Planejar a proteção da segurança para funções de servidor em um farm de servidores (Windows SharePoint Services)
Atualizado em: 2009-04-16
Sobre segurança reforçada
Recomendações para o servidor de aplicativos
Comunicação segura com o banco de dados do Microsoft SQL Server
Requisitos do serviço Compartilhamento de Arquivo e Impressora
Requisitos de serviço para integração de email
Serviços do Windows SharePoint Services
Contas e grupos
Arquivo Web.config
Adições de instantâneos de segurança
Use este artigo para planejar a segurança do farm de servidores. As tarefas aqui incluídas são adequadas para os seguintes ambientes de segurança:
Hospedado pela TI interna
Colaboração segura externa
Acesso anônimo externo
Sobre segurança reforçada
Em um ambiente de farm de servidores, os servidores individuais têm funções específicas. As recomendações para uma segurança reforçada desses servidores dependerão da função de cada um.
As recomendações de proteção de servidores baseiam-se nas recomendações oferecidas pelos guias de segurança a seguir, disponíveis no tópico sobre padrões e práticas da Microsoft (https://go.microsoft.com/fwlink/?linkid=73704\&clcid=0x416):
Proteção do servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês)
Proteção do servidor de banco de dados (em inglês) (https://go.microsoft.com/fwlink/?linkid=73706\&clcid=0x416) (em inglês)
Proteção da rede (em inglês) (https://go.microsoft.com/fwlink/?linkid=73707\&clcid=0x416) (em inglês)
Esses guias seguem uma abordagem metódica para a proteção de servidores para funções específicas e para a proteção da rede de suporte. A ordem em que as configurações são aplicadas e em que os aplicativos são instalados e protegidos também é prescrita, começando pela aplicação de patches e de atualizações e depois mostrando a proteção da configuração de rede e de sistema operacional, seguida pela proteção específica de aplicativos. Por exemplo, o guia sobre a proteção do servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês) recomenda que você instale e proteja o IIS (Serviços de Informações da Internet) somente após a aplicação dos patches e da proteção do sistema operacional. Adicionalmente, esse guia aconselha a instalação do Microsoft .NET Framework somente após a aplicação dos patches e da proteção do IIS.
As categorias de configurações de segurança prescritas metodicamente no guia sobre a proteção do servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês) são detalhadas na figura a seguir.
.gif "Categorias de configurações de segurança")
Adicionalmente, cada um dos três guias inclui um instantâneo de segurança e uma lista de configurações de segurança recomendadas para a função de servidor ou rede específica. As listas de instantâneos são organizadas por categorias que correspondem a configurações de segurança ilustradas na figura anterior.
O design de segurança e as diretrizes para a proteção oferecidos neste artigo baseiam-se nas diretrizes publicadas nesses três guias. Supõe-se que você usará os guias como uma linha de base para a segurança e proteção do seu farm de servidores.
Este artigo descreve as exceções ou adições aos instantâneos recomendadas para o seu ambiente. Elas serão detalhadas em formato tabular com as mesmas categorias e ordem dos três guias de segurança. Esse formato pretende facilitar a identificação e a aplicação de recomendações específicas quando você utilizar os guias.
O guia de implantação para a tecnologia do Windows SharePoint Services 3.0 (https://go.microsoft.com/fwlink/?linkid=76140\&clcid=0x416) inclui instruções para a aplicação de diretrizes de segurança específicas que não são abordadas nos guias de segurança de padrões e práticas.
A natureza da comunicação entre servidores em um farm de servidores e os recursos específicos fornecidos pelo Windows SharePoint Services 3.0 são os principais motivos das recomendações de proteção específicas. Este artigo também descreve como os canais fundamentais de comunicação e os recursos do Windows SharePoint Services 3.0 afetam os requisitos de segurança.
Recomendações para o servidor de aplicativos
No Windows SharePoint Services 3.0, as funções de servidor de aplicativos não são servidores de aplicativos típicos de camada intermediária de pacotes de aplicativos do Enterprise Services. Consequentemente, as recomendações de proteção do servidor de aplicativos (em inglês) (https://msdn.microsoft.com/pt-br/library/aa302433.aspx) (em inglês) não se aplicam a servidores de aplicativos do Windows SharePoint Services 3.0. Em vez disso, use as diretrizes fornecidas no guia de proteção do servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês) para aumentar a proteção de servidores de aplicativos Windows SharePoint Services 3.0:
Aplique as diretrizes para a configuração de rede e do sistema operacional em todos os servidores de aplicativos do farm de servidores. Essas diretrizes são apresentadas nas seguintes categorias: patches e atualizações, serviços, protocolos, contas, arquivos e diretórios, compartilhamentos, portas, registro e auditoria e log.
Só aplique as diretrizes para a proteção do IIS e de outras configurações da Web no servidor de aplicativos que hospeda o site da Administração Central. Essas diretrizes incluem as seguintes categorias: IIS, Machine.config, segurança de acesso a código, LocalIntranet_Zone e Internet_Zone.
Além de usar o instantâneo de segurança no guia sobre a proteção do servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês), aplique também as recomendações fornecidas na seção Adições de instantâneos de segurança, mais adiante neste artigo.
Comunicação segura com o banco de dados do Microsoft SQL Server
Proteção do servidor de banco de dados (em inglês) (https://go.microsoft.com/fwlink/?linkid=73706\&clcid=0x416) (em inglês) recomenda a restrição de acesso a duas portas de comunicação padrão do Microsoft SQL Server: a porta TCP 1433 e a porta UDP 1434. Para obter ambientes de farm de servidores seguros, a recomendação é:
Bloquear totalmente a porta UDP 1434.
Configurar as instâncias nomeadas do SQL Server para que elas escutem em uma porta fora do padrão (diferente da porta TCP 1433 ou da porta UDP 1434).
Para obter mais segurança, bloqueie a porta TCP 1433 e reatribua a porta usada pela instância padrão para uma porta fora do padrão.
Configure aliases de cliente SQL em todos os servidores Web front-end e em servidores de aplicativos do farm de servidores. Após o bloqueio da porta TCP 1433 ou da porta UDP 1434, os aliases de cliente SQL serão necessários em todos os computadores que se comunicam com o computador SQL Server.
Essa abordagem oferece um grau de controle muito maior sobre a forma como o SQL Server é implantado e executado, incluindo a capacidade de garantir que somente os computadores autorizados poderão se comunicar com o computador SQL Server.
As etapas de proteção para criar um alias do cliente SQL devem ser concluídas antes da instalação do Windows SharePoint Services 3.0. Quando você executar a Instalação do Windows SharePoint Services 3.0 e for solicitado a digitar o nome do computador do SQL Server ao qual você deseja se conectar, você terá de digitar o nome do alias do cliente SQL.
Bloqueando as portas padrão do SQL Server
As portas específicas usadas na conexão ao SQL Server são afetadas pelo fato de os bancos de dados serem instalados em uma instância padrão do SQL Server ou em uma instância nomeada do SQL Server. A instância padrão do SQL Server escuta solicitações de cliente na porta TCP 1433. Uma instância nomeada do SQL Server escuta em um número de porta atribuído aleatoriamente. Além disso, o número da porta de uma instância nomeada pode ser reatribuído, caso a instância seja reiniciada (se o número da porta atribuído anteriormente estiver disponível).
Por padrão, computadores cliente que se conectam ao SQL Server pela primeira vez o fazem pela porta TCP 1433. Se essa comunicação não for bem-sucedida, os computadores cliente consultarão o serviço de resolução do SQL Server escutando na porta UDP 1434 para determinar em que porta a instância do banco de dados está escutando.
O comportamento de comunicação por portas padrão do SQL Server apresenta diversos problemas que afetam a proteção do servidor. Primeiro, as portas usadas pelo SQL Server são muito conhecidas e o serviço de resolução do SQL Server tem sido alvo de ataques de saturação do buffer e negação de serviço, incluindo o worm "Slammer". Mesmo quando o SQL Server possui patches para mitigar problemas de segurança em seu serviço de resolução, as portas bem conhecidas permanecem na situação de alvo. Segundo, se os bancos de dados estiverem instalados em uma instância nomeada do SQL Server, a porta de comunicação correspondente será aleatoriamente atribuída e poderá mudar. É possível que esse comportamento impeça a comunicação entre servidores em um ambiente protegido. A capacidade de controlar que portas TCP estão abertas ou bloqueadas é essencial para a proteção do seu ambiente.
Consequentemente, a recomendação para um farm de servidores é atribuir números de porta estáticos a instâncias nomeadas do SQL Server e bloquear a porta UDP 1434 para impedir que potenciais invasores acessem o serviço de resolução do SQL Server. Além disso, considere a reatribuição da porta usada pela instância padrão e o bloqueio da porta TCP 1433.
Existem diversos métodos que podem ser usados no bloqueio de portas. Você pode bloquear essas portas usando um firewall. No entanto, a menos que você possa garantir que não haja outras rotas no segmento de rede nem usuários maliciosos com acesso ao segmento de rede, a recomendação é bloqueá-las diretamente no servidor que hospeda o SQL Server. Isso pode ser feito usando o Firewall do Windows no Painel de Controle.
Configurando instâncias de banco de dados do SQL Server para que elas escutem em uma porta fora do padrão
O SQL Server oferece a capacidade de reatribuir as portas usadas pela instância padrão e por qualquer instância nomeada. No SQL Server 2000, você reatribui portas usando o SQL Server Network Utility. No SQL Server 2005, você reatribui portas usando o SQL Server Configuration Manager.
Configurando aliases de cliente SQL
Em um farm de servidores, todos os servidores Web e servidores de aplicativos front-end são computadores cliente SQL Server. Se você bloquear a porta UDP 1434 no computador SQL Server ou alterar a porta padrão para a instância padrão, configure um alias de cliente SQL em todos os servidores que se conectam ao computador SQL Server.
Para se conectar a uma instância do SQL Server 2000, instale as ferramentas de cliente do SQL Server no computador de destino e configure o alias do cliente SQL. Você pode fazer isso executando a Instalação do SQL Server e selecionando Ferramentas de Cliente do SQL Server.
Para se conectar a uma instância do SQL Server 2005, instale os componentes do cliente SQL Server no computador de destino e configure o alias do cliente SQL usando o SQL Server Configuration Manager. Para instalar os componentes do cliente SQL Server, execute a Instalação e selecione apenas os seguintes componentes de cliente:
Componentes de Conectividade
Ferramentas de Gerenciamento (incluem o SQL Server Configuration Manager)
Os componentes do cliente SQL Server funcionam com o SQL Server 2000 e podem ser usados no lugar das ferramentas de cliente do SQL Server.
Etapas de proteção
Configurar o SQL Server
Configurar uma instância do SQL Server 2000 para que ela escute em uma porta fora do padrão
Use o SQL Server Network Utility para alterar a porta TCP utilizada por uma instância do SQL Server 2000.
No computador SQL Server, execute o SQL Server Network Utility.
No menu Instância(s) neste servidor, selecione a instância. Verifique se você selecionou a instância desejada. Por padrão, a instância padrão escuta na porta 1433. Instâncias nomeadas do SQL Server 2000 obtêm um número de porta aleatório e, portanto, é possível que você não saiba qual é o número de porta atual atribuído a uma instância nomeada ao executar o SQL Server Network Utility.
No painel Protocolos Habilitados, à direita da interface do SQL Server Network Utility, clique em TCP/IP e em Propriedades.
Na caixa de diálogo Configuração de Valor Padrão do Protocolo de Rede, altere o número da porta TCP. Evite usar qualquer uma das portas TCP conhecidas. Por exemplo, selecione um número de porta com um intervalo mais alto, como 40000. Não marque a caixa de seleção Ocultar Servidor.
Clique em OK.
Na caixa de diálogo SQL Server Network Utility, clique em OK. Você receberá uma mensagem indicando que a alteração não entrará em vigor até que o serviço SQL Server seja reiniciado. Clique em OK.
Reinicie o serviço SQL Server e confirme se o computador do SQL Server está escutando na porta selecionada. Você pode fazer isso examinando o log do visualizador de eventos após a reinicialização do serviço SQL Server. Procure por um evento de informação similar a este:
Tipo de Evento:Informação
Origem do Evento:MSSQLSERVER
Categoria do Evento:(2)
ID do Evento:17055
Data:6/3/2008
Hora:11:20:28 AM
Usuário:N/A
Computador:nome_do_computador
Descrição:
19013:
SQL Server escutando em 10.1.2.3: 40000
Configurar uma instância do SQL Server 2005 para que ela escute em uma porta fora do padrão
Use o SQL Server Configuration Manager para alterar a porta TCP usada por uma instância do SQL Server 2005.
Use o SQL Server Configuration Manager para alterar a porta TCP usada por uma instância do SQL Server 2005.
No computador SQL Server, abra o SQL Server Configuration Manager.
No painel esquerdo, expanda Configuração de Rede do SQL Server 2005.
Em Configuração de Rede do SQL Server 2005, clique na entrada correspondente para a instância que você está configurando. A instância padrão aparece na lista como Protocolos para MSSQLSERVER. As instâncias nomeadas aparecerão como Protocolos para instância_nomeada.
No painel direito, clique com o botão direito do mouse em TCP/IP e em Propriedades.
Clique na guia Endereços IP. Para cada endereço IP atribuído ao computador SQL Server, existirá uma entrada correspondente nesta guia. Por padrão, o SQL Server escuta em todos os endereços IP atribuídos ao computador.
Para alterar de forma global a porta em que a instância padrão está escutando, faça o seguinte:
Para cada IP, exceto IPAll, limpe todos os valores para as Portas TCP dinâmicas e para a Porta TCP.
Para IPAll, limpe o valor de Portas TCP dinâmicas. No campo Porta TCP, digite a porta em que deseja que a instância do SQL Server escute. Por exemplo, digite 40000.
Para alterar de forma global a porta em que a instância nomeada está escutando, faça o seguinte:
Para cada IP, incluindo IPAll, limpe todos os valores de Portas TCP dinâmicas. Um valor 0 para esse campo indica que o SQL Server usa uma porta TCP dinâmica para o endereço IP. Uma entrada em branco para esse valor significa que o SQL Server 2005 não usará uma porta TCP dinâmica para o endereço IP.
Para cada IP, exceto IPAll, limpe todos os valores de Porta TCP.
Para IPAll, limpe o valor de Portas TCP dinâmicas. No campo Porta TCP, digite a porta em que deseja que a instância do SQL Server escute. Por exemplo, digite 40000.
Clique em OK. Você receberá uma mensagem indicando que a alteração não entrará em vigor até que o serviço SQL Server seja reiniciado. Clique em OK.
Feche o SQL Server Configuration Manager.
Reinicie o serviço SQL Server e confirme se o computador SQL Server está escutando na porta selecionada. Você pode fazer isso examinando o log do visualizador de eventos após a reinicialização do serviço SQL Server. Procure por um evento de informação similar a este:
Tipo de Evento:Informação
Origem do Evento:MSSQL$MSSQLSERVER
Categoria do Evento:(2)
ID do Evento:26022
Data:6/3/2008
Hora:1:46:11 AM
Usuário:N/A
Computador:nome_do_computador
Descrição:
O servidor está escutando em [ 'any' <ipv4>50000]
Configurar o Firewall do Windows
Configurar o Firewall do Windows para que ele bloqueie as portas de escuta padrão do SQL Server
No Painel de Controle, abra Firewall do Windows.
Na guia Geral, clique em Ativado. Verifique se a caixa de seleção Não permitir exceções está desmarcada.
Na guia Exceções, clique em Adicionar Porta.
Na caixa de diálogo Adicionar uma Porta, digite um nome para a porta. Por exemplo, digite UDP-1434. Em seguida, digite o número da porta. Por exemplo, digite 1434.
Selecione o botão de opção apropriado: UDP ou TCP. Por exemplo, para bloquear a porta 1434, clique em UDP. Para bloquear a porta 1433, clique em TCP.
Clique em Alterar Escopo para garantir que o escopo dessa exceção seja definido como Qualquer computador (inclusive na Internet).
Clique em OK.
Na guia Exceções, localize a exceção criada. Para bloquear a porta, desmarque a caixa de seleção dessa exceção. Por padrão, essa caixa de seleção estará marcada, o que significa que a porta está aberta.
Configurar o Firewall do Windows para abrir manualmente as portas atribuídas
Siga as etapas de 1 a 7 do procedimento anterior para criar uma exceção para a porta atribuída manualmente à instância do SQL. Por exemplo, crie uma exceção para a porta TCP 40000.
Na guia Exceções, localize a exceção criada. Verifique se a caixa de seleção dessa exceção está marcada. Por padrão, essa caixa de seleção estará marcada, o que significa que a porta está aberta.
Dica
Para obter mais informações sobre o uso do protocolo IPsec para proteger a comunicação com o computador SQL Server, consulte o artigo 233256 da Base de Dados de Conhecimento da Microsoft sobre como habilitar o tráfego IPSec através de um firewall (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x416).
Configurar um alias de cliente SQL
Configurar um alias de cliente SQL
Se você bloquear a porta UDP 1434 ou a porta TCP 1433 no computador SQL Server, terá de criar um alias de cliente SQL em todos os outros computadores do farm de servidores. Você pode usar os componentes do cliente SQL Server para criar um alias de cliente SQL para computadores que se conectam ao SQL Server 2000 ou ao SQL Server 2005.
Execute a Instalação do SQL Server 2005 no computador de destino e selecione os seguintes componentes de cliente:
Componentes de Conectividade
Ferramentas de Gerenciamento
Abra o SQL Server Configuration Manager.
No painel esquerdo, clique em Configuração do SQL Native Client.
No painel direito, clique com o botão direito do mouse em Aliases e selecione Novo Alias.
Na caixa de diálogo Alias, digite um nome para o alias e digite o número da porta da instância do banco de dados. Por exemplo, digite SharePoint*_alias*.
No campo Número da Porta, digite o número da porta para a instância do banco de dados. Por exemplo, digite 40000. Verifique se o protocolo foi definido como TCP/IP.
No campo Servidor, digite o nome do computador SQL Server.
Clique em Aplicar e em OK.
Testar o alias do cliente SQL
Teste a conectividade com o computador SQL Server usando o Microsoft SQL Server Management Studio, disponível por meio da instalação de componentes do cliente SQL Server.
Abra o SQL Server Management Studio.
Quando um nome de servidor for solicitado, digite o nome do alias criado e clique em Conectar. Se a conexão for bem-sucedida, o SQL Server Management Studio será preenchido por objetos que correspondem ao banco de dados remoto.
Dica
Para verificar a conectividade com instâncias adicionais do banco de dados a partir do SQL Server Management Studio, clique no botão Conectar e selecione Mecanismo de Banco de Dados.
Requisitos do serviço Compartilhamento de Arquivo e Impressora
Diversos recursos fundamentais dependem do serviço Compartilhamento de Arquivo e Impressora e dos protocolos e portas correspondentes. Entre eles estão incluídos, mas sem limitação, os seguintes:
Consultas de pesquisa Todas as consultas de pesquisa exigem o serviço Compartilhamento de Arquivo e Impressora.
Rastreamento e indexação de conteúdo Para rastrear conteúdo, o componente de índice envia solicitações por meio do servidor Web front-end. O servidor Web front-end se comunica com os bancos de dados de conteúdo de forma direta e envia resultados de volta ao servidor de indexação. A comunicação exige o serviço Compartilhamento de Arquivo e Impressora.
O serviço Compartilhamento de Arquivo e Impressora exige o uso de pipes nomeados. Os pipes nomeados podem se comunicar usando os protocolos SMB diretamente hospedados ou NBT. Para obter um ambiente seguro, o protocolo SMB diretamente hospedado é recomendado. As recomendações de proteção fornecidas neste artigo supõem que o SMB será usado.
A tabela a seguir descreve os requisitos de proteção introduzidos pela dependência do serviço Compartilhamento de Arquivo e Impressora.
| Categoria | Requisito | Observações |
|---|---|---|
Serviços |
Compartilhamento de Arquivo e Impressora |
Exige o uso de pipes nomeados. |
Protocolos |
Pipes nomeados que usam SMB diretamente hospedado Desabilitar NBT |
Os pipes nomeados podem usar o NBT em vez do SMB diretamente hospedado. No entanto, o NBT não é tão seguro como o SMB diretamente hospedado. |
Portas |
Porta TCP/UDP 445 |
Usada pelo SMB diretamente hospedado. |
Para obter mais informações sobre como desabilitar o NBT, consulte o artigo 204279 da Base de Dados de Conhecimento da Microsoft sobre a hospedagem direta de SMB via TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143\&clcid=0x416).
Requisitos de serviço para integração de email
A integração de email exige o uso de dois serviços:
Serviço SMTP
Serviço de Gerenciamento de Diretório do Microsoft SharePoint
Serviço SMTP
A integração de email exige o uso do serviço SMTP em pelo menos um dos servidores Web front-end do farm de servidores. O serviço SMTP é necessário para o email de entrada. Para o email de saída, você pode usar o serviço SMTP ou roteá-lo por meio de um servidor de email dedicado de sua organização, como um computador com o Microsoft Exchange Server.
Serviço de Gerenciamento de Diretório do Microsoft SharePoint
O Windows SharePoint Services 3.0 inclui um serviço interno, o Microsoft SharePoint Directory Management Service, para criar grupos de distribuição de email.
Ao configurar a integração de email, você tem a opção de habilitar o recurso Serviço de Gerenciamento de Diretório, permitindo aos usuários criar listas de distribuição. Quando os usuários criam um grupo do SharePoint e selecionam a opção para criar uma lista de distribuição, o Serviço de Gerenciamento de Diretório do Microsoft SharePoint cria a lista de distribuição do serviço de diretório do Active Directory correspondente no ambiente do Active Directory .
Em ambientes com segurança reforçada, a recomendação é restringir o acesso ao Serviço de Gerenciamento de Diretório do Microsoft SharePoint protegendo o arquivo associado a esse serviço, o SharePointEmailws.asmx. Por exemplo, só permita acesso a esse arquivo à conta do farm de servidores.
Adicionalmente, esse serviço exige permissões no ambiente do Active Directory para criar objetos de lista de distribuição do Active Directory. A recomendação é configurar uma unidade organizacional separada no Active Directory para objetos do SharePoint. Somente essa unidade organizacional deverá conceder acesso de gravação à conta usada pelo Serviço de Gerenciamento de Diretório do Microsoft SharePoint.
Serviços do Windows SharePoint Services
Não desabilite os serviços instalados pelo Windows SharePoint Services 3.0. Os serviços a seguir estão instalados em todos os servidores Web front-end e servidores de aplicativos e aparecem no snap-in Serviços do Console de Gerenciamento Microsoft (MMC) (em ordem alfabética):
Administração do Windows SharePoint Services
Pesquisa do Windows SharePoint Services
Timer do Windows SharePoint Services
Rastreamento do Windows SharePoint Services
Gravador VSS do Windows SharePoint Services
Se o seu ambiente não permite serviços executados como um sistema local, só considere a desabilitação do serviço Administração do Windows SharePoint Services se souber quais serão as consequências e se puder contorná-las. Esse é um serviço Win32 executado como um sistema local.
Esse serviço é usado pelo serviço Timer do Windows SharePoint Services para executar ações que exigem privilégios administrativos no servidor, como criar sites do IIS, implantar códigos, parar e iniciar serviços. Se você desabilitar esse serviço, não poderá executar tarefas relacionadas à implantação a partir do site da Administração Central. Será preciso usar a ferramenta de linha de comando Stsadm.exe e executar o comando execadminsvcjobs para concluir implantações de vários servidores para o Windows SharePoint Services 3.0 e executar outras tarefas relacionadas à implantação.
Contas e grupos
Os instantâneos de segurança nos guias de segurança de padrões e práticas oferecem recomendações para a proteção de contas e grupos.
Para obter recomendações sobre como planejar contas, consulte Planejar contas administrativas e de serviço (Windows SharePoint Services).
Para obter recomendações sobre o planejamento de funções administrativas e de usuário, consulte Planejar funções de segurança (Windows SharePoint Services).
Arquivo Web.config
O .NET Framework, e o ASP.NET em particular, usa arquivos de configuração em formato XML para configurar aplicativos. O .NET Framework utiliza arquivos de configuração para definir opções de configuração. Os arquivos de configuração são arquivos XML baseados em texto. Vários deles podem, e isso normalmente acontece, existir em um único sistema.
As configurações de sistema para o .NET Framework são definidas no arquivo Machine.config. Esse arquivo está localizado na pasta %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. As configurações padrão contidas no arquivo Machine.config podem ser modificadas para afetarem o comportamento dos aplicativos que usam o .NET Framework em todo o sistema. Para obter recomendações sobre como configurar arquivos Machine.config, consulte o guia sobre a proteção do servidor Web (em inglês) (https://go.microsoft.com/fwlink/?linkid=73705\&clcid=0x416) (em inglês).
Você poderá alterar a configuração do ASP.NET para um único aplicativo se criar um arquivo Web.config na pasta raiz do aplicativo. Quando isso é feito, as configurações do arquivo Web.config substituem as configurações do arquivo Machine.config.
Quando você estende um aplicativo Web usando a Administração Central, o Windows SharePoint Services 3.0 cria automaticamente um arquivo Web.config para o aplicativo Web.
A seção Adições de instantâneos de segurança, mais adiante neste artigo, lista recomendações para a configuração de arquivos Web.config. Essas recomendações devem ser aplicadas a cada arquivo Web.config criado, incluindo o arquivo Web.config para o site da Administração Central.
Para obter mais informações sobre os arquivos de configuração do ASP.NET e sobre a edição do arquivo Web.config, consulte o tópico sobre a configuração do ASP.NET (em inglês) (https://go.microsoft.com/fwlink/?linkid=73257\&clcid=0x416) (em inglês).
Adições de instantâneos de segurança
Esta seção lista as adições feitas a instantâneos nos guias de segurança de padrões e práticas recomendadas para ambientes do Windows SharePoint Services 3.0. Elas serão detalhadas em formato tabular com as mesmas categorias e a mesma ordem dos guias de segurança de padrões e práticas.
Esse formato pretende facilitar a identificação e a aplicação de recomendações específicas quando você utilizar os guias de segurança de padrões e práticas. Exceto por algumas exceções conhecidas, essas recomendações de proteção deverão ser aplicadas antes de executar a Instalação do Windows SharePoint Services 3.0.
Para obter mais informações sobre a comunicação entre funções de servidor específicas em um farm de servidores, consulte Planejar configuração de segurança para ambientes de extranet (Windows SharePoint Services).
Protegendo suas adições de instantâneos de rede
A tabela a seguir descreve recomendações para a proteção de suas adições de rede.
| Componente | Exceção de característica |
|---|---|
Tudo |
Sem recomendações adicionais |
Protegendo suas adições de instantâneos de servidor Web
A tabela a seguir descreve recomendações para a proteção de suas adições de servidor Web.
| Componente | Característica |
|---|---|
Serviços |
Habilitar:
Verifique se esses serviços permaneceram habilitados após a execução da Instalação:
|
Protocolos |
Habilitar:
Desabilitar:
|
Contas |
|
Arquivos e diretórios |
Se a integração de email estiver habilitada e o recurso Serviço de Gerenciamento de Diretório estiver ativado, restrinja o acesso ao Serviço de Gerenciamento de Diretório do Microsoft SharePoint protegendo o arquivo associado a ele: SharePointEmailws.asmx. Por exemplo, só permita acesso a esse arquivo à conta do farm de servidores. |
Compartilhamentos |
Sem recomendações adicionais |
Portas |
|
Registro |
Se estiver usando SSO, edite o registro para configurar o RPC estático. |
Auditoria e log |
Se os arquivos de log forem realocados, verifique se os locais foram atualizados de acordo. |
IIS |
Consulte as diretrizes sobre o IIS a seguir. |
Sites e diretórios virtuais |
Sem recomendações adicionais |
Mapeamentos de script |
Sem recomendações adicionais |
Filtros ISAPI |
Sem recomendações adicionais |
Metabase do IIS |
Sem recomendações adicionais |
.NET Framework |
Consulte as diretrizes sobre o .NET Framework a seguir. |
Machine.config: HttpForbiddenHandler |
Sem recomendações adicionais |
Machine.config: Remoto |
Sem recomendações adicionais |
Machine.config: Rastreamento |
Sem recomendações adicionais |
Machine.config: compilação |
Sem recomendações adicionais |
Machine.config: customErrors |
Sem recomendações adicionais |
Machine.config: sessionState |
Sem recomendações adicionais |
Segurança de acesso a código |
Verifique se você possui o conjunto mínimo de permissões de segurança de acesso a código habilitado para seu aplicativo Web (o elemento <trust> no Web.config para cada aplicativo Web deve ser definido como WSS_Minimal (onde WSS_Minimal possui seus padrões baixos como definido em 12\config\wss_minimaltrust.config) ou como seu próprio arquivo de políticas personalizado, minimamente definido) |
LocalIntranet_Zone |
Sem recomendações adicionais |
Internet_Zone |
Sem recomendações adicionais |
Web.config |
Aplique as recomendações a seguir a todos os arquivos Web.config criados após a execução da Instalação:
|
Protegendo suas adições de instantâneos de servidor de banco de dados
A tabela a seguir descreve recomendações para a proteção de suas adições de servidor de banco de dados.
| Componente | Exceção de característica |
|---|---|
Serviços |
Sem recomendações adicionais |
Protocolos |
Sem recomendações adicionais |
Contas |
Remover manualmente contas não utilizadas com frequência. |
Arquivos e diretórios |
Sem recomendações adicionais |
Compartilhamentos |
Sem recomendações adicionais |
Portas |
|
Registro |
Sem recomendações adicionais |
Auditoria e log |
Sem recomendações adicionais |
Configurações do SQL Server |
Consulte as diretrizes para as configurações do SQL Server a seguir. |
Segurança do SQL Server |
Sem recomendações adicionais |
Logons, usuários e funções do SQL Server |
Sem recomendações adicionais |
Objetos de banco de dados do SQL Server |
Sem recomendações adicionais |
Baixar este manual
Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:
Parte 2 do material sobre planejamento e arquitetura do Windows SharePoint Services 3.0 (em inglês)
Planejando um ambiente de extranet para o Windows SharePoint Services (em inglês)
Consulte a lista completa de manuais disponíveis na página de download de manuais do Windows SharePoint Services (em inglês).