Administrer les autorisations SharePoint

Les autorisations SharePoint traitent un sujet vaste, où il est aisé de s’y perdre. En plus des aspects sécuritaires, l’enjeu de la sécurité des accès dans SharePoint est son administrabilité à long terme.

En effet, mettre en place des droits et des permissions dans SharePoint est simple et même rapide. Notamment, la difficulté vient avec le temps : évolution des sites (contenu, structure), mutation du personnel, changement de fonctions, etc.

Cette difficulté s’accroît aussi avec, globalement, la taille de l’entreprise et le nombre de documents à gérer, la dispersion géographique du personnel, le nombre d’utilisateurs, les fonctionnalités activées et l’usage.

Autorisations SharePoint
Héritage des autorisations SharePoint rompu

Il n’est pas rare qu’un audit de sécurité révèle des brèches importantes. Celles-ci sont souvent dues à une méconnaissance du fonctionnement des mécanismes de sécurité dans SharePoint et notamment du fonctionnement des autorisations SharePoint.

Administrateurs de la ferme

Lors de l’installation, SharePoint Server crée au niveau de l’administration centrale le groupe SharePoint Administrateurs de la batterie (« Farm Administrators »).

Ce groupe a un contrôle total sur les serveurs de la ferme. Il sert à l’administration technique de SharePoint : Gérer les serveurs, Gérer les services, Gérer les fonctionnalités des batteries de serveurs, Gérer les applications Web, Créer des collections de sites, Gérer les applications de service, Gérer les bases de données de contenu, Sauvegarder / restaurer, Analyser le fonctionnement, etc.

Par défaut, les membres de ce groupe n’ont pas accès aux collections de sites. Autrement dit, un administrateur de la ferme peut créer une collection de sites mais il ne peut pas la gérer, à moins qu’il se soit désigné comme administrateur de la collection de sites.

Microsoft a donc bien distingué l’administration technique de l’administration fonctionnelle.

Impacts sur l’administrateur de la collection de sites

Même si l’administrateur de la ferme n’est pas administrateur de la collection de sites, il peut décider des niveaux d’autorisations administrables par l’administrateur de la collection de sites. En particulier, l’administrateur de la ferme peut restreindre la liste des autorisations SharePoint de l’application web qui porte les collections de sites.

Ainsi, seuls un nombre restreint d’autorisations seront accordés aux utilisateurs des collections de site de l’application web. Comme ces restrictions s’appliquent aussi aux administrateurs de la collection de sites, il est plus efficace que le compte d’administration de la ferme soit différent du compte d’administration de la collection de site.

Par exemple, l’administrateur de la ferme peut désactiver l’autorisation de supprimer des éléments. Dans ce cas, l’administrateur de la collection de sites et les utilisateurs ne pourront plus supprimer un élément d’une liste ou d’une bibliothèque. En revanche, ils pourront toujours à ajouter ou modifier les éléments sous réserve de disposer des droits ad’hoc.

En fonction de la zone de provenance d’un utilisateur (« intranet », « internet », etc.), l’administrateur de la ferme peut lui attribuer des autorisations différentes grâce à une stratégie de sécurité sur l’application web. La stratégie de sécurité concerne les demandes effectuées à travers la zone spécifiée.

Par exemple, si Alice se connecte en interne (zone « par défaut »), elle dispose d’un accès de collaborateur. Par contre, si elle se connecte via Internet, elle ne dispose plus que d’un accès en lecture seule.

Les permissions issues d’une stratégie de sécurité l’emportent toujours sur les autres autorisations SharePoint.

Administrateurs de la collection de sites

Lors de la création d’une collection de site, l’administrateur de la ferme doit obligatoirement désigner au moins un administrateur de la collection.

Bien qu’au moment de créer une collection de sites, l’interface de l’Administration centrale de SharePoint ne propose la saisie que de deux administrateurs de la collection (« principal », « secondaire »), il sera possible par la suite d’en rajouter d’autres.

De plus, il n’existe pas de différences entre un administrateur Principal et Secondaire. Il s’agit d’une simple aide pédagogique.

L’administrateur d’une collection de sites dispose du contrôle total sur tous les sites web de la collection de sites. L’inverse n’est pas vrai, si vous disposez du contrôle total « uniquement », cela ne fait pas de vous un administrateur de la collection de sites.

Limitations des droits

Dans ce cas, vous ne pourrez pas :

  • modifier les administrateurs de la collection de site,
  • avoir accès aux paramètres de la collection de sites: Paramètres de recherche, Étendues de recherche, Mots clés de recherche, Mots clés FAST Search, Promotion et rétrogradation du site FAST Search, Contexte utilisateur FAST Search, Corbeille, Fonctionnalités de la collection de sites, Hiérarchie des sites, Navigation dans la collection de sites, Paramètres d’audit des collections de sites, Rapports du journal d’audit, Connexion au site portail, Stratégies de collections de sites, Profils de cache de la collection de sites, Cache d’objets de la collection de sites, Cache de sortie de la collection de sites, Publication de type de contenu, Variantes, Étiquettes de variante, Colonnes à traduire, Journaux de variante, Emplacements de navigateur de contenu suggérés, Paramètres de SharePoint Designer, Mise à niveau visuelle, Paramètres de l’aide,
  • avoir accès à certains paramètres de site: Flux de travail, Paramètres d’étendue des liens connexes, Contenu et structure, Journaux Contenu et structure.

L’administrateur de la collection de sites gère aussi les demandes d’accès à la collection de sites.

Autorisations SharePoint

En matière d’autorisations SharePoint, il existe deux notions qu’il ne faut pas confondre:

  • Les autorisations
  • Les niveaux d’autorisations

Une autorisation est la particule la plus élémentaire en matière de droits.

Exemples d’autorisations de site : Gérer les autorisations, Créer des sous-sites, Ajouter et personnaliser des pages, Appliquer des thèmes, Appliquer des feuilles de styles, Gérer les alertes, Utiliser les interfaces WebDav, Etc.

Exemples d’autorisations pour une liste : Gérer les listes, Remplacer l’extraction, Ajouter des éléments, Modifier des éléments, Supprimer des éléments, Afficher des éléments, Approuver des éléments, Ouvrir des éléments, Afficher les versions, Supprimer les versions, Créer des alertes, Etc.

Toutefois, et malgré ce que l’interface graphique présente, vous n’attribuez pas directement les autorisations SharePoint. En effet, dans SharePoint, vous accordez les autorisations à travers les niveaux d’autorisation.

Niveaux d’autorisations

Un niveau d’autorisation est une combinaison d’autorisations SharePoint.

Vous trouverez ci-dessous les niveaux d’autorisation fournis par défaut, avec une illustration de qu’il est possible de faire:

  • Contrôle total : gérer les droits,
  • Conception : modifier les pages,
  • Collaboration : déposer un document dans une bibliothèque,
  • Lecture : lire un document sans pouvoir l’enregistrer dans la bibliothèque d’origine,
  • Vue seule : afficher la liste des documents sans pouvoir les lire.

Dans le détail, un niveau d’autorisation donné correspond à une liste précise d’autorisations accordées. Par exemple, il existe un niveau d’autorisation par défaut intitulé Lecture. Pour une liste, il correspond aux autorisations : afficher les éléments, ouvrir les éléments, afficher les versions, créer des alertes et afficher les pages des applications. Le niveau d’autorisation Vue seule a les mêmes autorisations que Lecture sauf ouvrir les éléments.

Vous pouvez personnaliser les niveaux d’autorisation par défaut. Vous pouvez modifier les autorisations rattachées au niveau ou créer des niveaux supplémentaires.

Bonnes pratiques

En termes de bonnes pratiques, je vous recommande vivement de ne pas modifier les autorisations accordées aux niveaux d’autorisation par défaut. Si besoin est, créez vos propres niveaux d’autorisations. Ce cas de figure se présente dans les organisations importantes.

Un niveau d’autorisation peut être accordé à un compte utilisateur. Ce n’est pas recommandé. Il est préférable de rattacher cet utilisateur à un groupe puis d’accorder un niveau d’autorisation au groupe.

Reconnaissez que vous accordez un droit à une fonction ou un rôle de l’utilisateur dans l’organisation, et non à un utilisateur qui changera de fonction, un jour ou l’autre.

La question qui va surgir concerne l’utilisation de groupes SharePoint ou ceux de l’annuaire, comme Active Directory. Avant de donner des éléments de réponse à cette question épineuse, examinons le fonctionnement des groupes dans SharePoint.

Groupes SharePoint

Une collection de site SharePoint comprend au moins 4 groupes par défaut (entre crochets figure le niveau d’autorisations accordé):

  • Propriétaires [Contrôle total]
  • Membres [Collaboration]
  • Visiteurs [Lecture]
  • Visualiseurs [Vue seule]

Selon les fonctionnalités activées sur votre collection de site, vous pouvez obtenir d’autres groupes: Approbateurs, Concepteurs, etc.

Lorsqu’un nouvel utilisateur est ajouté à un groupe, il hérite automatiquement des autorisations accordées au groupe.

Tous ces groupes se personnalisent. Vous pouvez modifier les niveaux d’autorisation attachés aux groupes par défaut ou créer des groupes supplémentaires.

Les groupes SharePoint ont une particularité un peu perturbante au départ. Lorsque vous créez un groupe, il est disponible pour tous les sites de la collection de sites, quel que soit l’endroit à partir duquel vous le créez. Même si vous créez le groupe dans un site adjacent ou dans une sous-arborescence, il est visible par tous les sites. Même si dans le site où vous créez le groupe, l’héritage est rompu.

Une fois que ce comportement est assimilé, il reste à définir les critères qui président au choix d’un groupe SharePoint ou d’un groupe Active Directory (AD).

Liens entre l’AD et les groupes SharePoint

Souvent les administrateurs de l’AD ne veulent pas que les applications viennent « polluer » l’AD. Autrement dit, ils ne veulent pas créer de groupes spécifiques dans l’AD pour SharePoint.  Dans certaines organisations, la situation est bloquée et les utilisateurs n’ont pas d’autres choix que d’utiliser des groupes SharePoint.

Pourtant la gestion des droits à l’aide de groupes AD présente un intérêt certain et à ma préférence.

Le rôle de l’AD est de définir un référentiel unique et commun des identités de l’entreprise. Hors, l’utilisation des groupes SharePoint entraine une surcharge administrative supplémentaire qui est parfois importante. Notamment, si cette administration est déléguée aux utilisateurs. Dans ce cas, non seulement il n’y a pas d’automatismes, mais les risques liées à la sécurité d’accès sont élevés car il n’y a pas de contrôles à posteriori.

En outre, si vous utilisez des groupes AD, vous pourrez nativement utiliser l’outil de requête de l’AD qui permet de faire des recherches personnalisées avec la norme Lightweight Directory Access Protocol (LDAP). De plus, ces recherches sont facilitées grâce à l’assistant intégré.

Toutes ces raisons militent pour privilégier l’utilisation des groupes de l’AD.

Sécurité des rôles

La sécurité dans SharePoint n’est pas monolithique. Au contraire, vous accordez un droit (un niveau d’autorisations) à un utilisateur (à travers un groupe) sur un objet.

Les objets sécurisables sont:

  • Site,
  • Liste ou bibliothèque,
  • Dossier d’une bibliothèque
  • Elément d’une liste ou document d’une bibliothèque.

Autrement dit, un utilisateur peut avoir des droits différents sur un même site.

Par exemple, Alice peut avoir le droit d’accéder en lecture à un site. Sur le même site, elle pourra accéder en mise à jour sur la bibliothèque ‘Documents partagés’. Notez que c’est possible malgré le fait qu’un droit de mise à jour est « plus important » qu’un droit de lecture.

C’est ce qu’on appelle la sécurité des rôles. SharePoint utilise la sécurité des rôles pour vérifier la permission d’un groupe ou d’un utilisateur par rapport à un objet.

La liste des objets sécurisables est limitée.

En particulier, il n’est pas possible actuellement de donner des droits différents sur une partie d’une page SharePoint, ni même sur un composant de WebPart.

Les audiences seront traitées dans un autre article mais, en aucun cas, ils ne sont un élément pour gérer les droits.

Héritage

Par défaut, un nouveau site dans une collection de site hérite des autorisations du site parent. Un sous-site d’un site hérite donc des droits du site parent.

Les objets héritent aussi par défaut des sécurités de l’objet parent. Par exemple, une liste par rapport à son site.

Tant que l’héritage n’est pas rompu, il maintient un lien dynamique avec les droits du parent direct. Si l’héritage est cassé, les droits du parent sont recopiés sur l’enfant sans lien dynamique. Les droits de l’enfant deviennent alors modifiables.

Cela peut être aussi une source de confusion au début. Si vous n’y prenez pas garde, vous risquez de modifier les droits du parent. En effet, avant de modifier les droits d’un enfant, il faut casser l’héritage. Si vous oubliez de rompre cet héritage, vous modifierez les droits du parent.

La bonne nouvelle c’est qu’un héritage rompu peut être rétabli à chaque instant. Dans ce cas, tous les droits modifiés de l’enfant sont perdus.

Autorisations des listes ou des bibliothèques

Tout comme les droits sur les sites, vous avez la possibilité de restreindre l’accès à des listes ou des bibliothèques.

Pour la gestion des droits d’une liste, affichez les paramètres de celle-ci. Dans les paramètres, cliquez sur « Autorisations pour le composant : liste ».

Pour la gestion des droits d’une bibliothèque, affichez les paramètres de celle-ci. Dans les paramètres, cliquez sur « Autorisations pour le composant : bibliothèque de documents ».

Si vous voulez aller plus loin, dans une bibliothèque ou une liste, vous avez la possibilité de donner des droits différents à des objets qui en font partie. Par exemple, donner des droits à un fichier Word d’une bibliothèque de documents.

Droits sur les documents

Pour donner des autorisations SharePoint sur n’importe quel document, afficher le contenu de la liste ou de la bibliothèque et cliquez sur le menu d’édition du document pour en afficher le menu contextuel.

Bonnes pratiques de sécurité

Dans la pratique, l’expérience m’a montré que la gestion des autorisations SharePoint est structurante sur le design des sites.

Ce qui signifie que vous devez tenir compte du modèle de droits SharePoint pour votre conception: si, par exemple, vous aviez prévu de donner des droits différents au milieu d’une page.

Par ailleurs, en termes de méthode, il n’est évidemment pas possible de donner un algorithme systématique pour réussir la mise en oeuvre de la sécurité des accès dans SharePoint.

D’autant que la sécurité des accès n’est qu’une partie de la sécurité globale :

Enfin, vous trouverez ci-dessous quelques pistes pour mieux gérer les autorisations SharePoint.

Autres bonnes pratiques de sécurité

Pour chaque site: 1) Listez les futurs utilisateurs par fonction dans chaque service ; 2) Distinguez les utilisateurs selon leurs droits : auteurs, lecteurs, autres.

Pour ‘Mon Site’: Utilisez des groupes de sécurité pour gérer les autorisations SharePoint des sites Mon site.

Niveaux d’autorisations: 1) Créez des niveaux supplémentaires afin de tenir compte des dérogations ; 2) Puis, définissez un niveau d’autorisation par combinaison des autorisations.

Ciblage d’audiences: 1) L’audience n’est pas un droit ; 2) Notamment, utilisez les audiences pour masquer un objet (WebPart, etc.).

Utilisateurs: 1) Ne donnez pas des droits à un utilisateur ; 2) Ensuite, donnez un droit à un groupe de l’AD ou à un groupe SharePoint.

Groupes: 1) Créez des groupes pour factoriser les droits ; 2) Puis, assignez un niveau d’autorisation aux groupes ; 3) Ensuite, attachez le groupe SharePoint à un des quatre objets à sécuriser: Site, Liste / Bibliothèque, Dossier, Elément / Document

Pour aller plus loin

 

Les informations ci-dessous sont issues de la documentation Microsoft.

Autorisations SharePoint des listes ou bibliothèques

  • Gérer les listes permet de créer et supprimer des listes, ajouter des colonnes à une liste ou en supprimer, et ajouter des affichages publics à une liste ou en supprimer.
  • Remplacer l’extraction permet d’ignorer ou d’archiver un document qui est extrait pour un autre utilisateur.
  • Ajouter des éléments des éléments à des listes, et des documents à des bibliothèques de documents.
  • Modifier des éléments dans des listes, des documents dans des bibliothèques de documents, et personnaliser des pages de composants WebPart dans des bibliothèques de documents.
  • Supprimer des éléments d’une liste, et des documents d’une bibliothèque de documents.
  • Afficher les éléments dans des listes et des documents dans des bibliothèques de documents.
  • Approuver des éléments d’une version secondaire d’un élément de liste ou d’un document.
  • Ouvrir les éléments permet d’afficher la source des documents avec des gestionnaires de fichiers côté serveur.
  • Afficher les versions antérieures d’un élément de liste ou d’un document.
  • Supprimer les versions antérieures d’un élément de liste ou d’un document.
  • Créer des alertes.
  • Afficher les pages des applications permet d’afficher les formulaires, les affichages et les pages des applications.

Autorisations SharePoint des sites

  • Gérer les autorisations permet de créer et modifier des niveaux d’autorisation sur le site, et affecter des autorisations à des utilisateurs et à des groupes.
  • Afficher les données Web Analytics permet d’afficher les rapports sur l’utilisation du site.
  • Créer des sous-sites tels que des sites d’équipes, des sites Espace de travail de réunion et Espace de travail de document.
  • Gérer le site Web permet de donner la capacité d’effectuer toutes les tâches d’administration sur un site et de gérer le contenu.
  • Ajouter et personnaliser des pages permet d’ajouter, modifier ou supprimer des pages HTML ou de composants WebPart.
  • Appliquer des thèmes et des bordures à l’ensemble du site.
  • Appliquer des feuilles de style (fichier .CSS) au site.
  • Créer des groupes d’utilisateurs pouvant être utilisés partout dans la collection de sites.
  • Parcourir les répertoires permet d’énumérer les fichiers et les dossiers d’un site Web à l’aide des interfaces SharePoint Designer et Web DAV.
  • Utiliser la création de sites libre-service permet de créer un site à l’aide de la fonctionnalité de création de sites libre-service.
  • Afficher les pages d’un site.
  • Énumérer les autorisations pour un site : liste, dossier, élément.
  • Parcourir les informations utilisateur permet d’afficher les informations sur les utilisateurs du site.
  • Gérer les alertes pour tous les utilisateurs d’un site.
  • Utiliser les interfaces distantes permet d’utiliser l’interface SOAP, Web DAV, SharePoint Designer ou du modèle objet client pour accéder au site.
  • Utiliser les fonctionnalités d’intégration des clients permet de lancer des applications clientes. Sans ce droit, l’utilisateur doit utiliser les documents en local et télécharger ses modifications.
  • Ouvrir autorise les utilisateurs à ouvrir un site, une liste ou un dossier pour accéder aux éléments de ce conteneur.
  • Modifier les informations personnelles de l’utilisateur autorise un utilisateur à modifier ses informations d’utilisateur, notamment ajouter une photo.

Autorisations SharePoint personnelles

  • Gérer les affichages personnels permet de créer, modifier et supprimer des affichages personnels de listes.
  • Ajouter/Supprimer des composants WebPart personnels sur une page de composants WebPart.
  • Mettre à jour des composants WebPart personnels pour qu’ils affichent des informations personnalisées.

Outils de supervision Windows

Plusieurs phénomènes expliquent l’engouement actuel pour les Outils de supervision Windows comme System Center. En effet, la baisse drastique du prix du matériel informatique a remis d’actualité l’achat de postes de travail au détriment des terminaux passifs.

Les terminaux passifs utilisés pour les sessions virtuelles avec Terminal Server, Citrix, etc. correspondent à une architecture centralisée. L’utilisation de PC entraîne des besoins de supervision centralisée d’une architecture décentralisée. Notamment le besoin d’outils de supervision Windows est de plus en plus fort.

Par ailleurs, les responsables informatique veulent avoir une vue orientée services, et non « machines ». Ils veulent donc surveiller les événements, les alertes, la disponibilité et les performances des services. En cas d’anomalie ou d’alertes, il faut pouvoir exécuter simplement des tâches (relancer un service, par exemple).

Outils de supervision Windows
(image : Svilen Milev)

Ce besoin de qualité de services requiert une simplicité maximum. L’objectif étant d’automatiser efficacement la supervision grâce à aux Outils de supervision Windows.

SCOM: Une véritable valeur ajoutée

Avec System Center Operations Manager R2 (SCOM), ou System Center Essentials (SCE), Microsoft apporte plus qu’un produit ou qu’une technologie. Concrètement, il donne son savoir-faire à travers les « managements packs ».

Plutôt que de paramétrer soi-même les produits, avec des tâtonnements qui peuvent se révéler coûteux, vous télécharger gratuitement un « pack d’administration dédié » pour administrer vos Contrôleurs de Domaine, ou vos serveurs SQL Server ou Exchange Server, etc.

Autrement dit, vous avez à disposition le savoir-faire de Microsoft en matière de supervision de services, de serveurs et de postes de travail.

System Center Operations Manager R2 s’intégre dans les environnements IBM tivoli et HP OpenView. Il prend aussi en charge les systèmes UNIX et Linux.

System Center Essentials est un produit hybride qui répond aussi bien aux besoins d’inventaires et de télédistribution comme peut l’être System Center Configuration Manager.

Le rôle de System Center Essential est l’administration du parc de serveurs et postes de travail : inventaire matériel et logiciel, gestion des mises à jour, déploiement d’applications.

Il est destiné aux PME.

Inventaire et télédistribution avec SCCM

De nombreuses sociétés se sont lancées dans la création de leur outils « maison » pour assurer la télédistribution de logiciels. En effet, l’offre de l’époque de Microsoft a mis longtemps à évoluer de Systems Management Server (SMS 2.0) vers Systems Management Server 2003 (SMS 2003) puis System Center Configuration Manager (SCCM).

L’apparition de System Center Configuration Manager R2 a remis en cause les solutions « maison ». Sans vouloir être dithyrambique, il faut reconnaître que le produit a bien évolué.

Gérant les postes mobiles ou distants, la conformité des configurations, le déploiement des applications et des systèmes d’exploitation, Office, Vista, Windows Server 2008, les serveurs et les périphériques, System Center Configuration Manager R2 est une réelle avancée pour optimiser et simplifier la gestion opérationnelle de ces environnements.

La version R2 prend en charge la virtualisation d’application, l’intégration des services de reporting SQL et l’intégration avec Forefront Client Security.

Autres outils de supervision Windows comme SCDPM

System Center Data Protection Manager (SCDPM) permet la protection en mode quasi-continu des applications Microsoft. Vous l’utilisez avec Office, SharePoint, Exchange, SQL server et des environnements virtuels.

Les nouveautés de DPM SP1 concerne le support de SQL server 2008 et la protection des environnements Hyper-V.

Pour gérer les environnements de virtualisation, il existe aussi des solutions dédiées comme le System Center Virtual Machine Manager (SCVMM).

L’indispensable couteau-suisse : SCCP

La robustesse d’un système repose aussi sur la capacité de l’administrateur à planifier correctement les déploiements..

Notamment, Microsoft System Center Capacity Planner (SCCP) permet de dimensionner et de planifier des déploiements de Microsoft Exchange, Microsoft System Center Operations Manager, Microsoft SharePoint Server.

Cet outil gratuit permet de bâtir des scénarios pour simuler un déploiement. Par exemple, quelles seraient les conséquences sur l’architecture du système d’information en changeant tel paramètre : nombre d’utilisateurs, profils des utilisateurs, etc.

Suite à parcourir

Enfin, lisez aussi l’article sur les outils de sécurité Microsoft.

Outils de sécurité Microsoft

Dans cet article vous allez découvrir les outils de sécurité Microsoft indispensables à votre sécurité informatique. Vous disposez probablement de certains d’entre-eux. Pensez aussi à télécharger et installer pour votre version Windows les outils suivants.

Découvrez les outils de sécurité Microsoft
Découvrez les outils de sécurité Microsoft

Les outils de sécurité Microsoft

Bien évidemment, les outils de sécurité Microsoft sont utiles et nécessaires. Toutefois, vous pouvez aussi comprendre le monde de la cybersécurité et des attaques. Pour cela, lisez ou parcourez le rapport Global Security Intelligence Report de Microsoft. Prenez la version anglaise, la version française n’est qu’un résumé.

Office 365 – Advanced Email Threat Protection protège les réseaux des entreprises. En effet, il protège des dizaines de milliers de clients de l’entreprise à travers le monde. Notamment, il aide à empêcher les logiciels malveillants de se propager par courriel.

Découvrez comment vous pouvez bénéficier d’une protection de vos informations avec Microsoft Security.  Une stratégie de cybersécurité complète et évolutive est proposée pour votre entreprise.

Microsoft Safety Scanner est un outil de sécurité gratuit. Il fournit une analyse sur demande et aide à supprimer les logiciels malveillants. il ne remplace pas un antivirus à jour. En effet, il n’offre pas de protection en temps réel. Autrement dit, il ne peut pas empêcher un ordinateur de devenir infecté. Par contre, il peut le désinfecter.

Microsoft Security Essentials est un produit de protection en temps réel gratuit. Cet outil combine un antivirus et un scanner antispyware avec anti-phishing et la protection d’un pare-feu .

Le règlement général de la Protection des données (RGPD) s’applique à partir de début mai 2018. Votre entreprise est-elle prête pour appliquer les mesures nécessaires à la protection des données ?

Outlook.com permet de disposer d’une boîte aux lettres gratuite. Cette boîte aux lettres dispose de fonctionnalités anti-phishing et aniti-spam.

SmartScreen Filter, une fonctionnalité d’Internet Explorer, à partir de la version 8. Elle offre aux utilisateurs une protection contre les sites de phishing et les sites qui hébergent des logiciels malveillants.

Windows Defender dans Windows fournit une analyse en temps réel de Windows. S’il détecte un logiciel malveillant, il cherche à le supprimer.

Un outil qui fonctionne en mode offline

Windows Defender Offline est un outil téléchargeable. Vous pouvez l’utiliser pour créer un CD bootable, un DVD ou un lecteur flash USB bootable. Ensuite, il servira à analyser un ordinateur des menaces de codes malveillants sans que l’ordinateur s’exécute.

Toutefois, il n’offre pas de protection en temps réel car ce n’est pas son rôle. Son but est de désinfecter l’ordinateur.

Suite à parcourir

Pour compléter ce panorama d’outils de sécurité Microsoft, lisez l’article technique sur Microsoft Attack Surface Analyzer.

Enfin, pour assurer une surveillance accrue de l’environnement Microsoft, sachez manipuler les outils de supervision Windows.

Métadonnées SharePoint pour la sécurité

Cet article explique le rôle et l’intérêt des métadonnées SharePoint pour la sécurité. En plus d’utiliser les autorisations SharePoint pour sécuriser les accès aux sites, vous pouvez éventuellement vous appuyez sur les métadonnées.

Une organisation rencontrait un problème de diffusion de documents assez classique. Cette organisation assure le rôle de diffuseur de contenu auprès d’autres organismes officiels, via un site extranet SharePoint. Une fois qu’un utilisateur d’un organisme étranger s’est identifié, il accède à ses documents.

Les métadonnées sont souvent utilisées pour faciliter la recherche ou pour catégoriser des documents afin d’opérer des filtres.

Un autre usage méconnu concerne la sécurité. Notamment, et sous certaines conditions, vous pouvez utiliser les métadonnées SharePoint pour la sécurité.

métadonnées SharePoint pour la sécurité
Modèle de sécurité natif de SharePoint

Modèle de sécurité standard de SharePoint

En effet, l’organisation mettait à disposition des documents qui sont communs à certains organismes et qui ne doivent pas être accessibles à tous. Afin de répondre à ce problème, le responsable de l’organisation avait décidé de s’appuyer sur le modèle de sécurité standard de SharePoint.

Pour cela, il avait mis en place différentes bibliothèques SharePoint pour les différents utilisateurs avec des droits spécifiques.

La gestion de plusieurs bibliothèques de documents devenait complexe et la maintenance des autorisations de niveau était difficile. De plus, ce fonctionnement a entraîné la duplication volontaire de certains documents dans plusieurs bibliothèques pour résoudre les cas complexes.

Les métadonnées SharePoint pour la sécurité

Cette solution étant inacceptable, le responsable a proposé un nouveau modèle de sécurité. Ce nouveau modèle s’appuie sur l’utilisation de métadonnées.

En utilisant ce nouveau modèle, il peut déposer de nouveaux documents dans SharePoint avec des métadonnées qui spécifie simplement les organismes qui peuvent y accéder: les niveaux de permissions accordés au document sont déduits des métadonnées des documents. Ce qui permet de réduire aussi le nombre de bibliothèque de documents à gérer.

Dans de nombreux cas, les métadonnées du document permettent d’indiquer qui peut y avoir accès. Toutefois, si vous avez l’intention d’utiliser les métadonnées pour la sécurité, vous devez planifier avec soin le type de métadonnées à collecter.

Nouveau modèle de sécurité

A ce jour, ce modèle de sécurité n’étant pas natif, vous devez utiliser un logiciel tiers.

En particulier, l’utilisation des métadonnées SharePoint pour la sécurité nécessite de s’appuyer sur un logiciel comme celui proposé par la société Titus.

Dans ce cas, vous pouvez utiliser les métadonnées SharePoint pour la sécurité en complément des autorisations existantes. Vous pouvez aussi l’utiliser pour venir se substituer au modèle de sécurité natif de SharePoint.