ScubaGear项目关于SharePoint自定义脚本策略变更的技术分析

背景概述

微软近期对SharePoint和OneDrive的自定义脚本配置选项进行了重要更新，这对ScubaGear安全基线中的相关策略检查产生了直接影响。作为一款专注于Microsoft 365安全配置评估的开源工具，ScubaGear需要及时跟进这些平台级变更，确保策略检查的准确性和有效性。

变更内容分析

微软此次变更主要涉及两个方面的调整：

1. MS.SHAREPOINT.4.1v1策略（个人OneDrive站点的自定义脚本）已从SharePoint管理门户中完全移除。经实际验证，该设置已无法在管理界面中找到，且ScubaGear的现有代码中并未包含对该字段的检查。

2. MS.SHAREPOINT.4.2v1策略（自助服务站点/SharePoint站点的自定义脚本）的实现方式发生了重大变化：

   • 传统的经典设置管理页面中的配置选项已失效
   • 新配置位置迁移至SharePoint管理中心 > 站点 > 活动站点页面
   • 仍可通过PowerShell命令进行修改
   • 微软声称非合规配置将在24小时内自动恢复，但实际测试显示该行为并不一致

技术验证过程

项目团队通过以下方式进行了全面验证：

1. 管理界面测试：确认了新旧配置路径的实际效果差异，发现经典管理界面中的修改不再影响实际配置状态。

2. PowerShell验证：使用Set-SPOSite命令成功修改了DenyAddAndCustomizePages参数，该修改能够被ScubaGear正确检测到。

3. 自动恢复机制测试：将多个站点的自定义脚本设置为"Allowed"后，观察自动恢复行为。结果显示只有部分站点在24小时内被恢复为"Blocked"，其他站点配置保持不变，这与微软文档描述存在差异。

影响评估与解决方案

基于验证结果，项目团队制定了以下应对方案：

1. MS.SHAREPOINT.4.1v1策略：

   • 从安全基线中完全移除
   • 无需修改ScubaGear代码（因其原本就不包含该检查项）

2. MS.SHAREPOINT.4.2v1策略：

   • 短期方案：修改ScubaGear规则引擎，将该策略检查结果标记为N/A（不适用）
   • 基线文档更新：添加说明文字表明该策略基于的配置项已被弃用
   • 长期计划：在后续版本中完全移除该策略检查

技术建议

对于企业安全团队，建议采取以下措施：

1. 了解微软在SharePoint安全配置方面的演进方向，自定义脚本控制将逐渐由平台统一管理。

2. 对于仍需精细控制脚本执行的场景，建议：

   • 使用新版管理界面进行配置
   • 通过PowerShell脚本批量管理
   • 建立定期检查机制，确认配置状态符合预期

3. 关注ScubaGear的版本更新，及时获取最新的策略检查能力。

总结

微软对SharePoint自定义脚本管理的调整反映了其向更自动化安全管控模式的转变。作为安全评估工具，ScubaGear需要平衡策略的严谨性与平台演进的现实，此次变更处理体现了工具维护团队对微软生态变化的快速响应能力。建议用户关注后续版本更新，以获得最佳的安全评估体验。