Планирование безопасности сайта (Office SharePoint Server)
Содержание:
Элементы системы безопасности сайта
Назначение разрешений
Детальные разрешения и наследование разрешений
Выбор уровней безопасности сайта
Планирование наследования разрешений
Скрипты дочерних сайтов
Форма
В данной статье рассматривается составление плана по управлению доступом и авторизации на уровнях семейства сайтов, сайта и дочернего сайта. Данные по обеспечению безопасности сервера или фермы серверов отсутствуют. Дополнительные сведения о планировании других аспектов безопасности, включая способы проверки подлинности и шифрования, см. в разделе Планирование безопасности сайта и содержимого (Office SharePoint Server).
Управление безопасностью сайта осуществляется за счет назначения разрешений пользователям и группам для конкретных защищаемых объектов (сайтов, списков или элементов). При планировании системы безопасности необходимо решить следующие вопросы:
Степень контроля за разрешениями для конкретных защищаемых объектов. Например, управление доступом должно осуществляться для всего сайта или следует использовать определенные параметры безопасности для конкретного списка, папки или элемента?
Способы классификации и управления пользователями (с помощью групп). В данной статье рассматриваются основные вопросы безопасности сайта, предоставляются справочные сведения об определении защищаемых объектов, к которым применяются конкретные разрешения. Дополнительные сведения о группировании пользователей см. в разделе Выбор используемых групп безопасности (Office SharePoint Server).
Примечание
По сравнению с предыдущей версией был значительно изменен способ взаимодействия между группами и разрешениями. Так, в прежней версии группы уровня сайта включали как пользователей, так и разрешения: при добавлении пользователя к группе сайта автоматически определялись разрешения, предоставляемые этому пользователю для этого сайта. В настоящей версии группы пользователей и разрешения разделены: группы SharePoint на уровне семейства сайтов содержат пользователей, уровни разрешений включают разрешения, и группы не получают разрешений до тех пор, пока им не будет назначен уровень разрешений для конкретного защищаемого объекта (сайта, списка, папки, элемента или документа).
Элементы системы безопасности сайта
Независимо от типа создаваемого сайта, система безопасности включает в себя пять следующих элементов:
Отдельные разрешения пользователей Отдельные разрешения, которые позволяют выполнять конкретные действия. Например, разрешение на просмотр элементов позволяет пользователям просматривать элементы в списке. С помощью страницы центра администрирования "Разрешения пользователя для веб-приложения" администраторы фермы серверов могут управлять доступными для этой фермы разрешениями (чтобы открыть эту страницу, на странице "Управление приложениями" в разделе Безопасность приложений щелкните Разрешения пользователя для веб-приложения). Сведения о доступных разрешениях см. в разделе User permissions and permission levels.
Уровень разрешений Предварительно определенный набор разрешений, который позволяет пользователям выполнять соответствующие действия. По умолчанию заданы следующие уровни разрешений: "Ограниченный доступ", "Чтение", "Участие", "Разработка" и "Полный доступ". Например, уровень разрешений "Чтение" включает в себя разрешения "Просмотр элементов", "Открытие элементов", "Просмотр страниц" и "Просмотр версий" (доступны и другие разрешения). Все они требуются для для чтения документов, элементов и страниц на сайте SharePoint. Разрешения могут быть включены в несколько уровней. Уровни разрешений может настраивать любой пользователь, обладающий уровнем, который включает разрешение "Управление разрешениями". Сведения об уровнях разрешений по умолчанию и входящих в них разрешениях см. в разделе User permissions and permission levels.
Пользователь Лицо, имеющее учетную запись, подлинность которой может быть проверена с помощью способа проверки подлинности, используемого для сервера. Можно добавлять отдельных пользователей и непосредственно назначать каждому из них уровень разрешений. Пользователи не обязательно должны являться участниками группы. Рекомендуется назначать разрешения не отдельным пользователям, а группам. Управление учетными записями пользователей напрямую неэффективно, поэтому рекомендуется назначать разрешения для отдельных пользователей только в виде исключения. Дополнительные сведения о видах учетных записей пользователей см. в разделе User permissions and permission levels.
Группа Группой называется группа пользователей. Группа может быть группой безопасности Windows (например, "отдел_A"), которая добавляется на сайт, либо группой SharePoint, например "Владельцы сайта", "Участники сайта" или "Посетители сайта". Для каждой группы SharePoint назначается уровень разрешений по умолчанию, но при необходимости его можно изменить для любой группы. Создавать пользовательские группы SharePoint может любой пользователь, которому назначен уровень разрешений, включающий разрешение "Создание групп" (по умолчанию входит в уровень разрешений "Полный доступ").
Защищаемый объект Уровень разрешений назначается пользователям или группам для конкретного защищаемого объекта: сайта, списка, библиотеки, папки, документа или элемента. По умолчанию разрешения для списков, библиотек, папок, документов и элементов наследуются от родительского сайта или родительского списка или библиотеки. Однако любой, кому назначен уровень разрешений для определенного защищаемого объекта, включающий разрешение "Управление разрешениями", может изменить разрешения для этого объекта. По умолчанию контроль над разрешениями первоначально осуществляется на уровне сайта, при этом все списки и библиотеки наследуют разрешения сайта. Для более детального контроля пользователей, которые могут просматривать контент сайта и взаимодействовать с ним, используйте разрешения на уровне списка, папки и элемента. В любой момент можно вернуться к наследованию разрешений от родительского списка, сайта в целом или родительского сайта.
Назначение разрешений
Можно назначать уровни разрешений пользователям или группам для конкретных защищаемых объектов (сайтов, списков или элементов). Отдельные пользователи или группы могут иметь различные уровни разрешений для разных защищаемых объектов.
Примечание
Поскольку управление учетными записями пользователей напрямую неэффективно, рекомендуется максимально использовать разрешения групп. В случае использования детальных разрешений (см. раздел далее) применение групп позволит избежать необходимости отслеживать разрешения для отдельных учетных записей. Пользователи могут переходить из группы в группу и часто менять обязанности, при этом отпадает необходимость отслеживать эти изменения и постоянно обновлять разрешения для уникальных защищенных объектов.
На следующей схеме показано, как пользователям и группам назначаются отдельные уровни разрешений для определенных защищаемых объектов.
Детальные разрешения и наследование разрешений
Детальные разрешения (разрешения на уровне списка, библиотеки, папки, элемента или документа) можно использовать для более точного управления действиями, которые пользователи могут выполнять на сайте. Для назначения разрешений доступны следующие защищенные объекты.
Сайт Управляет доступом к сайту в целом.
Список или библиотека Управляет доступом к определенному списку или библиотеке.
Папка Управляет доступом к свойствам папки (таким как название папки).
Элемент или документ Управляет доступом к определенному элементу списка или документу.
Наследование разрешений и детальные разрешения
По умолчанию разрешения на сайте наследуются от этого сайта. Однако это наследование можно прекратить для любого защищаемого объекта, находящегося на более низком уровне в иерархии. Для этого нужно изменить разрешения (создать назначение уникальных разрешений) для этого защищаемого объекта. Например, можно изменить разрешения для библиотеки документов, прекратив наследование от сайта. Однако наследование отменяется только для конкретного защищаемого объекта, которому были присвоены разрешения; остальные разрешения на сайте остаются неизменными. В любое время можно вернуться к наследованию разрешений от родительского сайта или списка.
Наследование разрешений и дочерние сайты
Веб-сайт представляет собой защищаемый объект, для которого можно назначить разрешения. Можно настроить дочерние сайты для наследования разрешений от родительского сайта либо создать уникальные разрешения для определенного сайта. Наследование разрешений является простейшим способом для управления группой веб-сайтов. Тем не менее, если дочерний сайт наследует разрешения от своего родительского сайта, то этот набор разрешений является общим. Это означает, что владельцы дочерних сайтов, наследующих разрешения от родительского сайта, могут изменять разрешения родительского сайта. Чтобы изменить разрешения только для дочернего сайта, необходимо остановить наследование разрешений, а затем внести необходимые изменения.
Дочерние сайты могут наследовать разрешения от родительского сайта. Наследование разрешений можно остановить для дочернего сайта, создав для него уникальные разрешения. При этом группы, пользователи и уровни разрешений копируются с родительского сайта на дочерний сайт и затем прекращается наследование. При смене уникальных разрешений на наследуемые начинается наследование пользователей, групп и уровней разрешений и все уникально заданные на данном дочернем сайте пользователи, группы и уровни разрешений будут утрачены. Уровни разрешений также могут наследоваться таким образом, что уровень разрешений "Чтение" остается неизменным вне зависимости от объекта, к которому он применяется (и это является поведением по умолчанию). Можно прекратить наследование, изменив уровень разрешений (например, в уровень разрешений "Чтение" конкретного дочернего сайта можно включить разрешение "Создание оповещений").
Выбор уровней безопасности сайта
При создании структуры разрешений важно найти баланс между удобством администрирования, быстродействием и потребностью управлять конкретными разрешениями для отдельных элементов. При интенсивном использовании точных разрешений:
Управление разрешениями будет занимать больше времени.
Microsoft Office SharePoint Server может отключить кэширование вывода, если семейство сайтов используется более 10 000 уникальных списков управления доступом (ACL). При попытке доступа к контенту сайтов пользователи могут столкнуться с уменьшением быстродействия. Дополнительные сведения о кэшировании см. в разделе Кэширование в Office SharePoint Server 2007.
Как и в случае с любыми серверами или веб-сайтами при разрешении доступа к сайту важно руководствоваться принципом предоставления минимальных прав: пользователям должен быть предоставлен только тот уровень разрешений, который им необходим. Для начала, чтобы упростить задачи администрирования, используйте стандартные группы ("Участники", "Посетители" и "Владельцы") и управляйте разрешениями на уровне сайта. Большинство пользователей следует отнести в группы "Посетители" и "Участники". В группу "Владельцы" должны входить только те пользователи, которым разрешено изменять структуру сайта или его параметры и вид. По умолчанию пользователи, входящие в группу "Участники", могут управлять содержимым сайта, добавляя или удаляя элементы и документы, однако им запрещено изменять структуру сайта или его параметры и вид. Чтобы увеличить степень контроля за действиями, которые могут предпринять пользователи, можно создать дополнительные группы SharePoint и уровни разрешений.
При наличии списков, библиотек, папок, элементов или документов, содержащих конфиденциальные данные, требующие дополнительной защиты, можно предоставлять разрешения только для некоторых групп или отдельных пользователей. Учтите, что невозможно просмотреть одновременно все разрешения по определенным спискам, библиотекам, папкам, элементам или документам на сайте. Это означает, что почти невозможно быстро получить информацию о пользователях, обладающих разрешениями для определенных защищаемых объектов, и сложно выполнить сброс детальных разрешений в пакетном режиме.
Планирование наследования разрешений
Управлять разрешениями намного легче, когда существует четкая иерархия разрешений и наследуемых разрешений. Однако эта задача становится труднее, если для некоторых списков сайта используются детальные разрешения, а также в том случае, когда у одних сайтов дочерние сайты обладают уникальными разрешениями, а у других сайтов — наследуемыми. Насколько возможно, организуйте сайты, дочерние сайты, списки и библиотеки так, чтобы они могли наследовать большую часть разрешений. Поместите конфиденциальные данные в отдельные списки, библиотеки или дочерние сайты.
К примеру, намного проще управлять сайтом с наследованием разрешений, показанным в следующей таблице.
Защищаемый объект | Описание | Уникальные или наследуемые разрешения |
---|---|---|
Сайт A |
Домашняя страница группы |
Уникальные |
Сайт A/дочерний сайт A |
Конфиденциальная группа |
Уникальные |
Сайт A/дочерний сайт A/список A |
Конфиденциальные данные |
Уникальные |
Сайт A/дочерний сайт A/библиотека A |
Конфиденциальные документы |
Уникальные |
Сайт A/сайт B |
Общие сведения проекта группы |
Унаследованные |
Сайт A/сайт B/список B |
Не конфиденциальные данные |
Унаследованные |
Сайт A/сайт B/библиотека B |
Не конфиденциальные документы |
Унаследованные |
Для сравнения управление сайтом с наследованием разрешений, показанным в таблице далее, намного сложнее.
Защищаемый объект | Описание | Уникальные или наследуемые разрешения |
---|---|---|
Сайт A |
Домашняя страница группы |
Уникальные |
Сайт A/дочерний сайт A |
Конфиденциальная группа |
Уникальные |
Сайт A/дочерний сайт A/список A |
Не конфиденциальные данные |
Уникальные, но с такими же разрешениями, как для сайта А |
Сайт A/дочерний сайт A/библиотека A |
Не конфиденциальные документы, но с одним или двумя конфиденциальными документами |
Унаследованные, с уникальными разрешениями на уровне документа |
Сайт A/сайт B |
Общие сведения проекта группы |
Унаследованные |
Сайт A/сайт B/список B |
Не конфиденциальные данные, но с одним или двумя конфиденциальными элементами |
Унаследованные, с уникальными разрешениями на уровне элемента |
Сайт A/сайт B/библиотека B |
Не конфиденциальные данные, но с особой папкой, включающей конфиденциальные документы |
Унаследованные, с уникальными разрешениями на уровне папки и документа |
Скрипты дочерних сайтов
Если для среды требуется максимальный уровень изоляции контента и сайтов, может быть полезно проектировать структуру сайтов Office SharePoint Server так, чтобы избежать риска, связанного с использованием смежных пространств имен URL-адресов. В конфигурация по умолчанию пространств имен URL-адресов сайтов Office SharePoint Server могут возникать проблемы скриптов дочерних сайтов, когда злоумышленник может выполнить на сайте действия, выходящие за границы уровня разрешений, предоставленных пользователю. Проблема вызвана тем, что сайты Office SharePoint Server являются границами безопасности, любое число которых может соседствовать друг с другом под одним именем узла. Так как веб-браузеры считают границами безопасности только имена узлов (а не сайтов), то контент с скриптами, находящийся на одном сайте Office SharePoint Server, может, при определенных условиях, выполняться на других сайтах, для которых используется то же имя узла.
Office SharePoint Server разрешает доступ к контенту прошедшему проверку подлинности пользователю на основе его прав и членства в группах. Поэтому скрипт, выполняемый от имени пользователя, фактически может выполнить любое действие, которое разрешено выполнять этому пользователю. Возможная проблема показана в следующем примере:
У каждого из пользователей A и B есть собственное семейство сайтов Office SharePoint Server: http://my/sites/UserA и http://my/sites/UserB.
Пользователь A обладает разрешениями корреспондента для своего собственного сайта, но у него отсутствуют разрешения для сайта пользователя B. Когда пользователь A пытается просмотреть сайт пользователя B, для него возникает ошибка отказа в доступе.
Но пользователь A может загрузить на свой сайт документ, содержащий вредоносный скрипт, и предоставить пользователю B доступ на чтение к этому документу. Когда пользователь B просматривает документ, созданный пользователем A, вредоносный скрипт может выполниться без предупреждения, используя учетные данные пользователя B. В контексте многих доступных веб-браузеров скрипт не пересекает границу безопасности, и его выполнение не считается событием междоменного доступа.
Эта проблема возникает, так как для сайта Office SharePoint Server пользователя B и для сайта Office SharePoint Server пользователя A используется одно и то же имя узла. В этой структуре сайтов пользователи B и A должны доверять друг другу, предполагая, что попытки атак с помощью скриптов не будут предприниматься. Если группы корреспондентов не могут доверять друг другу, их сайты должны быть разнесены по разным именам узлов. Проблема скриптов наиболее важна при совместной работы в среде Office SharePoint Server, а не при публикациях в Интернете и не при использовании структурированных порталов, так как для выполнения атаки дочернего сайта с помощью скрипта злоумышленник должен обладать доступом корреспондента.
С ростом использования Office SharePoint Server, особенно в интрасетях больших организаций, и в связи с тем, что все больше пользователей в организациях участвуют в развертываниях, использующих указание пути (например, http://my или http://corp), возможность доверия всем корреспондентам может стать проблематичной. Это особенно справедливо при создании сайтов самообслуживания, а также при глубокой вложенности дочерних сайтов. Можно спроектировать развертывание Office SharePoint Server таким образом, чтобы избежать этих проблем. Сведения о проектировании информационной архитектуры см. в разделе Определение информационной архитектуры сайта.
Сведения о проектировании семейств сайтов Office SharePoint Server, сайтов и дочерних сайтов см. в разделе Определение основных и дочерних сайтов.
Дополнительные инструкции по безопасности см. в статье Центр ресурсов безопасности для продуктов и технологий SharePoint(на английском языке) (https://go.microsoft.com/fwlink/?linkid=148056&clcid=0x419).
Использование семейств сайтов с разделением по именам узлов
Использование семейств сайтов с разделением по именам узлов позволяет повысить безопасность сайтов и контента, поддерживая создание нескольких семейств сайтов корневого уровня в одном веб-приложении. Например, администраторы организаций могут использовать семейства сайтов с разделением по именам узлов, чтобы создать несколько сайтов с разделением по именам доменов. Windows SharePoint Services 3.0 поддерживает создание нескольких доменов в одном веб-приложении. Это позволяет разместить несколько доменов, таких как http://UserB.collab.mycorp.com и http://UserB.collab.mycorp.com, в отдельных семействах сайтов в одном и том же веб-приложении. Но при использовании этого подхода для решения проблемы скриптов дочерних сайтов нужно учитывать следующие вопросы:
Использование понятных имен узлов, таких как http://UserB.collab.mycorp.com, может создать проблемы DNS, так как для правильного развертывания Office SharePoint Server понадобится указать все понятные имена узлов. Полные доменные имена могут смягчить эту проблему, позволяя использовать записи DNS с шаблонами, например *.collab.mycorp.com.
В Office SharePoint Server предусмотрена поддержка создания сайтов самообслуживания и управления семейств сайтов, использующих указание пути. Развертывание сайтов с разделением по заголовкам узлов может создать дополнительную нагрузку при подготовке сайтов. Дополнительные сведения о создании сайтов самообслуживания см. в разделе Настройка средств самостоятельного создания сайтов.
Дополнительные сведения о семействах сайтов с разделением по именам узлов см. в разделе Планирование именованных семейств сайтов (Office SharePoint Server).
Перемещение контента в отдельное имя узла
При наличии контента, которое нужно переместить на узел с отдельным именем, учитывайте следующие инструкции:
Небольшое по объему содержимое, в том числе библиотеки и списки документов, можно переместить, используя возможности клиента, такие как "Отправить", "Другая папка", "Открыть в проводнике" (для документов) или "Экспортировать в электронную таблицу" (для списков).
Чтобы переместить больший объем контента, в том числе сайты и семейства сайтов, можно воспользоваться возможностью резервного копирования и восстановления контента. Дополнительные сведения о резервном копировании и восстановлении контента см. в разделе Резервное копирование и восстановление семейств сайтов с помощью встроенных инструментов (Office SharePoint Server 2007).
Для больших объемов данных можно создать новое семейство сайтов, используя другое имя узла.
Проанализируйте создание управляемого пути для размещения сайта на том же уровне, что и сайт в исходном местоположении. Задание управляемого пути позволяет определить, какие пути в пространстве имен URL-адресов веб-приложения используются для семейств узлов. Это важно, так как для контента Office SharePoint Server во многих случаях используются пути, задаваемые относительно сервера. При восстановлении контента в новом местоположении Office SharePoint Server может восстановить имя или URL-адрес узла, но несоответствие уровней в этом месте может привести к невыполнению операции восстановления. Дополнительные сведения об управляемых путях см. в разделе Определение управляемых путей.
Форма
Укажите иерархию сайтов с перечислением разрешений для каждого ее уровня и всех наследований разрешений в форме "Безопасность сайтов и контента"(на английском языке) (https://go.microsoft.com/fwlink/?linkid=73135&clcid=0x419).
Загрузите эту книгу
Этот раздел включен в нижеприведенную загружаемую книгу, чтобы упростить чтение и печать:
Полный список доступных книг см. на веб-странице Загружаемые материалы по Office SharePoint Server 2007.