Planejamento para administração de privilégios mínimos no SharePoint Server

  • Artigo

APLICA-SE A:yes-img-132013 yes-img-16 2016yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

O conceito de administração com privilégios mínimos consiste em atribuir aos usuários as permissões mínimas exigidas para que os mesmos finalizem as tarefas autorizadas. O objetivo da administração com privilégios mínimos é configurar e ajudar a manter o controle seguro de um ambiente. O resultado é que cada conta sob a qual um serviço é executado tem acesso apenas aos recursos necessários.

A Microsoft recomenda implantar o SharePoint Server com administração menos privilegiada. Implementar a administração menos privilegiada pode resultar em custos operacionais maiores, pois outros recursos podem ser necessários para manter esse nível de administração. Além disso, a capacidade de solucionar problemas de segurança torna-se mais complexa.

Introdução

As organizações implementam a administração com privilégios mínimos para atingir uma segurança melhor do que aquela que conseguiriam com as recomendações normais. Apenas um pequeno percentual de organizações requer esse nível elevado de segurança devido aos custos de recursos de manutenção da administração menos privilegiada. Entre as implantações que podem exigir este nível elevado de segurança estão as agências governamentais, organizações de segurança e organizações na indústria de serviços financeiros. A implementação de um ambiente menos privilegiado não deve ser confundida com as melhores práticas. Em um ambiente menos privilegiado, os administradores implementam práticas recomendadas junto com outros níveis elevados de segurança.

Ambiente menos privilegiado para contas e serviços

Para planejar uma administração com privilégios mínimos, você deve considerar várias contas, funções e serviços. Alguns são aplicáveis ao SQL Server e outros são aplicáveis ao SharePoint Server. À medida que os administradores bloqueiam outras contas e serviços, os custos operacionais diários provavelmente aumentarão.

Funções do SQL Server

Em um ambiente SharePoint Server , várias contas podem receber as duas funções no nível do servidor a seguir do SQL Server. Em um ambiente com privilégios mínimos do SharePoint Server, recomendamos que você use conceda estes privilégios somente para a conta na qual o Serviço de Timer do Fluxo de Trabalho do Microsoft SharePoint Foundation estiver sendo executado. Normalmente, o serviço de timer é executado na conta do farm do servidor. Para operações do dia-a-dia, recomendamos que você remova as duas funções a seguir de nível do servidor SQL Server de todas as outras contas que são usadas para a administração do SharePoint:

  • Dbcreator - membros da função de servidor fixa dbcreator podem criar, alterar, remover ou restaurar qualquer banco de dados.

  • Securityadmin - Membros da função de servidor fixa securityadmin gerenciam logons e suas propriedades. Eles podem CONCEDER, NEGAR ou REVOGAR permissões no nível do servidor. Eles podem também CONCEDER, NEGAR e REVOGAR permissões no nível do banco de dados se os mesmos tiverem acesso ao banco de dados. Além disso, eles podem redefinir senhas para logons do SQL Server.

Observação

A capacidade de conceder acesso ao mecanismo de banco de dados e configurar permissões de usuário permite que o administrador de segurança atribua a maioria das permissões do servidor. Você deve tratar a função securityadmin como se fosse a função sysadmin.

Para obter mais informações sobre SQL Server funções no nível do servidor, consulte Funções de nível de servidor.

Se você remover uma ou mais destas funções do SQL Server, você pode receber mensagens de erro "Inesperado" no web site Administração Central. Além disso, você pode receber a seguinte mensagem no arquivo de log do Serviço de Log Unificado (ULS):

System.Data.SqlClient.SqlException... <permissão de tipo> de operação negada no banco de dados de banco de dados<>. Tabela tabela <>

Além da mensagem de erro que será exibida, você pode não ser capaz de realizar as seguintes tarefas:

  • Restaurar um backup de um farm porque você não pode escrever em um banco de dados

  • Provisionar uma instância de serviço ou aplicativo web

  • Configurar contas gerenciadas

  • Alterar contas gerenciadas para aplicativos web

  • Realizar qualquer ação em qualquer banco de dados, conta gerenciada ou serviço que exija o web site Administração Central

Em certas situações, os administradores de bancos de dados (DBAs) podem querer operar de forma independente em relação aos administradores do SharePoint Server criando e gerenciando todos os bancos de dados. Isso é normal em ambientes de TI onde os requisitos de segurança e as políticas da empresa exigem uma separação das funções de administrador. O administrador do farm fornece os requisitos do banco de dados SharePoint Server para o DBA que, por sua vez, cria os bancos de dados necessários e define os logons exigidos para o farm.

Por padrão, o DBA possui acesso total à instância do SQL Server, mas precisa de permissões adicionais para acessar o SharePoint Server. Os DBAs normalmente usam o Windows PowerShell 3.0 ao adicionar, criar, mover ou renomear os bancos de dados do SharePoint, então eles precisam ser um membro das seguintes contas:

  • A função de servidor fixa securityadmin na instância do SQL Server.

  • Db_owner função de servidor fixa em todos os bancos de dados no farm do SharePoint.

  • Grupo de administradores no computador no qual os cmdlets do PowerShell são executados.

Além disso, o DBA pode ter que ser um membro da função SharePoint_Shell_Access para acessar o banco de dados de conteúdo. Em algumas situações, o DBA pode querer adicionar Configurar a conta de usuário para a função db_owner.

Funções e serviços do SharePoint Server

Em geral, você deve remover a capacidade de criar novos bancos de dados das contas de serviço do SharePoint Server. Nenhuma conta de serviço do SharePoint Server deve ter a função sysadmin na instância SQL Server e nenhuma conta de serviço do SharePoint Server deve ser um administrador local no servidor que executa SQL Server.

Para saber mais sobre contas do SharePoint Server, confira Permissões de conta e configurações de segurança no SharePoint Server 2016.

Para ver dados da conta no SharePoint Server 2013, confira Permissões de conta e configurações de segurança no SharePoint 2013.

A lista a seguir fornece informações sobre o bloqueio de outras funções e serviços do SharePoint Server:

  • SharePoint_Shell_Access role

    Ao remover esta função do SQL Server, você remove a capacidade de escrever entradas na configuração e no banco de dados de conteúdo e a capacidade de realizar qualquer tarefa usando o Microsoft PowerShell. Para obter mais informações sobre essa função, consulte Add-SPShellAdmin.

  • Serviço de temporizador do SharePoint (SPTimerV4)

    Recomendamos que você não limite as permissões padrão concedidas à conta na qual esse serviço é executado e que você nunca desabilite essa conta. Em vez disso, use uma conta de usuário segura, para a qual a senha não é amplamente conhecida e deixe o serviço em execução. Por padrão, este serviço é instalado quando você instala o SharePoint Server e mantém as informações de cache da configuração. Se você definir tipo de serviço como desativado você pode experimentar o seguinte comportamento:

    • Os trabalhos do temporizador não serão executados

    • As regras do analisador de Saúde não serão executadas

    • A manutenção e a configuração do farm ficarão desatualizadas

  • SharePoint Administration service (SPAdminV4)

    Este serviço realiza alterações automáticas que exigem permissão do administrador local no servidor. Quando o serviço não estiver em execução, você deve processar manualmente as alterações administrativas no nível do servidor. Recomendamos que você não limite as permissões padrão concedidas à conta na qual esse serviço é executado e que você nunca desabilite essa conta. Em vez disso, use uma conta de usuário segura, para a qual a senha não é amplamente conhecida e deixe o serviço em execução. Se você definir tipo de serviço como desativado você pode experimentar o seguinte comportamento:

    • Os trabalhos do temporizador administrativo não serão executados

    • Os arquivos de configuração web não serão atualizados

    • Os grupos locais e de segurança não serão atualizados

    • As chaves e valores de registro não serão escritos

    • Pode ser que os serviços não consigam iniciar ou reiniciar

    • O provisionamento de serviços pode não ser finalizado

  • SPUserCodeV4 Service

    Esse serviço permite que um administrador de coleção de sites carregue a solução sandboxed para a galeria Soluções. Se você não estiver soluções em área restrita, você pode desativar este serviço.

  • Declarações para o Serviço de Tokens do Windows (C2WTS)

    Por padrão, este serviço está desativado. O serviço C2WTS pode ser necessário para uma implantação com Serviços do Excel, Serviços PerformancePoint ou serviços compartilhados do SharePoint que devem se traduzir entre tokens de segurança do SharePoint e identidades baseadas no Windows. Por exemplo, você usa este serviço quando você configura a delegação restrita Kerberos para acessar as fontes de dados externas. Para informações sobre C2WTS, consulte Planejar a autenticação Kerberos no SharePoint Server.

Os recursos a seguir podem ter outros sintomas sob determinadas circunstâncias:

  • Backup and restore

    A capacidade de realizar uma restauração a partir de um pode falhar se você tiver removido as permissões do banco de dados.

  • Atualizar

    O processo de atualização começa corretamente, mas falha se você não tiver permissões adequadas para bancos de dados. Se a sua organização já está em um ambiente com privilégios mínimos, a solução é ir para um ambiente de práticas recomendadas para finalizar a atualização e depois voltar para um ambiente com privilégios mínimos.

  • Atualizar

    A capacidade de aplicar uma atualização de software a um farm é bem-sucedida para o esquema do banco de dados de configuração, mas falha no banco de dados de conteúdo e nos serviços.

Fatores adicionais a serem considerados para um ambiente com privilégios mínimos

Além das considerações anteriores, você deve considerar também mais operações. A lista a seguir está incompleta. Selecione os itens de acordo com os seus critérios:

  • Configurar conta de usuário - Esta conta é usada para configurar cada servidor em um farm. A conta deve ser um membro do grupo de Administradores em cada servidor no farm do SharePoint Server. Para mais informações sobre esta conta, consulte Implantação inicial de contas de serviço e administrativas no SharePoint Server.

    Quando você cria um novo farm do SharePoint e o build baseado tem cu de outubro de 2022 ou um novo slipstreamed no processo de build, você está usando o modelo de segurança menos privilegiado. Depois de concluir o psconfig no primeiro servidor no farm, antes de executar o assistente de configuração do Farm ou provisionar outros componentes, os seguintes comandos devem ser executados para garantir o acesso aos Bancos de Dados do SharePoint:

    Get-SPDatabase | %{$_.GrantOwnerAccessToDatabaseAccount()}

  • Conta de sincronização – Para o SharePoint Server, essa conta é usada para se conectar ao serviço de diretório. Recomendamos que você não limite as permissões padrão concedidas à conta na qual esse serviço é executado e que você nunca desabilite essa conta. Em vez disso, use uma conta de usuário segura, para a qual a senha não é amplamente conhecida e deixe o serviço em execução. Essa conta também requer a permissão Replicar Alterações de Diretório no AD DS, o que permite que a conta leia objetos AD DS e descubra objetos AD DS que foram alterados no domínio. A permissão Conceder Alterações de Diretório de Replicação não permite que uma conta crie, altere ou exclua objetos AD DS.

  • Conta do pool de aplicativos do host de Meu Site - Esta é conta na qual o pool de aplicativos do Meu Site é executado. Para configurar esta conta, você deve ser um membro do grupo de Administradores do Farm. Você pode limitar os privilégios para esta conta.

  • Grupo interno de usuários - Ao remover o grupo de segurança interno de usuários ou alterar as permissões você pode sofrer consequências inesperadas. Recomendamos que você não limite privilégios a contas ou grupos internos.

  • Permissões de grupo - Por padrão o grupo do SharePoint WSS_ADMIN_WPG possui direito de leitura e escrita aos recursos locais. Os seguintes WSS_ADMIN_WPG locais do sistema de arquivos, %WINDIR%\System32\drivers\etc\Hosts e %WINDIR%\Tasks são necessários para que o SharePoint Server funcione corretamente. Se outros serviços ou aplicativos estiverem sendo executados em um servidor, você pode ter que considerar como eles acessam as localizações das Tarefas ou Hosts. Para informações adicionais sobre configurações de conta para o SharePoint Server, consulte Permissões de conta e configurações de segurança no SharePoint Server 2016.

    Para saber mais sobre contas no SharePoint Server 2013, confira Permissões de conta e configurações de segurança no SharePoint Server 2013.

  • Alterar permissão de um serviço - Uma alteração na permissão de um serviço podem ter consequências inesperadas. Por exemplo, se a chave de registro a seguir, HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters, possuir o valor 0, o serviço do Host de Código de Usuário será desativado o que faria com que as soluções em área restrita parassem de funcionar.

Confira também

Outros recursos

Configuração de Privilégios Mínimos para o Gerenciador do Fluxo de Trabalho com SharePoint 2013