SharePoint сигурност на идентификационни данни за управление - всичко за него, и програмиране

СЪДЪРЖАНИЕ

Изключително важно е да се разбере как работи с SharePoint идентификационни данни за сигурност и пароли в случай на проверки за сигурност, ръчно с помощта на скриптове, или с помощта на напълно автоматични решения като този, който ще бъде представен в статия през следващия месец. За да направите моите обяснения реалистичен и практичен, аз отново ще разчита на тестова среда. В тази първа част е достатъчно проста инсталация един сървър, както е описано в придружаващите листовките. Както винаги, моята бележка и придружаващите инструменти са предназначени само за условия от лабораторните тестове, както и използването им не е предвидено в производствена среда. Използването на тези инструменти, вие правите това на свой собствен риск.

Парола Промени в среда SharePoint

Промяна на сметката за защита с парола SharePoint или по сметка на конфигурацията на фермата е изключително трудно сега. Наред с другите неща, трябва да се прилагат промените в Active Directory и локална база данни SAM (Сигурност Управление на профила - Security Accounts Manager), сървърът на SharePoint, базата данни на SCM (Control Мениджър Service - услуга Мениджър Control) в IIS метабазата, SQL Server и Със сигурност в базите данни на съдържание и конфигурацията на SharePoint.

В допълнение, за да приложите промените в последователен начин, те трябва да бъдат повторени за всички други сървъри в стопанството. Може да се наложи отново да криптира паролите на SharePoint услуги и приложения басейни за всеки сървър ферма, ако промените се отразяват на ключ ферма идентификационните данни, което е ключ за шифроване, използвани за защита на паролите за профилите SharePoint за сигурност в базата данни за конфигурация. Когато промените паролата за конфигурация за сметка на фермата, вие безусловно промени основните селскостопански пълномощията. Фиг. 1 илюстрира този процес в сървърната група с две крайни сървъри. Честно казано, на факта, че тази процедура работи така добре е впечатляващо.

Фиг. 1 Смяна сметка парола SharePoint сигурност

Всички промени сметка пароли започват в Active Directory, и от този момент до тогава, докато не обновите съответната парола в SharePoint, фермата се намира в състояние на несъвместимост. От този момент вашата парола е остаряла в IIS и на други места, но SharePoint е все още функционира.

Това е добра новина за организации, които изискват висока надеждност. Ако се променя с парола, не изискват рестартиране на системата. Windows и IIS може да продължи да използва означението за сигурност е получено, когато влезете в използването на съответната партида на сигурността със старата парола по време на последното стартиране на сървъра. Но по време на преходния период с противоречивото състояние на пароли не трябва да се рестартира IIS или целия сървър.

Когато рестартирате IIS, както и други услуги, които не ще бъде в състояние да влезете в системата, използвайки стара парола, и засегнатото приложение басейна или услугата никога няма да бъде в състояние да се свърже. В тази ситуация, IIS пише предупреждение в дневника за сървъра събитие (вж. Фиг. 2). Ето защо, след като паролата се сменя в Active Directory, че не е необходимо да се отложи актуализацията на парола в SharePoint твърде дълго.

Фиг. 2 IIS предупреждава, че идентификационните данни за прилагане басейн са остарели

За да актуализирате паролата, сметката за кандидатстване басейн, трябва да използвате централната администрация SharePoint 3.0 (_admin / FarmCredentialManagement.aspx) или следната команда Stsadm.exe.

В отговор SharePoint криптира новите парола ispolzovanime ключови селскостопански пълномощията и замества стария криптиран паролата в базата данни на конфигурацията. след SharePoint актуализира информацията за него в метабазата на IIS и всички други необходими места. След извършване на тези операции, SharePoint генерира работа таймер тип SPContentAppPoolCredentialDeploymentJobDefinition за разполагане на идентификационните данни за новия по останалите сървъри в стопанството, което го поставя в базата данни за конфигурация.

Както се вижда от фиг. 1. за прилагането на административни единици на всички сървъри в стопанството на SharePoint разчита на таймера работни места. SharePoint Таймер услуги на останалите сървъри в настройката на ферма и изберете съответно актуализира местните настройките за защита на своите сървъри с помощта на услугата за ВиК администрация (командата ще), за да се върнете към фермата в последователно състояние.

Тази изключително разнообразна и несъответстващи набор от инструменти и команди е един от недостатъците на сегашното състояние на SharePoint архитектура на сигурността. Той не се мащабира добре, а в зависимост от броя на нестандартни решения в сървърната група, които използват идентификационни данни за сигурност може да доведе до значително увеличение на TCO. Във втората част на тази серия ще бъде показана начин да се справят с тази ситуация, и, независимо от вида на услугите, които би трябвало да са всички необходими актуализации само решение.

Най-важното дело на актуализация се прилага за пълномощията на фермата. Парола ферма сметка е специален, защото това се отразява на ключа за идентификационни данни се използва за шифроване всички пароли ферма, както споменах по-рано. Ето защо, след отчета за смяна на паролата ферма в Active Directory, трябва да промените SharePoint със следната команда.

Тогава SharePoint среда трябва отново да криптира всички съществуващи (криптирани) пароли в базата данни на конфигурацията, актуализирам профила SharePoint Таймер обслужване (което за своя идентификатор използва сметката на стопанството) и отново трябва да разширят обхвата на тези промени във всички сървъри в стопанството, като зададете вида на таймера SPAdminAppPoolCredentialDeploymentJobDefinition.

На този етап, може да има различни повреди. работата на таймера може да се заби в опашката, както е показано на фигура 3. или процедура, може изведнъж се сложи край на извънредното положение, може би в резултат на внезапно спиране на тока, оставяйки старите криптирани пароли SharePoint след това никога няма да бъде в състояние да дешифрира се дължи на факта, че идентификационни данни ключ се променя.

Фиг. 3 Създаване разполагане пълномощията остана на опашката, защото SharePoint Таймер служба не се изпълнява на всички сървъри в стопанството

Фиг. 4 актуализация забавяне в басейна на заявление преди края на обработката на заданието управлявам използването на данните за кандидатстване басейн сметки

Отстраняване на земеделските пълномощията

Нека разгледаме updatefarmcredentials екип. Тя има опасен вариант, който може да донесе много неприятности, особено ако тя се използва, както е описано в статията «съобщение за грешка, когато се опитате да използвате SharePoint продукти и технологии съветника за:" Изключение: System.ArgumentException: Грешка по време на криптиране или разшифроването »(съобщение за грешка, когато се опитате да използвате съветника за конфигуриране на продукта и SharePoint технологии:" изключение: System.ArgumentException: грешка по време на криптиране или декриптиране). Искам да кажа, параметър, наречен Местни. SharePoint разработчиците въведени този параметър, за да извършите актуални местни ферма удостоверенията ръчно. Идеята е, че работата на таймера може да бъде отстранен от опашката в Централна администрация (_admin / ServiceJobDefinitions.aspx), ако работата е повредена или по някаква причина не се обработват, а след това да извършите необходимата стъпка актуализация директно чрез използване на командата.

Местни параметър разказва updatefarmcredentials на екипа, че промяната на паролата трябва да се прилагат само на локалния компютър. Важно е да се осъзнае, обаче, че тази актуализация се отразява на акредитивни писма ключа и SharePoint-време, но не и басейните за кандидатстване, услуга за търсене, доставчици на ЕСП и услуги и т.н. Предполага се, че вече сте завършили updatefarmcredentials команда без Местни вариант на друг сървър в стопанството и по този начин отново се шифрова всички пароли в базата данни за конфигурация. Не е необходимо да се извърши тази стъпка отново повторно криптиране. Какво би станало, ако сте използвали Местни параметър, без да се извършват тези действия?

Използвайки Местни без да се извършват updatefarmcredentials команда без тази опция води до усложнения като например Местни опция променя идентификационни данни ключа. Паролите за басейна на конфигурацията на база данни са криптирани с помощта на стария ключ, но сега ключът се заменя.

Обърнете внимание на фиг. 5. Екип updatefarmcredentials вече не е възможно да се стартират без параметър Местни, тъй като изисква повторно криптиране на пароли, които вече не могат да бъдат разшифровани. След като в журнала на приложенията събитие аварийни екипи пълни записи се появяват, както следва: «Грешка повторно криптиране идентификационни данни Id 022e607e-b49e-40e4-bd3f-f56a3c69f94d със собственика Id 431b6897-16eb-4b9a-be65-60f1f603008d по време на отваряне на приложения администрация басейн пълномощията, моля пресъздаде идентификационни данни ръчно. Работата не е в сила, поради сегашното състояние на обекта. »(Error повторно кодиране на ID идентификационни данни 022e607e-b49e-40e4-bd3f-f56a3c69f94d с ID собственик 431b6897-16eb-4b9a-be65-60f1f603008d по време на разполагането на данните от приложение басейн сметки администрация. Създайте отново идентификационните данни ръчно.)

Фиг. 5 Не може да се възстанови, да криптират паролите заявление басейн се дължи на факта, че паролите не може да бъде разшифрован Повече

Ако просто се промени сметката на ферма в единичен сървър разполагане с профила си в услуга на мрежата за сметка на домейн, вие имате сериозни проблеми, тъй като в този случай вече не можете да се върнете към стария идентификационни данни ключа. Услуга на мрежата не се използва парола, и поради това, ключът за идентификационни данни е случаен.

В търсене на допълнителна информация може да се намира една статия «Съобщение за грешка при опит да използвате SharePoint продукти и технологии съветника:" Изключение: System.ArgumentException: Грешка по време на криптиране или декриптиране »(Съобщението за грешката, когато се опитате да използвате SharePoint продукти и технологии Wizard Configuration "изключение: System.ArgumentException: грешка по време на криптиране или декриптиране), вече бе споменато от мен по-рано, а при липса на допълнителни знания, вашите проблеми ще се увеличи, защото сега вие знаете, че трябва да се създаде нова база данни конфигурация, за да се отърве от тези пароли, че НЕВ Възможна вече дешифрира. Немислимо е сливане на нещастни обстоятелства. На първо място, не трябва да бъде в състояние да изпълните командата с параметър updatefarmcredentials Местни или на екипа трябва да създава резервно копие на стария идентификационни данни ключа, така че след това можете отново да криптират пароли. Или просто трябва да се открие, че паролите все още не могат да бъдат повторно криптиране, и в този момент да се извърши тяхното повторно криптиране.

Добра новина е, че updateaccountpassword команда ви позволява да криптирате нови пароли, заявление басейн сметките, без да се налага да разшифровате старите пароли. Ето защо, тази команда трябва да се използва за актуализиране на всички басейни приложения, които използват сметки на домейни. В този случай трябва да се работи най-много, ако не всички, на разбитите пароли. За съжаление, тази команда не може да се използва за актуализиране на басейните за кандидатстване, които използват сметката на мрежата. паролата не се изисква за тази сметка, така updateaccountpassword команда не е приложим.

Има една абсурдна ситуация, тъй като се предполага, че потребителите трябва да се откажат от конфигурации на бази данни, защото колкото по-невъзможно да се разчете, "боклук" и напълно безполезни данни! Ако имате късмет, можете да промените конфигурацията на набор от приложения в Централна администрация (_admin / FarmCredentialManagement.aspx) и определете uchetchnuyu сметка домейн. Ако имате късмет, ще се сблъскате с грешката на кодиране / декодиране показани на фиг. 6. Не можете да промените профила, в централната администрация, не можете да използвате командния updateaccountpassword, вие не може да работи на конфигурацията Wizard SharePoint продукти и технологии, и не можете да актуализирате идентификационните данни за земеделските използващи updatefarmcredentials екип. Какво ще правим сега?

Фиг. 6 Усложнения на парола остава услуга на мрежата, присъства в базата данни на конфигурацията

За да реши този проблем, трябва инструмент, който работи директно в базата данни на конфигурацията и премахване на тези остатъчни вещества, като например възстановяване на паролата на AppPool означава, както е показано на фиг. 7 и включен в изходния код на спътник материал. Този инструмент е много проста. Тя извлича басейни за кандидатстване данни, които използват сметки със съответните криптирани пароли директно от базата данни за конфигурация и след това използва обект модела на SharePoint, за да се определи възможността за декодиране на паролата за кандидатстване басейн.

Фиг. 7 Set до нула срещу невалидни пароли

Ако достъп до паролата чрез модела на обекта не успее с аргумент, с изключение, а след това паролата е повреден. В тази ситуация, този инструмент дава възможност да се замени масив от криптиран байт стойности парола справка за нищожна и записва промените обратно в базата данни на конфигурацията. Празни редове не са задължени да разшифровате и поради това те не водят до изключването на аргумента. Проблемът, решен.

За да завършите процеса на възстановяване Препоръчвам използването Stsadm.exe и Централна администрация за актуализиране на идентификационните данни за стопански и впоследствие всички сметки набор от приложения. Ферма върна в последователно състояние, и не е нужно да се откажат от вашата конфигурация на базата данни.

заключение

Въпреки факта, че променящите се селскостопански пълномощията и сметки пароли за сигурност е досаден нелеката процедура, не трябва да се страхуват от това, което промяната в земеделските пълномощията непоправимо увреди фермата на сървъра. конфигурацията на базата данни могат да бъдат възстановени дори ако загубите ток идентификационните данни на ключ. Ти просто трябва да изчисти засегнатите пароли, и това е възможно с помощта на стандартен Stsadm.exe инструмент или данни инструмент база данни на ниско ниво, като Reset AppPool парола. Следователно, вие често трябва да се промени идентификационните данни за стопански и сигурност сметки запис, се използва сложна парола, и да не се използва на мрежови услуги в сметка за сигурността, защото усложнява конфигурацията на ферма и отстраняване на неизправности. конкретни профили на домейни, които се използват.

Сега, когато се разбере рисковете, свързани с база данни с корупцията чрез промени в паролата, можете да се съсредоточите върху реалната липса на SharePoint архитектура на сигурността: сегашната архитектура на сигурността не е много подходяща за промяна на пароли. Трябва да се прилагат твърде много команди в повече или по-малко определен ред в зависимост от вида на услугите, които се обновяват в една ферма. Използването на някои от параметрите на командата, свързани с опасни последици; някои отбори не са опасни настройки. Някои команди могат да навредят на базата данни на конфигурацията; други напълно безвредни. Някои услуги трябва да бъдат актуализирани в световен мащаб в цялата ферма, а други са местни за определен сървър.

Във всеки случай, административните разходи са високи, поради трудностите, които срещат, както и, като цяло, нивото на сигурност е ниска, поради факта, че графикът не включва чести промени и поради слаби пароли и скриптове, които работят с пароли в чист текст. В следващия си статия ще ви покажем как да се подходи по тези въпроси и да им адрес - за услугите, от всички видове, включително и тези, които все още не са разработени, и без значение какви са техните изисквания за актуализиране на пароли. Няма други промени ръчно пароли,!

Pav Черни (Pav Черни)

Въпреки това, за да започнете с SharePoint не винаги е лесно. Терминологията, може да е объркващо. Архитектурата на системата може да бъде много трудно, а за SharePoint изисква използването на много компоненти, включително IIS, Microsoft .NET Framework, SQL Server, а вероятно и други технологии, като използват.

Аз бих препоръчал да изтеглите примерния проект, приложен към статията и следвайте кода, който ще се въведе в текста. Проектът е настроена да работи след процеса на сглобяване, партида файл, който ще се събират всички компоненти на процеса на ВиК решения пакет и инсталиране на пакета за местните селскостопански WS на.

Ръководство за защита на Office SharePoint Server, например, се състои от повече от 300 страници, посветени на много други въпроси за сигурност при планирането и прилагането на уеб сайта и йерархии съдържание, методи за идентификация, ролите физическа охрана, администратор сметки, както и услугите, както и. Ta.