Was gibt´s neues im Bereich Sicherheit Fabian Moritz Consultant, Developer SharePointCommunity.de
Agenda Schwachstellen in WSS (Version 2) SharePoint-Identitäten Neue Authentifizierungsverfahren SharePoint-Berechtigungen Anonymer Zugriff Viele Demos…
Schwachpunkte des Vorgängers Keine Berechtigungen auf einzelne Verzeichnisse oder Elemente Fehlende Wiederherstellungs-Möglichkeiten für einzelne Elemente (kein Papierkorb) Nur Authentifizierung gegen Windows-Benutzerdatenbanken Berechtigungen des Benutzers werden nicht bei der Darstellung berücksichtigt Keine (echte) Backup & Recovery-Funktionalität
SharePoint-Identitäten Application Pool-Identität Konfiguration über IIS oder WSS-Administration Zugriff auf Ressourcen (Dateisystem, SQL) WSS System-Identität Wird verwendet, um AppPool-Identität zu verstecken SHAREPOINT\system Benutzer-Identität Windows oder anderer Authentifizierungs-Provider Vergabe von Berechtigungen
Application Pools Application Pool Identität Pro IIS Website ein Application Pool AppPool wird unter eigener Identität ausgeführt Identität ist lokales oder Domain-Benutzerkonto In Serverfarmen Domainkonto verwenden!
AppPool Identität und SQL Server Zugriff auf Config-Datenbank Erstellung und Zugriff auf Content-Datenbank Benutzerkonto benötigt SQL Server-Rechte
SharePoint-Identitäten Application Pool Identitäten verwalten
Neue Authentifizierungsverfahren Windows Authentifizierung Authentifizierung gegen IIS Benutzer authentifizieren sich über ein Active Directory- oder lokales Benutzerkonto WSS v2 unterstützt nur diesen Typ ASP.NET 2.0 Forms Authentifizierung Basiert auf Authentication Provider Framework IIS wird für “Anonymen Zugriff” konfiguriert Web SSO Authentifizierung Basiert Active Directory Federation Services (ADFS)
Authentifizierungszonen SharePoint teilt Authentifizierung in Zonen 1 Zone = 1 WSS-erweiterte Webanwendung Jede Zone basiert auf einer IIS Site Pro Zone nur ein Authentifizierungsprovider Windows | Forms | SSO Aber: Zwei erweiterte WSS-Anwendungen können auf dieselbe Inhaltsdatenbank zugreifen Berechtigungen müssen für beide Zonen verwaltet werden
Windows Authentifizierung Authentifizierung über Windows-Benutzerkonto Lokale Benutzergruppen in Stand-Alone-Umgebungen Active Directory-Benutzerkonten (bessere Varianten) Authentifizierungsverfahren Windows integrierte Authentifizierung (NTLM, Kerberos) Basic Authentifizierung (Nur mit SSL!)
ASP.NET Forms Authentifizierung Basiert auf ASP.NET Authentifizierungsprovider Membership Provider für Benutzerkonten Role Provider Out-of-the-box Provider SqlMembershipProvider ActiveDirectoryMembershipProvider Desktop Windows XP Web Server Windows Server 2003 Identity Mgmt App Operating System Identity xoxox Wally oxox Mary xoxoxo Bob PWD Login WSSv3 Application Browser Office App Custom App Internet Authentication Provider
ASP.NET Forms Authentifizierung Form-basierte Authentifizierung gegen SQL Server 2005 in SharePoint
ASP.NET Forms Authentifizierung Konfiguration (1) Benutzerdatenbank erstellen Windows/Microsoft.NET/Framowork/v2.0.50727 aspnet_regsql -E -A all -S Host\Instanz Website für Benutzerverwaltung Neue Website erstellen Connection String überschreiben Benutzer über ASP.NET Konfiguration verwalten
ASP.NET Forms Authentifizierung Konfiguration (2) Forms-basierte Authentifizierung in der Zentraladministration aktivieren Membership Provider definieren Role Provider definieren (Optional)
ASP.NET Forms Authentifizierung Konfiguration (3) Connection String zum Membership Provider hinzufügen Membership Provider konfigurieren
Sicherheit und Site Collection Was ist eine Site Collection? Isolierte Ansammlung von Websites Bildet Sicherheitsgrenze Jede Site Collection hat… einen oder zwei Besitzer Site Collection Papierkorb Berechtigungen innerhalb einer Site Collection … können vererbt werden oder pro Website definiert werden
SharePoint-Berechtigungen (1) SharePoint liefert vordefiniert Rechte Listenberechtigungen (Hinzufügen, Ändern, etc.) Websiteberechtigungen (Website erstellen) Persönliche Berechtigungen (Ansicht anpassen) Vergabe durch Berechtigungsstufen Security Trimmed UI
SharePoint-Berechtigungen (2) Wer wird berechtigt? WSS-Gruppen Active Directory-Benutzergruppen Lokale Benutzergruppen Role Provider Gruppen Was kann berechtig werden? Websites Listen und Dokumentenbibliotheken Einzelne Elemente
SharePoint-Berechtigungen Berechtigungen in SharePoint verwalten
Anonymer Zugriff Aktivierung in Zentraladministration Einfache Verwaltung innerhalb der Website Direkte Berechtigungsvergabe auf Ebene der Liste oder des Listeneintrags
Papierkorb SharePoint integriert einen Papierkorb Für Benutzer auf Site-Ebene Für Administratoren auf Site-Collection-Ebene Listen, Bibliotheken, Verzeichnisse, Elemente
Anonymer Zugriff und Papierkorb - Anonymen Zugriff aktiviern und verwalten - Papierkorb einer SharePoint Website
Zusammenfassung Verbesserte Wege der Application Pool-Verwaltung Neue Authentifizierungsvarianten Berechtigungen auf einzelne Elemente Vereinfachte Verwaltung von anonymen Zugriff Security Trimmed UI Papierkorb