Seguridad MOSS2007

1,544 views
1,474 views

Published on

Microsoft Office SharePoint 2007 Security

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,544
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
31
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad MOSS2007

  1. 1. Seguridad en MOSS 2007 Instalación y administración Eva Ordoñez – Ingeniero de producto SharePoint
  2. 2. Planificación para la Instalación CUENTAS ADMINISTRATIVAS Y DE SERVICIO
  3. 3. Servidor/Granja Cuenta Propósito Requisitos • SQL Server solicita ésta cuenta durante su • Administrador del sistema de base de Cuenta Servicio SQL Server instalación / configuración. Es usada como datos. cuenta de servicio para: * MSSQLSERVER * SQLSERVERAGENT • Configuración de cada máquina servidor. • Cuenta de dominio miembro del grupo de Cuenta de usuario configuración (Administrador de servidor) • Ejecutar el asistente para Configuración de administradores, del servidor local en que SharePoint Productos y Tecnologías. se configura. • Ejecutar el comando Psconfig.exe • Miembro de los siguientes Roles de SQL: * Logins • Ejecutar el comando Stsadm.exe * Securityadmin * Dbcreator Cuenta de servidor de granja • Cuenta del Pool de aplicaciones para el • Cuenta de dominio miembro del grupo de (Cuenta de acceso a SQL) sitio web de la Administración Central. administradores, del servidor local en que se configura. • Cuenta de proceso para el Timer Service de los WSS • Miembro de los siguientes Roles de SQL: * Logins * Securityadmin * Dbcreator
  4. 4. Proveedor de Servicios Compatidos (SSP) Cuenta Propósito Pool de aplicaciones SSP • Cuenta del pool de aplicacion para el sitio de administración de SSP. Servicio SSP Utilizada por: • SSP Web services para comunicación inter-servidores • Identidad del Application pool asociado con el directorio virtual del SSP Servicio de Búsqueda Office SharePoint Server • Usada como cuenta de servicio de búsqueda. Una única instancia utilizada por todos los SSP, para escribir el fichero de indice de contenidos, situado en los servidores de indexación y para propagar el índice a todos los servidores de consultas en uan granja. Acceso a contenido por defecto • Cuenta por defecto utilizada en un SSP para la disposición del contenido, aun cuando se haya especificado otro método de autentificación, por una regla de disposición para una URL o una plantilla de URL. Acceso a contenido • Configurada para acceder a un origen de contenidos. Es opcional. Importación de perfiles por defecto • Conecta a un servicio de directorio, DA, LDAP, aplicación de BDC o un directorio. • Importa los datos de perfil del servicio de directorio. Cuenta desatendida del servicio Excel Services • Es la cuenta que Excel Calculation Services usa para conectar origenes de datos externos que no requeiren usuario/password de Windows.
  5. 5. Planificación para Administración ROLES DE SEGURIDAD Y PERMISOS
  6. 6. Administración de la plataforma Basada en Web y línea de comandos Permite Delegación Seguridad por roles diferenciados Administración Central Granja Proveedores Servicios Recursos Compartidos Aplicaciones Web Colección de sitios Servicios Personalizacion Creación sitios Audiencias Elementos de sitio Seguridad Business Data Catalog Usuarios y Grupos Excel Services Contenidos Office SharePoint Server Search Informes de uso del portal
  7. 7. Administración de Servidor/Granja I Rol ¿Qué SI pueden hacer? ¿Qué NO pueden hacer? Administrador de Granja • Tareas administrativas en la Administración • Administrar sitios individuales o de Central. contenido, aún cuando sea propietario de ellos. • Puedes ser propietario de cualquier sitio de contenido. • Administrar My Sites. • Acceder al sitio de administración de servicios compartidos. • Crear o eliminar Web Applications. • Actualizar cuentas o passwords de Web Applications y servicios. • Desplegar soluciones que requieran actualizar la GAC. • Restaurar de backup. Administrador de Single sign-on • Configurar el servicio SSO, incluyendo la • Administrar sitios individuales o de clave de encriptación. contenido. • Gestionar las definiciones de aplicaciones • Usar el sitio de administración de empresariales. servicios compartidos. • Usar la Administración central.
  8. 8. Administración de Servidor/Granja II Rol ¿Qué SI pueden hacer? ¿Qué NO pueden hacer? Administrador Aplicaciones • Gestionar las definiciones de aplicaciones • Administrar sitios individuales o de empresariales empresariales, sus cuentas y contenido. credenciales. • Administrar My Sites. • Acceder al sitio de administración de servicios compartidos. • Acceder a la Administración central. Administrador de Servidor • Instalar productos. • Administrar sitios individuales o de contenido. • Crear Web applications e Internet Information Services (IIS) Web sites. • Administrar My Sites. • Iniciar servicios. • Administrar bases de datos. • Desplegar Web Parts y caracteristicas en la GAC. • Gestionar tareas de Administración central si el sitio se encuentra en el servidor local. • Ejecutar el comando Stsadm.
  9. 9. Proveedores de Servicios Compartidos I Rol ¿Qué SI pueden hacer? ¿Qué NO pueden hacer? • Usar el sitio de Administración de servicios • Administrar sitios individuales o de Administrador de la colección de compartidos con nivel de Control Total. contenido. sitios de la administración de • Configurar informes de uso. servicios compartidos • Añadir usuarios al grupo por defecto de Lectores, para los sitios que ocontienen My sites y perfiles. • Crear sitios personales. • Gestionar sitios y perfiles de usuario. • Configurar permisos para servicios especificos o asignar a otros usuarios para administrar. • Crear y gestionar origenes de contenidos • Acceder al sitio de Administración Administrador servicio de y programar indexaciones. central. búsqueda • Gestionar tipos de ficheros. • Crear y gestionar la cuenta de acceso a contenido por defecto. • Crear el mapeo de nombres de servidor. • Activar/Desactivar alertas basadas en búsquedas. • Crear y gestionar los ámbitos de búsqueda. • Especificar las páginas web de autoridad. • Gestionar las propiedades de metadatos.
  10. 10. Proveedores de Servicios Compartidos II Rol ¿Qué SI pueden hacer? ¿Qué NO pueden hacer? • Configurar y gestionar perfiles de usuarios. • Acceder al sitio de Administración Gestor de perfiles de usuarios Central. • Ver y editar propiedades de perfiles de usuario. • Gestionar audiencias. • Personalizar y configurar propiedades y • Gestionar permisos. permisos de My Sites. • Gestionar informes de uso. • Configurar politicas de los servicios de perfiles. • Gestionar enlaces de personalización, enlaces a My Site de confianza y enlaces aplicaciones Cliente Office. • Acceso a las páginas de búsqueda y Excel services, aunque éstas tareas no estén asociadas a éste rol. • Crear compilar y gestionar audiencias y • Acceder al sitio de Administración Gestor de Audiencias reglas. Central. • Ver pertenencias. • Gestionar perfiles o My Sites. • Gestionar enlaces de personalización, • Gestionar el BDC. enlaces a My Site de confianza y enlaces • Gestionar permisos. aplicaciones Cliente Office. • Gestionar informes de uso. • Acceso a las páginas de administración de búsqueda y Excel services.
  11. 11. Proveedores de Servicios Compartidos III Rol ¿Qué SI pueden hacer? ¿Qué NO pueden hacer? • Configurar el Business Data Catalog. • Acceder al sitio de Administración Gestor de permisos del BDC Central. • Gestionar enlaces de personalización, enlaces a My Site de confianza y enlaces • Gestionar permisos para el servicio de aplicaciones Cliente Office. perfiles. • Acceso a las páginas de búsqueda y Excel • Gestionar perfiles o My Sites. services, aunque éstas tareas no estén • Gestionar audiencias. asociadas a éste rol. • Gestionar informes de uso. • Configurar los permisos del servicio de • Acceder al sitio de Administración Gestor de permisos Servicio de personalización. Central. perfiles • Gestionar enlaces de personalización, • Gestionar perfiles o My Sites. enlaces a My Site de confianza y enlaces • Gestionar el BDC. aplicaciones Cliente Office. • Gestionar permisos. • Acceso a las páginas de búsqueda y Excel services, aunque éstas tareas no estén • Gestionar audiencias. asociadas a éste rol. • Gestionar informes de uso. • Gestionar permisos para el BDC.
  12. 12. Proveedores de Servicios Compartidos IV Rol ¿Qué SI pueden hacer? ¿Qué NO pueden hacer? Añadir: • Acceder al sitio de Administración Administrador de Excel Services Central. • Ubicaciones de ficheros de confianza. • Arrancar y gestionar el servicio SSO. • Proveedores de datos de confianza. • Arrancar y detener los Excel Calculation • Bibliotecas de conexiones de confianza. Services y otros servicios. • Ensamblados de funciones de usuario. • Ejecutar tareas administrativas con el Modificar las propiedades de los Excel comando Stsadm. Services. Acceso a otras páginas de adminstración, BDC App. • Habilitar el uso del servicio de informes, • Acceder al sitio de Administración Gestor de informes de uso desde el sitio de Administración de Central. Servicios Compartidos. • Acceder a ningún otro servicio compartido, • Habilitar el registro de consultas de salvo aquellos disponibles para todos los búsqueda. usuarios con acceso de lectura en el sitio de Administración de Servicios compartidos.
  13. 13. Colección de Sitios Rol ¿Qué SI pueden hacer? ¿Qué NO pueden hacer? • Realizar todas las tareas de administración • Acceder al sitio de Administración Administrador de colección de de sitios en la colección de sitios. Central. sitios • Gestionar la administración del sitio, no de • Acceder al sitio de Administración <Nombre de Sitio> Owners la colección del sitio. Central. • Realizar tareas administrativas sobre • Acceder al sitio de Administración de documentos, listas y bibliotecas. Servicios Compartidos. • Realizar tareas de administración en la colección de sitios, p.ej. Restaurar items de la papelera de reciclaje y gestionar la jerarquía del sitio.
  14. 14. Elementos de seguridad del sitio Permisos de usuarios individuales Los permisos individuales ofrecen la posibilidad de realizar acciones específicas. Nivel de permisos Conjunto predefinido de permisos que concede permiso para realizar acciones relacionadas. Los niveles de permisos predeterminados son: Acceso limitado, Lectura, Colaborar, Diseño y Control total. Usuario Persona con una cuenta de usuario que se puede autenticar mediante el método de autenticación usado en el servidor. Grupo de usuarios Puede ser un grupo de seguridad de Windows o un grupo de SharePoint Objeto asegurable A los usuarios o grupos se les asigna un nivel de permisos para un objeto protegible específico: sitio, lista, biblioteca, carpeta, documento o elemento. De forma predeterminada, los permisos para una lista, biblioteca, carpeta, documento o elemento se heredan del sitio, lista o biblioteca primarios.
  15. 15. Niveles y grupos Nombre Grupo Nivel permiso por defecto <nombre sitio> Visitantes Leer <nombre sitio> Miembros Contribuir <nombre sitio> Dueños Control total Lectores restringido Lectura restringida Revisores Leer Aprobadores Aprobar Diseñadores Diseñar Administradores de Jerarquias Gestionar Jerarquias Usuarios de despliegue Acceso limitado al sitio, contribuir con elementos de despliegue Lectores de recursos de estilo Acceso limitado al sitio, leer el catálogo de páginas maestras, lectura restringida en la biblioteca de estilos.
  16. 16. Gestión de permisos de sitio
  17. 17. Gestión en una lista o biblioteca
  18. 18. Gestión en un documento, elemento o carpeta
  19. 19. Encriptación de la información IRM / AD RMS
  20. 20. Mapeo de permisos a IRM Permisos MOSS 2007 Permisos IRM Control total sobre los documentos, tal como se Administrar permisos define en la aplicación cliente. Esto generalmente Administrar la web permite al usuario leer, modificar, copiar, guardar y modificar los permisos del documento. Modifique, copie y guarde los permisos. El usuario Editar elementos de la lista sólo puede imprimir el documento si la configuración Administrar listas de IRM de la biblioteca de documentos se ha Agregar y personalizar páginas configurado para permitir la impresión de documentos. Permisos de lectura. El usuario puede leer el documento, pero no copiar ni editar su contenido. El usuario sólo puede imprimir el documento si la Ver elemento de lista configuración de IRM de la biblioteca de documentos se ha configurado para permitir la impresión de documentos. El resto de la configuración de derechos de ACL, No aplicable; no hay permisos de IRM como por ejemplo la edición de la información de correspondientes. usuario.
  21. 21. Elementos necesarios para implementar AD RMS • Un controlador de dominio de Active Directory • Un servidor de AD RMS: – Windows Server® 2008 R2 en el que se ejecuta el rol de servidor Active Directory Rights Management Services (AD RMS) que administra certificados y licencias • Un servidor de base de datos de AD RMS • Un cliente habilitado para AD RMS
  22. 22. Integración de MOSS 2007 con AD RMS
  23. 23. Flujo planificación del entorno de seguridad
  24. 24. Recursos • Planeación de cuentas administrativas y de servicio (Office SharePoint Server) – <http://technet.microsoft.com/es-es/library/cc263445.aspx> • Planeación de la seguridad del sitio y el contenido (Office SharePoint Server) – <http://technet.microsoft.com/es-es/library/cc262939.aspx> • Permisos de usuarios y niveles de permisos – <http://technet.microsoft.com/es-es/library/cc288074.aspx> • Libro descargable: Seguridad de Office SharePoint Server 2007 – <http://technet.microsoft.com/es-es/library/cc262619.aspx> • Introducción a Active Directory Rights Management Services – <http://technet.microsoft.com/es-es/library/cc771627.aspx>
  25. 25. ¡Muchas gracias!
  26. 26. © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

×