SharePoint 2010: Планирование защиты SharePoint

Защита SharePoint усложняется со временем, если вы заблаговременно не разработали действенный процесс обеспечения безопасности и не производили неизменное управление этим процессом. Ошибка в обеспечении безопасности может привести к несанкционированному доступу к конфигурационным характеристикам SharePoint либо возможному доступу к контенту, предназначенному только для определенных служащих либо групп. Упущения в защите не только лишь манят денежные и юридические последствия, да и раздражают юзеров и усугубляют их отношение к системе.

Самый наилучший метод достигнуть, чтоб ничего этого не вышло, — разобраться в стандартных группах, доступных в SharePoint, и разных уровнях разрешений. Потом найти, необходимо ли создавать свою группу либо новый уровень разрешений. Следует документировать процесс и политику сотворения новых уровней разрешений и групп SharePoint в плане защиты, доступном всем конечным юзерам.

Стандартные разрешения SharePoint

Уровни разрешений SharePoint — конструктивные элементы, на базе которых вы создаете группы SharePoint. Уровень разрешений назначается группе и тем назначается всем юзерам из этой группы. Принципиально знать все уровни разрешений и то, что может делать юзер, если ему назначен тот либо другой уровень разрешений. По дефлоту, если вы не используете шаблон публикации (publishing template), доступны последующие уровни разрешений:

Limited Access (ограниченный доступ): позволяет юзерам созидать определенный перечень в библиотеке документов, но не предоставляет им доступ ко всему веб-сайту. Обычно, юзеров добавляют в эту группу не впрямую, а косвенно, в итоге конфигурации разрешений на отдельные элементы перечня либо веб-сайта.
Read (чтение): позволяет юзерам просматривать элементы на страничке.
Contribute (роль): позволяет юзерам добавлять, редактировать и удалять элементы на страничках веб-сайта либо в перечнях и библиотеках документов.
Design (проектирование): позволяет юзерам поменять разметку страничек веб-сайта при помощи браузера либо Microsoft SharePoint Designer 2010.
Full Control (полный доступ): содержит в себе все разрешения.

Если вы используете шаблон публикации, вам будут доступны последующие уровни разрешений:

Restricted Read (ограниченный доступ): позволяет юзерам просматривать странички и документы.
Approve (утверждение): позволяет юзерам редактировать и утверждать странички, элементы списков и документы.
Manage Hierarchy (управление иерархией): позволяет юзерам создавать веб-сайты, редактировать странички и создавать списки частей и документов.

В SharePoint 2010 имеется 33 разных разрешения, распределенных меж пятью стандартными уровнями разрешений. Принципиально осознавать, к примеру, то, что такие уровни разрешения, как Contribute либо Full Control, связаны с еще больше детализированными группами разрешений. Самый наилучший метод ознакомиться с разрешениями, надлежащими тому либо иному уровню разрешений — зайти в Site Permissions, избрать уровень разрешений и действовать так, будто бы вы собираетесь редактировать разрешения. Тогда вы увидите простые разрешения для данного уровня разрешений.

Если для определенного уровня разрешений необходимы другие разрешения, вероятнее всего, следует сделать новый уровень разрешений с этими уникальными разрешениями. Это поможет освободить от неурядицы админов, которые будут заниматься предназначением уровней разрешений группам SharePoint. Часто встречающаяся причина сотворения нового уровня разрешений — необходимость сделать уровень разрешений, аналогичный Contribute, но без права на удаление.

Стандартные группы SharePoint

Перед разработкой плана защиты либо плана управления SharePoint вы должны изучить стандартные группы SharePoint. Не считая того, очень принципиально осознать, какие уровни разрешений назначаются каждой группе. Группы SharePoint могут различаться зависимо от избранного шаблона веб-сайта.

Следует сделать, так чтоб большая часть юзеров было членами групп Visitors либо Members. Это позволит избежать ненужных конфигураций в структуре, параметрах веб-сайта либо наружном виде веб-сайта. Но принципиально держать в голове, что юзеры, входящие в группу Members, имеют право на удаление. В SharePoint нет стандартной группы с уровнем разрешений, позволяющим создавать, но не позволяющим удалять. Для поддержки функциональности такового рода необходимы свой уровень разрешений и собственная группа.

Не считая того, есть админы фермы SharePoint и админы набора веб-сайтов. Вхождение в группу админов фермы SharePoint позволяет администрировать SharePoint на уровне фермы — на самом высочайшем уровне. Следует очень ограничить количество юзеров, входящих в эту группу. Члены группы админов набора веб-сайтов могут администрировать SharePoint на уровне набора веб-сайтов. На этом уровне можно настраивать группы безопасности, структуру и внешний облик веб-сайтов. Количество членов этой группы также следует ограничить.

Обусловьте, необходимы ли собственные разрешения

Одни организации просто употребляют стандартные группы и уровни разрешений. Другие употребляют их как инфраструктуру либо базу для сотворения собственных. Если стандартные уровни разрешений либо группы не совершенно подходят вашей организации, в любом случае придется создавать собственные уровни разрешений и группы.

Если требуются собственные уровни разрешений, следует создавать новые уровни разрешений с новыми разрешениями, а не изменять стандартные уровни разрешений. Вот некие типовые ситуации, когда требуются собственные уровни разрешений:

Стандартные уровни разрешений содержат все разрешения, кроме 1-го, подходящего определенной группе юзеров.
Стандартные уровни разрешений содержат разрешение, не необходимое определенной группе юзеров.

Непременно дайте новенькому уровню разрешений понятное имя и письменное описание, чтоб вы и другие админы понимали, что обеспечивает этот уровень разрешений. Используйте эти уровни разрешений с осторожностью. Проанализируйте уточненные разрешения, чтоб убедиться, что они стопроцентно отвечают вашим требованиям, и только позже назначайте их группам SharePoint.

Необходимость в разработке собственных групп SharePoint появляется почаще и оказывает наименьшее воздействие на безопасность веб-сайта, чем собственные уровни разрешений. Вот некие обычные предпосылки сотворения групп SharePoint:

Сотрудникам организации требуется больше либо меньше ролей, чем доступно для групп по дефлоту.
В организации имеются принятые имена ролей, выполняющих те либо другие задачки.
Вы желаете сделать прямое соответствие меж группами безопасности Windows либо перечнями распространения и группами SharePoint.
Вы предпочитаете имена групп, хорошие от стандартных.

Следует кропотливо задокументировать собственные группы SharePoint и сделать их доступными всем админам для повсеместного использования на веб-сайте. Microsoft предлагает электрическую таблицу для документирования всех собственных уровней разрешений и групп.

Смотрите за безопасностью SharePoint

Защита SharePoint может стремительно прийти в неуправляемое состояние, потому принципиально выслеживать новые уровни разрешений и группы SharePoint по мере их сотворения. В процессе сотворения этих уровней и групп должен участвовать управляющий комитет, чтоб была уверенность, что они вправду необходимы в вашей среде.

Выслеживайте веб-сайты, которые нарушают цепочку наследования от родительских веб-сайтов, так как действенное управление такими веб-сайтами возможно окажется сложным. В SharePoint 2010, если разрешения веб-сайта нарушают наследование от родительского веб-сайта, выводится зрительное извещение. Как можно строже ограничивайте нарушение наследования. Из-за него появляются задачи с безопасностью и ситуация выходит из-под контроля.

Неплохой подход — часто делать аудит безопасности, проверяя уровни разрешений, группы SharePoint и то, как ваши сотрудники употребляют их в купе с группами Active Directory и перечнями распространения. Аудит безопасности при помощи интегрированных средств либо инструментов посторониих производителей вынудить админов вашего веб-сайта не один раз помыслить, до того как добавить уровень разрешений для группы. Следует вполне задокументировать эти процессы в вашем плане обеспечения безопасности.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.