
Securable đối tượng phá vỡ xuống để tối thiểu:
- Các trang web
- Thư viện tài liệu
- Các mặt hàng cá nhân trong danh sách và thư viện tài liệu
- Thư mục
- Cài đặt khác nhau BDC.
Có khác các đối tượng securable, nhưng bạn nhận được hình ảnh.
Cấp phép: Một bó của hạt / quyền truy cập cấp thấp bao gồm những thứ như tạo/đọc/xóa mục trong danh sách.
Thừa kế: Theo mặc định thực thể thừa kế thiết đặt bảo mật từ đối tượng có chứa. Các trang web tiểu thừa kế quyền từ cha mẹ của họ. Thư viện tài liệu kế thừa từ trang web của họ. Vv và vv..
Người dùng và nhóm liên quan đến các đối tượng securable thông qua các cấp phép và thừa kế.
Các quy tắc bảo mật quan trọng nhất để hiểu, Ever 🙂 :
- Nhóm là chỉ đơn giản là bộ sưu tập của người dùng.
- Nhóm được toàn cầu trong vòng một bộ sưu tập trang web (tức là. có is không thing như vậy là một nhóm được xác định ở cấp độ trang web).
- Tên nhóm không chịu, Nhóm không, Tại và của chính họ, có bất kỳ mức độ cụ thể của bảo mật.
- Nhóm có an ninh trong bối cảnh của một đối tượng cụ thể securable.
- Bạn có thể gán cấp phép khác nhau cho cùng một nhóm cho mọi đối tượng securable.
- Chính sách ứng dụng web trump tất cả điều này (Xem dưới đây).
Quản trị viên bảo mật bị mất trong một biển của các danh sách nhóm và người dùng có thể luôn luôn dựa vào các tiên đề quản lý và hiểu của cấu hình bảo mật.
Cạm bẫy:
- Tên nhóm sai bao hàm sự cho phép: Ra khỏi hộp, SharePoint định nghĩa một tập của nhóm có tên ngụ ý một mức vốn có bảo mật. Xem xét nhóm "Đóng góp". Một không quen với SharePoint an ninh cũng có thể nhìn vào đó tên và giả định rằng bất kỳ thành viên của nhóm đó có thể "đóng góp" để bất kỳ trang web/danh sách/thư viện trong cổng. Đó có thể đúng, nhưng không phải vì tên của nhóm sẽ xảy ra là "đóng góp". Đây là chỉ thực sự ra khỏi hộp vì đội đã được cung cấp một mức độ quyền mà cho phép họ để thêm/chỉnh sửa/xóa nội dung ở trang web gốc. Thông qua thừa kế, "đóng góp" Nhóm cũng có thể thêm/chỉnh sửa/xóa nội dung ở mỗi trang web phụ. Ai có thể "phá vỡ" thừa kế chuỗi và thay đổi cấp phép của một phụ trang web như vậy là thành viên của cái gọi là "đóng góp" Nhóm không thể đóng góp ở tất cả, nhưng chỉ đọc (Ví dụ). Điều này sẽ không là một ý tưởng tốt, rõ ràng, kể từ khi nó sẽ là rất khó hiểu.
- Nhóm không được xác định ở cấp độ trang web. Nó là dễ dàng để được bối rối bởi giao diện người dùng. Microsoft cung cấp một liên kết tiện lợi cho người dùng/nhóm quản lý thông qua mỗi trang web "những người và nhóm" liên kết. Nó là dễ dàng để tin rằng khi tôi đang ở trang web "xyzzy" tôi tạo ra một nhóm thông qua xyzzy của những người và nhóm liên kết mà tôi đã chỉ tạo ra một nhóm chỉ tồn tại tại xyzzy. Đó không phải là trường hợp. Tôi đã thực sự tạo ra một nhóm cho bộ sưu tập toàn bộ trang web.
- Thành viên nhóm không thay đổi tùy theo trang web (tức là. nó là như nhau ở khắp mọi nơi đội được sử dụng): Xem xét nhóm "chủ sở hữu" và hai trang web, "NHÂN SỰ" và "Hậu cần". Nó sẽ là bình thường để nghĩ rằng hai cá nhân riêng biệt nào sở hữu các trang web đó — một chủ nhân sự và một chủ sở hữu Logistics. Giao diện làm cho nó dễ dàng cho người quản trị an ninh máy mishandle kịch bản này. Nếu tôi không biết tốt hơn, Tôi có thể truy cập vào các liên kết những người và nhóm thông qua trang web HR, chọn "chủ nhân" Nhóm và thêm của tôi chủ sở hữu HR vào nhóm đó. Một tháng sau, Hậu cần đến trên dòng. Tôi truy cập vào những người và nhóm từ trang web Logistics, Thêm kéo lên "chủ nhân" Nhóm. Tôi thấy chủ nhân sự có và loại bỏ của mình, suy nghĩ rằng tôi loại bỏ cô ấy từ chủ sở hữu tại địa điểm hậu cần. Thực tế, Tôi loại bỏ cô ấy từ nhóm chủ sở hữu toàn cầu. Vui nhộn nảy sinh.
- Không thực hiện tên nhóm dựa trên vai trò cụ thể: "Approvers" Nhóm là một ví dụ hoàn hảo. Những gì có thể thành viên của nhóm này phê chuẩn? Nơi họ có thể chấp nhận nó? Tôi thực sự muốn bộ phận hậu cần người để có thể chấp nhận tài liệu HR? Tất nhiên là không. Luôn luôn tên nhóm dựa trên vai trò của họ trong tổ chức. Điều này sẽ làm giảm nguy cơ nhóm được chỉ định một mức độ không thích hợp cho phép cho một đối tượng cụ thể securable. Tên nhóm dựa trên vai trò dự định của họ. Trong trường hợp nhân sự/hậu cần trước, Tôi nên đã tạo ra hai nhóm mới: "Nhân sự chủ sở hữu." và "hậu cần chủ sở hữu." và chỉ định hợp lý quyền cấp cho mỗi và số tiền tối thiểu cần thiết cho những người sử dụng để làm công việc của họ.
Tài liệu tham khảo hữu ích khác:
- Web ứng dụng chính sách gotcha: http://paulgalvin.spaces.live.com/blog/cns!1CC1EDB3DAA9B8AA!255.entry
- Các bộ phận cho SharePoint an ninh: http://www.sharepointsecurity.com/
- Các liên kết từ Joel Oleson: http://blogs.msdn.com/joelo/archive/2007/08/23/sharepoint-security-and-compliance-resources.aspx
Nếu bạn đã làm điều này đến nay:
Xin vui lòng cho tôi biết suy nghĩ của bạn thông qua các ý kiến hoặc gửi email cho tôi. Nếu bạn biết các tài liệu tham khảo tốt, Xin vui lòng làm như vậy!