Архитектура безопасности в продуктах и технологиях SharePoint

Система безопасности продуктов и технологий Microsoft SharePoint имеет многоуровневую структуру, надстраиваемую над службами безопасности таких базовых продуктов и технологий, как ASP.NET, IIS (Internet Information Services), SQL Server 2000, Windows Server 2003, и зависящую от этих служб. Несомненно, важное значение имеют также безопасность связи и конфигурация межсетевого экрана. Как и любое веб-приложение, узел SharePoint защищен настолько, насколько защищено его самое слабое звено; проблема безопасности затрагивает все компоненты развертывания продуктов и технологий SharePoint. Поскольку спектр технологий безопасности SharePoint весьма широк, необходимо понять принципы их реализации, чтобы обеспечить слаженную и безопасную работу всех составных частей развернутой среды SharePoint.

Ключевое значение имеет многоуровневый подход к структурированию безопасности — так называемая эшелонированная защита. Ее применение означает, что контроль безопасности распределен по нескольким уровням, включая политики безопасности организации и настройки Windows Server 2003, IIS, ASP.NET, продуктов и технологий SharePoint, безопасности связи, межсетевого экрана и т. д.

В SharePoint используется ряд технологий, снижающих риск нарушения безопасности, в том числе следующие:

Проверка подлинности: опирается на концепцию участников безопасности Windows, что позволяет использовать методы строгой проверки, политики паролей, политики блокировки учетных записей и шифрование.
Авторизация: основана на модели разрешений и обеспечивает высокую степень детализации контроля доступа к содержимому узла.
Разграничение доступа кода: политика .NET Framework, позволяющая управлять доступом программного кода к защищенным ресурсам и операциям.
Протоколы безопасности, такие как SSL (Secure Sockets Layer) и IPSec: обеспечивают защиту данных, передаваемых внутри и вне зоны действия межсетевого экрана.
Защита внешних узлов с помощью межсетевого экрана.

В этой главе основное внимание уделяется вопросам проверки подлинности, авторизации, разграничения доступа кода и безопасности связи в продуктах и технологиях SharePoint. Как показывают исследования, заблаговременное проектирование проверки подлинности и авторизации значительно снижает число потенциально уязвимых мест. Разграничение доступа кода позволяет назначать программному коду различные уровни доверия, в зависимости от его источника и других отличительных особенностей. Безопасность связи — составная часть системы безопасности, отвечающая за защиту данных, передаваемых между пользователями и узлом, а также между серверами развернутой среды. Политики безопасности для продуктов и технологий SharePoint рассматриваются в главе 24, «Политики информационной безопасности в продуктах и технологиях SharePoint».

Проверка подлинности

Проверка подлинности — это процесс, позволяющий точно идентифицировать пользователей узла. Проверка подлинности гарантирует, что пользователи действительно являются теми, за кого себя выдают. Клиенты, прошедшие проверку подлинности, называются участниками безопасности.

В продуктах и технологиях SharePoint проверка подлинности выполняется на основе учетных записей безопасности Windows.

Для узлов SharePoint производится настройка ASP.NET на использование проверки подлинности Windows. Файлы web.config содержат раздел проверки подлинности следующего вида:

В режиме проверки подлинности Windows для выполнения необходимой проверки клиента в ASP.NET привлекается служба IIS. Она проверяет подлинность пользователя, выдавшего запрос, по учетным записям безопасности Windows. Установив подлинность клиента, IIS передает удостоверение пользователя в ASP.NET. (См. рис. 1.)

Рис. 1. Передача удостоверения пользователя в режиме проверки подлинности Windows

В продуктах и технологиях SharePoint применяются различные схемы проверки подлинности пользователей на базе IIS.

Обычная проверка

Обычная проверка подлинности реализована в составе протокола HTTP 1.1, который поддерживается практически всеми обозревателями. При использовании продуктов и технологий SharePoint такой метод можно применять в экстрасети. Учетные данные передаются в незашифрованном виде. Обычная проверка подлинности должна осуществляться только по протоколу SSL; в противном случае безопасность не гарантируется.

Встроенная проверка Windows

Встроенная проверка подлинности Windows — это безопасный метод проверки подлинности, наиболее подходящий для узлов SharePoint в интрасети. Он не работает через прокси-серверы. Такая проверка реализуется на базе протоколов Kerberos или NTLM. Для использования Kerberos необходимо, чтобы на компьютерах серверов и клиентов была установлена операционная система Windows 2000 или более поздние версии.

Сопоставление клиентских сертификатов

Клиенты должны иметь сертификаты X.509. Речь идет о необязательном механизме проверки подлинности, который можно использовать, если между клиентом и сервером включена поддержка SSL. Например, такой метод подходит для экстрасетей с политикой безопасности, требующей двухуровневой проверки подлинности: клиент должен предъявить нечто, имеющееся у него (сертификат), а пользователю предлагается предоставить некоторую соответствующую информацию (учетные данные проверки подлинности). Дополнительные сведения о настройке см. в главе 27, «Безопасность экстрасети на основе SSL и сертификатов».

Анонимная проверка

Анонимная проверка подлинности позволяет получить анонимный доступ к веб-узлу. Для анонимного доступа по умолчанию используется удостоверение пользователя IUSR_имякомпьютера. Получая анонимный запрос, IIS олицетворяет учетную запись IUSR_имякомпьютера. В этом случае в ASP.NET передается удостоверение IUSR_имякомпьютера.

В продуктах и технологиях SharePoint доступ пользователей осуществляется в соответствии с полномочиями участников безопасности Windows, в качестве которых могут выступать учетные записи отдельных пользователей и учетные записи групп безопасности (DOMAIN\пользователь и DOMAIN\группа_безопасности).

В Windows SharePoint Services для управления доступом к содержимому нельзя использовать списки рассылки, поскольку они не относятся к числу участников безопасности Windows.

Помимо проверки подлинности пользователей при доступе к узлам SharePoint, сервер SharePoint Portal Server поддерживает функцию единого входа в систему (SSO), которая позволяет проверить подлинность пользователя, обратившегося к узлу портала, а затем извлечь из базы данных SSO сохраненные учетные данные пользователя, когда они потребуются другим корпоративным бизнес-приложениям с идентификацией пользователей. Функция SSO реализуется с помощью службы Microsoft Single Sign-On (SSOSrv). Служба SSOSrv обеспечивает хранение и сопоставление учетных данных (имен учетных записей и паролей), чтобы приложения портала могли извлекать необходимую информацию из сторонних приложений и внутренних систем. Пользователи избавляются от необходимости повторной проверки подлинности, когда приложению портала потребуется информация из других бизнес-приложений и систем. Сведения о включении и настройке SSO в SharePoint Portal Server см. в главе 26, «Единый вход в SharePoint Portal Server 2003».

Авторизация

Авторизация определяет, к каким ресурсам и операциям разрешается доступ пользователю, прошедшему проверку подлинности. В Windows SharePoint Services и SharePoint Portal Server доступ к узлам контролируется с помощью системы ролевой принадлежности, в которой каждому пользователю явным или неявным образом назначается разрешение на выполнение определенных действий. Эта система основана на формировании групп узла. Создавая группу узла, можно настроить права пользователей, исходя из того, какого рода задачи они выполняют.

Группы узла определяют, какими правами обладают пользователи в данном узле. Эти права указывают конкретные действия, которые пользователи могут выполнять на узле. Принципы использования групп узлов в Windows SharePoint Services и SharePoint Portal Server одни и те же, однако в SharePoint Portal Server поддерживается набор дополнительных возможностей, в связи с чем имеются некоторые различия в правах пользователей и соответствующих разрешениях, а также в группах узла, определяемых по умолчанию. В силу этих различий авторизация в Windows SharePoint Services будет рассматриваться отдельно от авторизации в SharePoint Portal Server.

Авторизация в Windows SharePoint Services

В этом разделе описывается процесс авторизации пользователей, обращающихся к узлам Windows SharePoint Services, а также административные задачи, связанные с настройкой авторизации. В Windows SharePoint Services для управления безопасностью в масштабе всего узла используются группы узла.

Действия, которые пользователи могут выполнять, задают права, то есть каждая группа узла — это совокупность прав.

Если требуется, чтобы просматривать содержимое узла могли все пользователи, достаточно разрешить анонимный доступ к узлу. По умолчанию анонимный доступ отключен.

После включения анонимного доступа пользователи могут просматривать узел, не проходя проверку подлинности, но не могут выполнять на узле никакие административные задачи. Доступ к страницам администрирования требует проверки подлинности.

Для запуска программы, написанной с использованием объектной модели Windows SharePoint Services, пользователь должен обладать соответствующими разрешениями, как при взаимодействии с узлом или списком через пользовательский интерфейс

Чтобы авторизоваться для выполнения административных задач, затрагивающих настройки всех веб-узлов и виртуальных серверов на компьютере сервера, пользователь должен стать членом группы локальных администраторов компьютера сервера или группы администраторов SharePoint.

Группы узла

В Windows SharePoint Services поддерживается 21 право, которые используются в пяти группах пользователей узла, определяемых по умолчанию. Эти пять стандартных групп пользовательских прав — «Гость», «Читатель», «Сотрудник», «Веб-дизайнер» и «Администратор». В таблице 6-1 перечислены права пользователей, которые по умолчанию включаются в каждую из этих групп.

Права, назначенные группам узла «Гость» и «Администратор», не могут быть изменены. Права же, включаемые в группы «Читатель», «Сотрудник» и «Веб-дизайнер», можно настроить, оставив в каждой из них лишь необходимые.

Можно добавлять новые группы узла, комбинируя различные наборы прав, изменять права, назначенные какой-либо группе, и удалять неиспользуемые группы.

Пользователей нельзя включать непосредственно в группу «Гость»: в нее автоматически добавляются пользователи, которым предоставлен доступ к спискам или библиотекам документов на основе разрешений для списков. Группа узла «Гость» не может быть настроена или удалена.

Управлять группами узла и разрешениями на доступ можно на страницах HTML-администрирования или с помощью средства командной строки Stsadm.exe. Подробное описание конкретных задач см. в главе 16, «Администрирование узла Windows SharePoint Services».

Для выполнения задач управления непосредственно в коде можно использовать объектную модель Windows SharePoint Services. Подробнее об этом см. в пакете разработки программного обеспечения (SDK) для продуктов и технологий SharePoint по адресу http://msdn.microsoft.com/library/default.asp?url=/library/en-us/spptsdk/html/SPSDKWelcome.asp (EN).

Табл. 1. Стандартные группы узлов Windows SharePoint Services и их права Имя группы узлаПрава пользователей по умолчанию

Гость	Нет
Читатель	Использование самостоятельного создания узлов Просмотр страниц Просмотр элементов
Сотрудник	Все права, включенные в группу «Читатель», плюс: Добавление элементов Добавление и удаление личных веб-частей Просмотр каталогов Создание межузловых групп Удаление элементов Изменение элементов Управление личными представлениями Обновление персональных веб-частей
Сотрудник	Все права, включенные в группу «Сотрудник», плюс: Добавление и настройка страниц Применение тем и границ Применение таблиц стилей Отмена извлечения Управление списками
Сотрудник	Все права, включенные в группу «Веб-дизайнер», плюс: Создание дочерних узлов Управление разрешениями списка Управление группами узла Просмотр сведений об использовании

Можно определять не только группы узла, но и межузловые группы. Межузловая группа пользователей может быть включена в группе узла на любом веб-узле в составе семейства узлов. По умолчанию никакие межузловые группы не определяются.

Группы узлов создаются в рамках конкретного узла. В дочерних узлах могут использоваться разрешения родительского веб-узла (наследуемые от групп узла и пользователей, доступных в родительском веб-узле) либо уникальные разрешения. При создании дочернего узла можно выбрать один их этих вариантов — наследование разрешений родительского веб-узла или создание уникальных разрешений.

Уникальные разрешения можно задавать для каждого списка. В список, в отличие от узла, пользователей можно добавлять непосредственно, вместе с указанными разрешениями; при этом пользователи автоматически включаются в группу «Гость» текущего узла, если тот уникален и не наследует разрешения родительского узла. Если текущий узел наследует разрешения, пользователи добавляются в группу «Гость» ближайшего уникального узла-предка.

Пользователям предоставляются разрешения на доступ к узлу или списку на основании прямой или косвенной принадлежности к той или иной группе узла. Их можно добавлять непосредственно в группу узла или в межузловую группу, являющуюся членом группы узла, или пользователь может быть членом группы домена Windows, включенной в группу узла. Кроме того, отдельный пользователь может быть непосредственно добавлен в список вместе с указанным разрешением. На рис. 2 показано, какими способами пользователям предоставляются разрешения на доступ к узлу или списку.

Рис. 2. Предоставление пользователям разрешений на доступ к узлу или списку в Windows SharePoint Services

Большинство пользовательских прав зависит от других прав. Например, чтобы получить возможность изменять элементы, необходимо иметь право их просмотра. Если из группы узла удаляется какое-либо право, вместе с ним удаляются и все зависящие от него права. Дополнительные сведения о зависимостях между правами пользователей см. в таблице 2.

В объектной модели Windows SharePoint Services, в отличие от пользовательского интерфейса, права не зависят от других прав. Чтобы запустить программу, написанную с использованием типов и членов объектной модели продуктов и технологий SharePoint, пользователь или группа должны обладать соответствующими разрешениями, как при взаимодействии с узлом или списком через пользовательский интерфейс. Однако в этом случае зависимости не устанавливаются: права можно назначать индивидуально, не включая зависимые права, и их можно назначать пользователям и группам в любом сочетании.

Табл. 2. Зависимости между правами Windows SharePoint Services ПравоРазрешенияГруппы, включаемые по умолчаниюЗависимые права

Добавление и настройка страниц	Создание страниц ASP.NET, ASP и HTML для веб-узла	«Веб-дизайнер», «Администратор»	Просмотр каталогов, просмотр страниц
Добавление элементов	Добавление элементов в списки и документов в библиотеки документов	«Сотрудник», «Веб-дизайнер», «Администратор»	Просмотр элементов, просмотр страниц
Добавление и удаление личных веб-частей	Добавление и удаление веб-частей для индивидуальной настройки страниц веб-частей	«Сотрудник», «Веб-дизайнер», «Администратор»	Обновление персональных веб-частей, просмотр элементов, просмотр страниц
Применение таблиц стилей	Применение таблицы стиля ко всему веб-узлу	«Веб-дизайнер», «Администратор»	Просмотр страниц
Применение тем и границ	Применение темы или границы ко всему веб-узлу	«Веб-дизайнер», «Администратор»	Просмотр страниц
Просмотр каталогов	Просмотр структуры каталогов веб-узла	«Сотрудник», «Веб-дизайнер», «Администратор»	Просмотр страниц
Отмена извлечения	Отмена действия извлечения, выполненного другим пользователем	«Веб-дизайнер», «Администратор»	Просмотр страниц
Создание межузловых групп	Создание и удаление межузловых групп или изменение принадлежности к межузловой группе	«Сотрудник», «Веб-дизайнер», «Администратор»	Просмотр страниц
Создание дочерних узлов	Создание нового дочернего узла или узла рабочей области (например, узла рабочей области документа или узла рабочей области собрания)	«Читатель», «Сотрудник», «Веб-дизайнер», «Администратор»	Просмотр страниц
Удаление элементов	Удаление элементов списков и документов из веб-узла	«Сотрудник», «Веб-дизайнер», «Администратор»	Просмотр элементов, просмотр страниц
Изменение элементов	Редактирование существующих элементов списков и документов в веб-узле	«Сотрудник», «Веб-дизайнер», «Администратор»	Просмотр элементов, просмотр страниц
Управление списками	Создание, изменение и удаление списков и настройка их параметров	«Веб-дизайнер», «Администратор»	Просмотр элементов, просмотр страниц, управление личными представлениями
Управление разрешениями списка	Изменение разрешений для списка или библиотеки документов	«Администратор»	Управление списками, просмотр элементов, просмотр страниц, управление личными представлениями
Управление личными представлениями	Создание, изменение и удаление личных представлений для списков	«Сотрудник», «Веб-дизайнер», «Администратор»	Просмотр элементов, просмотр страниц
Управление группами узла	Создание, удаление и изменение групп узлов, включая изменение назначенных им прав и изменение состава группы	«Администратор»	Просмотр страниц
Управление веб-узлом	Выполнение задач администрирования определенного узла или дочернего узла	«Администратор»	Просмотр страниц
Обновление персональных веб-частей	Обновление веб-частей, отображающих индивидуально настроенную информацию	«Сотрудник», «Веб-дизайнер», «Администратор»	Просмотр элементов, просмотр страниц
Использование самостоятельного создания узлов	Использование средства самостоятельного создания узлов для построения веб-узла верхнего уровня	«Читатель», «Сотрудник», «Веб-дизайнер», «Администратор»	Просмотр страниц
Просмотр элементов	Просмотр элементов в списках, документов в библиотеках и примечаний к веб-обсуждениям	«Читатель», «Сотрудник», «Веб-дизайнер», «Администратор»	Просмотр страниц
Просмотр страниц	Просмотр страниц веб-узла	«Читатель», «Сотрудник», «Веб-дизайнер», «Администратор»	Нет
Просмотр сведений об использовании	Просмотр отчетов об использовании веб-узла	«Администратор»	Просмотр страниц

Права создания узлов

Права создания узлов («Использование самостоятельного создания узлов» и «Создание дочерних узлов») определяют, может ли пользователь создавать веб-узлы верхнего уровня, дочерние узлы или рабочие области.

Члены группы узла «Администратор» могут создавать в своих веб-узлах дочерние узлы. Самостоятельное создание узлов означает немного другое: это средство, предоставляемое администраторами и позволяющее пользователям создавать собственные веб-узлы верхнего уровня. Пользователям не требуются административные разрешения на сервере или виртуальном сервере — лишь разрешения на веб-узле, на котором размещено средство самостоятельного создания узлов. По умолчанию право использования самостоятельного создания узлов включается во все группы узла, кроме группы «Гость», и предоставляет пользователям доступ к странице входа и к самому средству самостоятельного создания узлов.

Право самостоятельного создания узлов доступно только в веб-узле верхнего уровня в семействе узлов.

Средство самостоятельного создания узлов позволяет пользователям автоматически конструировать собственные веб-узлы верхнего уровня и управлять ими. По умолчанию это средство отключено; чтобы использовать его, необходимо его включить. Включить самостоятельное создание узлов для отдельного виртуального сервера можно на странице «Настройка самостоятельного создания узлов» этого виртуального сервера. Чтобы сделать это средство доступным на всех виртуальных серверах фермы, его необходимо включить для каждого из них в отдельности.

Для включения и настройки самостоятельного создания узлов можно использовать страницы HTML-администрирования или средства командной строки enablessc.exe и disablessc.exe. Оба этих метода позволяют включить или отключить самостоятельное создание узлов и указать тип сведений, которые должны запрашиваться при создании узла. Дополнительные сведения см. в главе 15, «Настройка Windows SharePoint Services».

Анонимный доступ

Анонимный доступ позволяет пользователю просматривать страницы и вносить изменения в списки и опросы, оставаясь анонимным. Включение анонимного доступа в Windows SharePoint Services разрешает доступ к узлу для анонимной учетной записи IIS — IUSR_имякомпьютера.

Анонимный доступ по умолчанию отключен; он контролируется на уровне узла. Чтобы включить анонимный доступ, необходимо сначала убедиться, что служба IIS настроена для разрешения анонимного доступа, а затем включить анонимный доступ к веб-узлу на странице «Параметры узла». Анонимный доступ к конкретным спискам контролируется с помощью разрешений для списков. Если анонимный доступ отключен для узла, его нельзя включить для списка в этом узле.

Можно также предоставить доступ всем пользователям, прошедшим проверку подлинности: это позволит всем участникам домена обращаться к веб-узлу без включения анонимного доступа.

Подробное описание процедуры настройки анонимного доступа см. в главе 16.

Выполнение задач администрирования

Пользователи, включенные в группу узла «Администратор», являются администраторами только данного веб-узла. Для выполнения административных задач, затрагивающих настройки всех веб-узлов и виртуальных серверов на компьютере сервера, пользователь должен быть администратором компьютера сервера (локальным администратором) или членом группы администраторов SharePoint, а не просто членом группы «Администратор» своего узла.

Страницы администрирования виртуальных серверов доступны только локальным администраторам компьютера и членам группы администраторов SharePoint. Этот доступ настраивается с помощью авторизации URL-адресов в файле web.config центра администрирования, расположенном в папке :\Program Files\Common Files\Microsoft Shared\web server extensions\60\TEMPLATE\ADMIN\1033. Элемент определяется следующим образом:

Группа администраторов SharePoint — это группа домена Windows, которой наряду с группой локальных администраторов предоставляется административный доступ к Windows SharePoint Services. Члены этой группы локальных администраторов определяют имя группы Windows, назначаемой группой администраторов SharePoint, на страницах центра администрирования. Имя, указываемое на страницах центра администрирования, совпадает с именем в файле web.config; при изменении группы администраторов SharePoint изменяется и ее имя в элементе файла web.config.

Добавляя пользователей в группу администраторов SharePoint вместо группы локальных администраторов, можно отделить административный доступ к Windows SharePoint Services от административного доступа к локальному компьютеру сервера. Члены как группы администраторов SharePoint, так и группы локальных администраторов имеют право просмотра всех узлов, созданных на их серверах, и управления этими узлами.

Члены группы администраторов SharePoint не имеют доступа к метабазе IIS и потому не могут выполнять в Windows SharePoint Services следующие действия: расширять виртуальные серверы, управлять путями, изменять группу администраторов SharePoint, изменять параметры базы данных конфигурации и пользоваться средством командной строки Stsadm.exe. Они могут выполнять все остальные административные действия, используя страницы HTML-администрирования или объектную модель Windows SharePoint Services.

Авторизация в SharePoint Portal Server

В этом разделе рассматриваются принципы авторизации доступа пользователей к узлам SharePoint Portal Server, библиотекам документов, совместимым с предыдущими версиями, и результатам поиска.

Как и в Windows SharePoint Services, в SharePoint Portal Server для управления безопасностью в масштабе узла используются группы узла. Каждый пользователь является членом по крайней мере одной группы узла, и доступ к узлам портала контролируется системой принадлежности к группам узла. Создав узел портала, можно предоставлять пользователям доступ к нему, включая их в группы узла. Пользователь, не назначенный ни одной группе узла, не получит доступ к узлу портала.

Помимо авторизации на основе принадлежности к группам узлам, SharePoint Portal Server поддерживает безопасность на основе ролей для библиотек документов, совместимых с предыдущими версиями.