Защита SharePoint усложняется с течением времени, если вы заранее не разработали эффективный процесс обеспечения безопасности и не осуществляли постоянное управление этим процессом. Ошибка в обеспечении безопасности может привести к несанкционированному доступу к конфигурационным параметрам SharePoint или потенциальному доступу к контенту, предназначенному только для определенных сотрудников или групп. Упущения в защите не только влекут финансовые и юридические последствия, но и раздражают пользователей и ухудшают их отношение к системе.
Самый лучший способ добиться, чтобы ничего этого не произошло, — разобраться в стандартных группах, доступных в SharePoint, и различных уровнях разрешений. Затем определить, нужно ли создавать собственную группу или новый уровень разрешений. Следует документировать процесс и политику создания новых уровней разрешений и групп SharePoint в плане защиты, доступном всем конечным пользователям.
Стандартные разрешения SharePoint
Уровни разрешений SharePoint — конструктивные элементы, на основе которых вы создаете группы SharePoint. Уровень разрешений назначается группе и тем самым назначается всем пользователям из этой группы. Важно знать все уровни разрешений и то, что может делать пользователь, если ему назначен тот или иной уровень разрешений. По умолчанию, если вы не используете шаблон публикации (publishing template), доступны следующие уровни разрешений:
- Limited Access (ограниченный доступ): позволяет пользователям видеть определенный список в библиотеке документов, но не предоставляет им доступ ко всему сайту. Как правило, пользователей добавляют в эту группу не напрямую, а косвенно, в результате изменения разрешений на отдельные элементы списка или сайта.
- Read (чтение): позволяет пользователям просматривать элементы на странице.
- Contribute (участие): позволяет пользователям добавлять, редактировать и удалять элементы на страницах сайта или в списках и библиотеках документов.
- Design (проектирование): позволяет пользователям менять разметку страниц сайта с помощью браузера или Microsoft SharePoint Designer 2010.
- Full Control (полный доступ): включает в себя все разрешения.
Если вы используете шаблон публикации, вам будут доступны следующие уровни разрешений:
- Restricted Read (ограниченный доступ): позволяет пользователям просматривать страницы и документы.
- Approve (утверждение): позволяет пользователям редактировать и утверждать страницы, элементы списков и документы.
- Manage Hierarchy (управление иерархией): позволяет пользователям создавать сайты, редактировать страницы и создавать списки элементов и документов.
В SharePoint 2010 имеется 33 различных разрешения, распределенных между пятью стандартными уровнями разрешений. Важно понимать, например, то, что такие уровни разрешения, как Contribute или Full Control, связаны с еще более детализированными группами разрешений. Самый лучший способ ознакомиться с разрешениями, соответствующими тому или иному уровню разрешений — зайти в Site Permissions, выбрать уровень разрешений и действовать так, как будто вы собираетесь редактировать разрешения. Тогда вы увидите элементарные разрешения для данного уровня разрешений.
Если для определенного уровня разрешений нужны другие разрешения, скорее всего, следует создать новый уровень разрешений с этими уникальными разрешениями. Это поможет избавить от путаницы администраторов, которые будут заниматься назначением уровней разрешений группам SharePoint. Самая распространенная причина создания нового уровня разрешений — необходимость создать уровень разрешений, аналогичный Contribute, но без права на удаление.
Стандартные группы SharePoint
Перед разработкой плана защиты или плана управления SharePoint вы должны изучить стандартные группы SharePoint. Кроме того, крайне важно понять, какие уровни разрешений назначаются каждой группе. Группы SharePoint могут различаться в зависимости от выбранного шаблона сайта.
Следует сделать, так чтобы большинство пользователей было членами групп Visitors или Members. Это позволит избежать нежелательных изменений в структуре, параметрах сайта или внешнем виде сайта. Однако важно помнить, что пользователи, входящие в группу Members, имеют право на удаление. В SharePoint нет стандартной группы с уровнем разрешений, позволяющим создавать, но не позволяющим удалять. Для поддержки функциональности такого рода нужны собственный уровень разрешений и собственная группа.
Кроме того, существуют администраторы фермы SharePoint и администраторы набора сайтов. Вхождение в группу администраторов фермы SharePoint позволяет администрировать SharePoint на уровне фермы — на самом высоком уровне. Следует максимально ограничить количество пользователей, входящих в эту группу. Члены группы администраторов набора сайтов могут администрировать SharePoint на уровне набора сайтов. На этом уровне можно настраивать группы безопасности, структуру и внешний вид сайтов. Количество членов этой группы также следует ограничить.
Определите, нужны ли собственные разрешения
Одни организации просто используют стандартные группы и уровни разрешений. Другие используют их как инфраструктуру или основу для создания собственных. Если стандартные уровни разрешений или группы не совсем подходят вашей организации, в любом случае придется создавать собственные уровни разрешений и группы.
Если требуются собственные уровни разрешений, следует создавать новые уровни разрешений с новыми разрешениями, а не изменять стандартные уровни разрешений. Вот некоторые типовые ситуации, когда требуются собственные уровни разрешений:
- Стандартные уровни разрешений содержат все разрешения, за исключением одного, нужного определенной группе пользователей.
- Стандартные уровни разрешений содержат разрешение, не нужное определенной группе пользователей.
Обязательно дайте новому уровню разрешений понятное имя и письменное описание, чтобы вы и другие администраторы понимали, что обеспечивает этот уровень разрешений. Используйте эти уровни разрешений с осторожностью. Проанализируйте уточненные разрешения, чтобы убедиться, что они полностью отвечают вашим требованиям, и только потом назначайте их группам SharePoint.
Необходимость в создании собственных групп SharePoint возникает чаще и оказывает меньшее влияние на безопасность сайта, чем собственные уровни разрешений. Вот некоторые типичные причины создания групп SharePoint:
- Сотрудникам организации требуется больше или меньше ролей, чем доступно для групп по умолчанию.
- В организации имеются общепринятые имена ролей, выполняющих те или иные задачи.
- Вы хотите создать прямое соответствие между группами безопасности Windows или списками распространения и группами SharePoint.
- Вы предпочитаете имена групп, отличные от стандартных.
Следует тщательно задокументировать собственные группы SharePoint и сделать их доступными всем администраторам для повсеместного использования на сайте. Microsoft предлагает электронную таблицу для документирования всех собственных уровней разрешений и групп.
Следите за безопасностью SharePoint
Защита SharePoint может быстро придти в неуправляемое состояние, поэтому важно отслеживать новые уровни разрешений и группы SharePoint по мере их создания. В процессе создания этих уровней и групп должен участвовать управляющий комитет, чтобы была уверенность, что они действительно нужны в вашей среде.
Отслеживайте сайты, которые нарушают цепочку наследования от родительских сайтов, поскольку эффективное управление такими сайтами может оказаться сложным. В SharePoint 2010, если разрешения сайта нарушают наследование от родительского сайта, выводится визуальное уведомление. Как можно строже ограничивайте нарушение наследования. Из-за него возникают проблемы с безопасностью и ситуация выходит из-под контроля.
Хороший подход — регулярно выполнять аудит безопасности, проверяя уровни разрешений, группы SharePoint и то, как ваши сотрудники используют их в сочетании с группами Active Directory и списками распространения. Аудит безопасности с помощью встроенных средств или инструментов сторонних производителей заставить администраторов вашего сайта не один раз подумать, прежде чем добавить уровень разрешений для группы. Следует полностью задокументировать эти процессы в вашем плане обеспечения безопасности.