Учетные записи безопасности SharePoint - Пулы приложений и учетные записи безопасности
ОГЛАВЛЕНИЕ
Пулы приложений и учетные записи безопасности
Учетные записи безопасности лежат в самой основе модели обработки запросов SharePoint. Они определяют контекст безопасности рабочих процессов IIS, выполняющих веб-приложения SharePoint Web. При создании веб-приложения SharePoint необходимо указать, среди прочего, пул приложений со связанными с ним учетными данными записи безопасности и базу данных SharePoint, со связанным с ней методом проверки подлинности. При использовании проверки Windows (что рекомендуется) SharePoint автоматически дает указанной учетной записи базы данных разрешения dbOwner на базе данных содержимого, так что рабочий процесс IIS, выполняющий веб-приложение SharePoint, может получить доступ к веб-узлам и их коллекциям, размещенным в этой базе данных. В ином случае необходимо предоставить прямые учетные данные SQL Server.
В любом случае, веб-узлы и коллекции веб-узлов SharePoint являются виртуальными конструкциями. Физически они соответствуют записям в базе данных. Если известны имя учетной записи и пароль, для установки прямого подключения SQL Server к базе данных содержимого можно получить полный доступ ко всем ее данным веб-узлов и их коллекций, вне зависимости от разрешений и элементов управления доступом, определенных на уровне SharePoint. SharePoint не может заблокировать пользователя, поскольку тот устанавливает прямое подключение к серверу базы данных, как показано на рис. 1. Учетная запись безопасности, таким образом, является основной целью для атаки.
Рис. 1 Обход веб-узлов SharePoint и их коллекций для получения доступа к данным
Для смягчения угроз безопасности корпорация Майкрософт рекомендует настройку отдельных пулов приложений (и учетных записей приложений) для коллекций веб-узлов с проверенными и анонимными учетными записями и для изоляции приложений, сохраняющих пароли или тех, в которых пользователи могут свободно создавать и администрировать веб-узлы и сотрудничать по содержимому. Основная идея следования этой рекомендации состоит в том, что злоумышленник, получивший контроль над одним пулом приложений, не получит по умолчанию доступа ко всем данным, размещенным на ферме SharePoint. Веб-узлы SharePoint и их коллекции в других базах данных останутся за пределами его досягаемости, при условии использования отдельных учетных записей безопасности для связанных с ними веб-приложений.
Корпорация Майкрософт впервые представила концепцию изоляции рабочего процесса, основанной на пулах приложений в IIS 6.0, и заявляет, что IIS ни разу с тех пор не пострадал от серьезной уязвимости в системе безопасности. Это весьма обнадеживает, так что не забудьте воспользоваться пулами приложений в фермах SharePoint. Но держите в уме, что веб-узлы IIS – это не синоним веб-приложений SharePoint. Хотя и возможна изоляция веб-узлов IIS, изолировать веб-приложения SharePoint друг от друга нельзя.
Реальная изоляция существует только если у веб-узлов нет общих ресурсов, однако у веб-приложений SharePoint такие ресурсы есть всегда, скажем, база данных конфигурации фермы. Как проиллюстрировано на рис. 2, получение контроля над учетной записью безопасности SharePoint означает возможность доступа к базе данных конфигурации SharePoint. Эта возможность доступа должна вызвать беспокойство в случае развертывания фермы SharePoint без продумывания защиты учетных записей безопасности, особенно в случае размещения веб-узлов и их коллекций от различных внутренних и внешних клиентов в общей среде.
Рис. 2 Отношения между веб-приложениями SharePoint, базой данных конфигурации и базами данных содержимого