SharePoint bảo mật cơ bản mồi / Tránh những cạm bẫy phổ biến

CẬP NHẬT 12/18/07: Xem bài viết của Paul Liebrand cho một số hậu quả kỹ thuật loại bỏ hoặc sửa đổi tên nhóm mặc định (xem bình luận của ông dưới đây cũng).

Tổng quan:

SharePoint bảo mật là dễ dàng để cấu hình và quản lý. Tuy nhiên, nó đã chứng minh là khó khăn cho một số quản trị viên thời gian đầu tiên để thực sự quấn tay của họ xung quanh nó. Không chỉ vậy, Tôi đã thấy một số quản trị viên đến một sự hiểu biết hoàn hảo về thứ hai chỉ đến đã thất bại bởi thứ sáu vì họ không phải làm bất kỳ cấu hình trong thời gian can thiệp. (Tôi thừa nhận để có vấn đề này bản thân mình). Blog entry này hy vọng cung cấp một SharePoint hữu ích an ninh mồi và điểm hướng tới một số cấu hình an ninh thực tiễn tốt nhất.

Lưu ý quan trọng:

Mô tả này được dựa trên ra khỏi hộp bảo mật SharePoint. Kinh nghiệm cá nhân của tôi hướng xung quanh thành phố MOSS do đó có thể có một số công cụ MOSS cụ thể ở đây, nhưng tôi tin rằng nó là chính xác cho WSS. Tôi hy vọng rằng bất cứ ai nhìn thấy bất kỳ lỗi hoặc thiếu sót sẽ chỉ mà ra trong ý kiến hoặc gửi email cho tôi. Tôi sẽ làm cho chỉnh đăng sự vội vàng.

Nguyên tắc cơ bản:

Cho các mục đích của Tổng quan này, có bốn khía cạnh cơ bản để bảo mật: người dùng/nhóm, securable đối tượng, các cấp phép và thừa kế.

Nhóm và người dùng phá vỡ xuống để:

  • Người dùng cá nhân: Kéo từ hoạt động thư mục hoặc tạo trực tiếp trong SharePoint.
  • Nhóm: Ánh xạ trực tiếp từ hoạt động thư mục hoặc tạo ra trong SharePoint. Nhóm là một bộ sưu tập của người dùng. Nhóm được toàn cầu trong một bộ sưu tập trang web. Họ không bao giờ "gắn" với một đối tượng cụ thể securable.

Securable đối tượng phá vỡ xuống để tối thiểu:

  • Các trang web
  • Thư viện tài liệu
  • Các mặt hàng cá nhân trong danh sách và thư viện tài liệu
  • Thư mục
  • Cài đặt khác nhau BDC.

Có khác các đối tượng securable, nhưng bạn nhận được hình ảnh.

Cấp phép: Một bó của hạt / quyền truy cập cấp thấp bao gồm những thứ như tạo/đọc/xóa mục trong danh sách.

Thừa kế: Theo mặc định thực thể thừa kế thiết đặt bảo mật từ đối tượng có chứa. Các trang web tiểu thừa kế quyền từ cha mẹ của họ. Thư viện tài liệu kế thừa từ trang web của họ. Vv và vv..

Người dùng và nhóm liên quan đến các đối tượng securable thông qua các cấp phép và thừa kế.

Các quy tắc bảo mật quan trọng nhất để hiểu, Ever 🙂 :

  1. Nhóm là chỉ đơn giản là bộ sưu tập của người dùng.
  2. Nhóm được toàn cầu trong vòng một bộ sưu tập trang web (tức là. có is không thing như vậy là một nhóm được xác định ở cấp độ trang web).
  3. Tên nhóm không chịu, Nhóm không, Tại và của chính họ, có bất kỳ mức độ cụ thể của bảo mật.
  4. Nhóm có an ninh trong bối cảnh của một đối tượng cụ thể securable.
  5. Bạn có thể gán cấp phép khác nhau cho cùng một nhóm cho mọi đối tượng securable.
  6. Chính sách ứng dụng web trump tất cả điều này (Xem dưới đây).

Quản trị viên bảo mật bị mất trong một biển của các danh sách nhóm và người dùng có thể luôn luôn dựa vào các tiên đề quản lý và hiểu của cấu hình bảo mật.

Cạm bẫy:

  • Tên nhóm sai bao hàm sự cho phép: Ra khỏi hộp, SharePoint định nghĩa một tập của nhóm có tên ngụ ý một mức vốn có bảo mật. Xem xét nhóm "Đóng góp". Một không quen với SharePoint an ninh cũng có thể nhìn vào đó tên và giả định rằng bất kỳ thành viên của nhóm đó có thể "đóng góp" để bất kỳ trang web/danh sách/thư viện trong cổng. Đó có thể đúng, nhưng không phải vì tên của nhóm sẽ xảy ra là "đóng góp". Đây là chỉ thực sự ra khỏi hộp vì đội đã được cung cấp một mức độ quyền mà cho phép họ để thêm/chỉnh sửa/xóa nội dung ở trang web gốc. Thông qua thừa kế, "đóng góp" Nhóm cũng có thể thêm/chỉnh sửa/xóa nội dung ở mỗi trang web phụ. Ai có thể "phá vỡ" thừa kế chuỗi và thay đổi cấp phép của một phụ trang web như vậy là thành viên của cái gọi là "đóng góp" Nhóm không thể đóng góp ở tất cả, nhưng chỉ đọc (Ví dụ). Điều này sẽ không là một ý tưởng tốt, rõ ràng, kể từ khi nó sẽ là rất khó hiểu.
  • Nhóm không được xác định ở cấp độ trang web. Nó là dễ dàng để được bối rối bởi giao diện người dùng. Microsoft cung cấp một liên kết tiện lợi cho người dùng/nhóm quản lý thông qua mỗi trang web "những người và nhóm" liên kết. Nó là dễ dàng để tin rằng khi tôi đang ở trang web "xyzzy" tôi tạo ra một nhóm thông qua xyzzy của những người và nhóm liên kết mà tôi đã chỉ tạo ra một nhóm chỉ tồn tại tại xyzzy. Đó không phải là trường hợp. Tôi đã thực sự tạo ra một nhóm cho bộ sưu tập toàn bộ trang web.
  • Thành viên nhóm không thay đổi tùy theo trang web (tức là. nó là như nhau ở khắp mọi nơi đội được sử dụng): Xem xét nhóm "chủ sở hữu" và hai trang web, "NHÂN SỰ" và "Hậu cần". Nó sẽ là bình thường để nghĩ rằng hai cá nhân riêng biệt nào sở hữu các trang web đó — một chủ nhân sự và một chủ sở hữu Logistics. Giao diện làm cho nó dễ dàng cho người quản trị an ninh máy mishandle kịch bản này. Nếu tôi không biết tốt hơn, Tôi có thể truy cập vào các liên kết những người và nhóm thông qua trang web HR, chọn "chủ nhân" Nhóm và thêm của tôi chủ sở hữu HR vào nhóm đó. Một tháng sau, Hậu cần đến trên dòng. Tôi truy cập vào những người và nhóm từ trang web Logistics, Thêm kéo lên "chủ nhân" Nhóm. Tôi thấy chủ nhân sự có và loại bỏ của mình, suy nghĩ rằng tôi loại bỏ cô ấy từ chủ sở hữu tại địa điểm hậu cần. Thực tế, Tôi loại bỏ cô ấy từ nhóm chủ sở hữu toàn cầu. Vui nhộn nảy sinh.
  • Không thực hiện tên nhóm dựa trên vai trò cụ thể: "Approvers" Nhóm là một ví dụ hoàn hảo. Những gì có thể thành viên của nhóm này phê chuẩn? Nơi họ có thể chấp nhận nó? Tôi thực sự muốn bộ phận hậu cần người để có thể chấp nhận tài liệu HR? Tất nhiên là không. Luôn luôn tên nhóm dựa trên vai trò của họ trong tổ chức. Điều này sẽ làm giảm nguy cơ nhóm được chỉ định một mức độ không thích hợp cho phép cho một đối tượng cụ thể securable. Tên nhóm dựa trên vai trò dự định của họ. Trong trường hợp nhân sự/hậu cần trước, Tôi nên đã tạo ra hai nhóm mới: "Nhân sự chủ sở hữu." và "hậu cần chủ sở hữu." và chỉ định hợp lý quyền cấp cho mỗi và số tiền tối thiểu cần thiết cho những người sử dụng để làm công việc của họ.

Tài liệu tham khảo hữu ích khác:

Nếu bạn đã làm điều này đến nay:

Xin vui lòng cho tôi biết suy nghĩ của bạn thông qua các ý kiến hoặc gửi email cho tôi. Nếu bạn biết các tài liệu tham khảo tốt, Xin vui lòng làm như vậy!

Technorati Tags:

8 Những suy nghĩ trên "SharePoint bảo mật cơ bản mồi / Tránh những cạm bẫy phổ biến

  1. Perry

    Nhiều cạm bẫy:

    * Có một số quyền đặc biệt có sẵn ở những nơi khác trong SSP và không thể nhìn thấy trong phần những người và nhóm: "Cá nhân hoá dịch vụ quyền" và "doanh nghiệp dữ liệu danh mục cấp phép"

    * Tôi đã đọc rằng còn có cấp phép SharePoint Designer đặc biệt có sẵn trong một số xml phức tạp bị chôn vùi bên trong html một nơi nào đó.

    * Tiểu học và trung học quản trị viên cho một bộ sưu tập trang web được lưu giữ ở nơi khác trong bộ sưu tập trang web cài đặt, và là không thể nhìn thấy trong phần những người và nhóm.

    * Tài khoản nhất định có phép thuật (đặc biệt) khả năng bất kể những gì bạn thấy trong khu vực những người và nhóm: Các thành viên của nhóm người quản trị cài sẵn trên các máy chủ web, và tài khoản Dịch vụ Trang trại.

    (PS: Xóa các ý kiến thư rác sẽ cải thiện legibility ở đây.)

  2. Jean Wright
    Đây là một bài rất tốt. Tôi đã rơi vào cái bẫy này một vài lần. Quản lý an ninh có thể nhận được phức tạp khi bạn bắt đầu pha trộn phương pháp xác thực và bảo mật khác nhóm phương pháp. Điều này cần phải được xem xét như là một phần của quá trình lập kế hoạch và không nên bỏ qua.
  3. Mark Miller đã viết:
    (Lưu ý từ Paul: Mark hỏi tôi để làm cho một sự thay đổi nhỏ để bình luận của ông nhưng tôi không thể sửa bình luận trực tiếp tại vì vậy tôi đã thêm nó trở lại ở đây với sự thay đổi và xóa bản gốc).
    Paul,
    Sơ lược về phương pháp tiếp cận để trình bày thông tin này đến tắt rất tốt. Tôi đặc biệt thích những cạm bẫy"" phần, kể từ khi tôi đã rơi vào một vài trong số những bản thân mình.
    Một điều bạn nói trúng nhà: học tập ngày thứ hai không nhất thiết phải không có nghĩa là bạn sẽ nhớ nó vào ngày thứ sáu. Tôi vui rằng ai đó bên cạnh tôi sử dụng blog của mình như là một "tickler" Hệ thống cho những điều quan trọng mà không được thực hiện một cách thường xuyên.
    Tốt công việc.
    Thân,
    Mark
    EndUserSharePoint.com

    Tháng mười một 27 9:04 AM
    (http://www.EndUserSharePoint.com)

  4. Paul Galvin
    Tôi nghĩ rằng nó có thể là một ý tưởng tốt để loại bỏ các nhóm mặc định, đặc biệt là đóng góp và chủ sở hữu. Họ là overbroad và nó dễ nhầm lẫn. Tôi thích sử dụng "tất cả xác thực người dùng" ở vị trí của truy cập"" Nhóm cũng. Nếu một cụ thể thiết lập của người dùng nên quyền truy cập chỉ đọc chỉ sau đó tôi sẽ khuyên bạn nên tạo một nhóm quảng cáo hoặc SharePoint nhóm với một tên mô tả một cách thích hợp, Ví dụ như. "Hậu cần số lượt truy cập".
    –Paul G
  5. Không tên
    Nghe có vẻ như lần đầu tiên bạn nên làm là chỉ cần đổ khách truy cập, Đóng góp và chủ sở hữu nhóm và thay thế chúng với nhóm hợp lý của riêng của bạn. Điều này sẽ làm cho tinh thần để làm?

Để lại câu trả lời

Địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu *