Безопасность Sharepoint

2020. Серверы ООН взломали через брешь в Microsoft Sharepoint



Внутренний доклад о кибератаке на серверы ООН утек в СМИ. Согласно документу, злоумышленники скомпрометировали несколько десятков серверов, относящихся к сетям ООН. Что же касается изначального вектора атаки, то в докладе указывается, что злоумышленники могли воспользоваться уязвимостью в Microsoft Sharepoint. Успешную атаку на ИТ-инфраструктуру ООН не так просто провести: уровень защиты там очень высокий. Поиск слабых мест в ней — весьма нетривиальная задача, и только у "государственных киберразведок" или высокопрофессиональных наемников есть ресурсы и мотивация на подобные изыскания. Масштабы операции указывают на целенаправленные поиски конкретной информации.


2017. «ЭвриТег» интегрировала систему защиты от утечек ILD с Microsoft SharePoint

«ЭвриТег» интегрировала решение ILD, контролирующее утечки конфиденциальных документов, с платформой для организации совместной работы Microsoft SharePoint. Благодаря интеграции все функции системы защиты бумажных документов ILD становятся доступными для компаний, использующих технологии Microsoft SharePoint. Рядовые пользователи, работающие с внутренними порталами на базе SharePoint, не заметят каких-либо существенных изменений: совместная работа в коллективе останется такой же удобной, при этом бумажные копии документов будут надежно защищены. Помимо собственных методов защиты ILD, интегрированное решение предполагает защиту электронных копий конфиденциальных документов, которые пользователи получают с помощью технологии Microsoft IRM (Information Rights Management). Система IRM предназначена для управления правами доступа: защищенный документ доступен лишь тому пользователю, для которого он создан, и только в случае, если пользователь аутентифицирован в домене организации. Система ILD позволяет определить владельца бумажной копии такого документа в случае утечки.


2016. Eset представила новое поколение защиты серверов совместной работы

Компания Eset представила новую версию продукта Eset Security для Microsoft SharePoint Server. Новый продукт специально разработан для антивирусной защиты серверов совместной работы SharePoint. Он использует оптимизированные механизмы сканирования, характерные для структуры базы данных этих серверов. Продукт поддерживает функцию параллельного сканирования контента в базе данных SharePoint. Сканирование в виде параллельных процессов снижает общее время проверки по требованию, пояснили в компании. В целом Eset Security для Microsoft SharePoint Server обеспечивает полную защиту как для документов, так и для сервера. Расширенные настройки фильтрации позволяют определить действия для каждого подозрительного документа. Функция «Контроль устройств» для защиты сервера предусматривает автоматическое сканирование подключаемых внешних устройств и настройку правил работы со съемными носителями для каждого пользователя.

2013. «Лаборатория Касперского» обновила Kaspersky Security для SharePoint Server

«Лаборатория Касперского» объявила о выпуске обновленной версии Kaspersky Security 8.0 для SharePoint Server, в которой, помимо ряда функциональных усовершенствований, реализована поддержка Microsoft SharePoint Server 2013 и оптимизирована защита от киберугроз. Корпоративные решения для совместной работы упростили процесс решения ежедневных задач, стоящих перед сотрудниками компаний. Однако документы, хранящиеся в таких системах, будучи заражёнными вредоносным ПО, могут вызвать эпидемию всей корпоративной сети. Именно поэтому подобные файлы требуют особой защиты, указали в компании. Для решения этой задачи «Лаборатория Касперского» предлагает Kaspersky Security 8.0 для SharePoint Server — корпоративное решение, созданное специально для защиты ИТ-инфраструктуры, обеспечивающей совместную работу в компании.


2012. Kaspersky Security для SharePoint Server сделает совместную работу безопаснее

«Лаборатория Касперского» объявила о запуске нового корпоративного решения — Kaspersky Security для SharePoint Server. Приложение предназначено для компаний, использующих платформу для совместной работы и хранения данных Microsoft SharePoint Server. Помимо защиты от вредоносных программ, новое решение также обеспечивает фильтрацию нежелательного контента. Платформа Microsoft SharePoint все чаще используется компаниями не только для совместной работы сотрудников, но и для взаимодействия со сторонними организациями — поставщиками, подрядчиками и партнерами, отметили в «Лаборатории Касперского». Решение в режиме реального времени проводит проверку скачиваемых и загружаемых на сервер документов и по требованию — файлов, уже хранящихся на SharePoint. Гибкие настройки позволяют задавать область и время сканирования, а также типы файлов для более тщательной проверки, говорится в сообщении «Лаборатории Касперского». Функции фильтрации контента блокируют любые попытки размещения на сервере ненадлежащей или не соответствующей корпоративной политике информации.


2009. Sharepoint-порталы стали безопаснее

Компания RSA (подразделение безопасности EMC)представила набор решений для обеспечения безопасности интранет порталов на базе Microsoft SharePoint. Инструмент RSA Secure View for Microsoft SharePoint и сервис RSA DLPRisk Advisor for Microsoft SharePoint выполняют мониторинг доступапользователей и групп к важной информации, оценивает связанные и этимриски и предоставляет средства для повышения безопасности данных всреде SharePoint. EMC Security and Compliance for Microsoft OfficeSharePoint Server 2007 отслеживает важные данные в SharePoint, а EMCBusiness Continuity for Microsoft Office SharePoint Server 2007выполняет технический контроль, обеспечивает централизованноеуправление, обход отказов и упрощает восстановление. RSA представила также обновленный пакет защиты информации RSA DataLoss Prevention (DLP), в котором расширены функции управленияполитиками, классификации, сканирования БД, создания отчетов, а такжеобеспечена интеграция с платформой RSA enVision. Кроме того, RSAанонсировала новый релиз Adaptive Authentication Platform, выполняющейдвухуровневую аутентификацию пользователей с помощью интеллектуальныхметодов, системы RSA по определению рисков и RSA eFraudNetworkSM.


2007. IBM на защите SharePoint

Компания IBM представила программное обеспечение для резервного копирования и восстановления данных, предназначенное для сред Microsoft SharePoint и позволяющее компаниям обеспечивать защиту, управление и восстановление для важнейших бизнес-данных и приложений. Новое ПО Tivoli Storage Manager for Microsoft SharePoint предлагает средства резервного копирования и восстановления для Web-среды коллективной работы Microsoft SharePoint, обеспечивающей совместное использование важнейших бизнес-данных и поддержку документов Microsoft Office. Новое ПО также способствует снижению рисков, связанных с потерей данных, позволяет упростить ИТ-инфраструктуру и управлять расходами. ПО TSM for MS SharePoint предлагает клиентам средства резервного копирования и восстановления для сред MS SharePoint Portal Server 2003 и MS Office SharePoint Server 2007 (Windows Storage Server 2.0 и 3.0). Предлагаемые возможности включают восстановление данных на уровне всей площадки, ее части или компонента, обеспечение целостности данных, интеграцию со средами резервного копирования на дисковые и ленточные носители, а также основывающееся на политиках резервное копирование данных, составление графиков, мониторинг и формирование отчетов без блокировки индексных файлов и прекращения доступа к ним во время резервного копирования.


2005. Как обеспечить безопасность Windows SharePoint Services



Служба Windows SharePoint Services, доступная пользователям Windows Server 2003 для бесплатной загрузки, предоставляет богатые функциональные возможности для организации совместной работы сотрудников. В этих возможностях особенно заинтересованы предприятия малого и среднего бизнеса, которым нужны недорогие средства для решения подобных задач. Предприятия SMB часто используют приложения совместной работы для организации общего доступа к данным, обмена информацией и отслеживания хода выполнения проектов. Очень часто мысль о разграничении и обеспечении безопасности совместной работы приходит менеджерам и администраторам систем с большим запозданием, особенно если ответственные сотрудники лишь поверхностно знакомы со службой Windows SharePoint Services.Видимо, пришло время научиться ограничивать доступ к некоторым разделам информационных систем, построенных на Windows SharePoint Services. Рассмотрим пример предоставления прав доступа к разделам, содержащим конфиденциальную документацию по проектам предприятия. Неплохо было бы также разрешить доступ к календарным планам исполнения некоторых проектов только тем сотрудникам, которые так или иначе в этих проектах участвуют. Windows SharePoint Services имеет встроенные средства разграничения прав доступа, позволяющие детально назначить разрешения и способ доступа к информационным ресурсам. В этой статье речь пойдет о базовых принципах управления доступом в Windows SharePoint Services и некоторых приемах, которые могут значительно облегчить работу.Основные концепцииУправление доступом в Windows SharePoint Services основывается на учетных записях пользователей (учетные записи пользователей домена Active Directory или собственные учетные записи в Windows SharePoint Services), для которых определяется набор прав доступа к документам и спискам Windows SharePoint Services. Как правило, настройка и применение прав доступа для учетных записей AD эффективнее, но в некоторых случаях можно использовать только собственные учетные записи Windows SharePoint Services, например если корпоративная сеть не задействует домен AD. Конечно, реализация разделения прав с использованием учетных записей пользователей в домене AD имеет значительные преимущества, например, можно управлять разрешениями доступа к ресурсам для групп пользователей, именно поэтому в данной статье основное внимание будет уделено назначению разрешений для пользователей домена AD. При добавлении, или, что то же самое, регистрации пользователя или группы в Windows SharePoint Services, необходимо сделать этого пользователя (или группу) членом группы сайта или группы для нескольких сайтов. Основное отличие группы для нескольких сайтов от группы сайта заключается в том, что группа для нескольких сайтов позволяет предоставить доступ к любому сайту из набора сайтов Windows SharePoint Services, в то время как группа сайта позволяет предоставлять разрешения доступа только к тому сайту, в котором она создана. После регистрации пользователей в группах SharePoint вы можете назначать доступ к ресурсам на уровне сайта. Уместно напомнить, что сайтом SharePoint называется группа связанных Web-страниц SharePoint. Таким образом, пользователям назначаются необходимые разрешения доступа ко всем библиотекам и спискам на уровне сайтов или же непосредственно к библиотекам и спискам. Основные разрешения доступа к библиотекам и спискам SharePoint, которые можно предоставить пользователю, — Add, Edit, Delete, View Items. Дополнительные разрешения — Manage Site Groups, Usage Data, Cancel Check-In и Personalize Views — позволяют управлять доступом к самому сайту.Группы упрощают администрированиеКак правило, администраторы, впервые столкнувшиеся с Windows SharePoint Services для управления разрешениями пользователей к сайтам SharePoint, просто добавляют учетные записи этих пользователей в соответствующие сайты. Более правильным подходом все же является управление доступом на уровне групп домена AD, а не индивидуальных пользователей Windows. Такой подход позволяет, например, предоставить доступ к ресурсу для всех сотрудников определенного подразделения, задействованного в проекте. Это значительно проще, чем добавлять множество записей индивидуальных пользователей и назначать разрешения каждому из них по отдельности. Затем, когда какой-нибудь пользователь увольняется из организации или переходит на работу в другое подразделение, достаточно просто внести соответствующие изменения в группы AD, и эти изменения автоматически станут известны SharePoint Services — администратору не потребуется выполнять для данного пользователя множество дополнительных настроек в SharePoint.Чтобы предоставить доступ к сайту SharePoint, следует зарегистрироваться в системе с разрешениями локального администратора и открыть нужный сайт в браузере Windows. В строке меню домашней страницы сайта требуется щелкнуть на ссылке Site Settings, затем Site Administrator. На странице Site Administrator нужно перейти по ссылке Manage Users, на странице Manage Users щелкнуть на Add Users и ввести имя группы Windows (вы можете ввести сразу список групп, разделителем списка будет точка с запятой). Выбранные группы Windows появятся на странице в разделе Domain Groups, как показано на экране 1.Экран 1. Управление группами и пользователями сайтаКогда впервые выполняется добавление группы Windows в Windows Share Point Services, необходимо выбрать хотя бы один сайт SharePoint или группу для нескольких сайтов, к которой будет принадлежать данная группа Windows. Группы сайта — это единица управления, существующая исключительно в Windows SharePoint Services. Каждая группа сайта должна иметь по крайней мере разрешение на просмотр (View) ресурсов сайта. Для просмотра списка групп, заданных для данного сайта SharePoint, следует вернуться на страницу Site Administration и щелкнуть на ссылке Manage Site Groups. При создании сайта Windows SharePoint Services автоматически формирует следующие стандартные группы сайта: Guest, Reader, Contributor, Web Designer и Administrator. Можно просмотреть разрешения доступа, определенные для каждой группы. Для этого необходимо щелкнуть на имени группы, при этом происходит переход на страницу Members, со списком членов группы, с которой по ссылке Edit Site Group Permissions открывается страница разрешений группы. Например, группа Contributor предоставляет своим членам разрешения Add, Edit, Delete, View Items, Browse Directories, View Pages и все четыре персональных разрешения (т. е. Manage Personal Views, Add/Remove Private Web Parts, Update Personal Web Parts и Create Cross-Site Groups). При добавлении новой группы сайта все члены группы, являющиеся пользователями домена Windows, автоматически получают доступ к ресурсам данного сайта SharePoint. Как показано на экране 2, Windows-группа marketingstaff является членом группы сайта Contributors. Благодаря этому все члены группы marketingstaff обладают всеми разрешениями, определенными для группы сайта Contributors, так что в управлении индивидуальными разрешениями членов данной группы Windows необходимости нет. Если группа Windows будет включена в несколько групп сайта, члены этой группы будут обладать разрешениями, которые являются суммой разрешений указанных групп сайта. Для управления разрешениями группы сайта и членством в ней следует перейти на страницу Manage Site Groups, щелкнуть имя группы сайта, а затем перейти на страницу Edit Site Group. На открывшейся странице имеется список членов группы сайта и возможность добавлять и удалять членов группы сайта. На этой же странице можно создать собственную группу сайта, которая может использоваться вместе со встроенными группами сайта.Экран 2. Редактирование членства в группе сайтаДелим на частиПо умолчанию Windows SharePoint Services использует модель управления доступом на уровне сайтов, а не на уровне индивидуальных объектов, при этом все ресурсы сайта SharePoint наследуют разрешения доступа, заданные на уровне сайта. При создании подсайта в рамках существующего главного сайта созданный подсайт по умолчанию наследует разрешения доступа к главному сайту, аналогично тому, как происходит наследование прав доступа к каталогам в файловой системе Windows. При создании подсайта в SharePoint по умолчанию предлагается параметр Use same permissions as parent site («Наследовать разрешения доступа родительского сайта»), при этом можно выбрать вариант Use unique permissions («Использовать собственные разрешения доступа»). Параметры наследования прав доступа могут быть изменены на странице Site Administration данного подсайта, для этого следует перейти по ссылке Manage permission inheritance и выбрать нужный вариант наследования. Следует заметить, что если подсайт наследует разрешения доступа от родительского сайта, то на странице управления подсайтом отсутствуют ссылки Manage Users и Manage Site Groups, поскольку в этом случае вы не можете управлять индивидуальными разрешениями доступа к подсайту. Управление доступом на уровне сайтов подходит для многих задач в случае небольших коллективов пользователей и простой модели доступа. Можно назначить для подсайтов и ресурсов разрешения доступа, отличные от прав доступа родительского сайта. Следует иметь в виду, что в таком случае данный подсайт или ресурс помечаются как Use unique permissions, и с этого момента изменения прав доступа к родительскому сайту — добавление пользователей, отзыв прав и т. п. — уже не будут оказывать влияния на доступ к данному подсайту или ресурсу.Что следует сделать для того, чтобы задать уникальные разрешения доступа к определенному ресурсу SharePoint? Во-первых, требуется изменить настройки этого ресурса таким образом, чтобы прекратить наследование разрешений доступа сайта. Для просмотра разрешений доступа к ресурсу следует открыть ресурс сайта (т. е. список или библиотеку документов) и щелкнуть на ссылке Modify Settings and Columns. Например, можно открыть домашнюю страницу сайта, созданного на основе шаблона Team (шаблон сайта представляет собой предварительно настроенный для определенной цели сайт, для создания сайта на основе шаблона достаточно просто скопировать выбранный шаблон), щелкнуть на ссылке Events list и в открывшемся списке щелкнуть ссылку Modify Settings and Columns. Windows SharePoint Services открывает страницу Customize Events; щелкните по ссылке Change permissions for this link. Открывшаяся страница Change Permissions: Events, как показано на экране 3, содержит список пользователей и групп, обладающих разрешениями доступа к данному ресурсу, а также разрешения этих пользователей и групп. Изначально эти разрешения совпадают с общими разрешениями для всего сайта. Допустим, вы собираетесь создать группу сайта с именем Viewers и предоставить этой группе разрешение на просмотр View Items (это можно сделать на странице Site AdministrationManage Site Groups). После этого на странице Change Permissions: Events появится новый элемент, указывающий, что группа Viewers обладает разрешениями View Items. Для отключения наследования разрешений доступа от сайта к объекту достаточно просто выполнить какое-нибудь изменение разрешений доступа к ресурсу — добавить/удалить пользователя или группу, изменить разрешения доступа для пользователя/группы и т. п. При первом же изменении разрешений доступа Windows SharePoint Services удалит для данного ресурса наследование разрешений доступа от родительского сайта. Если необходимо создать разрешения доступа к ресурсу с нуля, следует просто удалить из списка доступа к ресурсу все встроенные группы. В этом случае доступ к ресурсу останется только у членов группы Administrators, значит, важно предварительно убедиться, что необходимые административные разрешения имеются. Затем следует добавить к ресурсу группы и пользователей Windows, группы сайта или группы для нескольких сайтов, которым будет предоставлен доступ к ресурсу. При этом, поскольку наследование разрешений доступа от родительского сайта разорвано, можно не опасаться, что к ресурсу получат доступ пользователи, обладающие доступом к остальной части сайта.Экран 3. Редактирование резрешений при доступе к ресурсу SharePointОт теории к практикеТеперь, когда мы познакомились с основными концепциями управления разрешениями доступа в Windows SharePoint Services, рассмотрим практическое приложение, которое требует применения другого подхода. Допустим, у нас имеется сайт SharePoint, содержащий совсем немного ресурсов. Этот сайт используется небольшим количеством участников проекта, которые должны обладать одинаковыми разрешениями на доступ к ресурсам сайта. Допустим, что потребовалось предоставить ограниченный доступ к библиотеке документов проекта и обеспечить возможность участия в дискуссиях (форумах) проекта более широкому кругу участников. При этом данная расширенная группа не должна иметь доступа к другим материалам проекта. Для реализации такой схемы создадим новую группу Windows, назовем ее ExtendedTeamAccess и добавим в нее учетные записи пользователей. Пока все просто, но вот первое затруднение. Невозможно просто предоставить группе ExtendedTeamAccess доступ к сайту, поскольку тогда группа получит доступ с разрешениями View («Просмотр») ко всему сайту, а это противоречит условию, что доступ предоставляется только к библиотеке и форуму. Вместе с тем предоставление индивидуальных прав доступа на уровне отдельных объектов потребует слишком значительных трудозатрат и усложнит управление доступом.Для преодоления подобных затруднений существует группа сайта Guests. Как уже упоминалось ранее, при добавлении группы Windows к сайту необходимо включить добавляемую группу хотя бы в одну из групп сайта. Созданная по умолчанию группа Guests не обладает никакими разрешениями доступа к объектам сайта. Вы не можете редактировать членство в группе Guests — членство в этой группе автоматически поддерживает Windows SharePoint Services. Чтобы добавить группу ExtendedTeamAccess в группу сайта Guests, нужно выполнить изменение разрешений доступа к одному из тех ресурсов, которые предполагается предоставить членам новой группы. Например, можно предоставить группе ExtendedTeamAccess доступ к библиотеке документов. Когда вы это сделаете, будут сформированы соответствующие разрешения на доступ к ресурсу, а группа ExtendedTeamServices автоматически будет добавлена в группу сайта Guests. После этого вы можете предоставить группе Guests разрешение на доступ View Items к библиотеке документов проекта. Эту же процедуру следует повторить для форума проекта.Рассмотрим еще один пример. Допустим, требуется настроить ограничение на доступ к календарю событий (Events calendar) таким образом, чтобы только руководители команд и менеджеры могли просматривать календарь. У нас уже имеется две группы домена AD — Team Leaders и Management. Откройте страницу Change Permissions: Events («Изменить доступ: события») и удалите имена созданных по умолчанию групп сайта. Щелкните Add Users и на странице Add Users: Events укажите имена Windows-групп Team Leaders и Management (разделенные символом точка с запятой). Укажите необходимые разрешения для добавленных групп — в данном случае View Items, как показано на экране 4. Щелкните Next, затем Finish. Теперь на странице Change Permissions: Events заголовок указывает Domain Groups и перечислены значения Team Leaders и Management, причем обе группы имеют разрешения доступа View Items.Просто, надежно и безопасноЗащита доступа к Windows SharePoint Services оказывается достаточно простой, если разобраться, каким образом разрешения доступа уровня сайта и уровня ресурса используют группы Windows, сайты SharePoint и группы. Воспользуйтесь тем, что защита Windows SharePoint Services интегрирована с моделью безопасности Windows — это позволяет избежать необходимости выполнять повторно одну и ту же работу (например, добавлять к сайту SharePoint множество пользователей и настраивать для них разрешения доступа). Часто источником опечаток и ошибок является выполнение именно таких повторяющихся рутинных задач. Поскольку для управления доступом в Windows используются группы AD, можно будет задействовать существующие группы Windows и для управления доступом к ресурсам сайтов SharePoint. Предоставляйте уникальные разрешения на уровне доступа к ресурсу для более детального управления доступом к защищенным ресурсам с ограниченным доступом — это позволит сэкономить время для поддержки и совершенствования инфраструктуры Active Directory сети.


2002. TrendMicro Portal Protect for MS SharePoint Portal Server

Компания TrendMicro представила свой новый продукт — Portal Protect — для защиты корпоративных информационных порталов на платформе Microsoft SharePoint Portal Services от проникновения вирусов и другого нежелательного информационного наполнения. Порталы реализуют функции управления документооборотом, обеспечивают общий доступ к файлам и возможность работы с электронной почтой. Portal Protect помогает предотвратить распространение вирусов c документами, проходящими по каналам портала. Антивирусный механизм TrendMicro тесно интегрирован со службами Sharepoint, что позволило создать самое надежное решение для обеспечения безопасности на растущем рынке корпоративных порталов. Portal Protect использует открытый интерфейс Microsoft Antivirus API, в разработке которого участвовали специалисты компании TrendMicro. В связи с растущей ролью корпоративных порталов в работе предприятий, Portal Protect является решением, обеспечивающим защиту пользователей от вирусов, заражающих документы MS Office и сообщения электронной почты. Новый продукт сканирует и очищает от вирусов все поступающие документы, а также все содержимое хранилища документов Document Store в реальном времени. Web-интерфейс управления обеспечивает администраторам удобный и своевременный доступ к настройкам, отчетам и журналам событий, а средства автоматического обновления гарантируют актуальность антивирусных баз.