was gibt´s neues im bereich sicherheit
DESCRIPTION
Was gibt´s neues im Bereich Sicherheit. Fabian Moritz Consultant, Developer SharePointCommunity.de. Agenda. Schwachstellen in WSS (Version 2) SharePoint-Identitäten Neue Authentifizierungsverfahren SharePoint-Berechtigungen Anonymer Zugriff Viele Demos…. Schwachpunkte des Vorgängers. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/1.jpg)
Was gibt´s neues im Bereich Sicherheit
Fabian MoritzConsultant, Developer
SharePointCommunity.de
![Page 2: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/2.jpg)
Agenda
Schwachstellen in WSS (Version 2) SharePoint-Identitäten Neue Authentifizierungsverfahren SharePoint-Berechtigungen Anonymer Zugriff Viele Demos…
![Page 3: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/3.jpg)
Schwachpunkte des Vorgängers
Keine Berechtigungen auf einzelne Verzeichnisse oder Elemente
Fehlende Wiederherstellungs-Möglichkeiten für einzelne Elemente (kein Papierkorb)
Nur Authentifizierung gegen Windows-Benutzerdatenbanken
Berechtigungen des Benutzers werden nicht bei der Darstellung berücksichtigt
Keine (echte) Backup & Recovery-Funktionalität
![Page 4: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/4.jpg)
SharePoint-Identitäten
Application Pool-Identität Konfiguration über IIS oder WSS-Administration Zugriff auf Ressourcen (Dateisystem, SQL)
WSS System-Identität Wird verwendet, um AppPool-Identität zu verstecken SHAREPOINT\system
Benutzer-Identität Windows oder anderer Authentifizierungs-Provider Vergabe von Berechtigungen
![Page 5: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/5.jpg)
Application Pools
Application Pool Identität Pro IIS Website ein Application Pool AppPool wird unter eigener Identität ausgeführt Identität ist lokales oder Domain-Benutzerkonto In Serverfarmen Domainkonto verwenden!
![Page 6: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/6.jpg)
AppPool Identität und SQL Server
Zugriff auf Config-Datenbank Erstellung und Zugriff auf Content-Datenbank Benutzerkonto benötigt SQL Server-Rechte
![Page 7: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/7.jpg)
SharePoint-Identitäten
Application Pool Identitäten verwalten
![Page 8: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/8.jpg)
Neue Authentifizierungsverfahren
1. Windows Authentifizierung Authentifizierung gegen IIS Benutzer authentifizieren sich über ein Active
Directory- oder lokales Benutzerkonto WSS v2 unterstützt nur diesen Typ
2. ASP.NET 2.0 Forms Authentifizierung Basiert auf Authentication Provider Framework IIS wird für “Anonymen Zugriff” konfiguriert
3. Web SSO Authentifizierung Basiert Active Directory Federation Services (ADFS)
![Page 9: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/9.jpg)
Authentifizierungszonen
SharePoint teilt Authentifizierung in Zonen 1 Zone = 1 WSS-erweiterte Webanwendung Jede Zone basiert auf einer IIS Site
Pro Zone nur ein Authentifizierungsprovider Windows | Forms | SSO Aber: Zwei erweiterte WSS-Anwendungen können auf
dieselbe Inhaltsdatenbank zugreifen Berechtigungen müssen für beide Zonen verwaltet
werden
![Page 10: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/10.jpg)
Windows Authentifizierung
Authentifizierung über Windows-Benutzerkonto Lokale Benutzergruppen in Stand-Alone-Umgebungen Active Directory-Benutzerkonten (bessere Varianten)
Authentifizierungsverfahren Windows integrierte Authentifizierung (NTLM, Kerberos) Basic Authentifizierung (Nur mit SSL!)
![Page 11: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/11.jpg)
ASP.NET Forms Authentifizierung
Basiert auf ASP.NET Authentifizierungsprovider Membership Provider für Benutzerkonten Role Provider
Out-of-the-box Provider SqlMembershipProvider ActiveDirectoryMembershipProvider
Identity Mgmt AppOperating System
Identity
xoxoxWallyoxoxMaryxoxoxoBobPWDLogin
DesktopWindows XP
ApplicationBrowser
Office AppCustom App
Web ServerWindows Server 2003
WSSv3
Internet AuthenticationProvider
![Page 12: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/12.jpg)
ASP.NET Forms Authentifizierung
Form-basierte Authentifizierung gegen SQL Server 2005 in SharePoint
![Page 13: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/13.jpg)
ASP.NET Forms AuthentifizierungKonfiguration (1)
Benutzerdatenbank erstellen Windows/Microsoft.NET/Framowork/v2.0.50727 aspnet_regsql -E -A all -S Host\Instanz
Website für Benutzerverwaltung Neue Website erstellen Connection String überschreiben
Benutzer über ASP.NET Konfiguration verwalten
![Page 14: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/14.jpg)
ASP.NET Forms AuthentifizierungKonfiguration (2)
Forms-basierte Authentifizierung in der Zentraladministration aktivieren
Membership Provider definieren
Role Provider definieren (Optional)
![Page 15: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/15.jpg)
ASP.NET Forms AuthentifizierungKonfiguration (3)
Connection String zum Membership Provider hinzufügen
Membership Provider konfigurieren
![Page 16: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/16.jpg)
Sicherheit und Site Collection
Was ist eine Site Collection? Isolierte Ansammlung von Websites Bildet Sicherheitsgrenze
Jede Site Collection hat… einen oder zwei Besitzer Site Collection Papierkorb
Berechtigungen innerhalb einer Site Collection … können vererbt werden oder pro Website definiert werden
![Page 17: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/17.jpg)
SharePoint-Berechtigungen (1)
SharePoint liefert vordefiniert Rechte Listenberechtigungen (Hinzufügen, Ändern, etc.) Websiteberechtigungen (Website erstellen) Persönliche Berechtigungen (Ansicht anpassen)
Vergabe durch Berechtigungsstufen
Security Trimmed UI
![Page 18: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/18.jpg)
SharePoint-Berechtigungen (2)
Wer wird berechtigt? WSS-Gruppen Active Directory-Benutzergruppen Lokale Benutzergruppen Role Provider Gruppen
Was kann berechtig werden? Websites Listen und Dokumentenbibliotheken Einzelne Elemente
![Page 19: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/19.jpg)
SharePoint-Berechtigungen
Berechtigungen in SharePoint verwalten
![Page 20: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/20.jpg)
Anonymer Zugriff
Aktivierung in Zentraladministration
Einfache Verwaltung innerhalb der Website
Direkte Berechtigungsvergabe auf Ebene der Liste oder des Listeneintrags
![Page 21: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/21.jpg)
Papierkorb
SharePoint integriert einen Papierkorb Für Benutzer auf Site-Ebene Für Administratoren auf Site-Collection-Ebene Listen, Bibliotheken, Verzeichnisse, Elemente
![Page 22: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/22.jpg)
Anonymer Zugriff und Papierkorb
- Anonymen Zugriff aktiviern und verwalten- Papierkorb einer SharePoint Website
![Page 23: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/23.jpg)
Zusammenfassung
Verbesserte Wege der Application Pool-Verwaltung Neue Authentifizierungsvarianten Berechtigungen auf einzelne Elemente Vereinfachte Verwaltung von anonymen Zugriff Security Trimmed UI Papierkorb
![Page 24: Was gibt´s neues im Bereich Sicherheit](https://reader036.vdocuments.pub/reader036/viewer/2022081603/56815c31550346895dca142e/html5/thumbnails/24.jpg)