Архитектура безопасности в продуктах и технологиях SharePoint

Группы узла

В SharePoint Portal Server используются шесть стандартных групп узла, в каждую из которых объединяются пользователи с конкретным набором настраиваемых прав. Можно также создать свою группу узла для определенной области или списка и назначить ей требуемый набор прав. Разрешается изменять права, назначенные группе узла, создавать новые группы и удалять неиспользуемые.

Шесть стандартных групп SharePoint Server, определяемых по умолчанию, перечислены ниже:

«Читатель»: пользователям разрешается выполнять поиск и просмотр содержимого узла.
«Участник»: пользователям разрешается представлять списки и создавать личные узлы.
«Сотрудник»: пользователям разрешается размещать содержимое в областях узла, на которые им предоставлены права.
«Веб-дизайнер»: пользователям разрешается изменять макет и параметры веб-страницы, на которую им предоставлены права.
«Администратор»: пользователям предоставляется полный контроль над веб-узлом.
«Менеджер содержимого»: пользователям разрешается управлять всеми параметрами и содержимым в области, на которую им предоставлены права.

Группы узла можно использовать как для управления общим доступом к узлу портала, так и для управления доступом к определенным областям узла.

Хотя группы узлов SharePoint Portal Server во многих отношениях схожи с группами Windows SharePoint Services, между ними имеется ряд различий.

В SharePoint Portal Server предусмотрены две стандартные группы узла, которых нет в Windows SharePoint Services: «Участник» и «Менеджер содержимого». Пользователям, входящим в эти группы, доступны возможности, имеющиеся только в SharePoint Portal Server: группе «Участник» разрешается создавать личные узлы, а группе «Менеджер содержимого» — управлять областями, группируя содержимое по критериям, определенным пользователем.
В SharePoint Portal Server не определяется стандартная группа узла «Гость». В Windows SharePoint Services такая группа используется автоматически при назначении разрешений по списку.
Между SharePoint Portal Server и Windows SharePoint Services имеются различия в правах пользователей и соответствующих разрешениях. Это связано с различиями в функциональных возможностях данных продуктов. Некоторые права совпадают — например, просмотр страниц. Однако права, связанные с управлением областями, оповещениями, профилями пользователей, аудиториями и поиском, различаются принципиально, поскольку эти возможности присутствуют только в SharePoint Portal Server.

Права пользователей SharePoint Portal Server и соответствующие разрешения перечислены в таблице 3.

Табл. 3. Права пользователей SharePoint Portal Server и соответствующие разрешения ПравоРазрешения

Добавление и настройка страниц	Добавление, изменение и удаление HTML-страниц и страниц веб-частей, редактирование узла портала в редакторе, совместимом с Windows SharePoint Services
Добавление элементов	Добавление элементов в списки, документов в библиотеки документов SharePoint, примечаний в веб-обсуждения
Добавление и удаление личных веб-частей	Добавление и удаление веб-частей на индивидуально настроенной странице веб-частей
Применение таблиц стилей	Применение таблицы стилей (файл .CSS) к области или узлу портала
Просмотр каталогов	Просмотр каталогов в области
Отмена извлечения	Возврат документов без сохранения внесенных изменений
Создание области	Создание области на узле портала
Создание личного узла	Создание личного узла SharePoint
Создание узлов	Создание узлов SharePoint с помощью средства самостоятельного создания узлов
Удаление элементов	Удаление элементов из списков, документов из библиотек документов, примечаний к веб-обсуждениям в документах
Изменение элементов	Изменение элементов в списках и документов в библиотеках документов SharePoint, настройка страниц веб-частей в библиотеках документов SharePoint
Управление оповещениями	Изменение параметров оповещений для узла портала и управление оповещениями для пользователей
Управление областью	Удаление или изменение свойств области узла портала
Управление разрешениями для области	Добавление, удаление и изменение прав пользователей в отношении области
Управление аудиториями	Добавление, изменение и удаление аудиторий
Управление личными представлениями	Создание, изменение и удаление личных представлений списков
Управление узлом портала	Задание свойств узла портала и управление параметрами узла
Управление поиском	Добавление, изменение и удаление параметров поиска и индекса на узле портала
Управление профилями пользователей	Добавление, изменение и удаление содержимого профилей пользователей и их свойств
Поиск	Поиск на узле портала и во всем связанном содержимом
Обновление персональных веб-частей	Обновление веб-частей, отображающих индивидуально настроенную информацию
Использование личных возможностей	Использование оповещений и личных узлов
Просмотр области	Просмотр области и ее содержимого
Просмотр страниц	Просмотр страниц в области

Как и в Windows SharePoint Services, пользователю предоставляются разрешения на доступ к узлу портала в зависимости от его прямой или косвенной принадлежности к той или иной группе узла. Однако здесь есть одно отличие: в SharePoint Portal Server не поддерживаются межузловые группы — они предусмотрены только в Windows SharePoint Services. В SharePoint Portal Server пользователь может быть включен непосредственно в группу узла, или он может быть членом группы домена Windows, включенной в группу узла. На рис. 3 показано, какими способами пользователям предоставляются разрешения на доступ к узлу портала.

Рис. 3. Предоставление пользователям разрешений на доступ к узлу портала

Доступ к областям узла портала можно регулировать, назначая пользователей группе узла для определенной области. Безопасность каждой области портала можно настраивать путем добавления, изменения и удаления пользователей или групп узла.

По умолчанию параметры безопасности родительской области автоматически применяются ко всем ее дочерним областям. Добавление пользователей или групп в конкретную область нарушает порядок наследования параметров безопасности: после настройки параметров безопасности дочерняя область перестает наследовать изменения, вносимые в родительскую область.

Права создания узлов

Права создания узлов («Создание узлов» и «Создание личного узла») определяют, может ли пользователь создавать узлы портала и личные узлы.

Право «Создание узлов» позволяет создавать узлы портала с помощью средства самостоятельного создания узлов. Как и в Windows SharePoint Services, самостоятельное создание узлов в SharePoint Portal Server по умолчанию отключено — чтобы использовать это средство, необходимо его включить. Новые узлы по умолчанию создаются с использованием стандартной базы данных содержимого; можно настроить также альтернативную базу данных. Дополнительные сведения см. в главе 18, «Управление сервером SharePoint Portal Server 2003».

Право «Создание личного узла» позволяет пользователю создать личный узел, щелкнув «Мой узел» в строке заголовка на домашней странице портала. Администраторы узлов контролируют расположение личных узлов в портале и формат их имен, используя страницу «Управление личными узлами».

Анонимный доступ

Анонимный доступ позволяет пользователю просматривать страницы на узле портала и выполнять поиск, оставаясь анонимным. Включение анонимного доступа в SharePoint Portal Server разрешает доступ к узлу для анонимной учетной записи IIS — IUSR_имякомпьютера.

Анонимный доступ по умолчанию отключен; он контролируется на уровне узла портала. Чтобы включить анонимный доступ, необходимо сначала убедиться, что служба IIS настроена для разрешения анонимного доступа, а затем включить анонимный доступ к узлу портала, используя страницы центра администрирования SharePoint Portal Server.

Если, наряду с анонимным доступом, необходимо сохранить проверку подлинности пользователей, можно создать новый виртуальный сервер, расширить его, а затем включить анонимный доступ к этому виртуальному серверу, используя центр администрирования SharePoint Portal Server. В этом случае при доступе к первоначальному узлу портала пользователи должны будут проходить проверку подлинности, а доступ к новому виртуальному серверу будет анонимным.

Создавать и расширять виртуальные серверы могут только члены группы локальных администраторов. Чтобы включить анонимный доступ и управлять его параметрами, необходимо быть администратором узла портала, членом группы администраторов SharePoint или членом группы локальных администраторов.

Включив анонимный доступ к узлу портала, можно разрешить анонимным пользователям просматривать страницы и выполнять поиск на узле портала. Если анонимный доступ отключен для узла, его нельзя включить только для просмотра областей или выполнения поиска.

Подробные инструкции по настройке анонимного доступа для узла портала см. в главе 18, «Управление сервером SharePoint Portal Server 2003».

Выполнение задач администрирования

Сервер SharePoint Portal Server сконструирован на основе Windows SharePoint Services, поэтому неудивительно, что разрешения на выполнение задач администрирования в обоих продуктах практически одинаковы.

Для выполнения административных задач, затрагивающих настройки всех узлов портала и виртуальных серверов на компьютере сервера, пользователь должен быть администратором компьютера сервера или членом группы администраторов SharePoint.
Пользователи, включенные в группу узла «Администратор», являются администраторами только данного узла портала.

Безопасность библиотек документов, совместимых с предыдущими версиями

Часто возникает необходимость ограничить доступ к содержимому библиотек документов, совместимых с предыдущими версиями (основанных на системе веб-хранения). В некоторых случаях требуется ограничить просмотр документа, разрешив его только пользователям, редактирующим и утверждающим документ, — до тех пор, пока он не будет готов для широкой аудитории.

Для библиотек документов, совместимых с предыдущими версиями, в ролях SharePoint Portal Server появляются новые действия — в дополнение к традиционным разрешениям на чтение, запись и изменение файлов, — например: извлечение, возврат, публикация, утверждение. Существуют три фиксированные роли, каждая из которых определяет конкретный набор разрешений.

Координаторы: выполняют задачи управления.
Авторы: добавляют и обновляют файлы.
Читатели: могут только читать опубликованные документы.

Разрешения на доступ для этих трех ролей являются фиксированными и не подлежат изменению. SharePoint Portal Server также предлагает возможность отказа пользователям в доступе к определенным документам. Роли обычно устанавливаются на уровне папки, хотя координаторов задач управления можно добавлять на уровне библиотеки документов.

Результаты поиска

При выполнении поиска SharePoint Portal Server учитывает политики безопасности, используемые на серверах организации, в общих файловых ресурсах и базах данных. Такая авторизация имеет важное значение, поскольку не позволяет пользователям при поиске на узле портала находить документы, к которым у них нет доступа. Подробное описание архитектуры, функциональных возможностей и настройки поиска см. в главе 21, «Архитектура средства сбора данных» и в главе 22, «Управление внешним содержимым в Microsoft Office SharePoint Portal Server 2003».

Разграничение доступа кода

Разграничение доступа кода используется службами продуктов и технологий SharePoint для управления доступом к защищенным ресурсам. Разграничение доступа кода — это механизм безопасности, который позволяет назначать приложениям продуктов и технологий SharePoint настраиваемый уровень доверия, с которым связан предварительно определенный набор разрешений. Для программного кода могут устанавливаться различные уровни доверия, в зависимости от его источника и других отличительных особенностей. Средство разграничения доступа кода выполняет следующие функции.

Определяет разрешения и наборы разрешений, составляющие права доступа к тем или иным системным ресурсам
Позволяет администраторам настраивать политику безопасности, связывая наборы разрешений с группами кода
Позволяет программному коду запрашивать разрешения, необходимые для его выполнения, а также разрешения, которые могут оказаться целесообразными, и определяет, какие разрешения предоставлять нельзя
Предоставляет разрешения для каждой загружаемой сборки, исходя из разрешений, запрошенных кодом, и операций, допускаемых политикой безопасности
Разрешает коду требовать наличия определенных разрешений у пользователей, вызывающих код
Разрешает коду требовать наличия цифровой подписи у вызывающих его пользователей, чтобы защищенный код могли вызывать только пользователи из конкретной организации или узла
Вводит ограничения для кода на этапе выполнения, сравнивая разрешения, предоставленные каждому вызывающему пользователю в стеке вызовов, с разрешениями, которые они должны иметь

Чтобы определить, разрешается ли коду доступ к ресурсу или выполнение операции, система безопасности среды выполнения проходит по стеку вызовов, сравнивая разрешения, предоставленные каждому вызывающему пользователю, с требуемыми разрешениями. Если у какого-либо пользователя в стеке вызовов нет необходимых разрешений, генерируется исключение безопасности и происходит отказ в доступе.

Чтобы позволить администратору переключать уровни доверия, назначаемые приложению, Windows SharePoint Services в дополнение к файлам политик безопасности ASP.NET, действующих по умолчанию, вводит две собственные политики безопасности: Windows SharePoint Services Minimal (WSS_Minimal) и Windows SharePoint Services Medium (WSS_Medium). Когда виртуальный сервер расширяется для размещения Windows SharePoint Services, к нему по умолчанию применяется политика WSS_Minimal.

Политики разграничения доступа кода в продуктах и технологиях SharePoint

Файлы политик WSS_Minimal и WSS_Medium по умолчанию размещаются в папке :\Program Files\Common Files\Microsoft Shared\Web Server Extensions\60\config\. Имена этих файлов — соответственно wss_minimaltrust.config и wss_mediumtrust.config. Разрешения, определяемые в файлах политик WSS_Minimal и WSS_Medium, описываются в таблице 4.

Табл. 4. Разрешения, определяемые в политиках WSS_Minimal и WSS_Medium РазрешениеWSS_MediumWSS_Minimal

AspNetHostingPermission	Medium	Minimal
Environment	Read: TEMP, TMP, OS, USERNAME, COMPUTERNAME
FileIO	Read, Write, Append, PathDiscovery:
IsolatedStorage	AssemblyIsolationByUser, с указанием свойства UserQuota
Security	Execution, Assertion, ControlPrincipal, ControlThread, RemotingConfiguration	Execution
WebPermission	Подключение к хосту источника (если он настроен)
DNS	Снятие ограничений или предоставление всех субразрешений
SqlClientPermission	Снятие ограничений или предоставление всех субразрешений
SharePointPermission	SharePointPermission.ObjectModel
WebPartPermission	WebPartPermission.Connections	WebPartPermission.Connections

Политики WSS_Minimal и WSS_Medium расширяют файлы стандартных политик ASP.NET. Эти политики назначают уровень полного доверия сборкам, находящимся в глобальном кэше сборок (GAC) и папке $CodeGen, а сборкам, установленным в каталоге /bin виртуального сервера, — уровень частичного доверия.

В дополнение к стандартному набору разрешений, определенных в ASP.NET и среде CLR, для продуктов и технологий SharePoint вводятся два специальных разрешения SharePointPermission и WebPartPermission, как часть пространства имен Microsoft.SharePoint.Security, расположенного в библиотеке Microsoft.SharePoint.Security.dll. Для доступа к библиотекам классов продуктов и технологий SharePoint коду должно быть назначено разрешение SharePointPermission со свойством ObjectModel, имеющим значение true (истина). Полный список атрибутов разрешений SharePointPermission и WebPartPermission см. в документе «Microsoft Windows SharePoint Services и разграничение доступа кода» (EN).

Исходя из требований и уровня доверия для сборок, установленных в каталоге /bin виртуального сервера, расширенного с помощью продуктов и технологий SharePoint, администраторы могут изменять разрешения, связанные с этими сборками. Проще всего это сделать, изменив политику, применяемую к виртуальному серверу, а именно изменив атрибут уровня доверия в файле web.config этого виртуального сервера. По умолчанию могут устанавливаться следующие уровни доверия (перечислены в порядке сокращения разрешений).

Full
High (стандартный уровень ASP.NET, разрешения SharePointPermission и WebPartPermission не предоставляются)
WSS_Medium
Medium (стандартный уровень ASP.NET, разрешения SharePointPermission и WebPartPermission не предоставляются)
Low (стандартный уровень ASP.NET, разрешения SharePointPermission и WebPartPermission не предоставляются)
WSS_Minimal
Minimal (стандартный уровень ASP.NET, разрешения SharePointPermission и WebPartPermission не предоставляются)

Если код пытается выполнить действие или получить доступ к ресурсу, защищенному средой CLR, стандартных разрешений может оказаться недостаточно; коду может потребоваться одно или несколько стандартных разрешений ASP.NET.

Для использования классов и членов пространства имен Microsoft.SharePoint.Portal.SingleSignOn коду потребуется дополнительное разрешение SingleSignonPermission.Access. Подробные инструкции см. в главе 26.

Предоставить коду все разрешения, необходимые для доступа к библиотекам классов в продуктах и технологиях SharePoint, можно несколькими способами.

Создать собственную политику безопасности и назначить разрешение SharePointPermission со свойством ObjectModel, имеющим значение true (истина), конкретной сборке или набору сборок. Подробные инструкции см. в главе 39, «Использование Microsoft Office InfoPath вместе с продуктами и технологиями SharePoint».
Установить сборку в глобальный кэш сборок, поскольку в нем код всегда пользуется полным доверием. Хотя установка сборки веб-частей в кэш GAC — вполне действенный метод, рекомендуется все же для большей безопасности устанавливать сборки веб-частей в каталог /bin. Полный список преимуществ и недостатков установки сборки в GAC см. по адресу http://msdn.microsoft.com/library/default.asp?url= /library/en-us/odc_sp2003_ta/html/sharepoint_wsscodeaccesssecurity.asp (EN).
Повысить уровень доверия для виртуального сервера, расширенного с помощью продуктов и технологий SharePoint, изменив атрибут уровня доверия в файле web.config. Например, чтобы изменить уровень политики виртуального сервера с WSS_Minimal на WSS_Medium, выполните следующие действия:
1. Откройте файл web.config виртуального сервера в текстовом редакторе, например в «Блокноте».
2. Найдите строку .
3. Измените уровень на следующий:
4. Сохраните файл web.config.
5. Выполните сброс IIS с помощью программы командной строки iisreset.

Безопасность связи

Безопасная связь между компонентами развернутой среды SharePoint — весьма существенный элемент архитектуры всесторонней безопасности. Для продуктов и технологий SharePoint важно, чтобы методы защиты связи применялись как внутри, так и вне зоны действия межсетевого экрана. Безопасная связь гарантирует конфиденциальность и целостность данных.

Конфиденциальность означает, что данные остаются закрытыми для доступа и не смогут просматриваться злоумышленниками, вооруженными средствами сетевого мониторинга. Конфиденциальность обеспечивается путем шифрования.

Целостность означает защищенность данных от случайного или умышленного изменения в процессе их передачи. Каналы безопасной связи должны обеспечивать целостность данных. Обычно целостность достигается за счет использования кодов проверки подлинности сообщения (MAC).

Для обеспечения безопасности передачи данных применяются следующие технологии.

Протокол SSL/TLS

SSL — протокол безопасности на основе открытых ключей, который включает набор криптографических технологий, обеспечивающих подтверждение подлинности, конфиденциальность и целостность данных. Он широко применяется для защиты канала, связывающего обозреватель и веб-сервер. Однако его можно также использовать для защиты данных, передаваемых на сервер базы данных Microsoft SQL Server 2000 и обратно.

Протокол IPSec

IPSec обеспечивает безопасную связь на транспортном уровне и может использоваться для защиты данных, передаваемых между двумя компьютерами. IPSec — механизм транспортного уровня, позволяющий обеспечить конфиденциальность и целостность данных, передаваемых между компьютерами по протоколу TCP/IP. IPSec полностью прозрачен для приложений, поскольку службы шифрования, контроля целостности и проверки подлинности реализованы на транспортном уровне.

В этом разделе будут рассмотрены вопросы безопасности связи в продуктах и технологиях SharePoint, в том числе следующие темы.

Связь с Microsoft SQL Server
Связь между сервером индексирования и сервером поиска в ферме серверов SharePoint Portal Server
Защита узлов SharePoint с помощью межсетевых экранов
Использование SSL для узлов экстрасети

Связь с Microsoft SQL Server

При развертывании продуктов и технологий SharePoint соединения между внешним веб-сервером и компьютером с сервером SQL Server не шифруются. Рекомендуется использовать протокол SSL или иным способом шифровать межсерверный обмен, например с помощью IPSec.

Если для обеспечения безопасности связи с SQL Server 2000 выбран протокол SSL, необходимо выполнить следующие действия.

На компьютере с запущенным SQL Server получите и установите сертификат сервера.
Центр сертификации, выдавший этот сертификат, должен быть надежным для клиентов, устанавливающих подключения. Чтобы добиться этого, установите сертификат данного центра сертификации на клиентских компьютерах, например на внешних веб-серверах.
На компьютере с сервером SQL Server воспользуйтесь служебной программой Server Network Utility и задайте, должны ли все клиенты принудительно использовать SSL, или им разрешается выбирать — использовать SSL или нет.
Дополнительные сведения см. в статье 276553 базы знаний Майкрософт — HOW TO: Enable SSL Encryption for SQL Server 2000 with Certificate Server («Инструкции: включение шифрования SSL для SQL Server 2000 с сервером сертификатов»). Эту статью можно найти на веб-странице http://support.microsoft.com/default.aspx?scid=276553 (EN).

Если для обеспечения безопасности связи с SQL Server 2000 выбран протокол IPSec, необходимо выполнить следующие действия.

Создайте политику IP-безопасности (IPSec) на компьютере сервера базы данных.
Экспортируйте созданную политику IPSec и скопируйте ее на компьютер внешнего сервера.
Назначьте политику IPSec на компьютере сервера базы данных и на компьютерах удаленных серверов. Прежде чем стать активной, политика IPSec должна быть назначена.
Дополнительные сведения о IPSec см. в материалах TechNet по адресу http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/ispstep.mspx (EN).

Связь между сервером индексирования и сервером поиска

В ферме серверов, использующей SharePoint Portal Server, передача при распространении индексов с сервера управления индексами на сервер поиска не шифруется и может оказаться небезопасной. Для обеспечения безопасности связи между сервером индексирования и серверами поиска рекомендуется использовать механизм IPSec.

Чтобы использовать IPSec для защиты распространяемых индексов, выполните следующие действия.

Создайте политику IPSec на компьютере сервера управления индексами.
Экспортируйте политику IPSec на каждый компьютер сервера поиска.
На компьютерах сервера индексирования и серверов поиска назначьте политику IPSec, чтобы активировать ее.

Использование межсетевых экранов для защиты узлов SharePoint

Если узел SharePoint предоставляет услуги в масштабе экстрасети или становится доступным через Интернет для широкой аудитории, необходимо позаботиться о том, чтобы внешний доступ к узлу осуществлялся через межсетевой экран. Межсетевой экран инспектирует весь входящий и исходящий трафик, а затем разрешает или запрещает его прохождение, исходя из предварительно настроенных политик.

На простейшем уровне межсетевые экраны выполняют фильтрацию пакетов: при поступлении трафика межсетевой экран проверяет данные, содержащиеся в IP-заголовке, по предварительно установленным правилам и определяет, следует ли разрешить доступ или отказать в нем. Однако для защиты развернутой среды SharePoint Portal Server от внешних атак необходимо также проверять содержимое заголовка HTTP. Межсетевой экран Microsoft Internet Security and Acceleration (ISA) Server 2000 — это межсетевой экран прикладного уровня, который, помимо фильтрации пакетов, выполняет анализ данных, содержащихся в пакетах протоколов прикладного уровня, таких как HTTP. В главе 25, «Использование межсетевого экрана при развертывании SharePoint Portal Server» подробно описывается, как настроить сервер ISA, чтобы узлы SharePoint стали доступны внешним пользователям без ущерба для безопасности внутренней сети.

Использование SSL в среде экстрасети

В веб-среде для создания безопасного канала связи между веб-обозревателем и внешним веб-сервером обычно используется протокол SSL. Для продуктов и технологий SharePoint протокол SSL служит безопасным средством установления шифруемого соединения с пользователями, подключающимися к узлам SharePoint с внешней стороны межсетевого экрана.

Подробное описание протокола SSL и инструкции по его включению в рабочей среде см. в главе 27, «Безопасность экстрасети на основе SSL и сертификатов».

Заключение

В этой главе рассматривались механизмы безопасности, используемые в продуктах и технологиях SharePoint для обеспечения безопасного доступа пользователей и снижения степени уязвимости. Проверка подлинности пользователей производится на базе таких технологий, как IIS и ASP.NET, а также концепции участников безопасности Windows, в то время как авторизация доступа основана на членстве в группах узла, которые связывают (прямо или косвенно) каждого пользователя с разрешением, указывающим, какие именно действия он может выполнять. Разграничение доступа кода позволяет детализировать возможности доступа для кода приложений продуктов и технологий SharePoint. Безопасность связи имеет ключевое значение для обеспечения безопасной передачи данных внутри и вне зоны действия межсетевого экрана. Система безопасности продуктов и технологий Microsoft SharePoint имеет многоуровневую структуру, которая строится на основе служб безопасности ряда базовых технологий, поэтому важно придерживаться всестороннего подхода к безопасности, формируя систему эшелонированной защиты, охватывающей все компоненты развернутой среды продуктов и технологий SharePoint.