La sécurité dans Sharepoint 3/26/2017 3:56 PM La sécurité dans Sharepoint Stéphane Palluet Senior Consultant stephapa@microsoft.com Microsoft France © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda L’authentification dans SharePoint Gérer les permissions James Sturms 3/26/2017 3:56 PM Agenda L’authentification dans SharePoint Gérer les permissions Configurer une ferme de serveurs de façon sécurisée © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Environment de sécurité Hébergement IT Equipe interne Equipe externe Environnement de sécurité Anonyme

Authentification utilisateur Valider le compte utilisateur Gérer la sécurité par des utilisateurs/groupes Pas de listes de distribution Authentification Internet Information Services Anonyme, Basic, Windows intégré, Kerberos, Certificats Authentification par formulaire Authentification « Web Single Sign-on » (ADFS)

Authentification Windows Comptes Windows Challenge pour les entreprises Authentification remise à plat Base de données SQL Server

Authentification ASP.Net Authentification enfichable Positionnée au niveau d’une zone dans une appli. Web Identité indépendante de l’OS Fournisseurs d’authentification et de rôles En standard LDAP Active Directory SQL Server Active Direc. Domaine unique Plus limité à l’authentification sur Active Directory Formulaires ASP.NET

Processus ASP.Net Module d’Authent. Redirection client Fournisseur James Sturms 3/26/2017 3:56 PM Processus ASP.Net Module d’Authent. Redirection client Fournisseur d’appartenance Identité utilisateur Utilisateurs / Groupes Gestionnaire de rôles Groupes/Rôles Invitations SharePoint Bases de contenu Autorisation © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Administration centrale Fichiers .config Machine.config Administration centrale Web.config

Exemple de Web.config <membership> <providers> James Sturms 3/26/2017 3:56 PM Exemple de Web.config <membership> <providers> <add name=“VotreMembershipProvider“ connectionStringName=“VotreChaineDeConnexion" …/> </providers> </membership> <roleManager> <add name=“VotreRoleProvider“ connectionStringName=“VotreChaineDeConnexion“ … /> </roleManager> <connectionStrings> <add name=“VotreChaineDeConnexion" connectionString="data source=127.0.0.1;Integrated Security=SSPI;Initial Catalog=aspnetdb" /> </connectionStrings> © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Limites de l’authentification ASP.Net Navigateurs clients Accessible uniquement avec des navigateurs Web Crawler de recherche limité à une authentification Windows Fonctionnement dégradé depuis Office Une authentification Un type d’authentification par application Web Pas d’authentification Windows et Formulaire pour le même domaine Une paire de fournisseurs par domaine Comptes «formulaire» Correspondent à des utilisateurs différents Remplacent les comptes Windows

Demo Démonstration Authentification par formulaire sur une base de données SQL

Agenda Authentification Sharepoint Gérer les permissions Configurer une ferme de serveurs

Listes et bibliothèques Groupes SharePoint Propriétaires Accès total Visiteurs Accès en lecture seule Membres Listes et bibliothèques

Niveaux d’autorisation Autorisations Contrôle total Concevoir Contribuer Lire

Finesse des autorisations Lecture/Ecriture vs. Lecture seule Accessible dans les dossiers des listes Accessible au niveau d’un document dans une liste ou une bibliothèque Nouveaux objets à sécuriser Finesse des autorisations Interface utilisateur Interface d’administration disponible Accès consistant aux autorisations Héritage des permissions

Architecture d’administration James Sturms 3/26/2017 3:56 PM Architecture d’administration Administration trois-tiers En mode Web En fonction des rôles et des tâches Délégation contrôlée Isolation Administration centrale Authentification Politiques de sécurité Configuration de la ferme Services partagés Autorisations des services Configuration des services MOSS uniquement Admins centraux Paramètres de site Autorisation d’accès au contenu Admins de contenu partagé Admins de contenu © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Dévérrouiller des documents Permissions non supprimables Administrateurs Administrateurs de la Collection de sites Dévérrouiller des documents Corbeille de deuxième niveau Permissions non supprimables

Administrateurs Administrateurs de la Administrateurs centraux Collection de sites Administrateurs centraux Plus d’accès complet par défaut Dévérrouiller des documents Corbeille de deuxième niveau S’auto accorder l’accès Stocké dans le journal d’évènements Permissions non supprimables

Utilisation des groupes et des autorisations Demo Démonstration Utilisation des groupes et des autorisations Créer un groupe Ajouter un utilisateur à un groupe Créer un niveau d’autorisation

Nouvelles autorisations Parcourir les informations utilisateurs Création et gestion des alertes Afficher les pages des application Approuver des éléments Enumérer les autorisations Utiliser les interfaces distantes Afficher ou supprimer des versions Ouvrir les éléments Fonctionnalités d’intégration des clients

Limitations de l’accès anonyme Utilisateurs ne disposant pas de comptes sur le serveur Activé dans IIS / désactivé dans SharePoint Activer ou désactiver l’accès anonyme Contrôle au niveau Liste Accès en lecture seule à une bibliothèque Accès anonyme Autorisations réduites Accès en lecture seule Pas d’accès aux interfaces distantes Pas de contrôle au niveau dossier ou élément Limitations en « dur » Limitations

Services partagés Services partagés Complètement restructurés et remis à plat Nouveau modèle de fournisseur de services Inclut tous les services

Services partagés Services partagés Utilisation Complètement restructurés et remis à plat Nouveau modèle de fournisseur de services Inclut tous les services Utilisation Permissions du Catalogue de données métiers Emplacements approuvés de fichiers Excel Visibilité des propriétés de profil utilisateur

Positionner des permissions sur un élément Démonstration Positionner des permissions sur un élément Ajouter un utilisateur à une liste Ajouter un groupe à un dossier

Stratégie de sécurité /Configuration Accorder/enlever des autorisations au niveau de la zone dans une application Web Permissions “Refuser tout” Scenarios “Refuser l’écriture”, « Lecture totale » Stratégie de Sécurité Types de fichiers bloqués, Masque de droits Liste de contrôles sûrs « Code Access Security », recherche de virus Nouvelles configurations Stockage et utilisation des comptes et mots de passe pour accéder à des applications métier Office Server Single sign-on

Agenda Authentification Sharepoint Gérer les permissions Configurer une ferme de serveurs

Configuration d’une ferme Web Plus de restrictions sur les topologies! Les servers ont des rôles: Frontal WEB (WFE) Serveur d’Application Serveur de bases de données Possibilité de créer une ferme de n’importe quelle taille pour chaque rôle! Bonnes pratiques: 1 serveur d’index Pas plus de 8 WFEs pour un serveur SQL

Système d’exploitation Topologie de sécurité Topologie Serveurs Topologie réseau Système d’exploitation Architecture logique

Sécurisation des communications IPSec SSL Canaux Communication sécurisée Impact sur les performances

Durcissement de la sécurité Specific roles Listes d’instantanés Conception de la sécurité Communication serveur à serveur Approche méthodique

Quelques bonnes pratiques de configuration James Sturms 3/26/2017 3:56 PM Quelques bonnes pratiques de configuration Comptes uniques Administration centrale Processus des services partagés Compte service Web des services partagés Pool d’applications de contenu Kerberos activé (NTLM par défaut) Chaque compte de processus doit être un SPN enregistré Mode par défaut dans SQL 2005 pour les processus non système SSL activé (désactivé par défaut) À activer pour les sites d’administration et la communication serveur à serveur Avertissement envoyer sur les pages de login si SSL est désactivé Service SPAdmin Dans une configuration à un seul serveur : Désactivé Dans une ferme : Activé © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Résumé Authentification enfichable Gestion des permissions James Sturms 3/26/2017 3:56 PM Résumé Authentification enfichable Windows : Kerberos, Windows intégré, Basic Formulaires ASP.Net et Web SSO (ADFS) Gestion des permissions Possible au niveau site, liste, dossier et élément Services partagés Stratégies de l’administration centrale et configuration Configuration d’une ferme Web Topologie de sécurité Sécurisation des communications © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Références Sharepoint sur Technet Authentification Kerberos James Sturms 3/26/2017 3:56 PM Références Sharepoint sur Technet Authentification Kerberos Modèles de fournisseurs d’appartenance et de rôles © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

La référence technique pour les IT Pros : La référence technique technet.microsoft.com 3/26/2017 3:56 PM La référence technique pour les développeurs : msdn.microsoft.com Abonnement TechNet Plus : Versions d’éval + 2 incidents support Visual Studio 2005 + Abonnement MSDN Premium S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnalisée Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Votre potentiel, notre passion TM 3/26/2017 3:56 PM Votre potentiel, notre passion TM © 2007 Microsoft France © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.