Partager via


Planifier la sécurité pour un environnement d'équipe ou de service interne (Windows SharePoint Services)

Mise à jour : 2009-04-16

Dans cet article :

  • Sécuriser la liste de vérification de conception

  • Planifier le renforcement de la sécurité des rôles serveurs

  • Planifier des configurations sécurisées pour les fonctionnalités Windows SharePoint Services

Les conseils de sécurité pour une équipe ou un service interne privilégient les recommandations sur les configurations et les paramètres de sécurité pratiques pour une équipe ou un service au sein d'une entreprise de grande taille. Ces instructions supposent que les serveurs ne sont pas hébergés par l'équipe informatique principale au sein de l'entreprise.

Bien que les instructions pour cet environnement requièrent des connaissances en informatique, il n'est pas nécessaire que les administrateurs de batterie soient des informaticiens spécialisés. Si des rôles plus spécifiques sont nécessaires pour implémenter un paramètre, ces rôles sont indiqués.

Ces instructions sont destinées à être utilisées conjointement aux instructions fournies dans Planifier des configurations sécurisées pour les fonctionnalités Windows SharePoint Services.

Sécuriser la liste de vérification de conception

Consultez la liste de vérification suivante pour vous assurer que vos prévisions répondent aux critères d'une conception de topologie de serveur sécurisée.

Topologie

[ ]

Dans le cadre d'un déploiement pour une équipe ou un service qui dispose d'un accès interne uniquement, Windows SharePoint Services 3.0 peut être installé sur un seul serveur ou sur deux serveurs.

[ ]

Dans le cadre d'un déploiement sur au moins deux serveurs, le site Administration centrale doit être hébergé, dans la mesure du possible, sur un autre serveur que le serveur Web frontal. Ceci ne peut s'effectuer que si les rôles serveurs d'applications sont hébergés sur un autre serveur que le rôle serveur Web frontal.

Par exemple, si le serveur A héberge le rôle serveur Web frontal et le serveur B héberge le rôle de base de données et le rôle serveur d'applications, l'emplacement le plus sécurisé pour le site Administration centrale est le serveur B. En revanche, si le serveur A héberge le serveur Web frontal et les rôles serveur d'applications et le serveur B héberge uniquement le rôle de base de données, la seule option consiste à héberger le site Administration centrale sur le serveur A.

Architecture logique

[ ]

Au moins une zone de chaque application Web utilise l'authentification NTLM. Celle-ci est nécessaire pour que le compte de recherche puisse analyser le contenu de l'application Web. Le compte de recherche ne peut pas utiliser l'authentification Kerberos pour analyser du contenu.

Pour plus d'informations, voir Planifier des méthodes d’authentification (Windows SharePoint Services).

[ ]

Lors du déploiement de composants WebPart personnalisés, assurez-vous que seuls des composants WebPart dignes de confiance sont déployés dans des applications Web qui hébergent du contenu sensible ou sécurisé. Cela protège le contenu sensible contre les attaques par script entre sites.

Planifier le renforcement de la sécurité des rôles serveurs

Les instructions pour un environnement d'équipe ou de service interne supposent que l'accès interne est uniquement autorisé aux serveurs, aux sites et au contenu et que l'environnement réseau global est sécurisé par des stratégies développées par un service informatique. Par conséquent, le renforcement de la protection des serveurs pour des rôles spécifiques n'est pas aussi utile que pour les autres environnements. Toutefois, plusieurs fonctionnalités nécessitent des services spécifiques ou d'autres paramètres qui autrement pourraient ne pas être configurés.

Le tableau suivant décrit les paramètres recommandés de renforcement de la sécurité pour une équipe ou un service interne.

Composant fonctionnel Paramètre

Intégration de messagerie

Si l'intégration de messagerie est activée, le service SMTP est requis sur un serveur Web frontal.

Planifier des configurations sécurisées pour les composants fonctionnels Windows SharePoint Services

Le tableau suivant décrit des recommandations supplémentaires pour la sécurisation des composants fonctionnels Windows SharePoint Services 3.0. Ces recommandations sont appropriés pour un environnement d'équipe ou de service interne.

Composant fonctionnel ou zone Recommandation

Authentification

Procédez à l'authentification auprès du système de gestion des identités existant. Si ce n'est pas le service d'annuaire Active Directory, utilisez l'authentification par formulaires ASP.NET pour vous connecter à votre système de gestion des identités. L'utilisation de l'authentification par formulaires peut nécessiter l'assistance des rôles suivants :

  • Le développeur ASP.NET pour développer le fournisseur d'authentification.

  • L'administrateur du système de gestion des identités auquel vous vous connectez.

Site Administration centrale

  • Limitez l'accès au site Administration centrale aux utilisateurs appropriés uniquement.

  • Si vous activez l'administration à distance sur le site Administration centrale, sécurisez ce dernier à l'aide de SSL (Secure Sockets Layer).

  • Les administrateurs qui exécutent des opérations de déploiement doivent être membres du groupe local Administrateurs sur le serveur qui héberge le site Administration centrale.

Service Administration Windows SharePoint Services

Dans un déploiement sur un seul serveur, le service Administration Windows SharePoint Services est désactivé par défaut pour les raisons suivantes :

  • Ce service, utilisé pour exécuter des tâches de déploiement qui sont lancées à partir du site Administration centrale, n’est généralement pas nécessaire pour un déploiement sur un seul serveur. En revanche, ces tâches de déploiement sont exécutées à l’aide de l’outil en ligne de commande Stsadm.exe qui ne nécessite pas l’utilisation de ce service.

  • Le compte utilisé pour le site Administration centrale est partagé par tous les autres processus. Par conséquent, la désactivation de ce service se traduit par une configuration plus sécurisée.

Pour un déploiement sur un seul serveur sécurisé, il est recommandé de :

  • Modifier le compte de batterie de serveurs après avoir exécuté le programme d'installation.

  • Démarrer le service Administration Windows SharePoint Services.

Ces actions vous permettront d'exécuter des tâches liées au déploiement directement dans le site Administration centrale.

Télécharger ce livre

Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :

Consultez la liste des livres disponibles à l’adresse Livres à télécharger pour Windows SharePoint Services.