La s curit dans sharepoint
Download
1 / 35

La s curit dans Sharepoint - PowerPoint PPT Presentation


  • 63 Views
  • Uploaded on

La sécurité dans Sharepoint. Stéphane Palluet Senior Consultant [email protected] Microsoft France. Agenda. L’authentification dans SharePoint Gérer les permissions Configurer une ferme de serveurs de façon sécurisée. Environnement de sécurité. Environment de sécurité.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'La s curit dans Sharepoint' - marin


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
La s curit dans sharepoint

La sécurité dans Sharepoint

Stéphane Palluet

Senior Consultant

[email protected]

Microsoft France


Agenda
Agenda

  • L’authentification dans SharePoint

  • Gérer les permissions

  • Configurer une ferme de serveurs de façon sécurisée


Environment de s curit

Environnement de sécurité

Environment de sécurité

Hébergement IT

Equipe interne

Equipe externe

Anonyme


Authentification utilisateur
Authentificationutilisateur

  • Authentification utilisateur

    • Valider le compte utilisateur

    • Gérer la sécurité par des utilisateurs/groupes

    • Pas de listes de distribution

  • Authentification

  • Internet Information Services

    • Anonyme, Basic, Windows intégré, Kerberos, Certificats

  • Authentification par formulaire

  • Authentification « Web Single Sign-on » (ADFS)


Authentification windows
Authentification Windows

Challenge pour les entreprises

Comptes Windows

Authentification remise à plat

Base de données SQL Server


Authentification asp net

ASP.NET

  • LDAP

  • Active Directory

  • SQL Server

En standard

Active Direc.

Authentification ASP.Net

  • Authentification enfichable

  • Positionnée au niveau d’une zone dans une appli. Web

  • Identité indépendante de l’OS

  • Fournisseurs d’authentification et de rôles

  • Domaine unique

  • Plus limité à l’authentification sur Active Directory

  • Formulaires ASP.NET


Processus asp net
Processus ASP.Net

Module

d’Authent.

Redirection client

Fournisseur

d’appartenance

Identité utilisateur

Utilisateurs /

Groupes

Gestionnaire

de rôles

Groupes/Rôles

Invitations

SharePoint

Bases de

contenu

Autorisation


Fichiers config

Machine.config

Web.config

Administration centrale

Fichiers .config


Exemple de web config
Exemple de Web.config

<membership>

<providers>

<addname=“VotreMembershipProvider“connectionStringName=“VotreChaineDeConnexion"

…/>

</providers>

</membership>

<roleManager>

<providers>

<addname=“VotreRoleProvider“connectionStringName=“VotreChaineDeConnexion“ … />

</providers>

</roleManager>

<connectionStrings>

<addname=“VotreChaineDeConnexion" connectionString="data source=127.0.0.1;Integrated Security=SSPI;InitialCatalog=aspnetdb" />

</connectionStrings>


Limites de l authentification asp net
Limites de l’authentification ASP.Net

  • Navigateurs clients

  • Accessible uniquement avec des navigateurs Web

  • Crawler de recherche limité à une authentification Windows

  • Fonctionnement dégradé depuis Office

  • Une authentification

    • Un type d’authentification par application Web

    • Pas d’authentification Windows et Formulaire pour le même domaine

    • Une paire de fournisseurs par domaine

  • Comptes «formulaire»

    • Correspondent à des utilisateurs différents

    • Remplacent les comptes Windows


Démonstration

Authentification par formulaire sur une base de données SQL

Demo


Agenda1
Agenda

  • Authentification Sharepoint

  • Gérer les permissions

  • Configurer une ferme de serveurs


Groupes sharepoint
Groupes SharePoint

Propriétaires

Accès total

Visiteurs

Accès en lecture seule

Membres

Listes et bibliothèques


Niveaux d autorisation
Niveaux d’autorisation

Autorisations

  • Contrôle total

  • Concevoir

  • Contribuer

  • Lire


Finesse des autorisations
Finesse des autorisations

  • Lecture/Ecriture vs. Lecture seule

  • Accessible dans les dossiers des listes

  • Accessible au niveau d’un document dans une liste ou une bibliothèque

  • Nouveaux objets à sécuriser

Finesse des autorisations

  • Interface d’administration disponible

  • Accès consistant aux autorisations

  • Héritage des permissions

Interface utilisateur


Architecture d administration
Architecture d’administration

  • Administration trois-tiers

    • En mode Web

    • En fonction des rôles et des tâches

    • Délégation contrôlée

    • Isolation

  • Administration centrale

  • Authentification

  • Politiques de sécurité

  • Configuration de la ferme

  • Services partagés

  • Autorisations des services

  • Configuration des services

  • MOSS uniquement

Admins centraux

  • Paramètres de site

  • Autorisation d’accès au contenu

Admins de contenu

partagé

Admins de contenu


Administrateurs
Administrateurs

Administrateurs de la

Collection de sites

Dévérrouiller des documents

Corbeille

de deuxième niveau

Permissions non supprimables


Administrateurs1
Administrateurs

Administrateurs de la

Collection de sites

Administrateurs centraux

Plus d’accès complet par défaut

Dévérrouiller des documents

S’auto accorder l’accès

Corbeille

de deuxième niveau

Stocké dans le journal d’évènements

Permissions non supprimables


  • Démonstration

  • Utilisation des groupes et des autorisations

    • Créer un groupe

    • Ajouter un utilisateur à un groupe

    • Créer un niveau d’autorisation

Demo


Nouvelles autorisations

Parcourir les informations utilisateurs

Création et gestion des alertes

Afficher les pages des application

Approuver des éléments

Enumérer les autorisations

Utiliser les interfaces distantes

Afficher ou supprimer des versions

Ouvrir les éléments

Fonctionnalités d’intégration des clients

Nouvelles autorisations


Limitations de l acc s anonyme
Limitations de l’accèsanonyme

  • Utilisateurs ne disposant pas de comptes sur le serveur

  • Activé dans IIS / désactivé dans SharePoint

  • Activer ou désactiver l’accès anonyme

  • Contrôle au niveau Liste

  • Accès en lecture seule à une bibliothèque

Accès anonyme

  • Autorisations réduites

  • Accès en lecture seule

  • Pas d’accès aux interfaces distantes

  • Pas de contrôle au niveau dossier ou élément

  • Limitations en « dur »

Limitations


Services partag s
Services partagés

Services partagés

Complètement restructurés et remis à plat

Nouveau modèle de fournisseur de services

Inclut tous les services


Services partag s1
Services partagés

Services partagés

Complètement restructurés et remis à plat

Nouveau modèle de fournisseur de services

Inclut tous les services

Utilisation

Permissions du Catalogue de données métiers

Emplacements approuvés de fichiers Excel

Visibilité des propriétés de profil utilisateur


  • Démonstration

  • Positionner des permissions sur un élément

    • Ajouter un utilisateur à une liste

    • Ajouter un groupe à un dossier


Strat gie de s curit configuration
Stratégie de sécurité /Configuration

  • Accorder/enlever des autorisations au niveau de la zone dans une application Web

  • Permissions “Refuser tout”

  • Scenarios “Refuser l’écriture”, « Lecture totale »

Stratégie de Sécurité

  • Types de fichiers bloqués, Masque de droits

  • Liste de contrôles sûrs

  • « Code Access Security », recherche de virus

Nouvelles configurations

  • Stockage et utilisation des comptes et mots de passe pour accéder à des applications métier

Office Server Single sign-on


Agenda2
Agenda

  • Authentification Sharepoint

  • Gérer les permissions

  • Configurer une ferme de serveurs


Configuration d une ferme web
Configuration d’une ferme Web

Plus de restrictions sur les topologies!

Les servers ont des rôles:

Frontal WEB (WFE)

Serveur d’Application

Serveur de bases de données

Possibilité de créer une ferme de n’importe quelle taille pour chaque rôle!

Bonnes pratiques:

1 serveur d’index

Pas plus de 8 WFEs pour un serveur SQL


Topologie de s curit
Topologie de sécurité

Topologie

Serveurs

Topologie réseau

Système d’exploitation

Architecture

logique


S curisation des communications

SSL

IPSec

Canaux

Communication sécurisée

Impact sur les performances

Sécurisation des communications


Durcissement de la s curit
Durcissement de la sécurité

Specific roles

Listes d’instantanés

Conception de la sécurité

Communication serveur à serveur

Approche méthodique


Quelques bonnes pratiques de configuration
Quelques bonnes pratiques de configuration

  • Comptes uniques

    • Administration centrale

    • Processus des services partagés

    • Compte service Web des services partagés

    • Pool d’applications de contenu

  • Kerberos activé (NTLM par défaut)

    • Chaque compte de processus doit être un SPN enregistré

    • Mode par défaut dans SQL 2005 pour les processus non système

  • SSL activé (désactivé par défaut)

    • À activer pour les sites d’administration et la communication serveur à serveur

    • Avertissement envoyer sur les pages de login si SSL est désactivé

  • Service SPAdmin

    • Dans une configuration à un seul serveur : Désactivé

    • Dans une ferme : Activé


R sum
Résumé

  • Authentification enfichable

    • Windows : Kerberos, Windows intégré, Basic

    • Formulaires ASP.Net et Web SSO (ADFS)

  • Gestion des permissions

    • Possible au niveau site, liste, dossier et élément

    • Services partagés

    • Stratégies de l’administration centrale et configuration

  • Configuration d’une ferme Web

    • Topologie de sécurité

    • Sécurisation des communications


R f rences
Références

  • Sharepoint sur Technet

  • Authentification Kerberos

  • Modèles de fournisseurs d’appartenance et de rôles


La référence technique

pour les développeurs :

msdn.microsoft.com

La référence technique

pour les IT Pros :

technet.microsoft.com

Abonnement TechNet Plus :

Versions d’éval + 2 incidents support

Visual Studio 2005 +

Abonnement MSDN Premium

  • S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnalisée

  • Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs

  • Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique


Votre potentiel, notre passion TM

© 2007 Microsoft France


ad