Planen der Sicherheit für eine externe sichere Umgebung für Zusammenarbeit (Windows SharePoint Services)

Inhalt dieses Artikels:

• Schützen der Back-End-Server

• Sichern der Client-Server-Kommunikation

• Sichern der Website für die Zentraladministration

• Prüfliste für ein sicheres Design

• Planen der Verstärkung der Sicherheit für Serverrollen

• Planen von sicheren Konfigurationen für Features von Windows SharePoint Services

Sicherheitsrichtlinien für eine externe Sicherheitsumgebung dienen dazu, Inhalte in einem Extranet bereitzustellen, um mit Teilnehmern, die keinen allgemeinen Zugriff auf das Unternehmensnetzwerk haben, gemeinsam an Inhalten zu arbeiten. In dieser Umgebung können externe Partner an einem Workflow teilnehmen oder gemeinsam mit Mitarbeitern der Organisation an Inhalten arbeiten.

Für eine externe sichere Zusammenarbeitsumgebung gibt es besondere Empfehlungen. Nicht alle diese Empfehlungen sind für alle Lösungen gleichermaßen geeignet.

Schützen der Back-End-Server

Für eine externe sichere Zusammenarbeit sind mit dem Internet verbundene Server erforderlich. Die Gefährdung, die durch den Datenverkehr im Internet entsteht, können Sie durch den Schutz von Back-End-Servern begrenzen:

• Schützen der Datenbankserver   Richten Sie mindestens eine Firewall zwischen den Front-End-Webservern und den Datenbankservern ein. Einige Umgebungen schreiben vor, dass Datenbankserver in einem internen Netzwerk und nicht direkt in einer Extranetumgebung gehostet werden.

• Schützen der Indexrolle   Die Indexkomponente kommuniziert direkt über einen Front-End-Webserver, um durch die Inhalte von Websites zu crawlen. Zum Schützen dieses Kommunikationskanals empfiehlt es sich, einen dedizierten Front-End-Webserver für die Verwendung durch einen oder mehrere Indexserver zu konfigurieren. Dadurch wird die Crawlingkommunikation auf einem Front-End-Webserver isoliert, auf den Benutzer nicht zugreifen können. Konfigurieren Sie außerdem Internetinformationsdienste (Internet Information Services, IIS), dass SiteData.asmx (der SOAP-Dienst für den Crawler) nur Zugriffe vom Indexserver (oder anderen Crawlern) zulässt. Durch das Bereitstellen eines dedizierten Front-End-Webservers für das Crawling von Inhalten wird auch die Leistung verbessert, da die Last für die wichtigsten Front-End-Webserver verringert wird, wodurch sich auch die Leistung für die Benutzer verbessert.

Sichern der Client-Server-Kommunikation

Die sichere Zusammenarbeit in einer Extranetumgebung hängt von der sicheren Kommunikation zwischen Clientcomputern und der Serverfarmumgebung ab. Verwenden Sie gegebenenfalls SSL (Secure Sockets Layer), um die Kommunikation zwischen Clientcomputern und Servern zu sichern. Um die Sicherheit zu erhöhen, sollten Sie Folgendes in Erwägung ziehen:

• Legen Sie fest, dass auf Clientcomputern Zertifikate erforderlich sind. SSL kann implementiert werden, ohne dass Clientzertifikate erforderlich sind. Sie können die Sicherheit im Rahmen der externen Zusammenarbeit erhöhen, indem Sie festlegen, dass auf allen Clientcomputern Zertifikate erforderlich sind.

• Verwenden Sie IPsec. Wenn Clientcomputer IPsec unterstützen, können Sie IPsec-Regeln konfigurieren, um im Vergleich zu SSL ein höheres Maß an Sicherheit zu erzielen.

Sichern der Website für die Zentraladministration

Da externe Benutzer auf die Netzwerkzone zugreifen können, ist es unerlässlich, die Website für die Zentraladministration so zu sichern, dass der externe Zugriff blockiert und der interne Zugriff geschützt wird:

• Vergewissern Sie sich, dass die Website für die Zentraladministration nicht auf einem Front-End-Webserver gehostet wird.

• Blockieren Sie den externen Zugriff auf die Website für die Zentraladministration. Richten Sie dazu eine Firewall zwischen den Front-End-Webservern und dem Server ein, auf dem die Website für die Zentraladministration gehostet wird.

• Konfigurieren Sie die Website für die Zentraladministration mithilfe von SSL. Dadurch wird die Kommunikation zwischen internem Netzwerk und der Website für die Zentraladministration gesichert.

Prüfliste für ein sicheres Design

Verwenden Sie die Designprüfliste zusammen mit den Prüflisten in Planen der Serverfarmsicherheit (Windows SharePoint Services).

Topologie

[ ]	Schützen Sie Back-End-Server, indem Sie mindestens eine Firewall zwischen den Front-End-Webservern und den Anwendungs- und Datenbankservern einrichten.
[ ]	Planen Sie einen dedizierten Front-End-Webserver für das Crawling von Inhalten. Nehmen Sie diesen Front-End-Webserver nicht in die Front-End-Webrotation für Endbenutzer auf.

Logische Architektur

[ ]	Blockieren Sie den Zugriff auf die Website für die Zentraladministration, und konfigurieren Sie für diese Website SSL.
[ ]	Sichern Sie SSP-Verwaltungswebsites, indem Sie diese Websites mit SSL konfigurieren, indem Sie diese Websites in einer speziellen Webanwendung bereitstellen und indem Sie eine Richtlinie erstellen, mit der der externe Zugriff auf diese Websites verweigert wird.

Planen der Verstärkung der Sicherheit für Serverrollen

In der folgenden Tabelle werden zusätzliche Empfehlungen für die Verstärkung der Sicherheit für eine externe sichere Zusammenarbeitsumgebung beschrieben.

Komponente	Empfehlung
Ports	Blockieren Sie den externen Zugriff auf den Port für die Website für die Zentraladministration.
IIS	Schränken Sie SiteData.asmx (den SOAP-Crawlerdienst) so ein, dass nur der Indexserver (oder ein anderer Crawler) auf die Website zugreifen kann.

Planen sicherer Konfigurationen für Windows SharePoint Services-Features

In der folgenden Tabelle werden zusätzliche Empfehlungen für die Sicherheit von Windows SharePoint Services 3.0-Features beschrieben. Diese Empfehlungen gelten für eine externe sichere Zusammenarbeitsumgebung.

Feature oder Bereich	Empfehlung
Authentifizierung	Verwenden Sie SSL für authentifizierte Benutzer. Dies trifft auf den anonymen Benutzer, der die Seite besucht, nicht zu.
Autorisierung	Verwenden Sie eine Sicherheitsrichtlinie, um Berechtigungen für externe Benutzer zu begrenzen. (Erstellen Sie Verweigerungsrichtlinien, um die Aktionen externer Benutzer einzuschränken.)

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

• Planung und Architektur für Windows SharePoint Services 3.0, Teil 2 (in englischer Sprache)

• Planen einer Extranetumgebung für Windows SharePoint Services (in englischer Sprache)

• Sicherheit für Windows SharePoint Services 3.0 (in englischer Sprache)

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services (in englischer Sprache).