Sicherheitsaspekte beim Zulassen von benutzerdefinierten Skripts

Wenn Sie Benutzern das Anpassen von Websites und Seiten in SharePoint durch das Einfügen von Skripts gestatten, kann ihnen das die Flexibilität verleihen, verschiedene Bedürfnisse in Ihrer Organisation zu berücksichtigen. Sie sollten sich jedoch der Sicherheitsrisiken von benutzerdefinierten Skripts bewusst sein. Wenn Sie Benutzern das Ausführen von benutzerdefinierten Skripts erlauben, können Sie Governance nicht mehr erzwingen, die Möglichkeiten von eingefügtem Code nicht mehr einschränken, bestimmte Codeteile nicht mehr blockieren oder jeglichen bereitgestellten benutzerdefinierten Code sperren. Statt benutzerdefinierte Skripts zuzulassen, empfehlen wir die Verwendung des SharePoint-Frameworks. Weitere Informationen finden Sie unter Eine Alternative zu benutzerdefinierten Skripts.

Was benutzerdefinierte Skripts bewirken können

Jedes Skript, das auf einer SharePoint-Seite ausgeführt wird (gleich, ob es sich um eine HTML-Seite in einer Dokumentbibliothek oder um JavaScript in einem Script Editor-Webpart handelt), wird immer im Kontext des Benutzers ausgeführt, der die Seite und die SharePoint-Anwendung besucht. Das bedeutet Folgendes:

  • Skripts haben auf alles Zugriff, worauf der Benutzer Zugriff hat.

  • Skripts können übergreifend auf Inhalte aus verschiedenen Office 365-Diensten und im Fall von Microsoft Graph-Integration auch darüber hinaus zugreifen.

Sie können die Einfügung von Skripts nicht überwachen

Als globaler Administrator, Sicherheitsadministrator oder SharePoint-Administrator können Sie die Möglichkeiten von benutzerdefinierten Skripts für die gesamte Organisation oder für bestimmte Websitesammlungen blockieren. (Informationen dazu finden Sie unter Aktivieren oder Deaktivieren von benutzerdefinierten Skripts.) Sobald Sie Skripts zulassen, können Sie folgende Punkte nicht mehr erkennen:

  • Welcher Code wurde eingefügt

  • An welcher Stelle wurde der Code eingefügt

  • Wer hat den Code eingefügt

Jeder Benutzer, der über die Berechtigung "Seiten hinzufügen und anpassen" (Teil der Berechtigungsstufen "Entwerfen" und "Vollzugriff") für eine beliebige Seite oder Dokumentbibliothek verfügt, kann Code einfügen, der möglicherweise starke Auswirkungen auf alle Benutzer und Ressourcen in der Organisation haben kann. Das Skript hat Zugriff auf mehr als nur die Seite oder Website – es kann übergreifend auf Inhalte aller Websitesammlungen und anderer Office 365-Dienste in der Organisation zugreifen. Es gibt keine Beschränkungen für die Ausführung von Skripts. Informationen über Websiteaktivitäten, die Sie überwachen können, finden Sie unter Konfigurieren von Überwachungseinstellungen für eine Websitesammlung.

Eingefügte Skripts können nicht blockiert oder entfernt werden

Wenn Sie benutzerdefinierte Skripts zugelassen haben, können Sie die Einstellung ändern, um Benutzer später daran zu hindern, benutzerdefinierte Skripts hinzuzufügen, jedoch können Sie die Ausführung von Skripts, die bereits eingefügt wurden, nicht blockieren. Wenn gefährliche oder bösartige Skripts eingefügt wurden, ist die einzige Möglichkeit, wie Sie den Umstand beenden können, die Seite zu löschen, auf der die Skripts gespeichert sind. Das kann zu Datenverlust führen.

Eine Alternative zu benutzerdefinierten Skripts

Das SharePoint-Framework ist eine Seite und ein Webpartmodell, das ein gesteuertes und vollständig unterstütztes Verfahren zum Erstellen von Lösungen mithilfe von Skripttechnologien mit Unterstützung für Open Source-Tools darstellt. Wichtige Funktionen des SharePoint-Frameworks:

  • Das Framework wird im Kontext des aktuellen Benutzers und der aktuellen Verbindung im Browser ausgeführt. Es verwendet keine iFrames.

  • Die Steuerelemente werden im normalen DOM (Document Object Model) der Seite dargestellt.

  • Die Steuerelemente sind responsiv und barrierefrei.

  • Entwickler haben Zugriff auf den Lebenszyklus. Über das Rendern hinaus können sie auf die Auslastung, die Serialisierung und Deserialisierung, Konfigurationsänderungen und mehr zugreifen.

  • Sie können ein Browserframework Ihrer Wahl verwenden: React, Handlebars, Knockout, AngularJS und weitere.

  • Die Toolchain basiert auf gängigen Open Source-Cliententwicklungstools, wie npm, TypeScript, Yeoman, webpack und gulp.

  • Office 365-Administratoren verfügen über Governancetools, um Lösungen sofort zu deaktivieren, unabhängig von der Anzahl der verwendeten Instanzen und der Anzahl der Seiten oder Websites, auf denen sie eingesetzt wurden.

  • Lösungen können in Webparts und auf Seiten bereitgestellt werden, die mit der klassischen oder der neuen Benutzererfahrung arbeiten.

  • Nur globale Administratoren, SharePoint-Administratoren und Personen, denen die Berechtigung zum Verwalten des App-Katalogs erteilt wurde, können Lösungen hinzufügen. (Informationen, wie Benutzern die Berechtigung zum Verwalten des App-Katalogs erteilt wird, finden Sie unter Anfordern von Berechtigungen zur App-Installation.)

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×