Seguridad MOSS2007

Seguridad en MOSS 2007 Instalación y administración

Eva Ordoñez – Ingeniero de producto SharePoint

CUENTAS ADMINISTRATIVAS Y DE SERVICIO

Planificación para la Instalación

Servidor/Granja

Cuenta Propósito Requisitos

Cuenta Servicio SQL Server • SQL Server solicita ésta cuenta durante su

instalación / configuración. Es usada como

cuenta de servicio para:

* MSSQLSERVER

* SQLSERVERAGENT

• Administrador del sistema de base de

datos.

Cuenta de usuario configuración

(Administrador de servidor)

• Configuración de cada máquina servidor.

• Ejecutar el asistente para Configuración de

SharePoint Productos y Tecnologías.

• Ejecutar el comando Psconfig.exe

• Ejecutar el comando Stsadm.exe

• Cuenta de dominio miembro del grupo de

administradores, del servidor local en que

se configura.

• Miembro de los siguientes Roles de SQL:

* Logins

* Securityadmin

* Dbcreator

Cuenta de servidor de granja

(Cuenta de acceso a SQL)

• Cuenta del Pool de aplicaciones para el

sitio web de la Administración Central.

• Cuenta de proceso para el Timer Service

de los WSS

• Cuenta de dominio miembro del grupo de

administradores, del servidor local en que

se configura.

• Miembro de los siguientes Roles de SQL:

* Logins

* Securityadmin

* Dbcreator

Proveedor de Servicios Compatidos (SSP)

Cuenta Propósito

Pool de aplicaciones SSP • Cuenta del pool de aplicacion para el sitio de administración de

SSP.

Servicio SSP Utilizada por:

• SSP Web services para comunicación inter-servidores

• Identidad del Application pool asociado con el directorio virtual del

SSP

Servicio de Búsqueda Office SharePoint Server • Usada como cuenta de servicio de búsqueda. Una única instancia

utilizada por todos los SSP, para escribir el fichero de indice de

contenidos, situado en los servidores de indexación y para

propagar el índice a todos los servidores de consultas en uan

granja.

Acceso a contenido por defecto • Cuenta por defecto utilizada en un SSP para la disposición del

contenido, aun cuando se haya especificado otro método de

autentificación, por una regla de disposición para una URL o una

plantilla de URL.

Acceso a contenido • Configurada para acceder a un origen de contenidos. Es opcional.

Importación de perfiles por defecto • Conecta a un servicio de directorio, DA, LDAP, aplicación de BDC

o un directorio.

• Importa los datos de perfil del servicio de directorio.

Cuenta desatendida del servicio Excel Services • Es la cuenta que Excel Calculation Services usa para conectar

origenes de datos externos que no requeiren usuario/password de

Windows.

ROLES DE SEGURIDAD Y PERMISOS

Planificación para Administración

Proveedores Servicios Compartidos

Servicios Personalizacion

Audiencias

Business Data Catalog

Excel Services

Office SharePoint Server Search

Informes de uso del portal

Administración Central

Granja

Recursos

Aplicaciones Web

Creación sitios

Seguridad

Administración de la plataforma

Colección de sitios

Elementos de sitio

Usuarios y Grupos

Contenidos

Basada en Web y línea de comandos

Permite Delegación

Seguridad por roles diferenciados

Administración de Servidor/Granja I Rol ¿Qué SI pueden hacer? ¿Qué NO pueden hacer?

Administrador de Granja • Tareas administrativas en la Administración

Central.

• Puedes ser propietario de cualquier sitio de

contenido.

• Administrar sitios individuales o de

contenido, aún cuando sea propietario

de ellos.

• Administrar My Sites.

• Acceder al sitio de administración de

servicios compartidos.

• Crear o eliminar Web Applications.

• Actualizar cuentas o passwords de Web

Applications y servicios.

• Desplegar soluciones que requieran

actualizar la GAC.

• Restaurar de backup.

Administrador de Single sign-on • Configurar el servicio SSO, incluyendo la

clave de encriptación.

• Gestionar las definiciones de aplicaciones

empresariales.


contenido.

• Usar el sitio de administración de


• Usar la Administración central.

Administración de Servidor/Granja II

Rol ¿Qué SI pueden hacer? ¿Qué NO pueden hacer?

Administrador Aplicaciones

empresariales

• Gestionar las definiciones de aplicaciones

empresariales, sus cuentas y

credenciales.


contenido.


• Acceder al sitio de administración de


• Acceder a la Administración central.

Administrador de Servidor • Instalar productos.

• Crear Web applications e Internet

Information Services (IIS) Web sites.

• Iniciar servicios.

• Desplegar Web Parts y caracteristicas en

la GAC.

• Gestionar tareas de Administración

central si el sitio se encuentra en el

servidor local.

• Ejecutar el comando Stsadm.


contenido.


• Administrar bases de datos.

Proveedores de Servicios Compartidos I


Administrador de la colección de

sitios de la administración de

servicios compartidos

• Usar el sitio de Administración de servicios

compartidos con nivel de Control Total.

• Configurar informes de uso.

• Añadir usuarios al grupo por defecto de

Lectores, para los sitios que ocontienen My

sites y perfiles.

• Crear sitios personales.

• Gestionar sitios y perfiles de usuario.

• Configurar permisos para servicios

especificos o asignar a otros usuarios para

administrar.


contenido.

Administrador servicio de

búsqueda

• Crear y gestionar origenes de contenidos

y programar indexaciones.

• Gestionar tipos de ficheros.

• Crear y gestionar la cuenta de acceso a

contenido por defecto.

• Crear el mapeo de nombres de servidor.

• Activar/Desactivar alertas basadas en

búsquedas.

• Crear y gestionar los ámbitos de

búsqueda.

• Especificar las páginas web de autoridad.

• Gestionar las propiedades de metadatos.

• Acceder al sitio de Administración

central.

Proveedores de Servicios Compartidos II


Gestor de perfiles de usuarios • Configurar y gestionar perfiles de usuarios.

• Ver y editar propiedades de perfiles de

usuario.

• Personalizar y configurar propiedades y

permisos de My Sites.

• Configurar politicas de los servicios de

perfiles.

• Gestionar enlaces de personalización,

enlaces a My Site de confianza y enlaces

aplicaciones Cliente Office.

• Acceso a las páginas de búsqueda y Excel

services, aunque éstas tareas no estén

asociadas a éste rol.


Central.

• Gestionar audiencias.

• Gestionar permisos.

• Gestionar informes de uso.

Gestor de Audiencias • Crear compilar y gestionar audiencias y

reglas.

• Ver pertenencias.




• Acceso a las páginas de administración de

búsqueda y Excel services.


Central.

• Gestionar perfiles o My Sites.

• Gestionar el BDC.



Proveedores de Servicios Compartidos III


Gestor de permisos del BDC • Configurar el Business Data Catalog.








Central.

• Gestionar permisos para el servicio de

perfiles.




Gestor de permisos Servicio de

perfiles

• Configurar los permisos del servicio de

personalización.








Central.


• Gestionar el BDC.




• Gestionar permisos para el BDC.

Proveedores de Servicios Compartidos IV


Administrador de Excel Services Añadir:

• Ubicaciones de ficheros de confianza.

• Proveedores de datos de confianza.

• Bibliotecas de conexiones de confianza.

• Ensamblados de funciones de usuario.

Modificar las propiedades de los Excel

Services.

Acceso a otras páginas de adminstración,

BDC App.


Central.

• Arrancar y gestionar el servicio SSO.

• Arrancar y detener los Excel Calculation

Services y otros servicios.

• Ejecutar tareas administrativas con el

comando Stsadm.

Gestor de informes de uso • Habilitar el uso del servicio de informes,

desde el sitio de Administración de

Servicios Compartidos.

• Habilitar el registro de consultas de

búsqueda.


Central.

• Acceder a ningún otro servicio compartido,

salvo aquellos disponibles para todos los

usuarios con acceso de lectura en el sitio

de Administración de Servicios

compartidos.

Colección de Sitios


Administrador de colección de

sitios

• Realizar todas las tareas de administración

de sitios en la colección de sitios.


Central.

<Nombre de Sitio> Owners • Gestionar la administración del sitio, no de

la colección del sitio.

• Realizar tareas administrativas sobre

documentos, listas y bibliotecas.


Central.

• Acceder al sitio de Administración de

Servicios Compartidos.

• Realizar tareas de administración en la

colección de sitios, p.ej. Restaurar items

de la papelera de reciclaje y gestionar la

jerarquía del sitio.

Elementos de seguridad del sitio

Permisos de usuarios individuales Los

permisos individuales ofrecen la posibilidad

de realizar acciones específicas.

Nivel de permisos Conjunto predefinido de

permisos que concede permiso para realizar

acciones relacionadas. Los niveles de

permisos predeterminados son: Acceso

limitado, Lectura, Colaborar, Diseño y Control

total.

Usuario Persona con una cuenta de

usuario que se puede autenticar mediante el

método de autenticación usado en el

servidor.

Grupo de usuarios Puede ser un grupo de

seguridad de Windows o un grupo de

SharePoint

Objeto asegurable A los usuarios o grupos

se les asigna un nivel de permisos para un

objeto protegible específico: sitio, lista,

biblioteca, carpeta, documento o

elemento. De forma predeterminada, los

permisos para una lista, biblioteca, carpeta,

documento o elemento se heredan del sitio,

lista o biblioteca primarios.

Niveles y grupos

Nombre Grupo Nivel permiso por defecto

<nombre sitio> Visitantes Leer

<nombre sitio> Miembros Contribuir

<nombre sitio> Dueños Control total

Lectores restringido Lectura restringida

Revisores Leer

Aprobadores Aprobar

Diseñadores Diseñar

Administradores de Jerarquias Gestionar Jerarquias

Usuarios de despliegue Acceso limitado al sitio, contribuir con elementos de

despliegue

Lectores de recursos de estilo Acceso limitado al sitio, leer el catálogo de páginas

maestras, lectura restringida en la biblioteca de

estilos.

Gestión de permisos de sitio

Gestión en una lista o biblioteca

Gestión en un documento, elemento o carpeta

IRM / AD RMS

Encriptación de la información

Mapeo de permisos a IRM

Permisos MOSS 2007 Permisos IRM

Administrar permisos

Administrar la web

Control total sobre los documentos, tal como se

define en la aplicación cliente. Esto generalmente

permite al usuario leer, modificar, copiar, guardar y

modificar los permisos del documento.

Editar elementos de la lista

Administrar listas

Agregar y personalizar páginas

Modifique, copie y guarde los permisos. El usuario

sólo puede imprimir el documento si la configuración

de IRM de la biblioteca de documentos se ha

configurado para permitir la impresión de

documentos.

Ver elemento de lista

Permisos de lectura. El usuario puede leer el

documento, pero no copiar ni editar su contenido. El

usuario sólo puede imprimir el documento si la

configuración de IRM de la biblioteca de documentos

se ha configurado para permitir la impresión de

documentos.

El resto de la configuración de derechos de ACL,

como por ejemplo la edición de la información de

usuario.

No aplicable; no hay permisos de IRM

correspondientes.

Elementos necesarios para implementar AD RMS

• Un controlador de dominio de Active Directory

• Un servidor de AD RMS:

– Windows Server® 2008 R2 en el que se ejecuta el rol de servidor Active Directory Rights Management Services (AD RMS) que administra certificados y licencias

• Un servidor de base de datos de AD RMS

• Un cliente habilitado para AD RMS

Integración de MOSS 2007 con AD RMS

Flujo planificación del entorno de seguridad

Recursos

• Planeación de cuentas administrativas y de servicio (Office

SharePoint Server)

– <http://technet.microsoft.com/es-es/library/cc263445.aspx>

• Planeación de la seguridad del sitio y el contenido (Office

SharePoint Server)


• Permisos de usuarios y niveles de permisos


• Libro descargable: Seguridad de Office SharePoint Server

2007


• Introducción a Active Directory Rights Management Services


http://technet.microsoft.com/es-es/library/cc263445.aspx
















¡Muchas gracias!

© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market

conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.

MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Seguridad MOSS2007

Documents

Transcript of Seguridad MOSS2007