关键字: SPS SharePoint SPS 2003 安全 结构
本示例章节来自于 Microsoft SharePoint 产品与技术资源工具包。您可以从 以下地址获得包括了一张附带光盘的完整的资源工具包(ISBN 0-7356-1881-X):Microsoft 出版社.
Microsoft SharePoint 产品与技术的安全取决于并居于以下产品与技术的安全之上,例如 ASP.NET、 Internet 信息服务 (IIS)、SQL Server 2000 以及 Windows Server 2003。不用说,通讯安全和防火墙配置 也同样至关重要。 与任何 Web 应用程序一样,SharePoint 站点的安全只等同于其最薄弱的链接,安全涉及 整个 SharePoint 产品与技术部署过程中的所有组件。 因为 SharePoint 产品与技术涉及多种技术,您需要 了解这些技术中的安全性,以使 SharePoint 产品与技术部署的所有部件安全地协作。
采 用一个分层的安全方法至关重要,通常称为 深层防御。 使用深 层防御意味着在多种层面上解决安全问题,包括有组织的安全策略、Windows Server 2003 配置、IIS 配置、 ASP.NET 配置、SharePoint 产品与技术配置、通讯安全、防火墙配置等。
SharePoint 产 品与技术使用多种可降低安全受威胁的风险的技术。 这些技术包括:
| • |
使用 Windows 主体的身份验证,从而可使用强身份 验证方式、密码策略、帐户锁定策略以及加密 |
| • |
基于权限模式的授权,以确保高精度控制对站点内容的访问 |
| • |
.NET Framework 中的代码访问安全,使您能够控制代码访问受保护的资源和操作 |
| • |
使您能够在防火墙内部和外部保护通信的诸 如安全套接字层 (SSL)和 IPSec 的安全技术 |
| • |
防火墙保护外部站点 |
本章将重点讲述 SharePoint 产品 与技术中的身份验证、授权、代码访问安全以及通讯安全。 调查结果表明早期身份验证和授权设计可消除大 部分漏洞。 取决于代码的出处和代码标识的其他方面,代码访问安全支持在不同程度上信任代码。 通讯安全 是保护您的部署的一个必备部分,以保护在用户与您的站点、与您部署中的服务器间传递的数据。 有关 SharePoint 产品与技术安全策略的讨论,请参阅第 24 章:“SharePoint 产品与技术的信息安全策略”。
身份验证
身份验证是明确 验证您的站点用户的过程。 身份验证确保用户为他们所声称的用户。 经过身份验证的客户端被称为 主体。
在 SharePoint 产品与技术中,身 份验证基于 Windows 安全帐户。
针对 SharePoint 站点,ASP.NET 被配置为使用 Windows 身份验证。 在 web.config 文件中,身份验证部分如下所示:
<system.web> ???? <authentication mode="Windows” > </system.web>
依照 Windows 身份验证模式,ASP.NET 依靠 IIS 来执行客户端所需的身份验证。 IIS 依照 Windows 安全帐户验证提出请求的用户的身份。 IIS 在验证完客户端的身份后,会将用户标识传递给 ASP.NET.(见图 6-1)。
图 6-1 在 Windows 身份验证模式中传递用户标识
可使用多种 IIS 身份验 证方案进行 SharePoint 产品与技术的用户身份验证,如下所示:
“基本身份验证”。
| • |
基本身份验证是几乎所有浏览器都支持的 HTTP 1.1 协议的一部分。 凭借 SharePoint 产品与技术,可以在外联网环境中使用基本身份验证。 以不加密的方 式传递凭据。 只应对 SSL 使用基本身份验证;否则,基本身份验证是不安全的。 |
“集成的 Windows 身份验证 ”。
| • |
集成的 Windows 身份验证是一种安全的身份验证方式,最适合内联网 SharePoint 站点。 集成的 Windows 身份验证不通过代理服务器进行工作。 集成的 Windows 身份验证以 Kerberos 或 NTLM 的方式实施 。 Kerberos 要求客户端和服务器计算机上使用 Windows 2000 或更高版本的操作系统。 |
“客户端证书映射”。
| • |
客 户端需要 X.509 证书。 这是一个可选的身份验证机制,可在客户端和服务器间启用了 SSL 时使用。 例如, 当安全策略要求双层身份验证时――需要客户端提供证书并要求用户提供身份验证凭据的系统,可以在外联网 上使用客户端证书映射。 有关配置的详细信息,请参阅第 27 章:“使用 SSL 和证书保护外联网”。 |
“匿名身 份验证”。
| • |
匿名身份验证允许匿名访问站点。 用以匿名访问的默认用户身份为 IUSR_计算机名。 当 IIS 收到匿 名请求时,它将模拟 IUSR_计算机名帐户。. 在这种情况下,传递到 ASP.NET 的标识为 IUSR_计算机名。 |
SharePoint 产品与技术中的用户访问基于 Windows 安全原则,例如单独的用户帐户和安全组帐户(域\用户和域\安全组)。
不可以 使用分发列表来控制访问 Windows SharePoint Services 中的内容,因为分发列表不是 Windows 安全原则。
除了验证访问 SharePoint 站点的用户身份,SharePoint Portal Server 还提供了一 个单一登录 (SSO) 功能,允许您验证访问门户站点的用户身份,然后在需要时从 SSO 数据库中检索用户存储 的其他识别用户企业业务应用程序的凭据。 通过 Microsoft 单一登录服务 (SSOSrv) 执行 SSO 功能。 SSOSrv 可存储和映射诸如帐户名和密码等凭据,以便基于门户的应用程序能够从第三方应用程序和后端系统 中检索信息。 这可避免当基于门户的应用程序需要从其他业务应用程序和系统获得信息时,用户不得不再次 验证他们的身份。 有关在 SharePoint Portal Server 中启用和配置 SSO 方式的详细信息,请参阅第 26 章 :“SharePoint Portal Server 2003 中的单一登录”。
授权
授权定义了允许经过身份验证的用户访问的资源和操作。 在 Windows SharePoint Services 和 SharePoint Portal Server 中,通过一个基于角色的成员身份系统控制对站点的访 问,通过该系统每个用户直接或间接地与一个控制用户能够执行的特定操作的权限相联系。 该成员身份基于 网站用户组。 使用网站用户组是一种基于用户执行的任务的类别 为他们配置权限的方式。
网站用户组可指定用户在站点上拥有哪些权限。 这些权限决 定用户在站点上能够执行哪些特定操作。 虽然出于 SharePoint Portal Server 中的附加特性集的原因,使 用网站用户组的原理与 Windows SharePoint Services 和 SharePoint Portal Server 中的原理相同,但是 用户权利和相应的权限以及默认网站用户组还是有所不同。 因为这些差别,我们将分别探讨 Windows SharePoint Services 和 SharePoint Portal Server 中的授权。
Windows SharePoint Services 中的授权
本节将探讨访问 Windows SharePoint Services 的用户授权,以及设置权限相关的管理任务。 Windows SharePoint Services 使用网 站用户组来管理站点范围内的安全。 权限可指定用户能够执行的操作;在本质上,每个网站用户组就是一个 权限集合。
如果您想要所有用户都能够浏览您的站点,可以启用站点的匿名访问。 默认状态下禁用匿名访问。
启用了 匿名访问后,用户无需身份验证就可以浏览站点,但是他们不能在站点上执行任何管理任务。 管理页面要求 进行身份验证。
要想运行使用 Windows SharePoint Services 对象模型的自定义代 码,正象他们通过用户界面与站点或列表交互一样,用户必须拥有指派给他们的适当权限。
要想被授权在服务器计算机上执行影响所有站点和虚拟服务器设置的管理任务,用户必须是服务器计算 机上的本地管理组成员或 SharePoint 管理员组成员。
网站 用户组
Windows SharePoint Services 包含 21 种权限,在五个默认网站用户组 中使用。 这五个默认用户权限组为来宾、读者、参与者、Web 设计者以及管理员。 表 6-1 显示了每个网站 用户组中默认包含的用户权限。
不能更改指派给来宾和管理员网站用户组的权限。 然而,可以自定义读者、参与者以及 Web 设计者网站用户组中的权限,以便只包含想要的权限。
可以添加新的网站用户组来结合不同的权限集,编辑指派到网站用户组的权限或删除不用的网站 用户组。
不可以直接将用户指派到来宾网站用户组,而通过每个列表的权限被授予 访问列表或文档库权限的用户自动被添加到来宾网站用户组中。 不可以自定义或删除来宾网站用户组。
可以通过使用 HTML 管理页面或命令行管理工具 Stsadm.exe 来管理网站用户组和 权限。有关具体任务的详细描述,请参阅第 16 章:“Windows SharePoint Services 站点管理”。
也可以使用 Windows SharePoint Services 对象模型来执行代码中的管理任务。 如欲了解 详细信息,请参阅以下链接中的 SharePoint 产品与技术软件开发工具包 (SDK) http://msdn.microsoft.com/library/default.asp?url=/library/en -us/spptsdk/html/SPSDKWelcome.asp.
表 6-1. Windows SharePoint Services 默认的网站用户 组及其权限”
| 网站用户组名 | 默认状 态下含有的用户权限 |
|
来宾 |
无 |
|
读者 |
使用 自助站点创建 查看页面 查看项目 |
|
参与者 |
读者网站用户组中包含的所有权限,加上: |
