使用安全最佳实践保护您的 SharePoint 网站内容

Microsoft SharePoint 是内部团队甚至外部用户之间协作和内容共享最流行的平台之一。因此，确保 SharePoint 安全对于帮助您的公司避免代价高昂的数据泄露和业务中断至关重要。本文详细介绍了保护 SharePoint 网站的关键最佳实践，无论您使用的是本地 SharePoint Server 还是 SharePoint Online 版本。

使用组来管理用户权限。

授予对任何 IT 资源的访问权限的最佳做法是，管理员不要直接向用户分配权限，而是向组分配权限，并授予每个用户在适当组中的成员资格。这种方法使配置、重新配置和取消配置变得更加简单，并有助于确保权限级别符合最小权限原则。对于 SharePoint，您可以向 SharePoint 网站组或 Active Directory 安全组分配权限。

您应该避免的一个组是臭名昭著的“Everyone”组 - 它包括所有当前网络用户，包括来宾和来自其他域的用户，并且其成员身份无法修改。

根据您使用的 SharePoint 平台，应避免使用其他组，因为它们包含大量用户：

SharePoint 服务器：

• NT AUTHORITY\Authenticated Users - 包括林中所有域的所有 AD 用户帐户，因此无法在域级别进行管理。
• 域\域用户 - 包括域中的所有用户帐户。

SharePoint Online：

• 除外部用户之外的所有人 — 包括您组织中的所有内部用户帐户。

尽量减少项目级权限的使用。

同样，您应该更愿意将权限分配给更高级别的容器（例如库或文件夹），而不是特定的文件或其他项目。项目级权限通常会导致继承中断，并且可能在权限审查中被忽略，从而使 SharePoint 的安全面临风险。此外，项目级权限可能会降低搜索引擎的速度，从而影响用户体验。信息权限管理 (IRM) 等 Microsoft 365 功能可以减少对项目级权限的需求。

使用单独的网站集进行外部共享。

防止用户无意中与外部用户共享敏感内容的一种好方法是将所有允许外部共享的网站隔离到一个网站集中。这样，您可以更轻松地控制可以和不可以外部共享的内容，还可以跟踪外部共享活动，以便您准确了解已共享的内容以及哪些外部方获得了访问权限。

控制匿名共享。

如果可能，请禁用匿名共享。

禁止通过匿名链接（也称为任何人链接）共享内容也是明智之举。这些链接使任何拥有该链接的人都可以查看甚至编辑内容 - 无需身份验证。

如果您允许匿名共享，可以降低风险。

如果您决定不想完全消除匿名链接的使用，您仍然可以通过仔细管理它们来降低用户无意中使用它们的风险。

首先，将默认链接设置从任何人更改为仅适用于组织内部用户的链接。这样，任何想要与未经身份验证的人共享内容的人都必须明确选择任何人选项。

此外，您还可以应用设置来控制通过链接允许的访问类型并指定到期日期。要指定这些设置，请打开 SharePoint 管理中心，然后在“策略”部分中单击共享：

对您存储在 SharePoint 中的数据进行分类。

大多数组织都了解对其数据进行分类的必要性，以便他们可以根据内部安全策略以及行业或政府指令控制敏感和机密内容的使用。数据丢失防护 (DLP) 技术可以识别敏感数据，然后根据您的政策阻止或允许对其进行访问。 DLP 集成到所有 Microsoft 365 服务中；特别是，SharePoint 使您能够检查数据的内容、元数据和位置，然后应用您创建的安全策略来保护它们，如下所示。要识别和保护本地 SharePoint 中的敏感内容，您需要第三方数据分类解决方案。

监视 SharePoint 的更改和访问事件。

SharePoint 是一个高度动态的环境，因此您不能简单地设置它然后就忘记它。相反，审核 SharePoint 中的活动至关重要，包括服务、服务器硬件、虚拟硬件和安全设置的更改，以便您可以快速发现可能导致违规和业务中断的问题。为了确保最佳的威胁检测、调查和响应，您应该使用可靠的第三方 SharePoint 监控工具来补充内置功能。

定期审查访问权限。

维护 MS SharePoint 安全的另一个重要步骤是定期检查对内容的访问权限，尤其是授予前面详述的大型组的权限。

如果您使用的是SharePoint Server，您可以手动检查授予组的权限级别，如下所示：

但是，这不会告诉您该组有权访问哪些 IT 资源。为了找到答案，您必须单独检查每个库、列表和文件——这是一个繁琐的过程，极易出现人为错误，而且忙碌的 IT 团队很少有时间执行。

要自动化该过程，您可以使用 http://sharepointchips.com 等网站上的 PowerShell 脚本。例如，下面显示的脚本将提供给定网站集的所有用户和组的完整列表：

$sites = Get-SPWebApplication http://WebApplicationURL | Get-SPSite -limit all
"Site Collection`t Group`t User Name`t User Login" | out-file groupmembersreport.csv
foreach($site in $sites)
{
	foreach($sitegroup in $site.RootWeb.SiteGroups)
        {
	  foreach($user in $sitegroup.Users)
	 	{	
		"$($site.url) `t $($sitegroup.Name) `t $($user.displayname) `t $($user) " | out-file groupmembersreport.csv -append
		}
          }
$site.Dispose()
}

输出将导出到运行该命令的目录中的 CSV 文件。下面的示例报告重点介绍了一些您可能会发现有权访问您的网站集的开放访问组：

您还可以运行 SharePoint Online 的 PowerShell 脚本，例如来自 http://www.sharepointdiary.com 的以下脚本：

#Admin Center & Site collection URL, replace admin-URL and path to a location where the CSV report can be written to.
$AdminCenterURL = "https://HOSTNAME-admin.sharepoint.com"
$CSVPath = "C:\Users\UserName\Documents\GroupReport.csv"
#Connect to SharePoint Online
Connect-SPOService -url $AdminCenterURL -Credential (Get-Credential)
$GroupsData = @()
#Get all Site collections
Get-SPOSite -Limit ALL | ForEach-Object {
    Write-Host -f Yellow "Processing Site Collection:"$_.URL
    #Get all Site Groups
    $SiteGroups = Get-SPOSiteGroup -Site $_.URL
    Write-host "Total Number of Groups Found:"$SiteGroups.Count
    ForEach($Group in $SiteGroups)
    {
        $GroupsData += New-Object PSObject -Property @{
            'Site URL' = $_.URL
            'Group Name' = $Group.Title
            'Permissions' = $Group.Roles -join ","
            'Users' =  $Group.Users -join ","
        }
    }
}
#Export the data to CSV
$GroupsData | Export-Csv $CSVPath -NoTypeInformation
 
Write-host -f Green "Groups Report Generated Successfully!"

Netwrix 如何提供帮助

Netwrix StealthAUDIT for SharePoint 提供了防止数据泄露、避免业务中断和满足现代合规性要求所需的强大 SharePoint 安全功能。它可以在本地 SharePoint 和 SharePoint Online 中提供对各个级别的 SharePoint 权限的完整可见性。