Planen der Sicherheit für eine Umgebung mit anonymem Zugriff durch externe Benutzer (Windows SharePoint Services)

Inhalt dieses Artikels:

• Schützen der Back-End-Server

• Konfigurieren des anonymen Zugriffs

• Sichern der Website für die Zentraladministration

• Deaktivieren von eingehenden E-Mails

• Prüfliste für ein sicheres Design

• Planen der Verstärkung der Sicherheit für Serverrollen

• Planen von sicheren Konfigurationen für Features von Windows SharePoint Services

Ziel des Sicherheitsleitfadens für eine Umgebung mit anonymem Zugriff durch externe Benutzer ist es, den anonymen Zugriff auf Inhalte zu ermöglichen und gleichzeitig die Back-End-Server in der Serverfarm vor dem direkten Benutzerzugriff oder bösartigen Handlungen über die Front-End-Webserver zu schützen. In einer Umgebung, in der mehrere Serverfarmen bereitgestellt sind, die das Erstellen von Dokumenten, Staging und Veröffentlichen unterstützen, bezieht sich der Leitfaden für diese Umgebung auf die veröffentlichte Serverfarm (die Serverfarm, auf die anonym durch Benutzer zugegriffen wird).

Es gibt eine Reihe von Empfehlungen für eine Umgebung mit anonymem Zugriff durch externe Benutzer. Einige dieser Empfehlungen eignen sich jedoch möglicherweise nicht für alle Lösungen.

Schützen der Back-End-Server

Für das Hosting von Sites, auf die anonym zugegriffen werden kann, sind Server mit Internetverbindung erforderlich. Sie können den Datenaustausch mit dem Internet beschränken, indem Sie die Back-End-Server schützen, einschließlich der Anwendungsserver (Suchserver) und der Server, die Datenbanken hosten:

• Schützen der Datenbankserver   Richten Sie mindestens eine Firewall zwischen den Front-End-Webservern und den Datenbankservern ein. Einige Umgebungen schreiben vor, dass Datenbankserver in einem internen Netzwerk und nicht direkt in einer Extranetumgebung gehostet werden.

• Schützen der Indexrolle   Die Indexkomponente kommuniziert direkt über einen Front-End-Webserver, um durch die Inhalte von Websites zu crawlen. Zum Schützen dieses Kommunikationskanals empfiehlt es sich, einen dedizierten Front-End-Webserver für die Verwendung durch einen oder mehrere Indexserver zu konfigurieren. Dadurch wird die Crawlingkommunikation auf einem Front-End-Webserver isoliert, auf den Benutzer nicht zugreifen können. Konfigurieren Sie außerdem Internetinformationsdienste (Internet Information Services, IIS), dass SiteData.asmx (der SOAP-Dienst für den Crawler) nur Zugriffe vom Indexserver (oder anderen Crawlern) zulässt. Durch das Bereitstellen eines dedizierten Front-End-Webservers für das Crawling von Inhalten wird auch die Leistung verbessert, da die Last für die wichtigsten Front-End-Webserver verringert wird, wodurch sich auch die Leistung für die Benutzer verbessert.

Konfigurieren des anonymen Zugriffs

Für Inhalte, auf die anonym zugegriffen werden soll, muss Folgendes konfiguriert werden:

• Die Website oder die Websitesammlung muss für den anonymen Zugriff konfiguriert werden.

• Mindestens eine Zone in der Webanwendung muss für den anonymen Zugriff konfiguriert werden.

Aktivieren Sie den anonymen Zugriff nur für Webanwendungen, bei denen ein nicht authentifizierter Zugriff erforderlich ist. Wenn die Authentifizierung für die Personalisierung verwendet werden soll, implementieren Sie die Formularauthentifizierung mithilfe eines einfachen Authentifizierungsanbieters für Datenbanken.

Sichern der Website für die Zentraladministration

Da externe Benutzer auf die Netzwerkzone zugreifen können, ist es unerlässlich, die Website für die Zentraladministration so zu sichern, dass der externe Zugriff blockiert und der interne Zugriff geschützt wird:

• Vergewissern Sie sich, dass die Website für die Zentraladministration nicht auf einem Front-End-Webserver gehostet wird.

• Blockieren Sie den externen Zugriff auf die Website für die Zentraladministration. Richten Sie dazu eine Firewall zwischen den Front-End-Webservern und dem Server ein, auf dem die Website für die Zentraladministration gehostet wird.

• Konfigurieren Sie die Website für die Zentraladministration mithilfe von SSL (Secure Sockets Layer). Dadurch wird sichergestellt, dass die Kommunikation des internen Netzwerks mit der Website für die Zentraladministration gesichert ist.

Deaktivieren von eingehenden E-Mails

Verwenden Sie die E-Mail-Integration nicht für eingehende E-Mails. Dadurch wird Ihre Umgebung gegen Risiken geschützt, die mit E-Mail-Nachrichten aus anonymen Quellen im Internet verbunden sind. Wenn Sie eingehende E-Mails zulassen, konfigurieren Sie die Website für die Zentraladministration so, dass anonyme E-Mails zulässig sind. Diese Option ist zwar verfügbar, sie bietet jedoch keine hohe Sicherheit.

Prüfliste für ein sicheres Design

Verwenden Sie diese Designprüfliste zusammen mit den Prüflisten in Überprüfen der Checklisten für den Entwurf sicherer Topologien (Windows SharePoint Services).

Topologie

[ ]	Schützen Sie Back-End-Server, indem Sie mindestens eine Firewall zwischen den Front-End-Webservern und den Anwendungs- und Datenbankservern einrichten.
[ ]	Planen Sie einen dedizierten Front-End-Webserver für das Crawling von Inhalten. Nehmen Sie diesen Front-End-Webserver nicht in die Front-End-Webrotation für Endbenutzer auf.

Logische Architektur

[ ]	Aktivieren Sie den anonymen Zugriff nur für Webanwendungszonen, die Websites oder Websitesammlungen hosten, die für den anonymen Zugriff konfiguriert sind. Weitere Informationen finden Sie unter Planen von Authentifizierungsmethoden (Windows SharePoint Services).
[ ]	Sichern Sie die Bereitstellung von Inhalten mit SSL.
[ ]	Blockieren Sie den Zugriff auf die Website für die Zentraladministration, und konfigurieren Sie SSL für die Website.

Planen der Verstärkung der Sicherheit für Serverrollen

In der folgenden Tabelle finden Sie Empfehlungen, wie die Sicherheit für eine Umgebung, die den anonymen Zugriff externer Benutzer zulässt, zusätzlich verstärkt werden kann.

Komponente	Empfehlung
Ports	Blockieren Sie den externen Zugriff auf den Port für die Website für die Zentraladministration.
Protokolle	Deaktivieren Sie SMTP.
IIS	Wenn Sie einen dedizierten Front-End-Webserver für die Indizierung einrichten, konfigurieren Sie IIS so, dass SiteData.asmx (der SOAP-Dienst für den Crawler) nur den Zugriff durch den Indexserver (oder andere Crawler) zulässt.

Planen sicherer Konfigurationen für Windows SharePoint Services-Features

Für diese Umgebung sind keine weiteren Anleitungen verfügbar.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

• Planung und Architektur für Windows SharePoint Services 3.0, Teil 2 (in englischer Sprache)

• Planen einer Extranetumgebung für Windows SharePoint Services (in englischer Sprache)

• Sicherheit für Windows SharePoint Services 3.0 (in englischer Sprache)

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services (in englischer Sprache).