增强 SharePoint 安全性的 7 项新功能

aspnet_regiis.exe -pe section -app MOSS_virtual_directory -prov provider 

aspnet_regiis.exe -pef section MOSS_physical_directory -prov provider

aspnet_regiis.exe -pef "connectionStrings" "C:\Inetpub\wwwroot\WssVirtual " -prov "Provider" 

aspnet_regiis.exe -pe "connectionStrings" -app "/MOSSAppinstance" -prov "Provider" 

   执行后，敏感信息节点将被格式正确的 XML 密码值代替：

<connectionStrings confiProtectionProvider= 
"EncryptionProvider"> 
<EncryptedData> 
<CipherData> 
<CipherValue>XXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
</CipherValue> 
<CipherData> 
</EncryptedData> 
</connectionStrings> 

   如同整个 MOSS 体系结构，此模块是可插入的，因为您可以创建自己的加密提供程序来管理相关 MOSS 配置文件（例如 web.config 或 machine.config）的密文，而且不仅是局限于 RSA 或 DPAPI 加密。 

   使用加密会产生一些后果，需要引起注意。因为您是使用本地计算机密钥来加密，所以只能在创建配置节点的 MOSS 服务器上使用它。否则，加密过程会失败。如果入侵者获得了服务器的访问权，他们可以取得计算机密钥并将连接字符串解密。解密过程也会导致应用程序性能的轻微损失。

4. 备用访问映射和区域

   备用访问映射 (AAM) 至关重要，特别是为您的 SharePoint 环境设置一个以上的入口位置时。AAM 让您能够指定不同的 URL，通过这些 URL，用户可访问单一物理站点（参见图 2 中的图表）。AAM 可将用户引导到相同的 MOSS 站点物理路径，但使用不同的身份验证提供程序和 Web 应用程序安全策略。AAM 也能适应使用不同域、还原代理和其他 URL 重定向机制。默认情况下，MOSS 所使用的 URL 已经为您映射好了，但可以扩展到 SharePoint 体系结构设计者明确创建的其他 URL，用于处理不同登录方法。需要 AAM 来保证正确的内部和公共 URL 映射正常工作。


图 2 URL 映射和区域 (单击该图像获得较小视图) 

    MOSS 中，区域是一项新功能，允许对 AAM 提供的站点映射进行更强的控制。根据用户连接到内容所用的 AAM URL 映射，区域允许您将不同身份验证提供程序映射到相同的物理路径和 MOSS 内容。指定 AAM URL 映射时，虽然将区域绑定到身份验证机制不是必须的，但这是推荐的做法。如果 AAM URL 映射到的区域在身份验证提供程序页面没有定义，则它会使用默认区域的安全设置。

   区域需要进行计划，因为它们将对人们如何进行身份验证，如何从多个 URL 登录点进入您的门户产生重大影响。当扩展新的 Web 应用程序时，您可以在设置的“负载平衡 URL”部分（参见图 3）中指定想要使用的区域。建议您将访问的公开程度最高的 URL（例如，计划发布到 Internet 的 URL）放到“默认”区域中，因为这是 SharePoint 在无法完全确定您位于哪个区域时将会使用的 URL。


图 3 配置 MOSS 区域 (单击该图像获得较小视图)

    在每个区域内，您都可以为全局 Web 应用程序绑定安全策略，这些安全策略定义了此区域内的用户权限设置。这可让您集中管理大量的权限修改。Web 应用程序通常包括许多站点集合中的几个站点，而当应用程序变得大而复杂时，这些站点的权限管理可能会成为一个问题。MOSS 2007 允许设置全局安全策略，用以将策略设置（例如完全访问、完全读取访问、拒绝写入访问或拒绝全部访问）绑定到应用程序的特定用户或用户组。这些策略可以覆盖 MOSS 提供的、从“SharePoint 管理中心”界面管理的详细权限设置，所以您应该仔细计划您的配置。

    综上所述，根据 AAM 设置中的定义，面向外部的站点可能有两个 URL：一个用于您的公司用户，另一个用于外部用户。两类用户都有唯一的 URL，例如，内部用户使用 contoso，而受信任的外部合作伙伴使用 extranet.contoso.com。这两个 URL 将映射到相同的内容，每个都能通过它自己的区域、以其自己的身份验证提供程序和自己的应用程序安全策略来访问站点。配置 Intranet 区域使用内部 URL，使内部用户识别为他们的域验证 Windows 身份，而外部合作伙伴通过 Extranet 区域的 Web 单一登录身份验证进行登录，外部网允许他们使用自己组织的用户凭据。通过发挥将 Web 应用程序安全策略绑定到区域的优势，就可以赋予所有信任的外部用户完全读取访问权限，这与在逐个对象的基础上手动设置形成鲜明的对比。

5. 安全协作的目标内容

   锁定您的 SharePoint 站点集合意味着用户将只能处理您授权他们访问的信息。全新灵活的权限机制允许您对存储在 MOSS 环境中不同类型的业务信息进行更强的控制。

    使用 MOSS 2007，您可以选择将身份绑定到某个特定对象，此特定对象可以是站点集合、单个站点、文档库、子文件夹、列表或单个文档或列表项。同时采用拒绝访问和调整用户界面的方法，使得用户不知道他们无权访问的项目，这加强了详细访问控制，并强制要求该对象所属的明确成员身份。MOSS 的这项功能称为项目级别安全 (ILS) 或安全对象 (SO)。MOSS 对象权限会自然继承，使权限能从单个对象（例如列表项）扩展到更大的对象（例如列表或文档库）。权限继承也可执行，使低层子对象可有选择地从高层父对象继承权限。一共有 33 个唯一的默认权限，可赋予到用户或 SharePoint 组，每个权限也可绑定到对象。您也可创建新权限级别。

    例如，在项目管理站点内，您可以仅允许开发者和项目经理访问敏感的开发材料（例如存储在文档库 Microsoft Word 文档中的设计规格和编码技术）。默认情况下，库的权限从站点权限继承，但可以修改权限，以只赋予开发者和项目经理访问权，或者甚至可以使每个 Word 文档仅能由相应的项目经理和开发团队查看和访问。相反，不敏感的材料可完全公开，无论是在项目、文件夹还是文档库级别。
 
    甚至可以对事件项目指定权限，例如“事件”列表中的项目到期日，这样可以确保仅特定成员可以查看特定事件。另外，ILS 功能可以扩展到返回的搜索结果，也就是仅返回能映射回搜索者的安全上下文的对象。所有这些有效的权限控制措施，会将用户界面“修剪”到专有的用户上下文范围以内。

   权限管理体系结构在 MOSS 2007 中已经得到了极大的改进。可为 SharePoint 组和域组设置权限，也可在单独级别进行设置。有几个组已经进行了默认设置，特别是“所有者”（拥有完全控制权）、“访问者”（拥有参与人权限）和“成员”（拥有读取权限）。单独站点或域组可分配到这些默认组，或分配到您在站点集合级别创建和管理的自定义组，后者可拥有多种唯一的权限级别。 

   当创建基于角色的组时，您可创建“开发者”和“项目经理”组。您可以分配详细权限，例如，使开发者上载相关编码文档，和赋予项目经理读取和批准权限以便他们评估和签署那些文档。组成员身份在整个站点集合内保持一致，以便创建的组可在许多不同项目站点之间重用。