In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

SharePoint 2007 - Neues im Bereich Sicherheit

Werbung 
Was gibt´s neues im Bereich
Sicherheit
Fabian Moritz
Consultant, Developer
SharePointCommunity.de
Agenda






Schwachstellen in WSS (Version 2)
SharePoint-Identitäten
Neue Authentifizierungsverfahren
SharePoint-Berechtigungen
Anonymer Zugriff
Viele Demos…
Schwachpunkte des Vorgängers
 Keine Berechtigungen auf einzelne Verzeichnisse
oder Elemente
 Fehlende Wiederherstellungs-Möglichkeiten für
einzelne Elemente (kein Papierkorb)
 Nur Authentifizierung gegen WindowsBenutzerdatenbanken
 Berechtigungen des Benutzers werden nicht bei
der Darstellung berücksichtigt
 Keine (echte) Backup & Recovery-Funktionalität
SharePoint-Identitäten
 Application Pool-Identität
 Konfiguration über IIS oder WSS-Administration
 Zugriff auf Ressourcen (Dateisystem, SQL)
 WSS System-Identität
 Wird verwendet, um AppPool-Identität zu verstecken
 SHAREPOINT\system
 Benutzer-Identität
 Windows oder anderer Authentifizierungs-Provider
 Vergabe von Berechtigungen
Application Pools
 Application Pool Identität




Pro IIS Website ein Application Pool
AppPool wird unter eigener Identität ausgeführt
Identität ist lokales oder Domain-Benutzerkonto
In Serverfarmen Domainkonto verwenden!
AppPool Identität und SQL Server
 Zugriff auf Config-Datenbank
 Erstellung und Zugriff auf Content-Datenbank
 Benutzerkonto benötigt SQL Server-Rechte
SharePoint-Identitäten
Application Pool Identitäten verwalten
Neue Authentifizierungsverfahren
1. Windows Authentifizierung



Authentifizierung gegen IIS
Benutzer authentifizieren sich über ein Active
Directory- oder lokales Benutzerkonto
WSS v2 unterstützt nur diesen Typ
2. ASP.NET 2.0 Forms Authentifizierung


Basiert auf Authentication Provider Framework
IIS wird für “Anonymen Zugriff” konfiguriert
3. Web SSO Authentifizierung

Basiert Active Directory Federation Services (ADFS)
Authentifizierungszonen
 SharePoint teilt Authentifizierung in Zonen
 1 Zone = 1 WSS-erweiterte Webanwendung
 Jede Zone basiert auf einer IIS Site
 Pro Zone nur ein Authentifizierungsprovider
 Windows | Forms | SSO
 Aber: Zwei erweiterte WSS-Anwendungen können auf
dieselbe Inhaltsdatenbank zugreifen
 Berechtigungen müssen für beide Zonen verwaltet
werden
Windows Authentifizierung
 Authentifizierung über Windows-Benutzerkonto
 Lokale Benutzergruppen in Stand-Alone-Umgebungen
 Active Directory-Benutzerkonten (bessere Varianten)
 Authentifizierungsverfahren
 Windows integrierte Authentifizierung (NTLM, Kerberos)
 Basic Authentifizierung (Nur mit SSL!)
ASP.NET Forms Authentifizierung
 Basiert auf ASP.NET Authentifizierungsprovider
 Membership Provider für Benutzerkonten
 Role Provider
WSSv3
Application
Browser
Office App
Custom App
Internet
Authentication
Provider
Identity
Login
Bob
Mary
Wally
PWD
xoxoxo
oxox
xoxox
Desktop
Web Server
Identity Mgmt App
Windows XP
Windows Server 2003
Operating System
 Out-of-the-box Provider
 SqlMembershipProvider
 ActiveDirectoryMembershipProvider
ASP.NET Forms Authentifizierung
Form-basierte Authentifizierung gegen SQL
Server 2005 in SharePoint
ASP.NET Forms Authentifizierung
Konfiguration (1)
 Benutzerdatenbank erstellen
 Windows/Microsoft.NET/Framowork/v2.0.50727
 aspnet_regsql -E -A all -S Host\Instanz
 Website für Benutzerverwaltung
 Neue Website erstellen
 Connection String überschreiben
 Benutzer über ASP.NET Konfiguration verwalten
ASP.NET Forms Authentifizierung
Konfiguration (2)
 Forms-basierte Authentifizierung in der
Zentraladministration aktivieren
 Membership Provider definieren
 Role Provider definieren (Optional)
ASP.NET Forms Authentifizierung
Konfiguration (3)
 Connection String zum Membership Provider
hinzufügen
 Membership Provider konfigurieren
Sicherheit und Site Collection
 Was ist eine Site Collection?
 Isolierte Ansammlung von Websites
 Bildet Sicherheitsgrenze
 Jede Site Collection hat…
 einen oder zwei Besitzer
 Site Collection Papierkorb
 Berechtigungen innerhalb einer Site Collection …
 können vererbt werden oder
 pro Website definiert werden
SharePoint-Berechtigungen (1)
 SharePoint liefert vordefiniert Rechte
 Listenberechtigungen (Hinzufügen, Ändern, etc.)
 Websiteberechtigungen (Website erstellen)
 Persönliche Berechtigungen (Ansicht anpassen)
 Vergabe durch Berechtigungsstufen
 Security Trimmed UI
SharePoint-Berechtigungen (2)
 Wer wird berechtigt?




WSS-Gruppen
Active Directory-Benutzergruppen
Lokale Benutzergruppen
Role Provider Gruppen
 Was kann berechtig werden?
 Websites
 Listen und Dokumentenbibliotheken
 Einzelne Elemente
SharePoint-Berechtigungen
Berechtigungen in SharePoint verwalten
Anonymer Zugriff
 Aktivierung in Zentraladministration
 Einfache Verwaltung innerhalb der Website
 Direkte Berechtigungsvergabe auf Ebene der
Liste oder des Listeneintrags
Papierkorb
 SharePoint integriert einen Papierkorb
 Für Benutzer auf Site-Ebene
 Für Administratoren auf Site-Collection-Ebene
 Listen, Bibliotheken, Verzeichnisse, Elemente
Anonymer Zugriff und Papierkorb
- Anonymen Zugriff aktiviern und verwalten
- Papierkorb einer SharePoint Website
Zusammenfassung






Verbesserte Wege der Application Pool-Verwaltung
Neue Authentifizierungsvarianten
Berechtigungen auf einzelne Elemente
Vereinfachte Verwaltung von anonymen Zugriff
Security Trimmed UI
Papierkorb
Zugehörige Unterlagen
SharePoint 2007 - Neues im Bereich Sicherheit
SharePoint 2007 - Neues im Bereich Sicherheit
Providersuche – Checkliste
Providersuche – Checkliste
8Man Basic Feastures
8Man Basic Feastures
(Webserver/Sharepoint) in Berlin
(Webserver/Sharepoint) in Berlin
presentation
presentation
hybrid.forms
hybrid.forms
2016-014 Windows-Administrator (m_w)
2016-014 Windows-Administrator (m_w)
20151117 Windows 10 Packaging Powerworkshop und
20151117 Windows 10 Packaging Powerworkshop und
Funktionen von SafeCom Eigenschaften
Funktionen von SafeCom Eigenschaften
Protokoll TPL JF 090708
Protokoll TPL JF 090708
ID_Provider Spezialität Kanton PLZ GLN ZSR Hash
ID_Provider Spezialität Kanton PLZ GLN ZSR Hash
10. Nov. 2010
10. Nov. 2010
A1 Webspace Business – Technische Daten
A1 Webspace Business – Technische Daten
19.12.
19.12.
The Verb: Haben
The Verb: Haben
Zielgruppe dieses Kapitels
Zielgruppe dieses Kapitels
802.1X und Verschlüsselung zur Absicherung von
802.1X und Verschlüsselung zur Absicherung von
Berechtigungen verwalten, Compliance sichern
Berechtigungen verwalten, Compliance sichern
Produkte und Leistungen solvtec ® IT CAQ
Produkte und Leistungen solvtec ® IT CAQ
Systemvoraussetzungen SQL Server
Systemvoraussetzungen SQL Server
Von der Theorie zur Praxis – konkrete Schritte für den erfolgreichen
Von der Theorie zur Praxis – konkrete Schritte für den erfolgreichen
Flyer 8MAN
Flyer 8MAN
Herunterladen
Werbung