[SharePoint] Cierra el ojete a tu SharePoint - Activa ViewPagesLockDown

Este post se lo dedico a toda la muchachada que desarrolla un portal público con acceso anónimo con SharePoint y le deja el ojete abierto sin saber las consecuencias de dicho acto.

¿Qué es dejar el ojete abierto a un portal público desarrollado sobre SharePoint?

Dejar el ojete abierto a tu SharePoint, es permitir que cualquier usuario anónimo que conozca un poco como funciona SharePoint tenga acceso a numerosas listas, páginas… que quizás solo los usuarios registrados o administradores (Sino has aplicado bien los permisos a nivel de lista…) deberían tener acceso, y esto se traduce a que estas exponiendo información confidencial con quién no debes.

¿Como accede un usuario anónimo a la información del back-end?

Lo primero es cazar aquellos SharePoint que tienen el ojete abierto. No hay que ser un hacker para hacer esto, basta con ir al todopoderoso Google y lanzar una consulta como por ejemplo “Vamos a buscar portales que tengan indexado el Ver todo el contenido del sitio”:

_layouts/viewlsts.aspx

Inmediatamente tenemos una lista extensa de páginas indexadas por Google, ya que estamos permitiendo el acceso anónimo a nuestro portal público a una serie de urls del back-end que no deberíamos y que solo usuarios registrados o administradores deberían tener acceso.

A continuación os muestro algunos ejemplos, sin nombrar, ni mostrar nombres y direcciones (Lo he borrado a ver si voy a ir a la carcel) de lo que te puedes encontrar por internet y que es público y os recuerdo que no he tenido que forzar nada de nada, esto está en Google:

Creo que una imagen vale más que mil palabras…

image

Otro más…

image

Y así podríamos llenar páginas y páginas…

¿Como se soluciona esto?

Existe una feature que ya venía con MOSS 2007 y que también está presente en SharePoint 2010 que se llama ViewPagesLockDown. Por defecto está feature está activada cuando creas un sitio de publicación y no entiendo porque la genta la deshabilita.

Para comprobar que la feature está activa a nivel de SiteCollection podemos lanzar este comando con powershell:

Get-SPFeature –site misitio

image

Sino está presente en el listado, es que está desactivada. Para activarla abrimos una ventana de porwershell como administradores y lanzamos estos comandos:

$viewpageslockdown = Get-SPFeature ViewPagesLockDown

Enable-SPFeature $viewpageslockdown –url misito

Pues ya sabéis, a cerrar el ojete de SharePoint Smile

Un saludo.

Published 27/2/2012 12:27 por Luis Ruiz Pavón
Archivado en: ,,,,
Comparte este post:
http://geeks.ms/blogs/lruiz/archive/2012/02/27/sharepoint-cierra-el-ojete-a-tu-sharepoint-activa-viewpageslockdown.aspx