Freigeben über


Einblicke in SharePointSicherung der externen SharePoint-Kommunikation

Pav Cherny

Inhalt

Überlegungen zum Entwurf der Topologie
Authentifizierung
Konfiguration zum Support-Website TLS
IIS-Konfiguration für SSL-Zertifikate
ISA Server-Konfiguration
Vereinfachen Sie Ihre Bemühungen

Verschlüsseln von SharePoint-Netzwerkverkehr im Internet zugänglichen Szenarien mit TLS (Transport Layer Security) / (Secure Sockets LAYER) ist ein vertraut Ansatz für das Absichern der Kommunikation.Seit 1995 wenn Netscape SSL als eine Möglichkeit zum Sichern von Daten über Kryptografie eingeführt, über das HTTP-Protokoll implementiert, hat der webbasierten Client-/Serverkommunikation stark auf SSL-Zertifikate verlassen.SharePoint-Technologien nutzen, TLS über IIS mit .NET die zugrunde liegende TLS-fähigen Webserverplattform bereitstellen.Aktivieren von TLS für SharePoint-Websites ist jedoch nur einen Aspekt externe Kommunikation zu sichern.Sie müssen auch andere Facets wie berücksichtigen Host-basierten und Firewalls, Entwurf Netzwerktopologie, und der zugrunde liegenden Active Directory und Abhängigkeiten des physischen Netzwerks.

In der Spalte Juli 2009 behandelt ich Optionen für das Sichern der Serverkommunikation in der internen Umgebung durch Durchsetzung von Integritätsrichtlinien über des Netzwerkzugriffsschutzes (NAP) mit IPSec und folgende allgemeine SharePoint Sicherheitsempfehlungen.Einer der Schlüssel Räumlichkeiten interne Kommunikation zu schützen ist die Identität des internen Benutzern und Computern kennen und anhand dieser, Erstellen von Richtlinien zu gewähren und Einschränken des Zugriffs.Diese Voraussetzung ist effektiv in einer authentifizierten Umgebung wie z. B., in der Active Directory und Kerberos oder NT LAN Manager (NTLM) verwendet, es ist unvollständig in Umgebungen, mindestens jedoch sind einige der Benutzer anonyme oder bei einer Klasse von Benutzern, wie z. B. Kreditoren oder Partner, unterschiedliche Richtlinien angewendet.Sicherheit im Kontext der internetseitigen Sites erfordert einen ähnlichen Ansatz mit mehreren Ebenen.

Eine der zugrunde liegenden Prinzipien sichern externe Kommunikation wird unerwünschten Zugriff so früh wie möglich, blockiert, während die Möglichkeit zum Durchführen von Sicherheitsüberprüfungen und Protokollierung für nicht authentifizierte und authentifizierte Benutzer.Der typische Ansatz für erfüllt diese Anforderung ist mindestens eine Firewall auf Netzwerkebene für Benutzer Authentifizierung und statusbehaftete Überprüfung von HTTP-Datenverkehr verwenden.TLS stellt jedoch eine Herausforderung an statusbehafteter Paketprüfung dar, da die Firewall kann muss Pakete zu entschlüsseln, überprüfen Sie, erneut verschlüsseln Sie und übergeben Sie an einen Front-End-Server für die Verarbeitung.Darüber hinaus müssen die Firewall (und jede Lösung Load-balancing) HTTPS-Sitzungen beibehalten.Internet Security and Acceleration (ISA) Server 2006 und Intelligent Application Gateway (IAG) 2007 Server stellen eine Firewalllösung, die zusammen mit IIS und SharePoint eine TLS-kompatiblen Möglichkeit Absichern der Kommunikation übermitteln funktioniert.

Verständnis der TLS-Kommunikation in SharePoint erfordert ein Verständnis wie die hosting-Architektur und Topologie wie IIS auswirken und Firewalls behandeln SSL-Zertifikate.Entsprechend stehen eine Reihe von Überlegungen zum Entwerfen und Bereitstellen von SharePoint-Lösungen, die aus dem Internet zugänglich sind.Die SharePoint-Architektur umfasst zusätzlich zu IIS, SSL und Firewall Überlegungen wie z. B. alternative Zugriffszuordnungen (AAM), Authentifizierung und SharePoint Zonen Teile Konfiguration eine Herausforderung.

Überlegungen zum Entwurf der Topologie

Entwickeln mehrere Sicherheitsebenen für SharePoint-Websites beginnt mit physische Netzwerktopologie definieren.Wenn Sie verringern oder unerwünschten Datenverkehr, beseitigen bevor es Front-End- und Back-End-Servern Treffer können Sie nicht nur die Serverlast verringern sondern auch Reduzierung die Risiken von Viren, Spam und Malware, die mit böswilliger Datenverkehr stammen.

Die Netzwerktopologie, die TLS für SharePoint berücksichtigt hängt das Verwendungsszenario für Ihre Organisation erforderlich.Abbildung 1 Zeigt eine Entscheidungsstruktur mit einigen Überlegungen und relevante Topologie Entscheidungen.

Sie können die Entscheidungen weiter vereinfachen, indem Trennung der verschiedenen Topologieoptionen in drei Bereiche:

  • Datenverkehr, bevor Sie die Firewall Treffer.
  • Datenverkehr zwischen Firewall und dem internen Netzwerk.
  • Datenverkehr innerhalb des internen Netzwerks.

Abbildung 1 Entscheidung Überlegungen zum Internet zugänglichen Topologien.

Hinsichtlich der Konfiguration von TLS ist machen diese Unterscheidung wichtig, da Sie routing und Firewall Regeln zum Überbrücken von HTTPS-Verbindungen zwischen Internetanforderungen und IIS-Front-End-Server, konfigurieren Sie IIS so dienen der SharePoint-Anwendungen, und stellen Sie sicher, dass interne Ressourcen geschützt sind konfigurieren müssen.Abhängig von der Topologie müssen TLS-Datenverkehr alle drei dieser Bereiche über mehrere Router und Firewalls passieren können.Wir drei Topologie Optionen für das Internet zugänglichen Websites betrachten und überlegen, wie die Topologien TLS-Datenverkehr auswirken.Abbildung 2 Zeigt einen einfachen "Rand"Topologie mit einem Firewall Sichern von interne Servern.

Abbildung 2 Standard Rand Topologie mit einer einzelnen Firewall.

In Edge-Topologie steht eine einzelnes Netzwerk-Firewall zwischen externen Benutzern und interne SharePoint-Websites.Es hat den Vorteil der Verwendung einer einzelnen Active Directory-Umgebung für die interne und externe Benutzer, der Wartung und Verwaltung vereinfacht.Sichern des Datenverkehrs über TLS, konfigurieren Sie die Firewall auch als reverse Proxy fungieren.Das Konzept der eine integrierte reverse-Proxyserver wie ISA Server ist für das Absichern internetseitigen Websites unerlässlich, da reverse Proxy fängt eingehende Anforderungen ab kann externe Benutzer authentifizieren, TLS-Datenverkehr entschlüsselt, Standardregeln für die Firewall untersucht und leitet Anforderungen an Front-End-Server weiter.Öffentliche URLs können sich von interne URLs unterscheiden, damit der reverse-Proxyserver muss eine Möglichkeit zum Ausführen der Linkübersetzung, externe URLs in interne URLs zu konvertieren.IAG Server bietet zusätzliche Sicherheit-Funktionen, z. B. Endpunkt Health-basierte Autorisierung über eine Zugriffsrichtlinie basierend auf Benutzer Identitäts- und Client Computer Zustand und die Möglichkeit, Verknüpfungen für interne SharePoint-URLs ersetzen, wenn Outlook Web Access verwendet wird.

Die Topologie eine zusätzliche Sicherheitsebene hinzu, und Übung genauere Steuerung der Kommunikation zwischen Servern, können Sie einem Perimeter-Netzwerk erstellen, die SharePoint-Server hostet.In einem Perimeternetzwerk sind die SharePoint-Server aus dem Internet durch eine Firewall und aus dem internen Netzwerk durch einen Firewall isoliert.Dies ist eine Punkt-zu-Punkt-Topologie, wie in Abbildung 3 dargestellt.

Abbildung 3 Ein “ kaskadierende eingeben Topologie mit zwei Firewalls.

Sie sind natürlich nicht beschränkt auf nur zwei Firewalls in einer Punkt-zu-Punkt-Topologie.Sie können zusätzliche Ebenen, die durch Firewalls getrennten implementieren oder Router zur weiteren trennen Sie die SharePoint-Rollen.Beispielsweise können Sie einen Ansatz drei-Schichten einfügen jede Ebene in einer DMZ, wo Front-End-Server zuerst sind gefolgt von der Anwendung, Datenbank und suchen-Index Server und von Active Directory/DNS-Servern abgeschlossen.Sie können auch anpassen, dass eine Punkt-zu-Punkt-Topologie eine interne Stagingumgebung in einer separaten Farm einschließen und auf der Farm im Perimeternetzwerk veröffentlichen.Eine weitere Option ist um SharePoint-Farm zwischen dem Perimeternetzwerk und im internen Netzwerk zum Erstellen einer geteilten Punkt-zu-Punkt-Topologie zu teilen, wie in Abbildung 4 dargestellt.Unter Berücksichtigung der Ansatz der Verwendung von Sicherheitsebenen in der Topologie Front-End-Server im Umkreisnetzwerk befinden, und die Back-End-Server mit SQL Server sich im internen Netzwerk befinden.Die verbleibenden Funktionen wie z. B. Index, Suche und zentrale Verwaltung können in entweder Netzwerk sein.

Abbildung 4 In eine Punkt-zu-Punkt-Topologie “ Teilen eingeben, können Serverrollen in der DMZ oder im internen Netzwerk eingerichtet werden.

Platzieren Sie den Search-Server im internen Netzwerk für optimale suchen und Crawlen Leistung.Sie können den Search-Server zu crawlen reservieren.Bedenken Sie, dass die geteilten Punkt-zu-Punkt-Topologie eine unidirektionale Vertrauensstellung zwischen Umkreisnetzwerk und interne und Active Directory-Umgebungen Unterstützung der Kommunikation erforderlich ist.

Ressourcen

SharePoint-Produkte und -Technologien-Website

Windows SharePoint Services TechCenter

Windows SharePoint Services-Entwicklercenter

Microsoft SharePoint-Produkte und -Technologien Team Blog

Authentifizierung

Bestimmen die entsprechenden Authentifizierungskonfiguration zum Sichern von externen Kommunikation schnell überwältigend werden kann, aufgrund von den verfügbaren Optionen und die Topologie Ebenen bei der Authentifizierung und Autorisierung erfolgen.

Ihrer Umgebung kann z. B. Unterstützung von RSA SecurID, integrieren Netzwerkrichtlinienserver (Network Policy Server, NPS) oder ein benutzerdefiniertes LIGHTWEIGHT Directory Access Protocol-basierten Verzeichnis verwenden.Am Ende gehören die relevanten Authentifizierung Aspekte der Absicherung der externen SharePoint-Kommunikation, Authentifizierung von externen und internen Benutzern und IIS-Authentifizierung für SharePoint-Websites.

Wir vereinfachen diese Aspekte noch mehr durch Nachzeichnen des Kommunikationsweges von Anforderungen von externen Benutzern auf SharePoint-Websites anzeigen, wie Authentifizierung und Autorisierung erfolgen.

  1. Ein externer Benutzer sendet eine Anforderung, die an den Firewall weitergeleitet wird.Wenn die Firewall ein ISA Server für die formularbasierte Authentifizierung (FBA) konfiguriert ist, wird der Benutzer ein Anmeldeformular angezeigt und authentifiziert.Die Anforderung wird dann an einem Front-End-Server gesendet.
  2. IIS auf dem Front-End-Server nimmt die Anforderung;Legt fest, die Website zugeordnete URL;überprüft die Authentifizierungskonfiguration für die Website;authentifiziert den Datenverkehr;und übergibt Sie an SharePoint für die Autorisierung.
  3. SharePoint führt die Autorisierung.SharePoint-Website Berechtigungen und Autorisierung sind außerhalb des Bereichs dieses Artikels, da TLS für jede Website auf IIS-Ebene konfiguriert ist.Weitere Informationen zur SharePoint-Autorisierung und Authentifizierung finden Sie unter Plan Authentifizierung Methoden (Office SharePoint Server).

Konfiguration zum Support-Website TLS

SharePoint basiert stark auf IIS und der zugrunde liegenden Topologie und Authentifizierungskonfiguration zum Bereitstellen der erforderlichen Funktionen zur Unterstützung von TLS.Durch die Zeit Datenverkehr zum SharePoint weitergeleitet wird, hat es bereits durch den Firewall übergeben und von IIS verarbeitet wurde.Konfigurieren von SharePoint-Websites eine Unterstützung der TLS ist mehr ein Vorgangs informiert SharePoint der zugrunde liegenden Umgebung für jeden Standort als direkt angeben SSL-Zertifikate, Service-Konto erstellen usw.Dennoch ist es wichtig zwei SharePoint-spezifische Details berücksichtigen TLS bereitstellen: Zonen und Alternate Access Mapping (AAM).Beide werden in der Zentraladministration-Website unter Verwaltung konfiguriert.

Beim Erstellen oder Erweitern einer Webanwendung, können Sie angeben, Zonen und geben Sie Details über die Umgebung, die SharePoint verwendet, um eine anfängliche Gruppe von AAMs erstellen (siehe Abbildung 5).Die wichtigsten Überlegungen im Hinblick auf die Sicherheit sind der Authentifizierungsanbieter und gibt an, ob die ISA Server TLS zur Kommunikation mit dem Front-End-Server verwendet sind oder wird die HTTPS-Anforderungen von externen Benutzern an der Firewall beendet und über HTTP kommuniziert.

Abbildung 5 SSL und andere Confi Guration Optionen für eine SharePoint-Website.

Obwohl mithilfe von TLS für die Kommunikation von ISA Server mit Front-End-Server zusätzliche erstellt Verarbeitungsaufwand, es bietet eine verschlüsselte End-to-End-Lösung und Meine bevorzugte Methode.TLS auf dem ISA Server beendet möglicherweise auch einige Szenarien Verwendung, z. B. beim unterbrechen mithilfe von benutzerdefinierten Webparts, die URLs in einer SQL Server-Datenbank zu speichern.Der Vorgang ist für Enabeing einer vorhandenen Site für TLS ähnlich.Sie müssen aktivieren Sie das Optionsfeld Secure Sockets Layer (SSL), konfigurieren Sie die Optionen und dann navigieren Sie zu AAM-Einstellungen und überprüfen Sie, ob Sie ordnungsgemäß konfiguriert sind.

Konfiguration der Zone und AAM ist miteinander verbunden.SharePoint verwendet das Konzept der Zonen, um logische Unterschiede zwischen Teile Ihrer Topologie, wie z. B. Internet, extranet und Intranet und die URLs Teile zur zuzulassen.AAM-Definitionen angeben, wie der URL-Header aussehen sollte für Benutzer von verschiedenen Zonen, wenn der URL vom internen URL unterscheidet.Wenn der interne URL eine öffentliche URL identisch, die einen voll qualifizierten Domänennamen (FQDN) verwendet ist, müssen Sie nicht mehr AAM; konfigurierenSharePoint führt, die automatisch aus.Konfigurieren Sie für andere Szenarien AAMs für Ihre SharePoint-Websites.Troy Starr gebuchte einen umfassenden Überblick über AAMs für SharePoint im SharePoint Team-Blog Sie auf nach jeder SharePoint-Administrator muss über alternative Zugriffszuordnungen (Teil 1 von 3) kennen.Es ist ein Aussehen; lohntAAM-Fehlkonfiguration ist eine von den weitesten verbreiteten Ursachen Extranetszenario Probleme.

IIS-Konfiguration für SSL-Zertifikate

Wie bereits erwähnt, Aktivieren von SSL für eine SharePoint-Website auf IIS-Ebene erfolgt.SSL-Zertifikate werden in IIS7 – über Serverzertifikaten konfiguriert.Sie befinden sich unter der Eigenschaftenseite des IIS-Server.Microsoft hat bereits Anweisungen, Überlegungen und Verwendungsszenarien bedenken, wenn Sie IIS-Sites aktivieren zur Verwendung von SSL; veröffentlicht.Denken Sie daran, dass Zertifizierungsstelle und IP-Adresse und Bindung Anschluss sind besonders relevant für das Internet zugänglichen Websites sichern.Es gibt mehrere Optionen zum Generieren eines SSL-Zertifikats.Verwenden Sie selfssl.exe, Bereitstellen einer PKI mit einer vertrauenswürdigen Windows Zertifizierungsstelle (CA), oder einen kommerziellen Anbieter verwenden.Für Testumgebungen und Entwicklungszwecke ein selbst signiertes Zertifikat funktioniert gut, jedoch Probleme für Produktionsumgebungen Benutzer ausführen kann.Wenn Benutzer das Zertifikat in ihren Browsern zu akzeptieren, wird dazu aufgefordert werden, wenn eine SSL-aktivierte Website zugreifen, die das Zertifikat aus einer vertrauenswürdigen Quelle stammt.Dies kann führen zur Unterstützung von aufrufen und Verwirrung, eine Produktion Zertifikat einer Stammzertifizierungsstelle bereitstellen zu erleichtern.

Es ist möglich, dieselbe IP-Adresse oder den gleichen Anschluss für mehrere SSL-aktivierte Sites verwenden.Die einfache Möglichkeit ist eine feste IP-Adresse und denselben Port für jeden Standort verwenden, damit IIS die Website an die IP-Adresse und Port binden können.Auch wenn Ihre Konfiguration eine Stammdomäne und mehrere Unterwebsites verwendet, können Sie oder ein Platzhalterzeichen Zertifikat mit mehrere alternative Websitenamen (SANs) verwenden.Der Prozess ist größtenteils die gleiche wie für reguläre Zertifikat, aber Sie können es nicht im Dialogfeld 7e IIS unter Site Bindungen konfigurieren.Verwenden Sie stattdessen Appcmd, und führen Sie folgenden Befehl SSL an die Website binden und festlegen den Host-Header: C:\Windows\System32\inetsrv\appcmd fest Website SiteName: < CustomSiteName >/ + Bindungen. [Protocol = "Https" BindingInformation = "*: 443: < FQDN >].Wenn ordnungsgemäß erfolgt, sehen Sie eine SSL-Bindung mit dem Host-Header, die Sie unter Website-Bindungen angegeben.

ISA Server-Konfiguration

Unabhängig von der, ob Sie eine vorhandene oder neue SharePoint-Website mit TLS schützen möchten müssen Sie sicherstellen, dass der Datenverkehr die Firewall durchqueren kann.ISA Server bietet verschiedene Mechanismen, die mit SharePoint arbeiten und Traversal ermöglichen: FBA, HTTPS-bridging, Linkübersetzung über reverse-Proxyserver und SharePoint Veröffentlichungsregeln.

ISA Server verwendet einen Assistenten können Sie die SharePoint-Websites zu veröffentlichen.Dieser Assistent erstellt einen Listener und eine "zulassen"Regel, die SharePoint-Verkehr aktivieren.Vor dem Ausführen des Assistenten exportieren Sie das SSL-Zertifikat auf dem Front-End-Server, die die Website hostet über IIS installiert und importieren Sie Sie in ISA Server mit dem MMC-Snap-in Zertifikate.Importieren des Zertifikats in den lokalen Konto persönlichen Computerspeicher.Dies ermöglicht den Listener, den Sie erstellen in ISA Server eingehenden Datenverkehr entschlüsselt, untersucht und verschlüsselt es erneut.Weitere Informationen zum Konfigurieren von ISA Server für SharePoint finden Sie unter Authentifizierung in ISA Server 2006 und konfigurieren ISA 2006 für SharePoint 2007.

Durch die Zeit Sie ISA Server zum Veröffentlichen von SSL-aktivierte SharePoint-Websites, interne und externe URLs sind über DNS; aufgelöst werdenBenutzerkonten und Berechtigungen wurden; konfiguriertSharePoint-Zonen und AAMs sind; konfiguriertund das SSL-Zertifikat für die Website über IIS installiert haben.Geben Sie die entsprechenden Details zu diesem Zeitpunkt in ISA Server.Beachten Sie beim Konfigurieren der Listener und Veröffentlichungsregel beachten:

  • AAM: Für die alternative Zugriffszuordnung korrekt funktioniert, müssen Sie die Webveröffentlichungsregel zum Weiterleiten von des ursprünglichen Header Host konfigurieren.Stellen Sie außerdem Sie die richtigen FQDN-Adressen für die internen und externen URLs angeben.
  • FBA: Stellen Sie sicher Sie HTML-Formularauthentifizierung und Windows (Active Directory) auf der Registerkarte Authentifizierung auswählen, es sei denn, Sie Kerberos oder eine benutzerdefinierte Authentifizierungslösung sind.
  • Verweigert den Zugriff für nicht authentifizierte Benutzer.Die Sicherheit zu erhöhen stellen Sie sicher Sie alle authentifizierten Benutzer hinzufügen.Alternativelyr bestimmte Benutzer unter Benutzersätze auswählen und sicherstellen, alle Benutzer entfernt wird.

Vereinfachen Sie Ihre Bemühungen

Sichern der SharePoint-Websites mithilfe von TLS kann voll von Problemen sein.Die Firewall möglicherweise nicht ordnungsgemäß direkte Datenverkehr als Reverseproxy oder eine schlechte Auftrag Linkübersetzung führen kann.Die routing-Konfiguration möglicherweise nicht ordnungsgemäß in komplexer Topologien konfiguriert werden.Oder die Konfigurationen AAM und Zeitzone stimmt nicht mit die Einstellungen DNS oder Firewall überein.Die gute Nachricht ist, wenn Sie externe Sicherheit mit einem mehrschichtigen Ansatz Ansatz, Isolieren von Problemen und beseitigen.Sie können Ihr Leben noch leichter machen, wenn Sie ISA Server mit FBA und Windows-Authentifizierung verwenden.Auswählen der geeigneten Topologie, die Website in SharePoint konfigurieren, aktivieren Sie SSL in IIS, schalten Sie Sie zusammen mit ISA Server, und Sie haben externe Kommunikation durch TLS gesichert.

Pav Cherny ist IT-Experte und Autor und ist auf Microsoft-Technologien für Zusammenarbeit und einheitliche Kommunikation spezialisiert.Seine Veröffentlichungen enthalten Whitepaper, Produkthandbücher sowie Bücher mit dem Schwerpunkt IT-Vorgänge und Systemverwaltung.Pav Cherny ist Präsident der Biblioso Corporation. Dieses Unternehmen ist auf verwaltete Dokumentations- und Lokalisierungsdienste spezialisiert.