Planejar configuração de segurança para funções de servidor em um farm de servidores (Office SharePoint Server)

Atualizado em: 2009-04-23

Neste artigo:

• Sobre segurança reforçada

• Recomendações para o servidor de aplicativos

• Comunicação segura com o banco de dados do Microsoft SQL Server

• Requisitos do serviço Compartilhamento de Arquivo e Impressora

• Requisitos de proteção no logon único

• Serviços Web do Office Server

• Conexões com servidores externos

• Requisitos de serviço para integração de email

• Requisitos de serviço para estado da sessão

• Serviços do Office SharePoint Server

• Contas e grupos

• Arquivo Web.config

• Adições de instantâneos de segurança

Use este artigo para planejar a segurança do farm de servidores. As tarefas aqui incluídas são adequadas para os seguintes ambientes de segurança:

• Hospedado pela TI interna

• Colaboração segura externa

• Acesso anônimo externo

Sobre segurança reforçada

Em um ambiente de farm de servidores, os servidores individuais têm funções específicas. As recomendações para uma segurança reforçada desses servidores dependerão da função de cada um.

As recomendações de proteção de servidores baseiam-se nas recomendações oferecidas pelos guias de segurança a seguir, disponíveis em Padrões e práticas da Microsoft (https://go.microsoft.com/fwlink/?linkid=73704\&clcid=0x416):

• Protegendo o servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês)

• Protegendo o servidor do banco de dados (https://go.microsoft.com/fwlink/?linkid=73706\&clcid=0x416)

• Protegendo a rede (https://go.microsoft.com/fwlink/?linkid=73707\&clcid=0x416)

Esses guias seguem uma abordagem metódica para a proteção de servidores para funções específicas e para a proteção da rede de suporte. A ordem em que as configurações são aplicadas e em que os aplicativos são instalados e protegidos também é prescrita, começando pela aplicação de patches e de atualizações e depois reforçando a proteção da configuração de rede e de sistema operacional, seguida pela proteção específica de aplicativos. Por exemplo, Protegendo seu servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês) recomenda que você instale e proteja os Serviços de Informações da Internet (IIS) somente após a aplicação dos patches e da proteção do sistema operacional. Adicionalmente, esse guia aconselha a instalação do Microsoft .NET Framework somente após a aplicação dos patches e da proteção do IIS.

As categorias de configurações de segurança prescritas metodicamente em Protegendo seu servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês) são detalhadas na figura a seguir.

Adicionalmente, cada um dos três guias inclui um instantâneo de segurança e uma lista de configurações de segurança recomendadas para a função de servidor ou rede específica. As listas de instantâneos são organizadas por categorias que correspondem a configurações de segurança ilustradas na figura anterior.

O design de segurança e as diretrizes para a proteção oferecidos neste artigo baseiam-se nas diretrizes publicadas nesses três guias. Supõe-se que você usará os guias como uma linha de base para a segurança e proteção do seu farm de servidores.

Este artigo descreve as exceções ou adições aos instantâneos recomendadas para o seu ambiente. Elas serão detalhadas em formato de tabelas com as mesmas categorias e ordem dos três guias de segurança. Esse formato pretende facilitar a identificação e a aplicação de recomendações específicas quando você utilizar os guias.

O guia Implantação para o Office SharePoint 2007 (https://go.microsoft.com/fwlink/?linkid=76139\&clcid=0x416) inclui instruções para aplicar diretrizes específicas de segurança que não são abordadas nos guias de segurança de padrões e práticas.

A natureza da comunicação entre servidores em um farm de servidores e os recursos específicos fornecidos pelo Microsoft Office SharePoint Server 2007 são os principais motivos das recomendações de proteção específicas. Este artigo também descreve como os canais fundamentais de comunicação e os recursos do Office SharePoint Server 2007 afetam os requisitos de segurança.

Recomendações para o servidor de aplicativos

No Office SharePoint Server 2007, as funções de servidor de aplicativos não são servidores de aplicativos de camada intermediária típicos empacotados em aplicativos do Enterprise Services. Consequentemente, as recomendações em Protegendo seu servidor de aplicativos (hhttps://msdn.microsoft.com/pt-br/library/aa302433.aspx não se aplicam a servidores de aplicativos do Office SharePoint Server 2007. Em vez disso, use as diretrizes fornecidas em Protegendo seu servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês) para reforçar a proteção de servidores de aplicativos do Office SharePoint Server 2007:

• Aplique as diretrizes para a configuração de rede e do sistema operacional em todos os servidores de aplicativos do farm de servidores. Essas diretrizes são apresentadas nas seguintes categorias: patches e atualizações, serviços, protocolos, contas, arquivos e diretórios, compartilhamentos, portas, Registro e auditoria e log.

• Só aplique as diretrizes para a proteção do IIS e de outras configurações da Web no servidor de aplicativos que hospeda o site da Administração Central. Essas diretrizes incluem as seguintes categorias: IIS, Machine.config, segurança de acesso a código, LocalIntranet_Zone e Internet_Zone.

Além de usar o instantâneo de segurança em Protegendo seu servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês), aplique também as recomendações fornecidas na seção Adições de instantâneos de segurança, mais adiante neste artigo.

Comunicação segura com o banco de dados do Microsoft SQL Server

Protegendo seu servidor de banco de dados (https://go.microsoft.com/fwlink/?linkid=73706\&clcid=0x416) recomenda a restrição de acesso a duas portas de comunicação padrão do Microsoft SQL Server: a porta TCP 1433 e a porta UDP 1434. Para obter ambientes de farm de servidores seguros, a recomendação é:

• Bloquear totalmente a porta UDP 1434.

• Configurar as instâncias nomeadas do SQL Server para que elas escutem em uma porta fora do padrão (diferente da porta TCP 1433 ou da porta UDP 1434).

• Para obter mais segurança, bloquear a porta TCP 1433 e reatribuir a porta usada pela instância padrão para uma porta fora do padrão.

• Configurar aliases de cliente SQL em todos os servidores Web front-end e em servidores de aplicativos do farm de servidores. Após o bloqueio da porta TCP 1433 ou da porta UDP 1434, os aliases de cliente SQL serão necessários em todos os computadores que se comunicam com o computador SQL Server.

Essa abordagem oferece um grau de controle muito maior sobre a forma como o SQL Server é implantado e executado, incluindo a capacidade de garantir que somente os computadores autorizados poderão se comunicar com o computador SQL Server.

As etapas de proteção para a criação do alias de cliente SQL devem ser concluídas antes da instalação do Office SharePoint Server 2007. Quando você executa a Instalação do Office SharePoint Server 2007 e é solicitado a inserir o nome do computador SQL Server ao qual deverá se conectar, é preciso inserir o nome do alias do cliente SQL.

Bloqueando as portas padrão do SQL Server

As portas específicas usadas na conexão ao SQL Server são afetadas pelo fato de os bancos de dados serem instalados em uma instância padrão do SQL Server ou em uma instância nomeada do SQL Server. A instância padrão do SQL Server escuta solicitações de cliente na porta TCP 1433. Uma instância nomeada do SQL Server escuta em um número de porta atribuído aleatoriamente. Além disso, o número da porta de uma instância nomeada pode ser reatribuído, caso a instância seja reiniciada (se o número da porta atribuído anteriormente estiver disponível).

Por padrão, computadores cliente que se conectam ao SQL Server pela primeira vez o fazem pela porta TCP 1433. Se essa comunicação não for bem-sucedida, os computadores cliente consultarão o serviço de resolução do SQL Server escutando na porta UDP 1434 para determinarem em que porta a instância do banco de dados está escutando.

O comportamento de comunicação por portas padrão do SQL Server apresenta diversos problemas que afetam a proteção do servidor. Primeiro, as portas usadas pelo SQL Server são muito conhecidas e o serviço de resolução do SQL Server tem sido alvo de ataques de saturação do buffer e negação de serviço, incluindo o worm "Slammer". Mesmo quando o SQL Server possui patches para reduzir problemas de segurança no serviço de resolução, as portas muito conhecidas permanecem na situação de alvo. Segundo, se os bancos de dados estiverem instalados em uma instância nomeada do SQL Server, a porta de comunicação correspondente será aleatoriamente atribuída e poderá mudar. É possível que esse comportamento impeça a comunicação entre servidores em um ambiente protegido. A capacidade de controlar quais portas TCP estão abertas ou bloqueadas é essencial para a proteção do seu ambiente.

Consequentemente, a recomendação para um farm de servidores é atribuir números de porta estáticos a instâncias nomeadas do SQL Server e bloquear a porta UDP 1434 para impedir que potenciais invasores acessem o serviço de resolução do SQL Server. Além disso, considere a reatribuição da porta usada pela instância padrão e o bloqueio da porta TCP 1433.

Existem diversos métodos que podem ser usados no bloqueio de portas. Você pode bloquear essas portas usando um firewall. No entanto, a menos que você possa garantir que não haja outras rotas no segmento de rede nem usuários maliciosos com acesso ao segmento de rede, a recomendação é bloqueá-las diretamente no servidor que hospeda o SQL Server. Isso pode ser feito usando o Firewall do Windows no Painel de Controle.

Configurando instâncias de banco de dados do SQL Server para que elas escutem em uma porta fora do padrão

O SQL Server oferece a capacidade de reatribuir as portas usadas pela instância padrão e por qualquer instância nomeada. No SQL Server 2000, você reatribui portas usando o SQL Server Network Utility. No SQL Server 2005, você reatribui portas usando o SQL Server Configuration Manager.

Configurando aliases de cliente SQL

Em um farm de servidores, todos os servidores Web e servidores de aplicativos front-end são computadores cliente SQL Server. Se você bloquear a porta UDP 1434 no computador SQL Server ou alterar a porta padrão para a instância padrão, configure um alias de cliente SQL em todos os servidores que se conectam ao computador SQL Server.

Para se conectar a uma instância do SQL Server 2000, instale as ferramentas de cliente SQL Server no computador de destino e configure o alias do cliente SQL. Você pode fazer isso executando a Instalação do SQL Server e selecionando Ferramentas de cliente SQL Server.

Para se conectar a uma instância do SQL Server 2005, instale os componentes do cliente SQL Server no computador de destino e configure o alias do cliente SQL usando o SQL Server Configuration Manager. Para instalar os componentes do cliente SQL Server, execute a Instalação e selecione apenas os seguintes componentes de cliente:

• Componentes de Conectividade

• Ferramentas de Gerenciamento (incluem o SQL Server Configuration Manager)

Os componentes do cliente SQL Server funcionam com o SQL Server 2000 e podem ser usados no lugar das ferramentas de cliente SQL Server.

Etapas de proteção

Configurar o SQL Server

Configurar uma instância do SQL Server 2000 para que ela escute em uma porta fora do padrão

Use o SQL Server Network Utility para alterar a porta TCP utilizada por uma instância do SQL Server 2000.

1. No computador SQL Server, execute o SQL Server Network Utility.

2. No menu Instância(s) neste servidor, selecione a instância. Verifique se você selecionou a instância desejada. Por padrão, a instância padrão escuta na porta 1433. Instâncias nomeadas do SQL Server 2000 obtêm um número de porta aleatório e, portanto, é possível que você não saiba qual é o número de porta atual atribuído a uma instância nomeada ao executar o SQL Server Network Utility.

3. No painel Protocolos Habilitados, à direita da interface do SQL Server Network Utility, clique em TCP/IP e em Propriedades.

4. Na caixa de diálogo Configuração de Valor Padrão do Protocolo de Rede, altere o número da porta TCP. Evite usar qualquer uma das portas TCP conhecidas. Por exemplo, selecione um número de porta com um intervalo mais alto, como 40000. Não marque a caixa de seleção Ocultar Servidor.

5. Clique em OK.

6. Na caixa de diálogo SQL Server Network Utility, clique em OK. Você receberá uma mensagem indicando que a alteração não entrará em vigor até que o serviço SQL Server seja reiniciado. Clique em OK.

7. Reinicie o serviço SQL Server e confirme se o seu computador SQL Server está escutando na porta selecionada. Você pode fazer isso examinando o log do visualizador de eventos após a reinicialização do serviço SQL Server. Procure por um evento de informação similar a este:

   Tipo de Evento:Informação

   Origem do Evento:MSSQLSERVER

   Categoria do Evento:(2)

   ID do Evento:17055

   Data:6/3/2008

   Hora:11:20:28 AM

   Usuário:N/D

   Computador:nome_do_computador

   Descrição:

   19013:

   SQL Server escutando em 10.1.2.3: 40000

Configurar uma instância do SQL Server 2005 para que ela escute em uma porta fora do padrão

Use o SQL Server Configuration Manager para alterar a porta TCP usada por uma instância do SQL Server 2005.

1. Use o SQL Server Configuration Manager para alterar a porta TCP usada por uma instância do SQL Server 2005.

2. No computador SQL Server, abra o SQL Server Configuration Manager.

3. No painel esquerdo, expanda Configuração de Rede do SQL Server 2005.

4. Em Configuração de Rede do SQL Server 2005, clique na entrada correspondente para a instância que você está configurando. A instância padrão aparece na lista como Protocolos para MSSQLSERVER. As instâncias nomeadas aparecerão como Protocolos para instância_nomeada.

5. No painel direito, clique com o botão direito do mouse em TCP/IP e clique em Propriedades.

6. Clique na guia Endereços IP. Para cada endereço IP atribuído ao computador SQL Server, existirá uma entrada correspondente nesta guia. Por padrão, o SQL Server escuta em todos os endereços IP atribuídos ao computador.

7. Para alterar de forma global a porta em que a instância padrão está escutando, faça o seguinte:

   1. Para cada IP, exceto IPAll, limpe todos os valores para as Portas TCP dinâmicas e para a Porta TCP.

   2. Para IPAll, limpe o valor de Portas TCP dinâmicas. No campo Porta TCP, digite a porta em que deseja que a instância do SQL Server escute. Por exemplo, digite 40000.

8. Para alterar de forma global a porta em que a instância nomeada está escutando, faça o seguinte:

   1. Para cada IP, incluindo IPAll, limpe todos os valores de Portas TCP dinâmicas. Um valor 0 para esse campo indica que o SQL Server usa uma porta TCP dinâmica para o endereço IP. Uma entrada em branco para esse valor significa que o SQL Server 2005 não usará uma porta TCP dinâmica para o endereço IP.

   2. Para cada IP, exceto IPAll, limpe todos os valores de Porta TCP.

   3. Para IPAll, limpe o valor de Portas TCP dinâmicas. No campo Porta TCP, digite a porta em que deseja que a instância do SQL Server escute. Por exemplo, digite 40000.

9. Clique em OK. Você receberá uma mensagem indicando que a alteração não entrará em vigor até que o serviço SQL Server seja reiniciado. Clique em OK.

10. Feche o SQL Server Configuration Manager.

11. Reinicie o serviço SQL Server e confirme se o computador SQL Server está escutando na porta selecionada. Você pode fazer isso examinando o log do visualizador de eventos após a reinicialização do serviço SQL Server. Procure por um evento de informação similar a este:

    Tipo de Evento:Informação

    Origem do Evento:MSSQL$MSSQLSERVER

    Categoria do Evento:(2)

    ID do Evento:26022

    Data:6/3/2008

    Hora:1:46:11 AM

    Usuário:N/D

    Computador:nome_do_computador

    Descrição:

    O servidor está escutando em [ 'any' <ipv4>50000]

Configurar o Firewall do Windows

Configurar o Firewall do Windows para que ele bloqueie as portas de escuta padrão do SQL Server

1. No Painel de Controle, abra o Firewall do Windows.

2. Na guia Geral, clique em Ativado. Verifique se a caixa de seleção Não permitir exceções está desmarcada.

3. Na guia Exceções, clique em Adicionar Porta.

4. Na caixa de diálogo Adicionar uma Porta, digite um nome para a porta. Por exemplo, digite UDP-1434. Em seguida, digite o número da porta. Por exemplo, digite 1434.

5. Selecione o botão de opção apropriado: UDP ou TCP. Por exemplo, para bloquear a porta 1434, clique em UDP. Para bloquear a porta 1433, clique em TCP.

6. Clique em Alterar Escopo para garantir que o escopo dessa exceção seja definido como Qualquer computador (inclusive na Internet).

7. Clique em OK.

8. Na guia Exceções, localize a exceção criada. Para bloquear a porta, desmarque a caixa de seleção dessa exceção. Por padrão, essa caixa de seleção estará marcada, o que significa que a porta está aberta.

Configurar o Firewall do Windows para abrir manualmente as portas atribuídas

1. Siga as etapas de 1 a 7 do procedimento anterior para criar uma exceção para a porta atribuída manualmente à instância do SQL. Por exemplo, crie uma exceção para a porta TCP 40000.

2. Na guia Exceções, localize a exceção criada. Verifique se a caixa de seleção dessa exceção está marcada. Por padrão, essa caixa de seleção estará marcada, o que significa que a porta está aberta.

   Dica

   Para obter mais informações sobre o uso do protocolo IPsec para proteger a comunicação com o computador SQL Server, consulte o artigo 233256 da Base de Dados de Conhecimento Microsoft: Como habilitar o tráfego IPSec através de um firewall (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x416).

Configurar um alias de cliente SQL

Configurar um alias de cliente SQL

Se você bloquear a porta UDP 1434 ou a porta TCP 1433 no computador SQL Server, terá de criar um alias de cliente SQL em todos os outros computadores do farm de servidores. Você pode usar os componentes do cliente SQL Server para criar um alias de cliente SQL para computadores que se conectam ao SQL Server 2000 ou ao SQL Server 2005.

1. Execute a Instalação do SQL Server 2005 no computador de destino e selecione os seguintes componentes de cliente:

   1. Componentes de Conectividade

   2. Ferramentas de Gerenciamento

2. Abra o SQL Server Configuration Manager.

3. No painel esquerdo, clique em Configuração do SQL Native Client.

4. No painel direito, clique com o botão direito do mouse em Aliases e selecione Novo Alias.

5. Na caixa de diálogo Alias, digite um nome para o alias e digite o número da porta da instância do banco de dados. Por exemplo, digite SharePoint*_alias*.

6. No campo Número da Porta, digite o número da porta para a instância do banco de dados. Por exemplo, digite 40000. Verifique se o protocolo foi definido como TCP/IP.

7. No campo Servidor, digite o nome do computador SQL Server.

8. Clique em Aplicar e em OK.

Testar o alias do cliente SQL

Teste a conectividade com o computador SQL Server usando o Microsoft SQL Server Management Studio, disponível por meio da instalação de componentes do cliente SQL Server.

1. Abra o SQL Server Management Studio.

2. Quando um nome de servidor for solicitado, digite o nome do alias criado e clique em Conectar. Se a conexão for bem-sucedida, o SQL Server Management Studio será preenchido por objetos que correspondem ao banco de dados remoto.

   Dica

   Para verificar a conectividade com instâncias adicionais do banco de dados a partir do SQL Server Management Studio, clique no botão Conectar e selecione Mecanismo de Banco de Dados.

Requisitos do serviço Compartilhamento de Arquivo e Impressora

Diversos recursos fundamentais dependem do serviço Compartilhamento de Arquivo e Impressora e dos protocolos e portas correspondentes. Entre eles estão incluídos, mas sem limitação, o seguinte:

• Consultas de pesquisa   Todas as consultas de pesquisa exigem o serviço Compartilhamento de Arquivo e Impressora.

• Rastreamento e indexação de conteúdo   Para rastrear conteúdo, o componente de índice envia solicitações por meio do servidor Web front-end. O servidor Web front-end comunica-se com os bancos de dados de conteúdo de forma direta e envia resultados de volta ao servidor de indexação. A comunicação exige o serviço Compartilhamento de Arquivo e Impressora.

• Propagação do índice Se a função de consulta estiver instalada em um servidor diferente da função de índice, o servidor de indexação copiará os índices de conteúdo para os servidores de consulta. Esta ação requer o serviço Compartilhamento de Arquivo e Impressora e os protocolos e as portas correspondentes.

O serviço Compartilhamento de Arquivo e Impressora exige o uso de pipes nomeados. Os pipes nomeados podem se comunicar usando os protocolos SMB diretamente hospedados ou NBT. Para obter um ambiente seguro, o protocolo SMB diretamente hospedado é recomendado. As recomendações de proteção fornecidas neste artigo supõem que o SMB será usado.

A tabela a seguir descreve os requisitos de proteção introduzidos pela dependência do serviço Compartilhamento de Arquivo e Impressora.

Categoria	Requisito	Observações
Serviços	Compartilhamento de Arquivo e Impressora	Exige o uso de pipes nomeados.
Protocolos	Pipes nomeados que usam SMB diretamente hospedado Desabilitar NBT	Os pipes nomeados podem usar o NBT em vez do SMB diretamente hospedado. No entanto, o NBT não é tão seguro como o SMB diretamente hospedado.
Portas	Porta TCP/UDP 445	Usada pelo SMB diretamente hospedado.

Para obter mais informações sobre como desabilitar o NBT, consulte o artigo 204279 da Base de Dados de Conhecimento Microsoft: Hospedagem direta de SMB sobre TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143\&clcid=0x416).

Requisitos de proteção no logon único

O recurso de logon único (SSO) no Office SharePoint Server 2007 é usado para conectar a fontes de dados que estejam fora do farm de servidores. O recurso SSO não é habilitado por padrão em um farm de servidores do Office SharePoint Server 2007. Não configure o SSO a menos que você exija que esse recurso se conecte a fontes de dados externas. Como o recurso SSO requer a autenticação do usuário, ele não funciona em um ambiente de acesso anônimo externo.

O SSO depende do serviço Logon Único da Microsoft e dos protocolos e das portas correspondentes. Esse serviço deve estar habilitado nos seguintes servidores:

• Todos os servidores Web front-end

• Servidor de chave de criptografia designado (uma função que geralmente é hospedada por um servidor de aplicativos)

• Função de Serviços de Cálculo do Excel

Além disso, se um filtro de segurança personalizado estiver instalado no servidor de consulta e exigir acesso aos dados do SSO, o serviço Logon Único da Microsoft também deverá estar em execução nessa função de servidor.

O recurso SSO apresenta diversos requisitos de proteção para o farm de servidores. O serviço Logon Único usa a chamada de procedimento remoto (RPC). A RPC usa a porta 135. Ela também usa uma porta dinamicamente atribuída no intervalo de 1024–65535/TCP, recurso conhecido como RPC dinâmica. É possível usar uma chave do Registro do Windows para limitar o intervalo das portas RPC dinâmicas atribuídas. Em vez de usar todas as portas com números elevados (1024–65535), você pode limitar o intervalo das portas RPC dinâmicas a um número bem menor, recurso conhecido como RPC estática.

Para obter mais informações sobre como limitar as portas usadas pela RPC, consulte os seguintes recursos:

• Active Directory em redes segmentadas por firewalls (https://go.microsoft.com/fwlink/?linkid=76147\&clcid=0x416) (em inglês).

• Artigo 154596 da Base de Dados de Conhecimento Microsoft: Como configurar uma alocação de porta RPC dinâmica para funcionar com firewalls (https://go.microsoft.com/fwlink/?linkid=76145\&clcid=0x416).

• Artigo 300083 da Base de Dados de Conhecimento Microsoft: Como restringir portas TCP/IP no Windows 2000 e no Windows XP (https://go.microsoft.com/fwlink/?linkid=76148\&clcid=0x416).

A seguinte tabela lista os requisitos de proteção que são introduzidos pelo SSO. Esses requisitos aplicam-se a todos os servidores dentro do farm de servidores.

Categoria	Requisito	Observações
Serviços	Serviço Logon Único	Requer uso do protocolo RPC.
Protocolos	RPC	Configurar a RPC estática para limitar o intervalo de portas usadas pela RPC dinâmica.
Portas	Porta TCP 135 mais o intervalo de portas que você configurar para a RPC dinâmica

Embora esses requisitos de proteção sejam configurados no sistema operacional, a ordem na qual os requisitos são configurados é muito importante para o êxito da implantação do SSO. Os requisitos para protocolos e portas podem ser configurados a qualquer momento antes da configuração do recurso SSO no Office SharePoint Server 2007. No entanto, a ordem em que o serviço Logon Único é habilitado nos servidores do farm afeta a configuração do SSO.

O primeiro servidor no qual o serviço for habilitado torna-se o servidor de chave de criptografia do farm de servidores. Esse servidor armazena a chave de criptografia. É recomendável que essa função seja hospedada em um dos servidores de aplicativos. O serviço Logon Único também deve estar habilitado em cada servidor Web front-end no farm de servidores. Esses computadores encaminham credenciais para o servidor de chave de criptografia.

Uma configuração bem-sucedida do recurso SSO no Office SharePoint Server 2007 requer a configuração do site da Administração Central além da habilitação do serviço Logon Único. Consequentemente, não habilite o serviço Logon Único antes de instalar o Office SharePoint Server 2007. Para obter mais informações sobre a configuração do SSO, consulte o artigo Planejar o logon único.

Serviços Web do Office Server

O serviço Web do Office Server é usado pelo Office SharePoint Server 2007 como um canal de comunicação entre servidores Web e servidores de aplicativos. Esse serviço usa as seguintes portas:

• TCP 56737

• TCP/SSL 56738

Conexões com servidores externos

Vários recursos do Office SharePoint Server 2007 podem ser configurados para acessar dados que residam em computadores do servidor fora do farm de servidores. Se você configurar o acesso a dados em servidores externos, assegure-se de habilitar a comunicação entre os computadores apropriados. Na maioria dos casos, as portas, os protocolos e os serviços usados dependem do recurso externo. Por exemplo:

• Conexões com compartilhamentos de arquivos usam o serviço Compartilhamento de Arquivo e Impressora.

• Conexões com bancos de dados SQL Server externos usam as portas padrão ou personalizadas para comunicação com o SQL Server.

• Conexões com Oracle geralmente usam OLE DB.

• Conexões com serviços Web usam HTTP e HTTPS.

A tabela a seguir lista os recursos que podem ser configurados para acessar dados que residam em computadores do servidor fora do farm de servidores.

Recurso	Descrição
Rastreamento de conteúdo	Você pode configurar regras de rastreamento para rastrear dados que residam em recursos externos, inclusive sites, compartilhamentos de arquivos, pastas públicas do Exchange e aplicativos de dados corporativos. Ao rastrear fontes de dados externos, a função de índice comunica-se diretamente com esses recursos externos. Para obter mais informações, consulte Planejar o rastreamento de conteúdo (Office SharePoint Server).
Conexões do Catálogo de Dados Corporativos	Os servidores Web e de aplicativos comunicam-se diretamente com computadores configurados para conexões do Catálogo de Dados Corporativos. Para obter mais informações, consulte Planejar conexões de dados corporativos com o Catálogo de Dados Corporativos.
Recebendo pastas de trabalho do Microsoft Office Excel	Se as pastas de trabalho abertas nos Serviços do Excel se conectam a fontes de dados externos (como Analysis Services e SQL Server), as portas TCP/IP apropriadas precisam ser abertas para se conectarem a essas fontes. Para obter mais informações, consulte Planejar conexões de dados externos para os Serviços do Excel. Se caminhos UNC (Convenção de Nomenclatura Universal) forem configurados como locais confiáveis nos Serviços do Excel, a função de aplicativo dos Serviços de Cálculo do Excel usará os protocolos e as portas utilizados pelo serviço Compartilhamento de Arquivo e Impressora para receber pastas de trabalho do Office Excel pelo caminho UNC. As pastas de trabalho armazenadas nos bancos de dados de conteúdo, ou carregadas ou baixadas de sites pelos usuários, não são afetadas por essa comunicação.

Requisitos de serviço para integração de email

A integração de email exige o uso de dois serviços:

• Serviço Protocolo SMTP

• Serviço de Gerenciamento de Diretório do Microsoft SharePoint

Serviço SMTP

A integração de email exige o uso do serviço SMTP em pelo menos um dos servidores Web front-end do farm de servidores. O serviço SMTP é necessário para o email de entrada. Para o email de saída, você pode usar o serviço SMTP ou roteá-lo por meio de um servidor de email dedicado de sua organização, como um computador com o Microsoft Exchange Server.

Serviço de Gerenciamento de Diretório do Microsoft SharePoint

O Office SharePoint Server 2007 inclui um serviço interno, o Serviço de Gerenciamento de Diretório do Microsoft SharePoint, para a criação de grupos de distribuição de email. Ao configurar a integração de email, você tem a opção de habilitar o recurso Serviço de Gerenciamento de Diretório, permitindo que os usuários criem listas de distribuição. Quando os usuários criam um grupo do SharePoint e selecionam a opção para criar uma lista de distribuição, o Serviço de Gerenciamento de Diretório do Microsoft SharePoint cria a lista de distribuição do serviço de diretório correspondente do Active Directory no ambiente do Active Directory.

Em ambientes com segurança reforçada, a recomendação é restringir o acesso ao Serviço de Gerenciamento de Diretório do Microsoft SharePoint protegendo o arquivo associado a esse serviço, o SharePointEmailws.asmx. Por exemplo, só permita acesso a esse arquivo à conta do farm de servidores.

Adicionalmente, esse serviço exige permissões no ambiente do Active Directory para criar objetos de lista de distribuição do Active Directory. A recomendação é configurar uma unidade organizacional separada no Active Directory para objetos do SharePoint. Somente essa unidade organizacional deverá conceder acesso de gravação à conta usada pelo Serviço de Gerenciamento de Diretório do Microsoft SharePoint.

Requisitos de serviço para estado da sessão

Tanto o Microsoft Office Project Server 2007 quanto o Microsoft Office Forms Server 2007 mantêm o estado da sessão. Se você estiver implantando esses recursos ou produtos no farm de servidores, não desabilite o Serviço de Estado do ASP.NET. Além disso, se você estiver implantando o InfoPath Forms Services, não desabilite o serviço Exibir Estado.

Serviços do Office SharePoint Server

Não desabilite os serviços instalados pelo Office SharePoint Server 2007.

Estes serviços são instalados em todos os servidores Web front-end e nos servidores de aplicativos e aparecem no snap-in de serviços do Console de Gerenciamento Microsoft (MMC) (ordem alfabética):

• Pesquisa do Office SharePoint Server

• Administração do Windows SharePoint Services

• Pesquisa do Windows SharePoint Services

• Timer do Windows SharePoint Services

• Rastreamento do Windows SharePoint Services

• Gravador VSS do Windows SharePoint Services

Se o seu ambiente não permite serviços executados como um sistema local, só considere a desabilitação do serviço Administração do Windows SharePoint Services se souber quais serão as consequências e se puder contorná-las. Esse é um serviço Win32 executado como um sistema local.

Esse serviço é usado pelo serviço Temporizador do Windows SharePoint Services para executar ações que exigem privilégios administrativos no servidor, como criar sites do IIS, implantar códigos, parar e iniciar serviços. Se você desabilitar esse serviço, não poderá executar tarefas relacionadas a implantação a partir do site da Administração Central. Será preciso usar a ferramenta de linha de comando Stsadm.exe e executar o comando execadminsvcjobs para concluir implantações de vários servidores para o Windows SharePoint Services 3.0 e executar outras tarefas relacionadas a implantação.

Contas e grupos

Os instantâneos de segurança nos guias de segurança de padrões e práticas oferecem recomendações para a proteção de contas e grupos.

Para obter recomendações sobre como planejar contas, consulte Planejar contas administrativas e de serviço (Office SharePoint Server).

Para obter recomendações sobre como planejar funções administrativas e de usuário, consulte Planejar funções de segurança (Office SharePoint Server).

Arquivo Web.config

O .NET Framework, e o ASP.NET em particular, usa arquivos de configuração em formato XML para configurar aplicativos. O .NET Framework utiliza arquivos de configuração para definir opções de configuração. Os arquivos de configuração são arquivos XML baseados em texto. Vários deles podem, e isso normalmente acontece, existir em um único sistema.

As configurações de sistema para o .NET Framework são definidas no arquivo Machine.config. Esse arquivo está localizado na pasta %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. As configurações padrão contidas no arquivo Machine.config podem ser modificadas para afetarem o comportamento dos aplicativos que usam o .NET Framework em todo o sistema. Para obter recomendações sobre como configurar arquivos Machine.config, consulte Protegendo seu servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês).

Você poderá alterar a configuração do ASP.NET para um único aplicativo se criar um arquivo Web.config na pasta raiz do aplicativo. Quando isso é feito, as configurações do arquivo Web.config substituem as configurações do arquivo Machine.config.

Quando você estende um aplicativo Web usando a Administração Central, o Office SharePoint Server 2007 cria automaticamente um arquivo Web.config para o aplicativo Web.

A seção Adições de instantâneos de segurança, mais adiante neste artigo, lista recomendações para a configuração de arquivos Web.config. Essas recomendações devem ser aplicadas a cada arquivo Web.config criado, incluindo o arquivo Web.config para o site da Administração Central.

Para obter mais informações sobre os arquivos de configuração do ASP.NET e sobre a edição do arquivo Web.config, consulte Configuração do ASP.NET (em inglês) (https://go.microsoft.com/fwlink/?linkid=73257\&clcid=0x416) (em inglês).

Adições de instantâneos de segurança

Esta seção lista as adições feitas a instantâneos nos guias de segurança de padrões e práticas recomendadas para ambientes do Office SharePoint Server 2007. Elas serão detalhadas em formato de tabelas com as mesmas categorias e a mesma ordem dos guias de segurança de padrões e práticas.

Esse formato pretende facilitar a identificação e a aplicação de recomendações específicas quando você utilizar os guias de segurança de padrões e práticas. Exceto por algumas exceções conhecidas, essas recomendações de proteção deverão ser aplicadas antes de executar a Instalação do Office SharePoint Server 2007.

Para obter mais informações sobre a comunicação entre funções de servidor específicas em um farm de servidores, consulte Planejar proteção da segurança para ambientes de extranet.

Protegendo suas adições de instantâneos de rede

A tabela a seguir descreve recomendações para a proteção de suas adições de rede.

Componente	Exceção de característica
Tudo	Sem recomendações adicionais

Protegendo suas adições de instantâneos de servidor Web

A tabela a seguir descreve recomendações para a proteção de suas adições de servidor Web.

Componente	Característica
Serviços	Habilitar: Compartilhamento de Arquivo e Impressora Pesquisa do Office SharePoint Server Serviço Logon Único (somente se estiver usando o SSO) Serviço Estado do ASP.NET (se estiver usando o InfoPath Forms Server ou o Project Server) Serviço Exibir Estado (se estiver usando o InfoPath Forms Server) Serviço de Publicação na World Wide Web Verifique se esses serviços permaneceram habilitados após a execução da Instalação: Pesquisa do Office SharePoint Server Administração do Windows SharePoint Services Pesquisa do Windows SharePoint Services Timer do Windows SharePoint Services Rastreamento do Windows SharePoint Services Gravador VSS do Windows SharePoint Services
Protocolos	Habilitar: SMB SMTP (se estiver usando o email integrado) RPC (somente se estiver usando o SSO) Desabilitar: NBT
Contas	Se o Serviço de Gerenciamento de Diretório da Microsoft estiver habilitado como parte da integração de email, configure seu ambiente do Active Directory para permitir acesso de gravação para a conta usada pelo Serviço de Gerenciamento de Diretório da Microsoft (a conta do farm de servidores). Para obter mais diretrizes sobre como configurar contas, consulte Planejar contas administrativas e de serviço (Office SharePoint Server) para obter requisitos e recomendações de conta do Office SharePoint Server 2007.
Arquivos e diretórios	Se a integração de email estiver habilitada e o recurso Serviço de Gerenciamento de Diretório estiver ativado, restrinja o acesso ao Serviço de Gerenciamento de Diretório do Microsoft SharePoint protegendo o arquivo associado a ele: SharePointEmailws.asmx. Por exemplo, só permita acesso a esse arquivo à conta do farm de servidores.
Compartilhamentos	Sem recomendações adicionais
Portas	Abra a porta TCP/UDP 445. Abra a porta TCP 135 mais as portas no intervalo especificado ao configurar a RPC estática (somente se estiver usando o SSO). Abra as portas TCP 56737 e 56738 para os serviços Web do Office Server. Se a porta UDP 1434 estiver bloqueada no computador SQL Server e se os bancos de dados estiverem instalados em uma instância nomeada, configure um alias de cliente SQL para a conexão com a instância nomeada. Se a porta TCP 1433 estiver bloqueada no computador SQL Server e se os bancos de dados estiverem instalados na instância padrão, configure um alias de cliente SQL para a conexão com a instância nomeada. Verifique se as portas permanecem abertas para os aplicativos Web que os usuários podem acessar. Bloqueie o acesso externo à porta usada pelo site da Administração Central.
Registro	Se estiver usando o SSO, edite o Registro para configurar a RPC estática.
Auditoria e log	Se os arquivos de log forem realocados, verifique se os locais foram atualizados de acordo.
IIS	Consulte as diretrizes sobre o IIS a seguir.
Sites e diretórios virtuais	Sem recomendações adicionais
Mapeamentos de script	Sem recomendações adicionais
Filtros ISAPI	Sem recomendações adicionais
Metabase do IIS	Sem recomendações adicionais
.NET Framework	Consulte as diretrizes sobre o .NET Framework a seguir.
Machine.config: HttpForbiddenHandler	Sem recomendações adicionais
Machine.config: Remoto	Sem recomendações adicionais
Machine.config: Rastreamento	Sem recomendações adicionais
Machine.config: compilação	Sem recomendações adicionais
Machine.config: customErrors	Sem recomendações adicionais
Machine.config: sessionState	Sem recomendações adicionais
Segurança de acesso a código	Verifique se você possui o conjunto mínimo de permissões de segurança de acesso a código habilitado para seu aplicativo Web (o elemento <trust> em Web.config para cada aplicativo Web deve ser definido como WSS_Minimal (onde WSS_Minimal possui seus padrões baixos como definido em 12\config\wss_minimaltrust.config) ou como seu próprio arquivo de políticas personalizado, minimamente definido).
LocalIntranet_Zone	Sem recomendações adicionais
Internet_Zone	Sem recomendações adicionais
Web.config	Aplique as recomendações a seguir a todos os arquivos Web.config criados após a execução da Instalação: Não permita a compilação ou a geração de scripts de páginas de bancos de dados por meio de elementos PageParserPaths. Verifique se <SafeMode> CallStack=""false"" e se AllowPageLevelTrace=""false"". Verifique se o limite da Web Part para o número máximo de controles por zona foi definido como baixo. Verifique se a lista SafeControls foi definida como o conjunto mínimo de controles necessários aos seus sites. Verifique se a sua lista SafeTypes do fluxo de trabalho foi definida como o nível mínimo de SafeTypes necessários. Verifique se customErrors está ativado (<customErrors mode=""Ativado""/>). Considere suas configurações de proxy da Web conforme necessário (<system.net>/<Proxypadrão>). Defina o limite de upload.aspx como o maior tamanho razoável esperado para carregamentos feitos por usuários (o padrão é 2 GB). O desempenho pode ser afetado por carregamentos maiores do que 100 MB.

Protegendo suas adições de instantâneos de servidor de banco de dados

A tabela a seguir descreve recomendações para a proteção de suas adições de servidor de banco de dados.

Componente	Exceção de característica
Serviços	Sem recomendações adicionais
Protocolos	Sem recomendações adicionais
Contas	Remover manualmente contas não utilizadas com frequência.
Arquivos e diretórios	Sem recomendações adicionais
Compartilhamentos	Sem recomendações adicionais
Portas	Bloquear a porta UDP 1434. Considerar o bloqueio da porta TCP 1433.
Registro	Sem recomendações adicionais
Auditoria e log	Sem recomendações adicionais
Configurações do SQL Server	Consulte as diretrizes para as configurações do SQL Server a seguir.
Segurança do SQL Server	Sem recomendações adicionais
Logons, usuários e funções do SQL Server	Sem recomendações adicionais
Objetos de banco de dados do SQL Server	Sem recomendações adicionais

Baixar este manual

Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:

• Planejamento e arquitetura para o Office SharePoint Server 2007, parte 2

• Planejamento de um ambiente de Extranet para o Office SharePoint Server (em inglês)

Consulte a lista completa de manuais disponíveis na página de download de conteúdo do Office SharePoint Server 2007.