Freigeben über


Planen sicherer Konfigurationen für Windows SharePoint Services-Features

Inhalt dieses Artikels:

  • Empfehlungen für Windows SharePoint Services-Features

In diesem Artikel finden Sie Empfehlungen für ein sichereres Konfigurieren und Verwalten von Windows SharePoint Services 3.0-Features. Die empfohlenen Konfigurationen werden in der Regel in der Zentraladministration und nicht im Netzwerk, im Betriebssystem, in den Internetinformationsdiensten (IIS) oder in Microsoft .NET Framework durchgeführt. Die Empfehlungen in diesem Artikel sind für die folgenden Sicherheitsumgebungen anwendbar:

  • Internes Team oder interne Abteilung

  • Von der internen IT-Abteilung gehostet

  • Sichere Zusammenarbeit mit externen Benutzern

  • Externer anonymer Zugriff

Weitere Informationen zu diesen Umgebungen finden Sie unter Auswählen der Sicherheitsumgebung (Windows SharePoint Services).

Empfehlungen für Windows SharePoint Services-Features

In der folgenden Tabelle werden Empfehlungen zur Unterstützung bei der Sicherung von Windows SharePoint Services 3.0-Features beschrieben.

Feature oder Bereich Empfehlung

Authentifizierung

  • Verwenden Sie bei der Verwendung der Website für die Zentraladministration keine clientbasierte automatische Anmeldung.

  • Ermöglichen Sie nur Front-End-Webservercomputern die Authentifizierung von Benutzern. Lassen Sie nicht zu, dass sich Endbenutzerkonten oder Gruppen am Datenbankservercomputer authentifizieren können.

Autorisierung

Weisen Sie Berechtigungen nicht einzelnen Konten, sondern Gruppen zu.

Berechtigungsstufen

Weisen Sie Benutzern nur die zum Durchführen der jeweiligen Aufgaben mindestens erforderliche Berechtigung zu.

Verwaltung

Verwenden Sie Zugriffsberechtigungen, um die Website für die Zentraladministration zu sichern und um Administratoren den Remotezugriff auf die Website zu ermöglichen (statt die Website für die Zentraladministration nur für die Verwendung durch lokale Computer zu aktivieren). So müssen sich Administratoren nicht lokal an dem Computer anmelden, auf dem die Zentraladministration bereitgestellt wird. Wenn Sie für den Computer den Terminaldienstezugriff konfigurieren, ist das Sicherheitsrisiko größer als wenn die Website für die Zentraladministration für den Remotezugriff verfügbar bleibt.

E-Mail-Integration

  • Konfigurieren Sie Windows SharePoint Services 3.0 so, dass nur E-Mail-Nachrichten akzeptiert werden, die über einen speziellen Mailserver, z. B. Microsoft Exchange Server, weitergeleitet wurden, der Viren und Junk-E-Mails herausfiltert und den E-Mail-Absender authentifiziert.

  • Beim Konfigurieren von Workfloweinstellungen können Sie in Windows SharePoint Services 3.0 festlegen, dass Teilnehmer, die keine Berechtigung für den Zugriff auf ein Dokument auf einer Website haben, stattdessen das Dokument als E-Mail-Anlage empfangen können. Aktivieren Sie in einer sicheren Umgebung die Option Externen Benutzern die Berechtigung zum Teilnehmen am Workflow erteilen, indem ihnen eine Kopie des Dokuments gesendet wird nicht. In Windows SharePoint Services 3.0 ist diese Option standardmäßig nicht aktiviert.

Speicherung von Webparts und Sicherheit

  • Achten Sie darauf, dass Sie in der Serverfarm nur vertrauenswürdigen Code bereitstellen. Bereitgestellter Code, XML- oder ASP.NET-Code, muss grundsätzlich immer von einer vertrauenswürdigen Quelle stammen, auch wenn Sie die Sicherheit nach der Bereitstellung mit Defense-in-Depth-Maßnahmen wie Codezugriffssicherheit erhöhen möchten.

  • Stellen Sie sicher, dass die SafeControl-Liste in der Datei Web.config die Steuerelemente und Webparts enthält, die Sie zulassen möchten.

  • Stellen Sie sicher, dass benutzerdefinierte Webparts, die Sie mit Defense-in-Depth-Maßnahmen stärken möchten, im Verzeichnis bin der Webanwendung (für das teilweise Vertrauen aktiviert ist) mit den für die einzelnen Assemblys erforderlichen Berechtigungen installiert sind.

  • Möglicherweise sollten Sie das Inhalts-Editor-Webpart aus der SafeControl-Liste entfernen. Damit wird verhindert, dass Benutzer JavaScript als Webpart in die Seite einfügen oder JavaScript verwenden, das auf externen Servern bereitgestellt wird.

  • Stellen Sie sicher, dass geeigneten Personen in Ihrer Organisation die Berechtigungsstufen Entwerfen und Teilnehmen in der Website gewährt werden. Ein Benutzer mit der Berechtigungsstufe Teilnehmen kann ASPX-Seiten (Active Server Page Extension) in eine Bibliothek hochladen und Webparts hinzufügen. Benutzer mit der Berechtigungsstufe Entwerfen, die Webparts hinzufügen dürfen, können Seiten, z. B. die Homepage der Website, (Default.aspx) ändern.

Suchen

  • Das Windows SharePoint Services -Suchdienstkonto darf nicht Mitglied der Gruppe Farmadministratoren sein. Andernfalls indiziert der Windows SharePoint Services-Suchdienst nicht veröffentlichte Versionen von Dokumenten.

  • Stellen Sie sicher, dass weitere bereitgestellte IFilters und Wörtertrennungen vom IT-Team als vertrauenswürdig eingestuft werden.

  • Standardmäßig können nur Mitglieder der Gruppe Farmadministratoren auf die Suchindexdatei zugreifen. Stellen Sie sicher, dass andere Benutzer, die dieser Gruppe nicht angehören, keinen Zugriff auf diese Datei haben.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services (in englischer Sprache).