Seguridad en MOSS 2007

Instalacin y administracin
Eva Ordoez Ingeniero de producto
SharePoint

Planificacin para la Instalacin

CUENTAS ADMINISTRATIVAS Y DE SERVICIO

Servidor/Granja
Cuenta Propsito SQL Server solicita sta cuenta durante su instalacin / configuracin. Es usada como cuenta de servicio para: * MSSQLSERVER * SQLSERVERAGENT Configuracin de cada mquina servidor. Ejecutar el asistente para Configuracin de SharePoint Productos y Tecnologas. Ejecutar el comando Psconfig.exe Ejecutar el comando Stsadm.exe Requisitos Administrador del sistema de base de datos.

Cuenta Servicio SQL Server

Cuenta de usuario configuracin (Administrador de servidor)

Cuenta de dominio miembro del grupo de administradores, del servidor local en que se configura. Miembro de los siguientes Roles de SQL: * Logins * Securityadmin * Dbcreator Cuenta de dominio miembro del grupo de administradores, del servidor local en que se configura. Miembro de los siguientes Roles de SQL: * Logins * Securityadmin * Dbcreator

Cuenta de servidor de granja (Cuenta de acceso a SQL)

Cuenta del Pool de aplicaciones para el sitio web de la Administracin Central. Cuenta de proceso para el Timer Service de los WSS

Proveedor de Servicios Compatidos (SSP)

Cuenta Propsito Cuenta del pool de aplicacion para el sitio de administracin de SSP.

Pool de aplicaciones SSP Servicio SSP

Utilizada por: SSP Web services para comunicacin inter-servidores Identidad del Application pool asociado con el directorio virtual del SSP Usada como cuenta de servicio de bsqueda. Una nica instancia utilizada por todos los SSP, para escribir el fichero de indice de contenidos, situado en los servidores de indexacin y para propagar el ndice a todos los servidores de consultas en uan granja. Cuenta por defecto utilizada en un SSP para la disposicin del contenido, aun cuando se haya especificado otro mtodo de autentificacin, por una regla de disposicin para una URL o una plantilla de URL. Configurada para acceder a un origen de contenidos. Es opcional. Conecta a un servicio de directorio, DA, LDAP, aplicacin de BDC o un directorio. Importa los datos de perfil del servicio de directorio. Es la cuenta que Excel Calculation Services usa para conectar origenes de datos externos que no requeiren usuario/password de Windows.

Servicio de Bsqueda Office SharePoint Server

Acceso a contenido por defecto

Acceso a contenido Importacin de perfiles por defecto Cuenta desatendida del servicio Excel Services

Planificacin para Administracin

ROLES DE SEGURIDAD Y PERMISOS

Administracin de la plataforma
Basada en Web y lnea de comandos Permite Delegacin Seguridad por roles diferenciados

Administracin Central
Granja

Proveedores Servicios Compartidos

Recursos Aplicaciones Web Creacin sitios

Coleccin de sitios
Elementos de sitio Usuarios y Grupos Contenidos

Servicios Personalizacion Audiencias Business Data Catalog

Seguridad

Excel Services
Office SharePoint Server Search Informes de uso del portal

Administracin de Servidor/Granja I
Rol Qu SI pueden hacer? Tareas administrativas en la Administracin Central. Puedes ser propietario de cualquier sitio de contenido. Qu NO pueden hacer? Administrar sitios individuales o de contenido, an cuando sea propietario de ellos. Administrar My Sites. Acceder al sitio de administracin de servicios compartidos. Crear o eliminar Web Applications.

Administrador de Granja

Actualizar cuentas o passwords de Web Applications y servicios.

Desplegar soluciones que requieran actualizar la GAC. Restaurar de backup. Administrar sitios individuales o de contenido. Usar el sitio de administracin de servicios compartidos. Usar la Administracin central.

Administrador de Single sign-on

Configurar el servicio SSO, incluyendo la clave de encriptacin. Gestionar las definiciones de aplicaciones empresariales.

Administracin de Servidor/Granja II
Rol Qu SI pueden hacer? Gestionar las definiciones de aplicaciones empresariales, sus cuentas y credenciales. Qu NO pueden hacer? Administrar sitios individuales o de contenido. Administrar My Sites. Acceder al sitio de administracin de servicios compartidos. Acceder a la Administracin central. Administrar sitios individuales o de contenido. Administrar My Sites. Administrar bases de datos.

Administrador Aplicaciones empresariales

Administrador de Servidor

Instalar productos. Crear Web applications e Internet Information Services (IIS) Web sites. Iniciar servicios. Desplegar Web Parts y caracteristicas en la GAC. Gestionar tareas de Administracin central si el sitio se encuentra en el servidor local. Ejecutar el comando Stsadm.

Proveedores de Servicios Compartidos I

Rol Qu SI pueden hacer? Usar el sitio de Administracin de servicios compartidos con nivel de Control Total. Configurar informes de uso. Aadir usuarios al grupo por defecto de Lectores, para los sitios que ocontienen My sites y perfiles. Crear sitios personales. Gestionar sitios y perfiles de usuario. Configurar permisos para servicios especificos o asignar a otros usuarios para administrar. Crear y gestionar origenes de contenidos y programar indexaciones. Gestionar tipos de ficheros. Crear y gestionar la cuenta de acceso a contenido por defecto. Crear el mapeo de nombres de servidor. Activar/Desactivar alertas basadas en bsquedas. Crear y gestionar los mbitos de bsqueda. Especificar las pginas web de autoridad. Gestionar las propiedades de metadatos. Qu NO pueden hacer? Administrar sitios individuales o de contenido.

Administrador de la coleccin de sitios de la administracin de servicios compartidos

Administrador servicio de bsqueda

Acceder al sitio de Administracin central.

Proveedores de Servicios Compartidos II

Rol Qu SI pueden hacer? Configurar y gestionar perfiles de usuarios. Ver y editar propiedades de perfiles de usuario. Personalizar y configurar propiedades y permisos de My Sites. Configurar politicas de los servicios de perfiles. Gestionar enlaces de personalizacin, enlaces a My Site de confianza y enlaces aplicaciones Cliente Office. Acceso a las pginas de bsqueda y Excel services, aunque stas tareas no estn asociadas a ste rol. Crear compilar y gestionar audiencias y reglas. Qu NO pueden hacer? Acceder al sitio de Administracin Central. Gestionar audiencias. Gestionar permisos.

Gestor de perfiles de usuarios

Gestionar informes de uso.

Gestor de Audiencias

Acceder al sitio de Administracin Central.

Ver pertenencias.
Gestionar enlaces de personalizacin, enlaces a My Site de confianza y enlaces aplicaciones Cliente Office. Acceso a las pginas de administracin de bsqueda y Excel services.

Gestionar perfiles o My Sites.

Gestionar el BDC. Gestionar permisos. Gestionar informes de uso.

Proveedores de Servicios Compartidos III

Rol Qu SI pueden hacer? Configurar el Business Data Catalog. Gestionar enlaces de personalizacin, enlaces a My Site de confianza y enlaces aplicaciones Cliente Office. Acceso a las pginas de bsqueda y Excel services, aunque stas tareas no estn asociadas a ste rol. Configurar los permisos del servicio de personalizacin. Gestionar enlaces de personalizacin, enlaces a My Site de confianza y enlaces aplicaciones Cliente Office. Acceso a las pginas de bsqueda y Excel services, aunque stas tareas no estn asociadas a ste rol. Qu NO pueden hacer? Acceder al sitio de Administracin Central. Gestionar permisos para el servicio de perfiles. Gestionar perfiles o My Sites. Gestionar audiencias. Gestionar informes de uso. Acceder al sitio de Administracin Central. Gestionar perfiles o My Sites. Gestionar el BDC. Gestionar permisos. Gestionar audiencias. Gestionar informes de uso. Gestionar permisos para el BDC.

Gestor de permisos del BDC

Gestor de permisos Servicio de perfiles

Proveedores de Servicios Compartidos IV

Rol Qu SI pueden hacer? Aadir: Ubicaciones de ficheros de confianza. Proveedores de datos de confianza. Bibliotecas de conexiones de confianza. Ensamblados de funciones de usuario. Qu NO pueden hacer? Acceder al sitio de Administracin Central. Arrancar y gestionar el servicio SSO. Arrancar y detener los Excel Calculation Services y otros servicios. Ejecutar tareas administrativas con el comando Stsadm.

Administrador de Excel Services

Modificar las propiedades de los Excel Services. Acceso a otras pginas de adminstracin, BDC App. Habilitar el uso del servicio de informes, desde el sitio de Administracin de Servicios Compartidos. Habilitar el registro de consultas de bsqueda.

Gestor de informes de uso

Acceder al sitio de Administracin Central. Acceder a ningn otro servicio compartido, salvo aquellos disponibles para todos los usuarios con acceso de lectura en el sitio de Administracin de Servicios compartidos.

Coleccin de Sitios
Rol Qu SI pueden hacer? Realizar todas las tareas de administracin de sitios en la coleccin de sitios. Gestionar la administracin del sitio, no de la coleccin del sitio. Qu NO pueden hacer? Acceder al sitio de Administracin Central. Acceder al sitio de Administracin Central.

Administrador de coleccin de sitios <Nombre de Sitio> Owners

Realizar tareas administrativas sobre documentos, listas y bibliotecas.

Acceder al sitio de Administracin de Servicios Compartidos.

Realizar tareas de administracin en la coleccin de sitios, p.ej. Restaurar items de la papelera de reciclaje y gestionar la jerarqua del sitio.

Elementos de seguridad del sitio

Permisos de usuarios individuales Los permisos individuales ofrecen la posibilidad de realizar acciones especficas. Nivel de permisos Conjunto predefinido de permisos que concede permiso para realizar acciones relacionadas. Los niveles de permisos predeterminados son: Acceso limitado, Lectura, Colaborar, Diseo y Control total. Usuario Persona con una cuenta de usuario que se puede autenticar mediante el mtodo de autenticacin usado en el servidor. Grupo de usuarios Puede ser un grupo de seguridad de Windows o un grupo de SharePoint Objeto asegurable A los usuarios o grupos se les asigna un nivel de permisos para un objeto protegible especfico: sitio, lista, biblioteca, carpeta, documento o elemento. De forma predeterminada, los permisos para una lista, biblioteca, carpeta, documento o elemento se heredan del sitio, lista o biblioteca primarios.

Niveles y grupos
Nombre Grupo <nombre sitio> Visitantes <nombre sitio> Miembros <nombre sitio> Dueos Lectores restringido Revisores Aprobadores Diseadores Administradores de Jerarquias Nivel permiso por defecto Leer Contribuir Control total Lectura restringida Leer Aprobar Disear Gestionar Jerarquias

Usuarios de despliegue
Lectores de recursos de estilo

Acceso limitado al sitio, contribuir con elementos de despliegue

Acceso limitado al sitio, leer el catlogo de pginas maestras, lectura restringida en la biblioteca de estilos.

Gestin de permisos de sitio

Gestin en una lista o biblioteca

Gestin en un documento, elemento o carpeta

Encriptacin de la informacin

IRM / AD RMS

Mapeo de permisos a IRM

Permisos MOSS 2007 Permisos IRM Control total sobre los documentos, tal como se define en la aplicacin cliente. Esto generalmente permite al usuario leer, modificar, copiar, guardar y modificar los permisos del documento. Modifique, copie y guarde los permisos. El usuario slo puede imprimir el documento si la configuracin de IRM de la biblioteca de documentos se ha configurado para permitir la impresin de documentos. Permisos de lectura. El usuario puede leer el documento, pero no copiar ni editar su contenido. El usuario slo puede imprimir el documento si la configuracin de IRM de la biblioteca de documentos se ha configurado para permitir la impresin de documentos. No aplicable; no hay permisos de IRM correspondientes.

Administrar permisos Administrar la web

Editar elementos de la lista Administrar listas Agregar y personalizar pginas

Ver elemento de lista

El resto de la configuracin de derechos de ACL, como por ejemplo la edicin de la informacin de usuario.

Elementos necesarios para implementar AD RMS

Un controlador de dominio de Active Directory
Un servidor de AD RMS: Windows Server 2008 R2 en el que se ejecuta el rol de servidor Active Directory Rights Management Services (AD RMS) que administra certificados y licencias Un servidor de base de datos de AD RMS Un cliente habilitado para AD RMS

Integracin de MOSS 2007 con AD RMS

Flujo planificacin del entorno de seguridad

Recursos
Planeacin de cuentas administrativas y de servicio (Office SharePoint Server) <http://technet.microsoft.com/es-es/library/cc263445.aspx>
Planeacin de la seguridad del sitio y el contenido (Office SharePoint Server) <http://technet.microsoft.com/es-es/library/cc262939.aspx> Permisos de usuarios y niveles de permisos <http://technet.microsoft.com/es-es/library/cc288074.aspx> Libro descargable: Seguridad de Office SharePoint Server 2007 <http://technet.microsoft.com/es-es/library/cc262619.aspx> Introduccin a Active Directory Rights Management Services <http://technet.microsoft.com/es-es/library/cc771627.aspx>

Muchas gracias!

 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.