O Microsoft SharePoint é uma das plataformas mais populares para colaboração e compartilhamento de conteúdo dentro das equipes internas e até mesmo com usuários externos. Logo, garantir a segurança do SharePoint é vital para ajudar a sua companhia com brechas de dados e interrupções do negócio. Descubra as melhores práticas para garantir a segurança no SharePoint, protegendo seus dados e evitando interrupções nos negócios. Saiba como gerenciar permissões, minimizar riscos e muito mais.
Use grupos para gerenciar as permissões de usuários
A melhor prática para garantir acesso aos recursos de TI é para os administradores não atribuírem permissões diretamente aos usuários, mas sim atribuir aos grupos e inserir os usuários nos grupos apropriados. Esse método torna o provisionamento, reprovisionamento e o desprovisionamento mais simples e ajuda a garantir que os níveis de permissões estejam alinhados com o principio de privilégio mínimo. No caso do SharePoint, você pode atribuir as permissões a um grupo do site SharePoint ou um grupo de segurança do AD.
Um grupo que você deve evitar é o infame grupo “Everyone”, que inclui todos os usuários atuais na rede, incluindo convidados e usuários de outros domínios e este grupo não pode ser modificado.
Dependendo de qual plataforma do SharePoint você está usando, há outros grupos adicionais que devem ser evitados por conterem uma grande quantidade de usuários:
SharePoint Server:
- NT AUTHORITY\ Authenticated Users – Inclui todas as contas do AD de todos os domínios na floresta e logo não podem ser gerenciados a nível de domínio.
- DOMAIN\Domain Users – Inclui todas as contas de usuário
SharePoint Online:
- Everyone except external users – Inclui todos as contas de usuário internos da sua organização.
Minimiza o use de permissões a nível de item
Similarmente, você deve preferir atribuir permissões a contêineres de alto nível como bibliotecas ou pastas ao invés de arquivos ou itens específicos. Permissões a nível de item normalmente resultam em quebra de herança e podem ser esquecidas nas revisões de permissão, colocando a segurança do SharePoint em risco. Além disso, permissões a nível de item podem tornar o motor de busca mais lento, impactando a experiência do usuário. Funcionalidades do Microsoft 365 como gerenciamento de direitos de informação (IRM na sigla em inglês) podem reduzir a necessidade de permissões a nível de item.
Reveja os direitos de acesso regularmente
Outro passo vital em manter a segurança do MS SharePoint é revisar regularmente os direitos de acesso ao seu conteúdo, especialmente se os direitos tenham sido dados a grandes grupos anteriormente
Se você está usando um servidor SharePoint, você pode checar manualmente os níveis de permissões dados a um grupo, como mostrado abaixo:
Entretanto, isso não te dirá quais recursos de TI o grupo tem acesso. Para descobrir, você deve checar cada biblioteca, lista e arquivo individualmente, um processo entediante que é extremamente vulnerável a erro humano e que equipes ocupadas de TI não tem tempo de realizar.
Para automatizar o processo, você pode usar scripts de PowerShell de sites como http://sharepointchips.com. Por exemplo, o Script abaixo te dará uma lista completa de usuários e grupos para um determinado site de coleta:
$sites = Get-SPWebApplication http://WebApplicationURL | Get-SPSite -limit all
"Site Collection`t Group`t User Name`t User Login" | out-file groupmembersreport.csv
foreach($site in $sites)
{
foreach($sitegroup in $site.RootWeb.SiteGroups)
{
foreach($user in $sitegroup.Users)
{
"$($site.url) `t $($sitegroup.Name) `t $($user.displayname) `t $($user) " | out-file groupmembersreport.csv -append
}
}
$site.Dispose()
}
A saída é exportada para um arquivo .csv no diretório em que o comando foi executado. O relatório de exemplo abaixo destaca alguns grupos com acessos abertos que você pode descobrir que tem acesso ao seu conjunto de sites:
Você pode executar scripts para o SharePoint Online, como o script abaixo do http://www.sharepointdiary.com:
#Admin Center & Site collection URL, replace admin-URL and path to a location where the CSV report can be written to.
$AdminCenterURL = "https://HOSTNAME-admin.sharepoint.com"
$CSVPath = "C:\Users\UserName\Documents\GroupReport.csv"
#Connect to SharePoint Online
Connect-SPOService -url $AdminCenterURL -Credential (Get-Credential)
$GroupsData = @()
#Get all Site collections
Get-SPOSite -Limit ALL | ForEach-Object {
Write-Host -f Yellow "Processing Site Collection:"$_.URL
#Get all Site Groups
$SiteGroups = Get-SPOSiteGroup -Site $_.URL
Write-host "Total Number of Groups Found:"$SiteGroups.Count
ForEach($Group in $SiteGroups)
{
$GroupsData += New-Object PSObject -Property @{
'Site URL' = $_.URL
'Group Name' = $Group.Title
'Permissions' = $Group.Roles -join ","
'Users' = $Group.Users -join ","
}
}
}
#Export the data to CSV
$GroupsData | Export-Csv $CSVPath -NoTypeInformation
Write-host -f Green "Groups Report Generated Successfully!"
Como o Netwrix pode ajudar
O Netwrix StealthAUDIT para SharePoint entrega funcionalidades robustas de segurança para o SharePoint requeridas para prevenir vazamentos de dados, impedir interrupções no negócio e satisfazer os requisitos de conformidade moderna. Ele entrega visibilidade completa nas permissões do SharePoint em todos os níveis, tanto on-premise quanto no SharePoint Online.
