O Microsoft SharePoint é uma das plataformas mais populares para colaboração e compartilhamento de conteúdo dentro das equipes internas e até mesmo com usuários externos. Logo, garantir a segurança do SharePoint é vital para ajudar a sua companhia com brechas de dados e interrupções do negócio. Descubra as melhores práticas para garantir a segurança no SharePoint, protegendo seus dados e evitando interrupções nos negócios. Saiba como gerenciar permissões, minimizar riscos e muito mais.
Use grupos para gerenciar as permissões de usuários
A melhor prática para garantir acesso aos recursos de TI é para os administradores não atribuírem permissões diretamente aos usuários, mas sim atribuir aos grupos e inserir os usuários nos grupos apropriados. Esse método torna o provisionamento, reprovisionamento e o desprovisionamento mais simples e ajuda a garantir que os níveis de permissões estejam alinhados com o principio de privilégio mínimo. No caso do SharePoint, você pode atribuir as permissões a um grupo do site SharePoint ou um grupo de segurança do AD.
Um grupo que você deve evitar é o infame grupo “Everyone”, que inclui todos os usuários atuais na rede, incluindo convidados e usuários de outros domínios e este grupo não pode ser modificado.
Dependendo de qual plataforma do SharePoint você está usando, há outros grupos adicionais que devem ser evitados por conterem uma grande quantidade de usuários:
SharePoint Server:
- NT AUTHORITY\ Authenticated Users – Inclui todas as contas do AD de todos os domínios na floresta e logo não podem ser gerenciados a nível de domínio.
- DOMAIN\Domain Users – Inclui todas as contas de usuário
SharePoint Online:
- Everyone except external users – Inclui todos as contas de usuário internos da sua organização.
Minimiza o use de permissões a nível de item
Similarmente, você deve preferir atribuir permissões a contêineres de alto nível como bibliotecas ou pastas ao invés de arquivos ou itens específicos. Permissões a nível de item normalmente resultam em quebra de herança e podem ser esquecidas nas revisões de permissão, colocando a segurança do SharePoint em risco. Além disso, permissões a nível de item podem tornar o motor de busca mais lento, impactando a experiência do usuário. Funcionalidades do Microsoft 365 como gerenciamento de direitos de informação (IRM na sigla em inglês) podem reduzir a necessidade de permissões a nível de item.
Reveja os direitos de acesso regularmente
Outro passo vital em manter a segurança do MS SharePoint é revisar regularmente os direitos de acesso ao seu conteúdo, especialmente se os direitos tenham sido dados a grandes grupos anteriormente
Se você está usando um servidor SharePoint, você pode checar manualmente os níveis de permissões dados a um grupo, como mostrado abaixo:
Entretanto, isso não te dirá quais recursos de TI o grupo tem acesso. Para descobrir, você deve checar cada biblioteca, lista e arquivo individualmente, um processo entediante que é extremamente vulnerável a erro humano e que equipes ocupadas de TI não tem tempo de realizar.
Para automatizar o processo, você pode usar scripts de PowerShell de sites como http://sharepointchips.com. Por exemplo, o Script abaixo te dará uma lista completa de usuários e grupos para um determinado site de coleta:
$sites = Get-SPWebApplication http://WebApplicationURL | Get-SPSite -limit all "Site Collection`t Group`t User Name`t User Login" | out-file groupmembersreport.csv foreach($site in $sites) { foreach($sitegroup in $site.RootWeb.SiteGroups) { foreach($user in $sitegroup.Users) { "$($site.url) `t $($sitegroup.Name) `t $($user.displayname) `t $($user) " | out-file groupmembersreport.csv -append } } $site.Dispose() }
A saída é exportada para um arquivo .csv no diretório em que o comando foi executado. O relatório de exemplo abaixo destaca alguns grupos com acessos abertos que você pode descobrir que tem acesso ao seu conjunto de sites:
Você pode executar scripts para o SharePoint Online, como o script abaixo do http://www.sharepointdiary.com:
#Admin Center & Site collection URL, replace admin-URL and path to a location where the CSV report can be written to. $AdminCenterURL = "https://HOSTNAME-admin.sharepoint.com" $CSVPath = "C:\Users\UserName\Documents\GroupReport.csv" #Connect to SharePoint Online Connect-SPOService -url $AdminCenterURL -Credential (Get-Credential) $GroupsData = @() #Get all Site collections Get-SPOSite -Limit ALL | ForEach-Object { Write-Host -f Yellow "Processing Site Collection:"$_.URL #Get all Site Groups $SiteGroups = Get-SPOSiteGroup -Site $_.URL Write-host "Total Number of Groups Found:"$SiteGroups.Count ForEach($Group in $SiteGroups) { $GroupsData += New-Object PSObject -Property @{ 'Site URL' = $_.URL 'Group Name' = $Group.Title 'Permissions' = $Group.Roles -join "," 'Users' = $Group.Users -join "," } } } #Export the data to CSV $GroupsData | Export-Csv $CSVPath -NoTypeInformation Write-host -f Green "Groups Report Generated Successfully!"
Como o Netwrix pode ajudar
O Netwrix StealthAUDIT para SharePoint entrega funcionalidades robustas de segurança para o SharePoint requeridas para prevenir vazamentos de dados, impedir interrupções no negócio e satisfazer os requisitos de conformidade moderna. Ele entrega visibilidade completa nas permissões do SharePoint em todos os níveis, tanto on-premise quanto no SharePoint Online.