Учетные записи безопасности SharePoint

Руководство по безопасности Office SharePoint Server, например, состоит из более чем 300 страниц, посвященных планированию и реализации иерархий веб-узлов и содержимого, методов проверки подлинности, ролей безопасности, учетных записей администратора и служб и многих других вопросов безопасности. Таблица требований учетных записей безопасности Windows SharePoint также содержит ключевую информацию о конфигурациях учетных записей безопасности. Тем, для кого важна безопасность, определенно стоит следовать этой таблице.

Даже при наличии подробной документации настройка учетных записей безопасности может быть сложной задачей. В действительности параметры по умолчанию односерверных установок отличаются от рекомендаций таблицы, а определенные компоненты, такие как веб-служба интеграции электронной почты, входящая в Windows SharePoint Services (WSS) 3.0, требуют повышенных прав на сервере, что не только не соответствует рекомендациям корпорации Майкрософт по безопасности, но и прямо противоречит практическому опыту безопасности и обычному здравому смыслу. Средство центрального администрирования SharePoint 3.0 Central Administration запросто производит ключевые настройки учетной записи без предупреждения, анализатор Microsoft Baseline Security Analyzer (MBSA) не обнаруживает возникающие слабости, так что обезопасить ферму серверов SharePoint и поддержать ее в таком состоянии по-прежнему непросто.

В этой статье я рассматриваю учетные записи безопасности SharePoint под микроскопом, чтобы показать, как слабая конфигурация может дать взломщику полный контроль над всеми веб-узлами и их коллекциями. Это несколько щекотливая тема. С одной стороны, я хочу помочь читателям распознавать проблемы безопасности, связанные с настройкой серверов SharePoint. В конце концов, для эффективной защиты среды SharePoint необходимо понимать ее силы и слабости.

С другой стороны, я не хочу помогать злоумышленникам. По этой причине я не прилагаю к этой статье никаких таблиц или собственных средств, а ограничу рассказ об исходном коде базовыми темами, которые должны быть знакомы любому профессиональному разработчику ASP.NET. Охваченные этой статьей фрагменты исходного кода должны помочь в обнаружении уязвимостей, но не в том, чтобы ими пользоваться. Даже в случае ограниченных программистских умений этими фрагментами можно воспользоваться, чтобы создавать собственные страницы ASP.NET, если есть Microsoft Office SharePoint Designer 2007.

Пробная версия Microsoft Office SharePoint Designer 2007 доступна в сети. Я предлагаю читателям настроить лабораторию тестирования соответственно собственным предпочтениям, обезопасить ее настолько хорошо, насколько можно, и затем выполнить фрагменты кода в целях проверки. Посмотрим, насколько безопасны их веб-узлы SharePoint!