Compartilhar via


Planejar a proteção da segurança para funções de servidor em um farm de servidores (Windows SharePoint Services)

Atualizado em: 2009-04-16

  • Sobre segurança reforçada

  • Recomendações para o servidor de aplicativos

  • Comunicação segura com o banco de dados do Microsoft SQL Server

  • Requisitos do serviço Compartilhamento de Arquivo e Impressora

  • Requisitos de serviço para integração de email

  • Serviços do Windows SharePoint Services

  • Contas e grupos

  • Arquivo Web.config

  • Adições de instantâneos de segurança

Use este artigo para planejar a segurança do farm de servidores. As tarefas aqui incluídas são adequadas para os seguintes ambientes de segurança:

  • Hospedado pela TI interna

  • Colaboração segura externa

  • Acesso anônimo externo

Sobre segurança reforçada

Em um ambiente de farm de servidores, os servidores individuais têm funções específicas. As recomendações para uma segurança reforçada desses servidores dependerão da função de cada um.

As recomendações de proteção de servidores baseiam-se nas recomendações oferecidas pelos guias de segurança a seguir, disponíveis no tópico sobre padrões e práticas da Microsoft (https://go.microsoft.com/fwlink/?linkid=73704\&clcid=0x416):

Esses guias seguem uma abordagem metódica para a proteção de servidores para funções específicas e para a proteção da rede de suporte. A ordem em que as configurações são aplicadas e em que os aplicativos são instalados e protegidos também é prescrita, começando pela aplicação de patches e de atualizações e depois mostrando a proteção da configuração de rede e de sistema operacional, seguida pela proteção específica de aplicativos. Por exemplo, o guia sobre a proteção do servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês) recomenda que você instale e proteja o IIS (Serviços de Informações da Internet) somente após a aplicação dos patches e da proteção do sistema operacional. Adicionalmente, esse guia aconselha a instalação do Microsoft .NET Framework somente após a aplicação dos patches e da proteção do IIS.

As categorias de configurações de segurança prescritas metodicamente no guia sobre a proteção do servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês) são detalhadas na figura a seguir.

Categorias de configurações de segurança

Adicionalmente, cada um dos três guias inclui um instantâneo de segurança e uma lista de configurações de segurança recomendadas para a função de servidor ou rede específica. As listas de instantâneos são organizadas por categorias que correspondem a configurações de segurança ilustradas na figura anterior.

O design de segurança e as diretrizes para a proteção oferecidos neste artigo baseiam-se nas diretrizes publicadas nesses três guias. Supõe-se que você usará os guias como uma linha de base para a segurança e proteção do seu farm de servidores.

Este artigo descreve as exceções ou adições aos instantâneos recomendadas para o seu ambiente. Elas serão detalhadas em formato tabular com as mesmas categorias e ordem dos três guias de segurança. Esse formato pretende facilitar a identificação e a aplicação de recomendações específicas quando você utilizar os guias.

O guia de implantação para a tecnologia do Windows SharePoint Services 3.0 (https://go.microsoft.com/fwlink/?linkid=76140\&clcid=0x416) inclui instruções para a aplicação de diretrizes de segurança específicas que não são abordadas nos guias de segurança de padrões e práticas.

A natureza da comunicação entre servidores em um farm de servidores e os recursos específicos fornecidos pelo Windows SharePoint Services 3.0 são os principais motivos das recomendações de proteção específicas. Este artigo também descreve como os canais fundamentais de comunicação e os recursos do Windows SharePoint Services 3.0 afetam os requisitos de segurança.

Recomendações para o servidor de aplicativos

No Windows SharePoint Services 3.0, as funções de servidor de aplicativos não são servidores de aplicativos típicos de camada intermediária de pacotes de aplicativos do Enterprise Services. Consequentemente, as recomendações de proteção do servidor de aplicativos (em inglês) (https://msdn.microsoft.com/pt-br/library/aa302433.aspx) (em inglês) não se aplicam a servidores de aplicativos do Windows SharePoint Services 3.0. Em vez disso, use as diretrizes fornecidas no guia de proteção do servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês) para aumentar a proteção de servidores de aplicativos Windows SharePoint Services 3.0:

  • Aplique as diretrizes para a configuração de rede e do sistema operacional em todos os servidores de aplicativos do farm de servidores. Essas diretrizes são apresentadas nas seguintes categorias: patches e atualizações, serviços, protocolos, contas, arquivos e diretórios, compartilhamentos, portas, registro e auditoria e log.

  • Só aplique as diretrizes para a proteção do IIS e de outras configurações da Web no servidor de aplicativos que hospeda o site da Administração Central. Essas diretrizes incluem as seguintes categorias: IIS, Machine.config, segurança de acesso a código, LocalIntranet_Zone e Internet_Zone.

Além de usar o instantâneo de segurança no guia sobre a proteção do servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês), aplique também as recomendações fornecidas na seção Adições de instantâneos de segurança, mais adiante neste artigo.

Comunicação segura com o banco de dados do Microsoft SQL Server

Proteção do servidor de banco de dados (em inglês) (https://go.microsoft.com/fwlink/?linkid=73706\&clcid=0x416) (em inglês) recomenda a restrição de acesso a duas portas de comunicação padrão do Microsoft SQL Server: a porta TCP 1433 e a porta UDP 1434. Para obter ambientes de farm de servidores seguros, a recomendação é:

  • Bloquear totalmente a porta UDP 1434.

  • Configurar as instâncias nomeadas do SQL Server para que elas escutem em uma porta fora do padrão (diferente da porta TCP 1433 ou da porta UDP 1434).

  • Para obter mais segurança, bloqueie a porta TCP 1433 e reatribua a porta usada pela instância padrão para uma porta fora do padrão.

  • Configure aliases de cliente SQL em todos os servidores Web front-end e em servidores de aplicativos do farm de servidores. Após o bloqueio da porta TCP 1433 ou da porta UDP 1434, os aliases de cliente SQL serão necessários em todos os computadores que se comunicam com o computador SQL Server.

Essa abordagem oferece um grau de controle muito maior sobre a forma como o SQL Server é implantado e executado, incluindo a capacidade de garantir que somente os computadores autorizados poderão se comunicar com o computador SQL Server.

As etapas de proteção para criar um alias do cliente SQL devem ser concluídas antes da instalação do Windows SharePoint Services 3.0. Quando você executar a Instalação do Windows SharePoint Services 3.0 e for solicitado a digitar o nome do computador do SQL Server ao qual você deseja se conectar, você terá de digitar o nome do alias do cliente SQL.

Bloqueando as portas padrão do SQL Server

As portas específicas usadas na conexão ao SQL Server são afetadas pelo fato de os bancos de dados serem instalados em uma instância padrão do SQL Server ou em uma instância nomeada do SQL Server. A instância padrão do SQL Server escuta solicitações de cliente na porta TCP 1433. Uma instância nomeada do SQL Server escuta em um número de porta atribuído aleatoriamente. Além disso, o número da porta de uma instância nomeada pode ser reatribuído, caso a instância seja reiniciada (se o número da porta atribuído anteriormente estiver disponível).

Por padrão, computadores cliente que se conectam ao SQL Server pela primeira vez o fazem pela porta TCP 1433. Se essa comunicação não for bem-sucedida, os computadores cliente consultarão o serviço de resolução do SQL Server escutando na porta UDP 1434 para determinar em que porta a instância do banco de dados está escutando.

O comportamento de comunicação por portas padrão do SQL Server apresenta diversos problemas que afetam a proteção do servidor. Primeiro, as portas usadas pelo SQL Server são muito conhecidas e o serviço de resolução do SQL Server tem sido alvo de ataques de saturação do buffer e negação de serviço, incluindo o worm "Slammer". Mesmo quando o SQL Server possui patches para mitigar problemas de segurança em seu serviço de resolução, as portas bem conhecidas permanecem na situação de alvo. Segundo, se os bancos de dados estiverem instalados em uma instância nomeada do SQL Server, a porta de comunicação correspondente será aleatoriamente atribuída e poderá mudar. É possível que esse comportamento impeça a comunicação entre servidores em um ambiente protegido. A capacidade de controlar que portas TCP estão abertas ou bloqueadas é essencial para a proteção do seu ambiente.

Consequentemente, a recomendação para um farm de servidores é atribuir números de porta estáticos a instâncias nomeadas do SQL Server e bloquear a porta UDP 1434 para impedir que potenciais invasores acessem o serviço de resolução do SQL Server. Além disso, considere a reatribuição da porta usada pela instância padrão e o bloqueio da porta TCP 1433.

Existem diversos métodos que podem ser usados no bloqueio de portas. Você pode bloquear essas portas usando um firewall. No entanto, a menos que você possa garantir que não haja outras rotas no segmento de rede nem usuários maliciosos com acesso ao segmento de rede, a recomendação é bloqueá-las diretamente no servidor que hospeda o SQL Server. Isso pode ser feito usando o Firewall do Windows no Painel de Controle.

Configurando instâncias de banco de dados do SQL Server para que elas escutem em uma porta fora do padrão

O SQL Server oferece a capacidade de reatribuir as portas usadas pela instância padrão e por qualquer instância nomeada. No SQL Server 2000, você reatribui portas usando o SQL Server Network Utility. No SQL Server 2005, você reatribui portas usando o SQL Server Configuration Manager.

Configurando aliases de cliente SQL

Em um farm de servidores, todos os servidores Web e servidores de aplicativos front-end são computadores cliente SQL Server. Se você bloquear a porta UDP 1434 no computador SQL Server ou alterar a porta padrão para a instância padrão, configure um alias de cliente SQL em todos os servidores que se conectam ao computador SQL Server.

Para se conectar a uma instância do SQL Server 2000, instale as ferramentas de cliente do SQL Server no computador de destino e configure o alias do cliente SQL. Você pode fazer isso executando a Instalação do SQL Server e selecionando Ferramentas de Cliente do SQL Server.

Para se conectar a uma instância do SQL Server 2005, instale os componentes do cliente SQL Server no computador de destino e configure o alias do cliente SQL usando o SQL Server Configuration Manager. Para instalar os componentes do cliente SQL Server, execute a Instalação e selecione apenas os seguintes componentes de cliente:

  • Componentes de Conectividade

  • Ferramentas de Gerenciamento (incluem o SQL Server Configuration Manager)

Os componentes do cliente SQL Server funcionam com o SQL Server 2000 e podem ser usados no lugar das ferramentas de cliente do SQL Server.

Etapas de proteção

Configurar o SQL Server

Configurar uma instância do SQL Server 2000 para que ela escute em uma porta fora do padrão

Use o SQL Server Network Utility para alterar a porta TCP utilizada por uma instância do SQL Server 2000.

  1. No computador SQL Server, execute o SQL Server Network Utility.

  2. No menu Instância(s) neste servidor, selecione a instância. Verifique se você selecionou a instância desejada. Por padrão, a instância padrão escuta na porta 1433. Instâncias nomeadas do SQL Server 2000 obtêm um número de porta aleatório e, portanto, é possível que você não saiba qual é o número de porta atual atribuído a uma instância nomeada ao executar o SQL Server Network Utility.

  3. No painel Protocolos Habilitados, à direita da interface do SQL Server Network Utility, clique em TCP/IP e em Propriedades.

  4. Na caixa de diálogo Configuração de Valor Padrão do Protocolo de Rede, altere o número da porta TCP. Evite usar qualquer uma das portas TCP conhecidas. Por exemplo, selecione um número de porta com um intervalo mais alto, como 40000. Não marque a caixa de seleção Ocultar Servidor.

  5. Clique em OK.

  6. Na caixa de diálogo SQL Server Network Utility, clique em OK. Você receberá uma mensagem indicando que a alteração não entrará em vigor até que o serviço SQL Server seja reiniciado. Clique em OK.

  7. Reinicie o serviço SQL Server e confirme se o computador do SQL Server está escutando na porta selecionada. Você pode fazer isso examinando o log do visualizador de eventos após a reinicialização do serviço SQL Server. Procure por um evento de informação similar a este:

    Tipo de Evento:Informação

    Origem do Evento:MSSQLSERVER

    Categoria do Evento:(2)

    ID do Evento:17055

    Data:6/3/2008

    Hora:11:20:28 AM

    Usuário:N/A

    Computador:nome_do_computador

    Descrição:

    19013:

    SQL Server escutando em 10.1.2.3: 40000

Configurar uma instância do SQL Server 2005 para que ela escute em uma porta fora do padrão

Use o SQL Server Configuration Manager para alterar a porta TCP usada por uma instância do SQL Server 2005.

  1. Use o SQL Server Configuration Manager para alterar a porta TCP usada por uma instância do SQL Server 2005.

  2. No computador SQL Server, abra o SQL Server Configuration Manager.

  3. No painel esquerdo, expanda Configuração de Rede do SQL Server 2005.

  4. Em Configuração de Rede do SQL Server 2005, clique na entrada correspondente para a instância que você está configurando. A instância padrão aparece na lista como Protocolos para MSSQLSERVER. As instâncias nomeadas aparecerão como Protocolos para instância_nomeada.

  5. No painel direito, clique com o botão direito do mouse em TCP/IP e em Propriedades.

  6. Clique na guia Endereços IP. Para cada endereço IP atribuído ao computador SQL Server, existirá uma entrada correspondente nesta guia. Por padrão, o SQL Server escuta em todos os endereços IP atribuídos ao computador.

  7. Para alterar de forma global a porta em que a instância padrão está escutando, faça o seguinte:

    1. Para cada IP, exceto IPAll, limpe todos os valores para as Portas TCP dinâmicas e para a Porta TCP.

    2. Para IPAll, limpe o valor de Portas TCP dinâmicas. No campo Porta TCP, digite a porta em que deseja que a instância do SQL Server escute. Por exemplo, digite 40000.

  8. Para alterar de forma global a porta em que a instância nomeada está escutando, faça o seguinte:

    1. Para cada IP, incluindo IPAll, limpe todos os valores de Portas TCP dinâmicas. Um valor 0 para esse campo indica que o SQL Server usa uma porta TCP dinâmica para o endereço IP. Uma entrada em branco para esse valor significa que o SQL Server 2005 não usará uma porta TCP dinâmica para o endereço IP.

    2. Para cada IP, exceto IPAll, limpe todos os valores de Porta TCP.

    3. Para IPAll, limpe o valor de Portas TCP dinâmicas. No campo Porta TCP, digite a porta em que deseja que a instância do SQL Server escute. Por exemplo, digite 40000.

  9. Clique em OK. Você receberá uma mensagem indicando que a alteração não entrará em vigor até que o serviço SQL Server seja reiniciado. Clique em OK.

  10. Feche o SQL Server Configuration Manager.

  11. Reinicie o serviço SQL Server e confirme se o computador SQL Server está escutando na porta selecionada. Você pode fazer isso examinando o log do visualizador de eventos após a reinicialização do serviço SQL Server. Procure por um evento de informação similar a este:

    Tipo de Evento:Informação

    Origem do Evento:MSSQL$MSSQLSERVER

    Categoria do Evento:(2)

    ID do Evento:26022

    Data:6/3/2008

    Hora:1:46:11 AM

    Usuário:N/A

    Computador:nome_do_computador

    Descrição:

    O servidor está escutando em [ 'any' <ipv4>50000]

Configurar o Firewall do Windows

Configurar o Firewall do Windows para que ele bloqueie as portas de escuta padrão do SQL Server

  1. No Painel de Controle, abra Firewall do Windows.

  2. Na guia Geral, clique em Ativado. Verifique se a caixa de seleção Não permitir exceções está desmarcada.

  3. Na guia Exceções, clique em Adicionar Porta.

  4. Na caixa de diálogo Adicionar uma Porta, digite um nome para a porta. Por exemplo, digite UDP-1434. Em seguida, digite o número da porta. Por exemplo, digite 1434.

  5. Selecione o botão de opção apropriado: UDP ou TCP. Por exemplo, para bloquear a porta 1434, clique em UDP. Para bloquear a porta 1433, clique em TCP.

  6. Clique em Alterar Escopo para garantir que o escopo dessa exceção seja definido como Qualquer computador (inclusive na Internet).

  7. Clique em OK.

  8. Na guia Exceções, localize a exceção criada. Para bloquear a porta, desmarque a caixa de seleção dessa exceção. Por padrão, essa caixa de seleção estará marcada, o que significa que a porta está aberta.

Configurar o Firewall do Windows para abrir manualmente as portas atribuídas

  1. Siga as etapas de 1 a 7 do procedimento anterior para criar uma exceção para a porta atribuída manualmente à instância do SQL. Por exemplo, crie uma exceção para a porta TCP 40000.

  2. Na guia Exceções, localize a exceção criada. Verifique se a caixa de seleção dessa exceção está marcada. Por padrão, essa caixa de seleção estará marcada, o que significa que a porta está aberta.

    Dica

    Para obter mais informações sobre o uso do protocolo IPsec para proteger a comunicação com o computador SQL Server, consulte o artigo 233256 da Base de Dados de Conhecimento da Microsoft sobre como habilitar o tráfego IPSec através de um firewall (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x416).

Configurar um alias de cliente SQL

Configurar um alias de cliente SQL

Se você bloquear a porta UDP 1434 ou a porta TCP 1433 no computador SQL Server, terá de criar um alias de cliente SQL em todos os outros computadores do farm de servidores. Você pode usar os componentes do cliente SQL Server para criar um alias de cliente SQL para computadores que se conectam ao SQL Server 2000 ou ao SQL Server 2005.

  1. Execute a Instalação do SQL Server 2005 no computador de destino e selecione os seguintes componentes de cliente:

    1. Componentes de Conectividade

    2. Ferramentas de Gerenciamento

  2. Abra o SQL Server Configuration Manager.

  3. No painel esquerdo, clique em Configuração do SQL Native Client.

  4. No painel direito, clique com o botão direito do mouse em Aliases e selecione Novo Alias.

  5. Na caixa de diálogo Alias, digite um nome para o alias e digite o número da porta da instância do banco de dados. Por exemplo, digite SharePoint*_alias*.

  6. No campo Número da Porta, digite o número da porta para a instância do banco de dados. Por exemplo, digite 40000. Verifique se o protocolo foi definido como TCP/IP.

  7. No campo Servidor, digite o nome do computador SQL Server.

  8. Clique em Aplicar e em OK.

Testar o alias do cliente SQL

Teste a conectividade com o computador SQL Server usando o Microsoft SQL Server Management Studio, disponível por meio da instalação de componentes do cliente SQL Server.

  1. Abra o SQL Server Management Studio.

  2. Quando um nome de servidor for solicitado, digite o nome do alias criado e clique em Conectar. Se a conexão for bem-sucedida, o SQL Server Management Studio será preenchido por objetos que correspondem ao banco de dados remoto.

    Dica

    Para verificar a conectividade com instâncias adicionais do banco de dados a partir do SQL Server Management Studio, clique no botão Conectar e selecione Mecanismo de Banco de Dados.

Requisitos do serviço Compartilhamento de Arquivo e Impressora

Diversos recursos fundamentais dependem do serviço Compartilhamento de Arquivo e Impressora e dos protocolos e portas correspondentes. Entre eles estão incluídos, mas sem limitação, os seguintes:

  • Consultas de pesquisa   Todas as consultas de pesquisa exigem o serviço Compartilhamento de Arquivo e Impressora.

  • Rastreamento e indexação de conteúdo   Para rastrear conteúdo, o componente de índice envia solicitações por meio do servidor Web front-end. O servidor Web front-end se comunica com os bancos de dados de conteúdo de forma direta e envia resultados de volta ao servidor de indexação. A comunicação exige o serviço Compartilhamento de Arquivo e Impressora.

O serviço Compartilhamento de Arquivo e Impressora exige o uso de pipes nomeados. Os pipes nomeados podem se comunicar usando os protocolos SMB diretamente hospedados ou NBT. Para obter um ambiente seguro, o protocolo SMB diretamente hospedado é recomendado. As recomendações de proteção fornecidas neste artigo supõem que o SMB será usado.

A tabela a seguir descreve os requisitos de proteção introduzidos pela dependência do serviço Compartilhamento de Arquivo e Impressora.

Categoria Requisito Observações

Serviços

Compartilhamento de Arquivo e Impressora

Exige o uso de pipes nomeados.

Protocolos

Pipes nomeados que usam SMB diretamente hospedado

Desabilitar NBT

Os pipes nomeados podem usar o NBT em vez do SMB diretamente hospedado. No entanto, o NBT não é tão seguro como o SMB diretamente hospedado.

Portas

Porta TCP/UDP 445

Usada pelo SMB diretamente hospedado.

Para obter mais informações sobre como desabilitar o NBT, consulte o artigo 204279 da Base de Dados de Conhecimento da Microsoft sobre a hospedagem direta de SMB via TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143\&clcid=0x416).

Requisitos de serviço para integração de email

A integração de email exige o uso de dois serviços:

  • Serviço SMTP

  • Serviço de Gerenciamento de Diretório do Microsoft SharePoint

Serviço SMTP

A integração de email exige o uso do serviço SMTP em pelo menos um dos servidores Web front-end do farm de servidores. O serviço SMTP é necessário para o email de entrada. Para o email de saída, você pode usar o serviço SMTP ou roteá-lo por meio de um servidor de email dedicado de sua organização, como um computador com o Microsoft Exchange Server.

Serviço de Gerenciamento de Diretório do Microsoft SharePoint

O Windows SharePoint Services 3.0 inclui um serviço interno, o Microsoft SharePoint Directory Management Service, para criar grupos de distribuição de email.

Ao configurar a integração de email, você tem a opção de habilitar o recurso Serviço de Gerenciamento de Diretório, permitindo aos usuários criar listas de distribuição. Quando os usuários criam um grupo do SharePoint e selecionam a opção para criar uma lista de distribuição, o Serviço de Gerenciamento de Diretório do Microsoft SharePoint cria a lista de distribuição do serviço de diretório do Active Directory correspondente no ambiente do Active Directory .

Em ambientes com segurança reforçada, a recomendação é restringir o acesso ao Serviço de Gerenciamento de Diretório do Microsoft SharePoint protegendo o arquivo associado a esse serviço, o SharePointEmailws.asmx. Por exemplo, só permita acesso a esse arquivo à conta do farm de servidores.

Adicionalmente, esse serviço exige permissões no ambiente do Active Directory para criar objetos de lista de distribuição do Active Directory. A recomendação é configurar uma unidade organizacional separada no Active Directory para objetos do SharePoint. Somente essa unidade organizacional deverá conceder acesso de gravação à conta usada pelo Serviço de Gerenciamento de Diretório do Microsoft SharePoint.

Serviços do Windows SharePoint Services

Não desabilite os serviços instalados pelo Windows SharePoint Services 3.0. Os serviços a seguir estão instalados em todos os servidores Web front-end e servidores de aplicativos e aparecem no snap-in Serviços do Console de Gerenciamento Microsoft (MMC) (em ordem alfabética):

  • Administração do Windows SharePoint Services

  • Pesquisa do Windows SharePoint Services

  • Timer do Windows SharePoint Services

  • Rastreamento do Windows SharePoint Services

  • Gravador VSS do Windows SharePoint Services

Se o seu ambiente não permite serviços executados como um sistema local, só considere a desabilitação do serviço Administração do Windows SharePoint Services se souber quais serão as consequências e se puder contorná-las. Esse é um serviço Win32 executado como um sistema local.

Esse serviço é usado pelo serviço Timer do Windows SharePoint Services para executar ações que exigem privilégios administrativos no servidor, como criar sites do IIS, implantar códigos, parar e iniciar serviços. Se você desabilitar esse serviço, não poderá executar tarefas relacionadas à implantação a partir do site da Administração Central. Será preciso usar a ferramenta de linha de comando Stsadm.exe e executar o comando execadminsvcjobs para concluir implantações de vários servidores para o Windows SharePoint Services 3.0 e executar outras tarefas relacionadas à implantação.

Contas e grupos

Os instantâneos de segurança nos guias de segurança de padrões e práticas oferecem recomendações para a proteção de contas e grupos.

Para obter recomendações sobre como planejar contas, consulte Planejar contas administrativas e de serviço (Windows SharePoint Services).

Para obter recomendações sobre o planejamento de funções administrativas e de usuário, consulte Planejar funções de segurança (Windows SharePoint Services).

Arquivo Web.config

O .NET Framework, e o ASP.NET em particular, usa arquivos de configuração em formato XML para configurar aplicativos. O .NET Framework utiliza arquivos de configuração para definir opções de configuração. Os arquivos de configuração são arquivos XML baseados em texto. Vários deles podem, e isso normalmente acontece, existir em um único sistema.

As configurações de sistema para o .NET Framework são definidas no arquivo Machine.config. Esse arquivo está localizado na pasta %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. As configurações padrão contidas no arquivo Machine.config podem ser modificadas para afetarem o comportamento dos aplicativos que usam o .NET Framework em todo o sistema. Para obter recomendações sobre como configurar arquivos Machine.config, consulte o guia sobre a proteção do servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês).

Você poderá alterar a configuração do ASP.NET para um único aplicativo se criar um arquivo Web.config na pasta raiz do aplicativo. Quando isso é feito, as configurações do arquivo Web.config substituem as configurações do arquivo Machine.config.

Quando você estende um aplicativo Web usando a Administração Central, o Windows SharePoint Services 3.0 cria automaticamente um arquivo Web.config para o aplicativo Web.

A seção Adições de instantâneos de segurança, mais adiante neste artigo, lista recomendações para a configuração de arquivos Web.config. Essas recomendações devem ser aplicadas a cada arquivo Web.config criado, incluindo o arquivo Web.config para o site da Administração Central.

Para obter mais informações sobre os arquivos de configuração do ASP.NET e sobre a edição do arquivo Web.config, consulte o tópico sobre a configuração do ASP.NET (em inglês) (https://go.microsoft.com/fwlink/?linkid=73257\&clcid=0x416) (em inglês).

Adições de instantâneos de segurança

Esta seção lista as adições feitas a instantâneos nos guias de segurança de padrões e práticas recomendadas para ambientes do Windows SharePoint Services 3.0. Elas serão detalhadas em formato tabular com as mesmas categorias e a mesma ordem dos guias de segurança de padrões e práticas.

Esse formato pretende facilitar a identificação e a aplicação de recomendações específicas quando você utilizar os guias de segurança de padrões e práticas. Exceto por algumas exceções conhecidas, essas recomendações de proteção deverão ser aplicadas antes de executar a Instalação do Windows SharePoint Services 3.0.

Para obter mais informações sobre a comunicação entre funções de servidor específicas em um farm de servidores, consulte Planejar configuração de segurança para ambientes de extranet (Windows SharePoint Services).

Protegendo suas adições de instantâneos de rede

A tabela a seguir descreve recomendações para a proteção de suas adições de rede.

Componente Exceção de característica

Tudo

Sem recomendações adicionais

Protegendo suas adições de instantâneos de servidor Web

A tabela a seguir descreve recomendações para a proteção de suas adições de servidor Web.

Componente Característica

Serviços

Habilitar:

  • Compartilhamento de Arquivo e Impressora

  • Serviço de Publicação na World Wide Web

Verifique se esses serviços permaneceram habilitados após a execução da Instalação:

  • Administração do Windows SharePoint Services

  • Pesquisa do Windows SharePoint Services

  • Timer do Windows SharePoint Services

  • Rastreamento do Windows SharePoint Services

  • Gravador VSS do Windows SharePoint Services

Protocolos

Habilitar:

  • SMB

  • SMTP (se estiver sendo usado o email integrado)

Desabilitar:

  • NBT

Contas

  • Se o Serviço de Gerenciamento de Diretório da Microsoft estiver habilitado como parte da integração de email, configure seu ambiente do Active Directory para permitir acesso de gravação para a conta usada pelo Serviço de Gerenciamento de Diretório da Microsoft (a conta do farm de servidores).

  • Para obter mais diretrizes sobre como configurar contas, consulte Planejar contas administrativas e de serviço (Windows SharePoint Services) para obter requisitos e recomendações de conta do Windows SharePoint Services 3.0.

Arquivos e diretórios

Se a integração de email estiver habilitada e o recurso Serviço de Gerenciamento de Diretório estiver ativado, restrinja o acesso ao Serviço de Gerenciamento de Diretório do Microsoft SharePoint protegendo o arquivo associado a ele: SharePointEmailws.asmx. Por exemplo, só permita acesso a esse arquivo à conta do farm de servidores.

Compartilhamentos

Sem recomendações adicionais

Portas

  • Abra a porta TCP/UDP 445.

  • Se a porta UDP 1434 estiver bloqueada no computador SQL Server e se os bancos de dados estiverem instalados em uma instância nomeada, configure um alias de cliente SQL para a conexão com a instância nomeada.

  • Se a porta TCP 1433 estiver bloqueada no computador SQL Server e se os bancos de dados estiverem instalados na instância padrão, configure um alias de cliente SQL para a conexão com a instância nomeada.

  • Verifique se as portas permanecem abertas para os aplicativos Web que os usuários podem acessar.

  • Bloqueie o acesso externo à porta usada pelo site da Administração Central.

Registro

Se estiver usando SSO, edite o registro para configurar o RPC estático.

Auditoria e log

Se os arquivos de log forem realocados, verifique se os locais foram atualizados de acordo.

IIS

Consulte as diretrizes sobre o IIS a seguir.

Sites e diretórios virtuais

Sem recomendações adicionais

Mapeamentos de script

Sem recomendações adicionais

Filtros ISAPI

Sem recomendações adicionais

Metabase do IIS

Sem recomendações adicionais

.NET Framework

Consulte as diretrizes sobre o .NET Framework a seguir.

Machine.config: HttpForbiddenHandler

Sem recomendações adicionais

Machine.config: Remoto

Sem recomendações adicionais

Machine.config: Rastreamento

Sem recomendações adicionais

Machine.config: compilação

Sem recomendações adicionais

Machine.config: customErrors

Sem recomendações adicionais

Machine.config: sessionState

Sem recomendações adicionais

Segurança de acesso a código

Verifique se você possui o conjunto mínimo de permissões de segurança de acesso a código habilitado para seu aplicativo Web (o elemento <trust> no Web.config para cada aplicativo Web deve ser definido como WSS_Minimal (onde WSS_Minimal possui seus padrões baixos como definido em 12\config\wss_minimaltrust.config) ou como seu próprio arquivo de políticas personalizado, minimamente definido)

LocalIntranet_Zone

Sem recomendações adicionais

Internet_Zone

Sem recomendações adicionais

Web.config

Aplique as recomendações a seguir a todos os arquivos Web.config criados após a execução da Instalação:

  • Não permita a compilação ou a geração de scripts de páginas de bancos de dados por meio de elementos PageParserPaths.

  • Verifique se <SafeMode> CallStack=""false"" e se AllowPageLevelTrace=""false"".

  • Verifique se o limite da Web Part para o número máximo de controles por zona foi definido como baixo.

  • Verifique se a lista SafeControls foi definida como o conjunto mínimo de controles necessários aos seus sites.

  • Verifique se a sua lista SafeTypes do fluxo de trabalho foi definida como o nível mínimo de SafeTypes necessários.

  • Verifique se customErrors está ativado (<customErrors mode=""On""/>).

  • Considere suas configurações de proxy da Web conforme necessário (<system.net>/<Proxypadrão>).

  • Defina o limite de upload.aspx como o maior tamanho razoável esperado para carregamentos feitos por usuários (o padrão é 2 GB). O desempenho pode ser afetado por carregamentos maiores do que 100 MB.

Protegendo suas adições de instantâneos de servidor de banco de dados

A tabela a seguir descreve recomendações para a proteção de suas adições de servidor de banco de dados.

Componente Exceção de característica

Serviços

Sem recomendações adicionais

Protocolos

Sem recomendações adicionais

Contas

Remover manualmente contas não utilizadas com frequência.

Arquivos e diretórios

Sem recomendações adicionais

Compartilhamentos

Sem recomendações adicionais

Portas

  • Bloquear a porta UDP 1434.

  • Considerar o bloqueio da porta TCP 1433.

Registro

Sem recomendações adicionais

Auditoria e log

Sem recomendações adicionais

Configurações do SQL Server

Consulte as diretrizes para as configurações do SQL Server a seguir.

Segurança do SQL Server

Sem recomendações adicionais

Logons, usuários e funções do SQL Server

Sem recomendações adicionais

Objetos de banco de dados do SQL Server

Sem recomendações adicionais

Baixar este manual

Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:

Consulte a lista completa de manuais disponíveis na página de download de manuais do Windows SharePoint Services (em inglês).