Planifier le renforcement de la sécurité (SharePoint Foundation 2010)

 

S’applique à : SharePoint Foundation 2010

Dernière rubrique modifiée : 2016-11-30

Cet article décrit le renforcement de la sécurité pour les rôles de serveur de bases de données, de serveur d’applications et de serveur Web Microsoft SharePoint Foundation 2010, et fournit des indications détaillées sur la configuration requise pour sécuriser spécifiquement des ports, des protocoles et des services dans les Produits Microsoft SharePoint 2010.

Dans cet article :

• Instantanés de serveur sécurisé

• Instructions spécifiques à propos des ports, des protocoles et des services

Instantanés de serveur sécurisé

Dans un environnement de batterie de serveurs, les différents serveurs jouent des rôles spécifiques. Les recommandations pour renforcer la sécurité de ces serveurs dépendent du rôle joué par chacun d’eux. Cet article contient des instantanés sécurisés pour deux catégories de rôles de serveur :

• Rôles de serveur Web et de serveur d'applications

• Rôle de serveur de bases de données

Les instantanés sont divisés en catégories de configuration commune. Les caractéristiques établies pour chaque catégorie représentent l’état de sécurisation optimale pour les Produits Microsoft SharePoint 2010. Cet article ne donne pas d’instructions pour la sécurisation des autres logiciels de l’environnement.

Rôles de serveur Web et de serveur d’applications

Cette section identifie les caractéristiques de renforcement pour les serveurs Web et les serveurs d’applications. Certains conseils s’appliquent à des applications de service spécifiques ; dans ces cas, les caractéristiques correspondantes ne doivent être appliquées qu’aux serveurs qui exécutent les services associés aux applications de service spécifiées.

Catégorie	Caractéristique
Services répertoriés dans le composant logiciel enfichable MMC Services	Activez les services suivants : Partage de fichiers et d'imprimantes Service de publication World Wide Web Assurez-vous que ces services ne sont pas désactivés : Service d’émission de jetons Revendications vers Windows Administration de SharePoint 2010 Minuteur de SharePoint 2010 Suivi de SharePoint 2010 Enregistreur VSS de SharePoint 2010 Assurez-vous que ces services ne sont pas désactivés sur les serveurs qui hébergent les rôles correspondants : Hôte de code utilisateur SharePoint 2010 SharePoint Foundation Search V4
Ports et protocoles	TCP 80, TCP 443 (SSL) Service Partage de fichiers et d’imprimantes — l’une ou l’autre des configurations suivantes utilisées par les rôles de recherche : Hébergement direct SMB (TCP/UDP 445) — port recommandé NetBIOS sur TCP/IP (NetBT) (ports TCP/UDP 137, 138, 139) — désactivez ce port si vous ne l’utilisez pas Ports requis pour la communication entre les serveurs Web et les applications de service (la valeur par défaut est HTTP) : Liaison HTTP : 32843 Liaison HTTPS : 32844 liaison NET.TCP : 32845 (uniquement si un tiers a mis en œuvre cette option pour une application de service) Port UDP 1434 et port TCP 1433 — ports par défaut pour la communication SQL Server. Si ces ports sont bloqués sur l’ordinateur SQL Server (recommandé) et que les bases de données sont installées sur une instance nommée, configurez un alias client SQL Server pour la connexion à l’instance nommée. Port TCP/IP 32846 pour le service de code utilisateur Microsoft SharePoint Foundation (pour les solutions en bac à sable) — ce port doit être ouvert pour les connexions sortantes sur tous les serveurs Web. Il doit être ouvert pour les connexions entrantes sur les serveurs Web ou les serveurs d’applications où ce service est activé. Assurez-vous que les ports restent ouverts pour les applications Web qui sont accessibles aux utilisateurs. Bloquez l’accès externe au port qui est utilisé pour le site Administration centrale. TCP/25 (SMTP pour l’intégration de messagerie)
Registre	Aucune instruction supplémentaire
Audit et journalisation	Si les fichiers journaux sont déplacés, assurez-vous que leurs emplacements sont mis à jour pour correspondre. Mettez à jour également les listes de contrôle d’accès aux répertoires (ACL).
Sécurité d'accès au code	Assurez-vous de disposer d’un ensemble minimal d’autorisations de sécurité d’accès au code activées pour votre application Web. L’élément <trust> dans le fichier Web.config pour chaque application Web doit être défini comme WSS_Minimal (où WSS_Minimal possède ses valeurs par défaut faibles telles qu’elles sont définies dans 14\config\wss_minimaltrust.config ou dans votre propre fichier de stratégie personnalisée, qui est défini de façon minimale).
Web.config	Suivez ces recommandations pour chaque fichier Web.config qui est créé après avoir exécuté le programme d’installation : N'autorisez pas la compilation ou les scripts de pages de bases de données via les éléments PageParserPaths. Assurez-vous que <SafeMode> CallStack=""false"" et que AllowPageLevelTrace=""false"". Assurez-vous que l'attribut MaxZoneParts de la valeur WebPartLimits est défini sur une valeur faible. Assurez-vous que la liste SafeControls est définie sur l'ensemble minimal de contrôles nécessaires pour vos sites. Assurez-vous que votre liste Workflow SafeTypes est définie sur le niveau minimal de SafeTypes nécessaires. Assurez-vous que customErrors est activé (<customErrors mode=""On""/>). Prenez en compte vos paramètres de proxy Web selon vos besoins (<system.net>/<defaultProxy>). Définissez la limite de Upload.aspx à la taille que vous estimez la plus élevée possible pour les téléchargements effectués par les utilisateurs (la valeur par défaut est 2 Go). Les performances peuvent être affectées par des téléchargements supérieurs à 100 Mo.

Rôle de serveur de bases de données

La principale recommandation pour les Produits SharePoint 2010 est de sécuriser la communication entre batteries en bloquant les ports par défaut utilisés pour la communication Microsoft SQL Server et en établissant à la place des ports personnalisés pour cette communication. Pour plus d’informations sur la configuration de ports pour la communication SQL Server, voir Blocking the standard SQL Server ports, plus loin dans cet article.

Catégorie	Caractéristique
Ports	Bloquez le port UDP 1434. Envisagez le blocage du port TCP 1433.

Cet article ne décrit pas comment sécuriser SQL Server. Pour savoir comment sécuriser SQL Server, voir Sécurisation de SQL Server (https://go.microsoft.com/fwlink/?linkid=186828&clcid=0x40C).

Instructions spécifiques à propos des ports, des protocoles et des services

Le reste de cet article décrit de manière détaillée les exigences spécifiques pour renforcer la sécurité des Produits SharePoint 2010.

Dans cette section :

• Blocking the standard SQL Server ports

• Service application communication

• File and Printer Sharing service requirements

• Exigences relatives au renforcement de la sécurité du service Profil utilisateur

• Connections to external servers

• Services requis pour l'intégration de messagerie

• Conditions de service requises pour l'état de session

• SharePoint 2010 Products services

• Web.config file

Blocage des ports SQL Server standard

Les ports spécifiques utilisés pour se connecter à SQL Server sont affectés par le fait que les bases de données sont installées soit sur une instance par défaut de SQL Server, soit sur une instance nommé de SQL Server. L’instance par défaut de SQL Server écoute les demandes des clients sur le port TCP 1433, tandis qu’une instance nommée de SQL Server écoute sur un numéro de port affecté de manière aléatoire. En outre, le numéro de port d’une instance nommée peut être réaffecté si l’instance est redémarrée (selon que le numéro de port précédemment affecté est toujours disponible ou non).

Par défaut, les ordinateurs clients qui se connectent à SQL Server se connectent d’abord par l’intermédiaire du port TCP 1433. Si cette communication échoue, ils interrogent le service de résolution SQL Server à l’écoute sur le port UDP 1434 pour déterminer le port sur lequel l’instance de base de données est à l’écoute.

Le comportement par défaut de SQL Server en matière de communication présente plusieurs problèmes qui affectent le renforcement de la protection des serveurs. Tout d’abord, les ports utilisés par SQL Server sont des ports largement ouverts au public et le service de résolution SQL Server a déjà été la cible d’attaques par dépassement de la mémoire tampon et d’attaques par déni de service, y compris du ver informatique « Slammer ». Même si SQL Server a été corrigé pour atténuer les problèmes de sécurité dans le service de résolution SQL Server, les ports largement ouverts au public demeurent une cible. Ensuite, si les bases de données sont installées sur une instance nommée de SQL Server, le port de communication correspondant est affecté de manière aléatoire et peut changer. Ce comportement risque d’empêcher la communication de serveur à serveur dans un environnement où la sécurité est renforcée. La possibilité de contrôler l’ouverture et le blocage des ports TCP est essentielle pour sécuriser votre environnement.

Par conséquent, il est recommandé pour une batterie de serveurs d’affecter des numéros de port statiques aux instances nommées de SQL Server et de bloquer le port UDP 1434 pour empêcher les éventuels pirates d’accéder au service de résolution SQL Server. En outre, songez à réaffecter le port utilisé par l’instance par défaut et à bloquer le port TCP 1433.

Il existe plusieurs méthodes pour bloquer les ports. Vous pouvez le faire à l’aide d’un pare-feu. Toutefois, à moins d’être certain qu’il n’existe aucun autre itinéraire vers le segment réseau et qu’aucun utilisateur malveillant n’a accès au segment réseau, il est recommandé de bloquer ces ports directement sur le serveur qui héberge SQL Server. Pour ce faire, vous pouvez utiliser le Pare-feu Windows dans le Panneau de configuration.

Configuration des instances de base de données SQL Server pour écouter sur un port non standard

SQL Server offre la possibilité de réassigner les ports utilisés par l’instance par défaut et les instances nommées. Dans SQL Server 2005 et SQL Server 2008, vous réaffectez les ports à l’aide du Gestionnaire de configuration SQL Server.

Configuration des alias de clients SQL Server

Dans une batterie de serveurs, tous les serveurs Web frontaux et les serveurs d’applications sont des ordinateurs clients SQL Server. Si vous bloquez le port UDP 1434 sur l’ordinateur SQL Server ou si vous changez le port par défaut de l’instance par défaut, vous devez configurer un alias de client SQL Server sur tous les serveurs qui se connectent à l’ordinateur SQL Server.

Pour se connecter à une instance de SQL Server 2005 ou SQL Server 2008, installez les composants clients SQL Server sur l’ordinateur cible, puis configurez l’alias de client SQL Server à l’aide du Gestionnaire de configuration SQL Server. Pour installer les composants clients SQL Server, exécutez le programme d’installation et sélectionnez uniquement les composants clients suivants à installer :

• Composants de connectivité

• Outils de gestion (dont le Gestionnaire de configuration SQL Server)

Pour connaître les étapes de renforcement spécifiques pour le blocage des ports SQL standard, voir Sécuriser SQL Server pour les environnements SharePoint (SharePoint Foundation 2010).

Communication des applications de service

Par défaut, la communication entre les serveurs Web et les applications de service au sein d’une batterie de serveurs utilise HTTP avec une liaison au port 32843. Lorsque vous publiez une application de service, vous pouvez sélectionner HTTP ou bien HTTPS, avec les liaisons suivantes :

• Liaison HTTP : port 32843

• Liaison HTTPS : port 32844

En outre, les tiers qui développent des applications de service peuvent implémenter un troisième choix :

• Liaison NET.TCP : port 32845

Vous pouvez changer le protocole et la liaison de port pour chaque application de service. Dans la page Applications de service de l’Administration centrale, sélectionnez l’application de service, puis cliquez sur Publier.

La communication entre les applications de service et SQL Server s’effectue via les ports SQL Server standard ou les ports que vous configurez pour la communication SQL Server.

Conditions requises par le service de partage de fichiers et d'imprimantes

Plusieurs fonctionnalités de base dépendent du service Partage de fichiers et d'imprimantes et des protocoles et ports correspondants. La liste non exhaustive de ces fonctionnalités est la suivante :

• Requêtes de recherche   Toutes les requêtes de recherche nécessitent le service Partage de fichiers et d’imprimantes.

• Analyse et indexation de contenu   Pour analyser le contenu, les serveurs qui incluent des composants d’analyse envoient les requêtes via le serveur Web frontal. Ce dernier communique directement avec les bases de données de contenu et renvoie les résultats aux serveurs qui incluent les composants d’analyse. Cette communication nécessite le service Partage de fichiers et d’imprimantes.

Le service Partage de fichiers et d’imprimantes requiert l’utilisation de canaux nommés. Les canaux nommés peuvent communiquer en utilisant le protocole SMB hébergé directement ou le protocole NetBT. Pour un environnement sécurisé, le protocole SMB hébergé directement est recommandé plutôt que le protocole NetBT. Les recommandations de renforcement de la sécurité fournies dans cet article supposent l’utilisation du protocole SMB.

Le tableau suivant décrit les conditions requises par le renforcement de la sécurité qui sont générées par la dépendance au service Partage de fichiers et d'imprimantes.

Catégorie	Configuration requise	Remarques
Services	Partage de fichiers et d'imprimantes	Requiert l'utilisation de canaux nommés.
Protocoles	Canaux nommés utilisant le protocole SMB à hébergement direct Désactiver NetBT	Les canaux nommés peuvent utiliser le protocole NetBT au lieu du protocole SMB hébergé directement. Toutefois, le protocole NetBT n’est pas considéré comme autant sécurisé que le protocole SMB hébergé directement.
Ports	L’un des éléments suivants : SMB hébergé directement (TCP/UDP 445) — recommandé NetBT (ports TCP/UDP 137, 138, 139)	Désactiver NetBT (ports 137, 138 et 139) s’il n’est pas utilisé

Pour plus d’informations sur la désactivation du protocole NetBT, voir l’article 204279 de la Base de connaissances Microsoft : Hébergement direct de SMB sur TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x40C).

Services requis pour l'intégration de messagerie

L'intégration de messagerie nécessite l'utilisation de deux services :

• SMTP service

• Microsoft SharePoint Directory Management service

Service SMTP

L’intégration de la messagerie nécessite l’utilisation du service SMTP (Simple Mail Transfer Protocol) sur au moins l’un des serveurs Web frontaux de la batterie de serveurs. Le service SMTP est requis pour le courrier électronique entrant. Pour le courrier électronique sortant, vous pouvez soit utiliser le service SMTP soit acheminer le courrier via un serveur de messagerie dédié de votre organisation, tel qu’un ordinateur Microsoft Exchange Server.

Service de gestion d'annuaire Microsoft SharePoint

Produits SharePoint 2010 inclut un service interne, le service de gestion d’annuaire Microsoft SharePoint, pour la création des groupes de distribution de courrier. Lorsque vous configurez l’intégration de messagerie, vous avez la possibilité d’activer la fonctionnalité Service de gestion d’annuaire qui permet aux utilisateurs de créer des listes de distribution. Lorsque les utilisateurs créent un groupe SharePoint et sélectionnent l’option permettant de créer une liste de distribution, le service de gestion d’annuaire Microsoft SharePoint crée la liste de distribution Active Directory correspondante dans l’environnement Active Directory.

Dans les environnements où la sécurité est renforcée, il est recommandé de restreindre l’accès au service de gestion d’annuaire Microsoft SharePoint en sécurisant le fichier associé à ce service, SharePointEmailws.asmx. Par exemple, autorisez l’accès à ce fichier uniquement au compte de batterie de serveurs.

En outre, ce service nécessite des autorisations dans l’environnement Active Directory pour créer des objets liste de distribution Active Directory. Il est recommandé de configurer une unité d’organisation séparée dans Active Directory pour les objets des Produits SharePoint 2010. Seule cette unité d’organisation doit autoriser l’accès en écriture au compte utilisé par le service de gestion d’annuaire Microsoft SharePoint.

Services des produits SharePoint 2010

Ne désactivez pas les services qui sont installés par les Produits SharePoint 2010 (répertoriés dans l’instantané précédent).

Si votre environnement n’autorise pas les services qui s’exécutent en tant que système local, vous pouvez désactiver le service Administration de SharePoint 2010 uniquement si vous en connaissez les conséquences et êtes en mesure de les contourner. Il s’agit d’un service Win32 qui s’exécute en tant que système local.

Ce service est utilisé par le service du minuteur SharePoint 2010 pour effectuer des actions qui nécessitent des autorisations d’administration sur le serveur, telles que la création de sites Web IIS (Internet Information Services), le déploiement de code, et l’arrêt et le redémarrage de services. Si vous désactivez ce service, vous ne pourrez pas terminer les tâches liées au déploiement à partir du site Administration centrale. Vous devez utiliser Windows PowerShell pour exécuter l’applet de commande Start-SPAdminJob (ou utiliser l’outil en ligne de commande Stsadm.exe pour exécuter l’opération execadmsvcjobs) pour effectuer des déploiements sur plusieurs serveurs pour les Produits SharePoint 2010 et pour effectuer d’autres tâches liées au déploiement.

Fichier Web.config

.NET Framework, et ASP.NET en particulier, utilisent des fichiers de configuration au format XML pour configurer les applications. .NET Framework se base sur les fichiers de configuration pour définir les options de configuration. Ce sont des fichiers texte XML. En règle générale, plusieurs fichiers de configuration existent sur un seul système.

Les paramètres de configuration à l’échelle du système pour .NET Framework sont définis dans le fichier Machine.config. Ce fichier est situé dans le dossier %SystemRoot%\Microsoft.NET\Framework\%NuméroVersion%\CONFIG\. Les paramètres par défaut contenus dans le fichier Machine.config peuvent être modifiés pour affecter le comportement des applications qui utilisent .NET Framework sur l’ensemble du système.

Vous pouvez modifier les paramètres de configuration ASP.NET pour une application si vous créez un fichier web.config dans le dossier racine de l'application. Lorsque vous procédez ainsi, les paramètres du fichier web.config remplacent les paramètres du fichier Machine.config.

Lorsque vous étendez une application Web en utilisant l’Administration centrale, les Produits SharePoint 2010 créent automatiquement un fichier Web.config pour l’application Web.

L’instantané de serveur Web et de serveur d’applications présenté plus haut dans cet article répertorie les recommandations pour la configuration des fichiers Web.config. Ces recommandations sont destinées à être appliquées à chaque fichier Web.config créé, y compris le fichier Web.config du site Administration centrale.

Pour plus d'informations sur les fichiers de configuration ASP.NET et sur la modification d'un fichier Web.config, voir Configuration d'ASP.NET (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x40C).