SharePoint 2007 - Neues im Bereich Sicherheit

Was gibt´s neues im Bereich
Sicherheit
Fabian Moritz
Consultant, Developer
SharePointCommunity.de
Agenda






Schwachstellen in WSS (Version 2)
SharePoint-Identitäten
Neue Authentifizierungsverfahren
SharePoint-Berechtigungen
Anonymer Zugriff
Viele Demos…
Schwachpunkte des Vorgängers
 Keine Berechtigungen auf einzelne Verzeichnisse
oder Elemente
 Fehlende Wiederherstellungs-Möglichkeiten für
einzelne Elemente (kein Papierkorb)
 Nur Authentifizierung gegen WindowsBenutzerdatenbanken
 Berechtigungen des Benutzers werden nicht bei
der Darstellung berücksichtigt
 Keine (echte) Backup & Recovery-Funktionalität
SharePoint-Identitäten
 Application Pool-Identität
 Konfiguration über IIS oder WSS-Administration
 Zugriff auf Ressourcen (Dateisystem, SQL)
 WSS System-Identität
 Wird verwendet, um AppPool-Identität zu verstecken
 SHAREPOINT\system
 Benutzer-Identität
 Windows oder anderer Authentifizierungs-Provider
 Vergabe von Berechtigungen
Application Pools
 Application Pool Identität




Pro IIS Website ein Application Pool
AppPool wird unter eigener Identität ausgeführt
Identität ist lokales oder Domain-Benutzerkonto
In Serverfarmen Domainkonto verwenden!
AppPool Identität und SQL Server
 Zugriff auf Config-Datenbank
 Erstellung und Zugriff auf Content-Datenbank
 Benutzerkonto benötigt SQL Server-Rechte
SharePoint-Identitäten
Application Pool Identitäten verwalten
Neue Authentifizierungsverfahren
1. Windows Authentifizierung



Authentifizierung gegen IIS
Benutzer authentifizieren sich über ein Active
Directory- oder lokales Benutzerkonto
WSS v2 unterstützt nur diesen Typ
2. ASP.NET 2.0 Forms Authentifizierung


Basiert auf Authentication Provider Framework
IIS wird für “Anonymen Zugriff” konfiguriert
3. Web SSO Authentifizierung

Basiert Active Directory Federation Services (ADFS)
Authentifizierungszonen
 SharePoint teilt Authentifizierung in Zonen
 1 Zone = 1 WSS-erweiterte Webanwendung
 Jede Zone basiert auf einer IIS Site
 Pro Zone nur ein Authentifizierungsprovider
 Windows | Forms | SSO
 Aber: Zwei erweiterte WSS-Anwendungen können auf
dieselbe Inhaltsdatenbank zugreifen
 Berechtigungen müssen für beide Zonen verwaltet
werden
Windows Authentifizierung
 Authentifizierung über Windows-Benutzerkonto
 Lokale Benutzergruppen in Stand-Alone-Umgebungen
 Active Directory-Benutzerkonten (bessere Varianten)
 Authentifizierungsverfahren
 Windows integrierte Authentifizierung (NTLM, Kerberos)
 Basic Authentifizierung (Nur mit SSL!)
ASP.NET Forms Authentifizierung
 Basiert auf ASP.NET Authentifizierungsprovider
 Membership Provider für Benutzerkonten
 Role Provider
WSSv3
Application
Browser
Office App
Custom App
Internet
Authentication
Provider
Identity
Login
Bob
Mary
Wally
PWD
xoxoxo
oxox
xoxox
Desktop
Web Server
Identity Mgmt App
Windows XP
Windows Server 2003
Operating System
 Out-of-the-box Provider
 SqlMembershipProvider
 ActiveDirectoryMembershipProvider
ASP.NET Forms Authentifizierung
Form-basierte Authentifizierung gegen SQL
Server 2005 in SharePoint
ASP.NET Forms Authentifizierung
Konfiguration (1)
 Benutzerdatenbank erstellen
 Windows/Microsoft.NET/Framowork/v2.0.50727
 aspnet_regsql -E -A all -S Host\Instanz
 Website für Benutzerverwaltung
 Neue Website erstellen
 Connection String überschreiben
 Benutzer über ASP.NET Konfiguration verwalten
ASP.NET Forms Authentifizierung
Konfiguration (2)
 Forms-basierte Authentifizierung in der
Zentraladministration aktivieren
 Membership Provider definieren
 Role Provider definieren (Optional)
ASP.NET Forms Authentifizierung
Konfiguration (3)
 Connection String zum Membership Provider
hinzufügen
 Membership Provider konfigurieren
Sicherheit und Site Collection
 Was ist eine Site Collection?
 Isolierte Ansammlung von Websites
 Bildet Sicherheitsgrenze
 Jede Site Collection hat…
 einen oder zwei Besitzer
 Site Collection Papierkorb
 Berechtigungen innerhalb einer Site Collection …
 können vererbt werden oder
 pro Website definiert werden
SharePoint-Berechtigungen (1)
 SharePoint liefert vordefiniert Rechte
 Listenberechtigungen (Hinzufügen, Ändern, etc.)
 Websiteberechtigungen (Website erstellen)
 Persönliche Berechtigungen (Ansicht anpassen)
 Vergabe durch Berechtigungsstufen
 Security Trimmed UI
SharePoint-Berechtigungen (2)
 Wer wird berechtigt?




WSS-Gruppen
Active Directory-Benutzergruppen
Lokale Benutzergruppen
Role Provider Gruppen
 Was kann berechtig werden?
 Websites
 Listen und Dokumentenbibliotheken
 Einzelne Elemente
SharePoint-Berechtigungen
Berechtigungen in SharePoint verwalten
Anonymer Zugriff
 Aktivierung in Zentraladministration
 Einfache Verwaltung innerhalb der Website
 Direkte Berechtigungsvergabe auf Ebene der
Liste oder des Listeneintrags
Papierkorb
 SharePoint integriert einen Papierkorb
 Für Benutzer auf Site-Ebene
 Für Administratoren auf Site-Collection-Ebene
 Listen, Bibliotheken, Verzeichnisse, Elemente
Anonymer Zugriff und Papierkorb
- Anonymen Zugriff aktiviern und verwalten
- Papierkorb einer SharePoint Website
Zusammenfassung






Verbesserte Wege der Application Pool-Verwaltung
Neue Authentifizierungsvarianten
Berechtigungen auf einzelne Elemente
Vereinfachte Verwaltung von anonymen Zugriff
Security Trimmed UI
Papierkorb