次の表は、Office SharePoint Server 2007 の機能のセキュリティに関する推奨事項を示しています。
機能または領域
説明と推奨事項
認証
サーバーの全体管理サイトを使用するときに、クライアント側の自動ログオンを使用しないでください。
フロントエンド Web サーバー コンピュータのみが、ユーザーの認証を実行するようにします。データベース サーバー コンピュータに対する認証では、エンドユーザーのアカウントまたはグループの使用を許可しないでください。
承認
権限を個々のアカウントではなくグループに割り当てます。
アクセス許可レベル
ユーザーが各自のタスクを実行するために必要な最低限の権限を割り当てます。
管理
アクセス権限を使用してサーバーの全体管理サイトをセキュリティ保護し、管理者がサイトにリモート接続できるようにします (ローカル コンピュータでの使用時にだけサーバーの全体管理サイトを有効にするのではなく)。これにより、管理者はサーバーの全体管理をホストするコンピュータにローカルにログオンしなければならないという負担がなくなります。コンピュータへのターミナル サービス アクセスを構成すると、サーバーの全体管理 Web サイトへのリモート アクセスを有効にしておくよりも大きなセキュリティ リスクが発生します。
電子メール統合
ウイルスや未承諾の広告宣伝メールの除外やメールの送信者の認証を行う、Microsoft Exchange Server などの専用のメール サーバーを介して中継された電子メールだけを受け付けるように Office SharePoint Server 2007 を構成します。
ワークフロー設定を構成すると、Office SharePoint Server 2007 では、サイト上のドキュメントへのアクセス許可を持たない参加者が、そのドキュメントを電子メールの添付ファイルとして受信できるようになります。セキュリティ保護された環境では、[外部ユーザーにドキュメントのコピーを送信してワークフローへの参加を許可する] オプションは選択しないでください。Office SharePoint Server 2007 では、このオプションは既定では選択されていません。
Web パーツの保存とセキュリティ
サーバー ファームには信頼できるコードのみを展開するようにしてください。展開するすべてのコード、XML、または ASP.NET コードは、信頼できるソースから取得する必要があります。コード アクセス セキュリティなどの多層防御手段によって展開後にセキュリティを強化する予定であるとしても同様です。
Web.config ファイルの SafeControl リストに、許可する一連のコントロールと Web パーツが含まれていることを確認してください。
多層防御手段による強化を予定しているカスタム Web パーツは、アセンブリごとに権限を指定して、Web アプリケーション (部分信頼が有効になっている) の bin ディレクトリにインストールします。
SafeControl リストからコンテンツ エディタ Web パーツを削除することを検討します。これにより、ユーザーが JavaScript を Web パーツとしてページに追加したり、外部サーバーでホストされる JavaScript を使用したりすることを防止します。
サイト内でのデザイン アクセス許可レベルおよび投稿アクセス許可レベルが組織内の適切な担当者に与えられていることを確認します。投稿アクセス許可レベルを持つユーザーは、Active Server Page Extension (ASPX) ページをライブラリにアップロードして Web パーツを追加できます。デザイン アクセス許可レベルを持ち、Web パーツの追加を許可されているユーザーは、ホーム ページ (Default.aspx) も含め、サイト上のページに変更を加えることができます。
検索
既定のコンテンツ アクセス アカウントは、ファーム管理者グループのメンバにしないでください。このグループのメンバにすると、Office SharePoint Server Search サービスは未発行のバージョンのドキュメントのインデックスまで作成するようになります。
展開する追加の IFilter とワード ブレーカが IT チームによって信頼されていることを確認します。
Self-Service Site の管理を使用すると、ユーザーが独自のトップレベル Web サイトを自動的に作成および管理できるようになります。Web アプリケーションで Self-Service Site Creation を有効にすると、ユーザーは特定のパス (既定では /sites パス) の下位に、独自のトップレベル Web サイトを作成できます。Self-Service Site Creation を有効にすると、Web アプリケーションのルート パスにあるトップレベル サイトにお知らせが追加されるので、そのお知らせを表示する権限を持つユーザーは新しいサイトにリンクすることができます。
Self-Service Site Creation を有効にするかどうかを、以下の環境に応じて決定します。
イントラネット環境 業務上のニーズに応じて Self-Service Site Creation を有効にします。
セキュリティ保護されたグループ作業環境 この機能を業務上必要としているユーザーまたはグループに対してのみ Self-Service Site Creation を有効にします。
外部の匿名環境 インターネット上では Self-Service Site Creation を有効にしないでください。
サイト ディレクトリ
一部のサイト テンプレートにはサイト ディレクトリが含まれています。サイト ディレクトリは、承認されたサイト リンクの Web ページです。サイト ディレクトリに追加するサイトはだれでも申請できます。サイトを承認してサイト ディレクトリに追加できるのは、サイト ディレクトリの管理者のみです。
個人設定を行ったコンテンツに対してキャッシュ後の置換がサポートされない場合、ユーザーが持つアクセス許可が同じならば同じコンテンツが表示されます。たとえば、ユーザー A 用に個人設定を行ったコンテンツが最初にキャッシュされると、ユーザー A と同じアクセス許可を持つ後続のすべてのユーザーには各自のコンテンツが表示されず、ユーザー A の個人設定を行ったコンテンツが表示されます。