Planen der Sicherheit für eine Umgebung für ein internes Team oder eine interne Abteilung (Windows SharePoint Services)

Inhalt dieses Artikels:

• Prüfliste für ein sicheres Design

• Planen der Verstärkung der Sicherheit für Serverrollen

• Planen von sicheren Konfigurationen für Features von Windows SharePoint Services

Die Sicherheitsanweisungen für ein internes Team oder eine interne Abteilung enthält in erster Linie Empfehlungen für praktische Sicherheitskonfigurationen und -einstellungen für ein Team oder eine Abteilung in einer größeren Organisation. Für diese Anweisungen wird davon ausgegangen, dass die Server nicht von dem IT-Kernteam innerhalb der Organisation bereitgestellt werden.

Zum Verständnis der Anweisungen für diese Umgebung sind zwar gewisse IT-Kenntnisse Voraussetzung, aber es ist nicht erforderlich, dass Farmadministratoren IT-Experten sind. Wenn zum Implementieren einer Einstellung spezialisierte Rollen erforderlich sind, werden diese genannt.

Diese Anweisungen können zusammen mit den unter Planen sicherer Konfigurationen für Windows SharePoint Services-Features bereitgestellten Anweisungen verwendet werden.

Prüfliste für ein sicheres Design

Gehen Sie die folgende Prüfliste durch, um sicherzustellen, dass Ihre Pläne die Kriterien für einen sicheren Servertopologieentwurf erfüllen.

Topologie

[ ]

Bei einer Bereitstellung für ein Team oder eine Abteilung, das bzw. die nur internen Zugriff hat, kann Windows SharePoint Services 3.0 auf einem oder auf zwei Servern installiert werden.

[ ]

In einer Bereitstellung mit mindestens zwei Servern sollte die Zentraladministrationswebsite möglichst auf einem anderen Server als dem Front-End-Webserver gehostet werden. Dies ist nur möglich, wenn Anwendungsserverrollen auf einem anderen Server als die Front-End-Webserverrolle gehostet werden. Beispiel: Wenn auf Server A die Front-End-Webserverrolle und auf Server B die Datenbank- und die Anwendungsserverrollen gehostet werden, befindet sich der sicherste Ort für die Zentraladministrationswebsite auf Server B. Wenn auf Server  A jedoch die Front-End-Webserver- und Anwendungsserverrollen gehostet werden und auf Server B nur die Datenbankrolle gehostet wird, kann die Zentraladministrationswebsite nur auf Server A gehostet werden.

Logische Architektur

[ ]	Mindestens eine Zone in jeder Webanwendung verwendet die NTLM-Authentifizierung. Dies ist erforderlich, damit das Suchkonto Inhalt in der Webanwendung crawlen kann. Das Suchkonto kann zum Crawlen von Inhalt nicht die Kerberos-Authentifizierung verwenden. Weitere Informationen finden Sie unter Planen von Authentifizierungsmethoden (Windows SharePoint Services).
[ ]	Beim Bereitstellen von benutzerdefinierten Webparts müssen Sie sicherstellen, dass nur vertrauenswürdige Webparts in Webanwendungen bereitgestellt werden, in denen sensibler oder sicherer Inhalt gehostet wird. So kann sensibler Inhalt vor domäneninternen Skriptangriffen geschützt werden.

Planen der Verstärkung der Sicherheit für Serverrollen

Bei den Anweisungen für eine Umgebung für ein internes Team oder eine interne Abteilung wird davon ausgegangen, dass für die Server, Websites und Inhalt nur interner Zugriff gewährt wird und dass die gesamte Netzwerkumgebung durch von einer IT-Abteilung entwickelte Richtlinien gesichert ist. Dies bedeutet, dass die Verstärkung der Sicherheit von Servern für bestimmte Rollen nicht unbedingt in dem Maße erforderlich ist, wie das für andere Umgebungen der Fall ist. Es gibt jedoch mehrere Features, die spezielle Dienste oder andere Einstellungen erfordern, die andernfalls nicht konfiguriert würden.

In der folgenden Tabelle werden die empfohlenen Einstellungen für das Verstärken der Sicherheit für ein internes Team oder eine interne Abteilung beschrieben.

Feature	Einstellung
E-Mail-Integration	Wenn die E-Mail-Integration aktiviert ist, muss auf einem Front-End-Webserver der SMTP-Dienst vorhanden sein.

Planen sicherer Konfigurationen für Windows SharePoint Services-Features

In der folgenden Tabelle werden zusätzliche Empfehlungen zum Sichern von Windows SharePoint Services 3.0-Features beschrieben. Diese Empfehlungen gelten für eine Umgebung für ein internes Team oder interne Abteilung.

Feature oder Bereich	Empfehlung
Authentifizierung	Führen Sie eine Authentifizierung beim vorhandenen System für die Identitätsverwaltung aus. Wenn es sich dabei nicht um den Active Directory-Verzeichnisdienst handelt, verwenden Sie die ASP.NET-Formularauthentifizierung, um eine Verbindung mit dem System für die Identitätsverwaltung herzustellen. Beim Verwenden der Formularauthentifizierung ist ggf. Unterstützung durch die folgenden Rollen erforderlich: ASP.NET-Entwickler zum Entwickeln des Authentifizierungsanbieters Administrator des Systems für die Identitätsverwaltung, mit dem eine Verbindung hergestellt wird
Zentraladministrationswebsite	Beschränken Sie den Zugriff auf die Zentraladministrationswebsite auf die entsprechenden Benutzer. Wenn Sie die Zentraladministrationswebsite für die Remoteverwaltung aktivieren, sichern Sie die Zentraladministrationswebsite mit SSL (Secure Sockets Layer). Administratoren, die Bereitstellungen ausführen, müssen Mitglied der lokalen Administratorengruppe auf dem Server sein, auf dem die Zentraladministrationswebsite gehostet wird.
Windows SharePoint Services-Verwaltungsdienst	In einer Bereitstellung mit einem Server ist der Windows SharePoint Services-Verwaltungsdienst aus den folgenden Gründen standardmäßig deaktiviert: Dieser Dienst, mit dem von der Zentraladministrationswebsite initiierte Bereitstellungsaufgaben ausgeführt werden, ist in der Regel in einer Bereitstellung mit einem Server nicht erforderlich. Bereitstellungsaufgaben können jedoch mit dem Befehlszeilentoll Stsadm.exe ausgeführt werden, für das dieser Dienst nicht verwendet werden muss. Das für die Zentraladministrationswebsite verwendete Konto ist für alle anderen Prozesse freigeben. Folglich führt das Deaktivieren des Diensts zu einer sichereren Konfiguration. Folgende Empfehlungen gelten für eine Bereitstellung mit einem Server: Ändern Sie das Serverfarmkonto, wenn das Setup ausgeführt wurde. Starten Sie den Windows SharePoint Services-Verwaltungsdienst. Wenn Sie diese Aktionen ausführen, können Sie Aufgaben im Zusammenhang mit der Bereitstellung direkt auf der Zentraladministrationswebsite ausführen.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

• Planung und Architektur für Windows SharePoint Services 3.0, Teil 2 (in englischer Sprache)

• Sicherheit für Windows SharePoint Services 3.0 (in englischer Sprache)

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services (in englischer Sprache).