Skip to end of metadata
Go to start of metadata

Från och med version 5.1 har Content Studio försetts med ett ytterligare säkerhetsskikt: policies
Policies är globala regler som styr vissa grundfunktioner och beteenden i Content Studio – exempelvis uppladdning av filer eller skapa nya dokument. Policies gäller för hela webbplatsen.

Policies definieras inte i Content Studio admin – istället definieras de i en XML-baserad styrfil som heter Policies.policy som normalt ligger i katalogen C:\Program\Teknikhuset\Content Studio 5\CSServer\Security. Filen installeras av Content Studio installationsprogram.
I de flesta fall behöver inställningarna inte ändras, men det finns naturligtvis fall när policyfilen behöver ändras. OBS! Innan filen ändras bör det finnas en uppdaterad säkerhetskopia.

En policy innehåller en eller flera regler som definierar hur Content Studio ska fungera. Reglerna tolkas uppifrån och ned.
Till exempel finns en policy som definierar tillåtna filändelser för EPT-kategorier. Denna policy innehåller två regler som anger filändelserna .ept och .xml, samt att .ept ska vara standardinställningen. Denna policy avläses varje gång en redaktör försöker spara ett EPT-dokument eller ändra filändelsen.

Filen Policies.policy

Policies definieras i filen Policies.policy som ligger i katalogen Security I Content Studio programkatalog. Syntaxen I filen regleras av ett XML-schema Policies.xsd som ligger i samma katalog.

The policies are defined in the file Policies.policy, located in the Security subdirectory of the directory where the Content Studio service is installed. The syntax of this file is enforced by an xml schema in the Policies.xsd located in the same directory.

Nedanstående exempel visar en del av en policyfil som hanterar policyn "AllowedEPTFileExtensions" med två definierade regler:


<policies> <policy type="AllowedEPTFileExtensions" status="enabled" description="The policy defines the file extension that are allowed for EPT documents."> <rule key=".ept" value="" status="enabled" description="Allow EPT documents to be saved with the .ept file extension." /> <rule key=".xml" value="" status="enabled" description="Allow EPT documents to be saved with the .xml file extension." /> </policy> </policies>


Varje policy har tre attribut:

Attribut

Värde

Kommentar

type

Namnet på policyn. Obligatoriskt värde.

Endast policynamn definierade i XML-schemat är tillåtna.

status

Obligatoriskt värde. Följande värden är tillåtna:
Enabled
Disabled
none

Anger status för policyn
enabled
Regeln är tvingande
disabled
Regeln laddas in, men är avaktiverad
none
Regeln betraktas på samma sätt som om den inte fanns.

description

En beskrivning av policyn. Frivilligt värde.

I kommande versioner av Content Studio kommer ett API för hantering av policies att tillhandahållas. Beskrivningen kommer att användas som vägledning i dessa API:er.


Varje policy innehåller ett antal regler som var och en har tre attribut:

Attribut

Värde

Kommentar

key

Namnet (nyckeln) för regeln. Obligatorisk uppgift.

Namnet måste vara unikt inom policyn. Namnet är inte skifteskänsligt.

value

Ytterligare data för regeln. Obligatoriskt värde, men kan vara tomt.

Värdet kan innehålla ytterligare data för regeln, exempelvis XML eller regular expressions. Värdet används inte av någon policy i version 5.1 av Content Studio.

status

Obligatoriskt värde. Följande värden är tillåtna:
Enabled
Disabled
none

Anger status för policyn
enabled
Regeln är tvingande
disabled
Regeln laddas in, men är avaktiverad
none
Regeln betraktas på samma sätt som om den inte fanns.

description

En beskrivning av policyn. Frivilligt värde.

I kommande versioner av Content Studio kommer ett API för hantering av policies att tillhandahållas. Beskrivningen kommer att användas som vägledning i dessa API:er.



Policies i version 5.1

De nya policies som definieras i version 5.1 av Content Studio har tillkommit för att öka säkerheten relaterad till hantering av olika filtyper. Eftersom Content Studio kan användas för lagring av alla typer av filer, finns det risk för säkerhetsluckor som exempelvis uppladdning av filer innehållande skadlig programkod som kan exekveras på serversidan (.aspx, .asp, .ashx osv).

För att motverka detta har Content Studio flera lager av säkerhetsskikt: Behörigheter, rättigheter och policies. Exempelvis kan endast användare med rättigheten Skriva programkod ladda upp exekverbara filer enligt policyn.
Följande policies definieras och är tvingande:

Namn

Beskrivning

Ändringsbehov

Kommentar

RestrictedFileExtensions

Denna policy reglerar vilka filer som kan sparas eller skapas (laddas upp) av användare som saknar rättigheten Skriva programkod.
För användare som arbetar i Content Studio tillåts filer enligt policyn BypassInEditorFileExtensions.

Administratörer kan ändra denna regel för att tillåta besökare att ladda upp ytterligare filtyper.

Varning!
Om denna policy inte är aktiv kan webbplatsbesökare ladda upp filer som senare kan exekveras på serversidan och orsaka säkerhetsluckor eller förlorad data.

BypassInEditorFileExtensions

Denna policy är en sk. positive policy som definierar vilka filtyper som INTE ska begränsas för redaktörer som använder Content Studio. Policyn avser inte uppladdning av dokument som sker av webbplatsbesökare.
Visa filtyper, som exempevis .aspx, .ascx och .master, begränsas av uppladdningspolicyn, men redaktörer behöver kunna spara dessa dokumenttyper i Content Studio admin.
Filtyper som definieras av denna policy undantas från policyn RestrictedFileExtensions.

Administratörer kan ändra denna regel för att tillåta ytterligare filtyper i Content Studio admin.

Varning!
Om denna policy inte är aktiv kommer endast utvecklare att kunna spara filer som har filändelser som definieras i policyn
RestrictedFileExtensions.

AllowedEPTFileExtensions

Denna policy reglerar vilka filändelser som är tillåtna för EPT-dokument. Som standard tillåts filändelserna .ept och .xml.

Administratörer kan ytterliga höja säkerhetsinställningarna genom att endast tillåta filändelsen .xml.

Varning!
Om denna policy inte är aktiv kommer EPT-dokument inte att fungera.

AllowedEPTFileExtensionsInPreviewDraftMode

Från och med version 5.1 av Content Studio är den förvalda filändelsen för EPT-dokument .ept istället för .xml. Orsaken är att om filändelsen .xml används kan webbservern returnera hela innehållet i EPT-dokumentet i rent XML-format, dvs. utan användning av en presentationsmall. Detta kan vara en säkerhetsrisk eftersom EPT-dokumentet kan innehålla icke publik information. Genom att använda filändelsen .ept kommer Internet Information Server 6 (Windows Server 2003) och senare inte returnera någon information om ingen presentationsmall anges. Denna policy reglerar vilka filändelser som är tillåtna i förhandsgrankningsläget. Standardvärdet är .xml.


Varning!
Om denna policy inte är aktiv kommer EPT-dokument inte att kunna förhandsgranskas.

DefaultCategoryFileExtensions

Denna policy definierar förvald filändelse i nya kategorier där ingen filändelse angivits.
I normala fall anger utvecklare eller administratörer vilka filändelser (filtyper) som är tillåtna i en filkategori i Content Studio, men om inget anges kommer denna regel att träda i kraft.
Om denna policy inte är aktiverad kommer det inte att gå att skapa dokument I kategorier där filnamn inte angivits.

Denna policy bör endast ändras om det föreligger ett problem i programkod som utgår från en viss filändelse.

*Varning!*Om denna policy inte är aktiv kan problem uppstå i externa applikationer som skapar nya kategorier i Content Studio.

För att göra ändringar i Content Studio policies måste du förändra filen Policies.policy. Detta kan ske med en vanlig texteditor. Innan filen sparas bör du kontrollera att filen innehåller giltig XML. Felaktig policyfil eller felaktig information i filen kan generera problem i Content Studio programkärna.

Labels
  • None