Plan d’administration moins privilégié dans SharePoint Server

  • Article

 

**Sapplique à :**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Dernière rubrique modifiée :**2017-08-24

Résumé : Découvrez comment utiliser administration de privilèges pour configurer et gérer une batterie de serveurs SharePoint 2013 et SharePoint Server 2016 et améliorer la sécurité.

Le principe de l’administration de privilèges minimum consiste à attribuer aux utilisateurs les autorisations minimales nécessaires pour leur permettre d’effectuer des tâches autorisées. L’objectif est de configurer et de maintenir un contrôle sécurisé de l’environnement. Avec ce type d’administration, chaque compte avec lequel un service est exécuté peut uniquement accéder aux ressources qui lui sont absolument nécessaires.

Nous vous recommandons de déployer de SharePoint Server avec une administration moins privilégié même si l’application administration de moindre privilège peut entraîner une augmentation des coûts opérationnels dans la mesure où des ressources supplémentaires peuvent être requis pour maintenir ce niveau de l’administration. En outre, la possibilité de résoudre les problèmes de sécurité peut également faire plus complexe.

Dans cet article :

  • Introduction

  • Least-privileged environment for accounts and services

Introduction

Les entreprises mettent en œuvre l’administration de privilèges minimum pour disposer d’un meilleur niveau de sécurité que celui généralement recommandé. Seul un faible pourcentage d’entreprises exigent ce niveau de sécurité accru, en raison du coût en ressources nécessaires au maintien de l’administration de privilèges minimum. Ce niveau accru de sécurité est par exemple nécessaire pour les déploiements effectués par les agences gouvernementales, les organisations de sécurité et les organisations du secteur financier. La mise en place d’un environnement basé sur les privilèges minimum ne doit pas être confondue avec l’application des meilleures pratiques. Dans ce type d’environnement, les administrateurs mettent en œuvre les meilleures pratiques en plus de niveaux de sécurité supplémentaires.

Environnement basé sur les privilèges minimum pour les comptes et les services

Pour planifier l’administration de moindre privilège, vous devez considérer plusieurs comptes, rôles et services. Certains s’appliquent à SQL Server et certains s’appliquent à SharePoint Server. Comme les administrateurs de verrouiller des comptes supplémentaires et des services, les coûts d’exploitation quotidiens sont susceptibles d’augmenter.

Rôles SQL Server

Dans un environnement SharePoint Server, plusieurs comptes peuvent être accordées par les deux rôles de niveau serveur SQL Server suivants. Dans un environnement de moindre privilège SharePoint Server, nous vous recommandons de vous accordez uniquement ces privilèges au compte sous lequel s’exécute le Microsoft SharePoint Foundation Service minuteur de flux de travail. En règle générale, le service du minuteur s’exécute sous le compte de batterie de serveurs. Pour les opérations quotidiennes, nous vous conseillons de supprimer les rôles suivants au niveau du serveur de SQL Server deux à partir de tous les autres comptes qui sont utilisés pour l’administration de SharePoint :

  • Dbcreator : les membres du rôle serveur fixe dbcreator peuvent créer, modifier, supprimer et restaurer les bases de données.

  • Securityadmin : les membres du rôle serveur fixe securityadmin gèrent les connexions et leurs propriétés. Ils peuvent accorder (GRANT), refuser (DENY) et révoquer (REVOKE) des autorisations de niveau serveur. Ils peuvent également accorder, refuser et révoquer des autorisations au niveau de la base de données s’ils ont accès à une base de données. En outre, ils peuvent réinitialiser les mots de passe pour les connexions à SQL Server.

    Note de sécuritéSecurity
    La possibilité d’accorder l’accès au moteur de base de données et de configurer les autorisations des utilisateurs permet aux administrateurs ayant le rôle securityadmin d’attribuer la plupart des autorisations de serveur. Le rôle securityadmin doit être vu comme équivalent au rôle sysadmin.

Pour plus d’informations sur les rôles SQL Server de niveau serveur, voir Rôles de niveau serveur.

Si vous supprimez un ou plusieurs de ces rôles SQL Server, vous pouvez recevoir des messages de type « erreur inattendue » sur le site web Administration centrale. En outre, vous pouvez recevoir le message suivant dans le fichier journal ULS (Unified Logging Service) :

System.Data.SqlClient.SqlException… Autorisation <operation type> refusée dans la base de données <database>.  Table <table>

En plus de l’affichage d’un message d’erreur, vous pouvez vous retrouver dans l’incapacité d’effectuer les tâches suivantes :

  • Restaurer la sauvegarde d’une batterie de serveurs, car vous ne pouvez pas écrire dans une base de données

  • Mettre en service une instance de service ou une application web

  • Configurer les comptes gérés

  • Modifier les comptes gérés pour des applications web

  • Effectuer quelque action que ce soit sur une base de données, un compte géré ou un service faisant appel au site web Administration centrale

Dans certaines situations, les administrateurs de base de données (DBA) souhaiterez fonctionnent indépendamment des administrateurs de SharePoint Server et de créer et de gérer toutes les bases de données. Cela est courant dans les environnements informatiques où les exigences de sécurité et stratégies de l’entreprise nécessitent une séparation des rôles d’administrateur. L’administrateur de batterie de serveurs fournit des SharePoint Server les exigences de base de données vers le DBA, ce qui crée les bases de données nécessaires et configure les connexions d’accès qui sont requises pour la batterie de serveurs.

Par défaut, l’administrateur dispose d’un accès complet à l’instance de SQL Server mais nécessite d’autres autorisations pour accéder aux SharePoint Server. En général, les administrateurs utilisent Windows PowerShell 3.0 lorsqu’ils ajoutent, créer, déplacement ou renommer des bases de données SharePoint, afin qu’ils doivent être membre des comptes suivants :

  • Rôle serveur fixe securityadmin sur l’instance SQL Server.

  • Rôle de base de données fixedb_owner sur toutes les bases de données de la batterie de serveurs SharePoint.

  • Groupe Administrateurs sur l’ordinateur sur lequel ils exécutent les applets de commande PowerShell.

En outre, il se peut que l’administrateur de base de données doive être membre du rôle SharePoint_Shell_Access pour accéder à la base de données de contenu SharePoint. Dans certains cas, il peut être conseillé pour l’administrateur de base de données d’ajouter le compte d’utilisateur d’installation au rôle db_owner.

rôles de SharePoint Server et de services

En général, vous devez supprimer la possibilité de créer de nouvelles bases de données à partir de la SharePoint Server des comptes de service. Que le compte sous lequel le service du minuteur s’exécute (généralement le compte de batterie de serveurs), aucun compte de service de SharePoint Server ne doit avoir le rôle sysadmin sur l’instance de SQL Server et aucun compte de service de SharePoint Server ne doit être un administrateur local sur le serveur qui exécute les SQL Server.

Pour plus d’informations sur les comptes de SharePoint Server, consultez Autorisations de compte et paramètres de sécurité dans SharePoint Server 2016.

Pour plus d’informations de compte dans Microsoft SharePoint Server 2013, consultez Autorisations de compte et paramètres de sécurité dans SharePoint 2013.

La liste suivante fournit des informations sur le verrouillage des autres rôles de SharePoint Server et de services :

  • SharePoint_Shell_Access role

    La suppression de ce rôle SQL Server enlève la possibilité d’écrire des entrées dans la base de données de configuration et de contenu, ainsi que la capacité à effectuer des tâches à l’aide de Microsoft PowerShell. Pour plus d’informations sur ce rôle, voir Add-SPShellAdmin.

  • SharePoint Timer service (SPTimerV4)

    Il est recommandé que vous ne limitez pas les autorisations par défaut accordées au compte sous lequel ce service s’exécute et que vous ne désactivez jamais ce compte. Au lieu de cela, utilisez un compte d’utilisateur sécurisé, pour lequel le mot de passe n’est pas largement connu, et laissez l’exécution du service. Par défaut, ce service est installé lorsque vous installez SharePoint Server et met à jour les informations de configuration du cache. Si vous définissez le type de service sur désactivé, vous pouvez rencontrer le problème suivant :

    • Les travaux du minuteur ne seront pas exécutés.

    • Les règles de l’analyseur d’intégrité ne seront pas exécutées.

    • La configuration de la batterie de serveurs et de la maintenance ne sera plus à jour.

  • SharePoint Administration service (SPAdminV4)

    Ce service effectue des changements automatiques requérant des droits d’administrateur local sur le serveur. Lorsque le service ne fonctionne pas, vous devez effectuer manuellement les modifications administratives de niveau serveur. Nous vous recommandons de ne pas limiter les autorisations par défaut accordées au compte avec lequel ce service fonctionne et de ne jamais désactiver ce compte. Au lieu de cela, utilisez un compte d’utilisateur sécurisé, dont le mot de passe est peu diffusé, et laissez le service activé. Si vous désactivez ce type de service, vous pouvez rencontrer les problèmes suivants :

    • Les travaux du minuteur d’administration ne seront pas exécutés.

    • Les fichiers de configuration web ne seront pas mis à jour.

    • Les groupes de sécurité et les groupes locaux ne seront pas mis à jour.

    • Les valeurs et les clés de Registre ne seront pas écrites.

    • Il peut être impossible de démarrer ou de redémarrer certains services.

    • La mise en service des services peut ne pas réussir à se terminer.

  • SPUserCodeV4 Service

    Ce service permet à un administrateur de collection de sites de télécharger les solutions en mode bac à sable (sandbox) dans la galerie de solutions. Si vous n’utilisez pas les solutions en mode bac à sable, vous pouvez désactiver ce service.

  • Claims To Windows Token service (C2WTS)

    Par défaut, ce service est désactivé. Le service C2WTS peut être requis pour un déploiement avec Excel Services, des instances PerformancePoint Server ou des services partagés SharePoint, qui doivent effectuer une traduction entre des jetons de sécurité SharePoint et des identités basées sur Windows. Par exemple, vous utilisez ce service pour configurer une délégation Kerberos contrainte afin d’accéder à des sources de données externes. Pour plus d’informations sur C2WTS, voir Planifier l’authentification Kerberos dans SharePoint 2013.

Les fonctionnalités suivantes peuvent présenter des symptômes supplémentaires dans certaines circonstances :

  • Backup and restore

    Les restaurations à partir d’une sauvegarde peuvent échouer si vous avez supprimé les autorisations d’accès aux bases de données.

  • Upgrade

    Le processus de mise à niveau démarre correctement, mais échoue si vous ne disposez pas des autorisations d’accès aux bases de données appropriées. Si votre entreprise utilise déjà un environnement basé sur les privilèges minimum, la solution consiste à passer à un environnement basé sur les meilleures pratiques pour terminer la mise à niveau, puis à revenir à l’environnement basé sur les privilèges minimum.

  • Update

    L’application d’une mise à jour logicielle à une batterie de serveurs réussira pour le schéma de la base de données de configuration, mais échouera pour la base de données de contenu et les services.

Éléments supplémentaires à prendre en compte dans le cas d’un environnement basé sur les privilèges minimum

Outre les considérations précédentes, vous devrez prendre en compte d’autres opérations. La liste suivante est incomplète. Sélectionnez les éléments à utiliser en fonction de vos besoins :

  • Setup user account - ce compte est utilisé pour configurer chaque serveur d’une batterie de serveurs. Le compte doit être membre du groupe Administrateurs sur chaque serveur de la batterie de SharePoint Server. Pour plus d’informations sur ce compte, consultez Comptes d’administration et de service de déploiement initial dans SharePoint Server.

  • Synchronization account - pour SharePoint Server du serveur, ce compte est utilisé pour se connecter au service d’annuaire. Il est recommandé que vous ne limitez pas les autorisations par défaut accordées au compte sous lequel ce service s’exécute et que vous ne désactivez jamais ce compte. Au lieu de cela, utilisez un compte d’utilisateur sécurisé, pour lequel le mot de passe n’est pas largement connu, et laissez l’exécution du service. Ce compte requiert également l’autorisation répliquer des modifications d’annuaire dans les services AD DS qui active le compte pour lire des objets AD DS et de découvrir des objets de domaine Active Directory qui ont été modifiées dans le domaine. L’autorisation Grant répliquer des modifications de répertoire n’active pas le compte à créer, modifier ou supprimer des objets de service d’annuaire Active Directory.

  • Compte de pool d’applications d’hôte de sites Mon site : il s’agit du compte avec lequel le pool d’applications de Mon site est exécuté. Pour configurer ce compte, vous devez être membre du groupe Administrateurs de batterie. Vous pouvez limiter les privilèges de ce compte.

  • Groupe d’utilisateurs prédéfini : la suppression du groupe d’utilisateurs de sécurité prédéfini ou la modification des autorisations peuvent avoir des conséquences imprévues. Nous vous recommandons de ne pas limiter les privilèges des comptes ou des groupes prédéfinis.

  • Group permissions - par défaut qu'au groupe SharePoint de WSS_ADMIN_WPG a lu et un accès en écriture aux ressources locales. Les emplacements de système de fichiers WSS_ADMIN_WPG , %WINDIR%\System32\drivers\etc\Hosts et %WINDIR%\Tasks suivants sont nécessaires pour les SharePoint Server de fonctionner correctement. Si d’autres services ou applications sont en cours d’exécution sur un serveur, vous pouvez envisager comment accéder aux emplacements de dossier des tâches ou des hôtes. Pour plus d’informations sur les paramètres de compte de SharePoint Server, consultez Autorisations de compte et paramètres de sécurité dans SharePoint Server 2016.

    Pour plus d’informations de compte dans Microsoft SharePoint Server 2013, consultez Autorisations de compte et paramètres de sécurité dans SharePoint 2013.

  • Modifier les autorisations d’un service : modifier une autorisation pour un service peut avoir des conséquences imprévues. Par exemple, si la clé de Registre HKLM\SYSTEM\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters a la valeur 0, le service User Code Host sera désactivé, ce qui entraînera l’arrêt du fonctionnement des solutions en mode bac à sable.

See also

Configuration de privilèges minimum pour le gestionnaire de workflow avec SharePoint 2013