Поделиться через


Планирование усиления безопасности для SharePoint Server

ОБЛАСТЬ ПРИМЕНЕНИЯ:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

Безопасные моментальные снимки сервера

В среде фермы серверов отдельные серверы имеют определенные роли. Рекомендации по усилению безопасности для этих серверов зависят от ролей каждого из них. Эта статья содержит безопасные снимки для двух категорий ролей сервера.

Моментальные снимки разделены на несколько категорий конфигурации. Характеристики, определенные для каждой категории, представляют собой оптимальное защищенное состояние для SharePoint Server. Эта статья не содержит рекомендаций по ужесточению защиты для другого программного обеспечения в среде.

Помимо усиления защиты серверов для определенных ролей, важно защитить ферму SharePoint путем размещения брандмауэра между серверами фермы и внешними запросами. Для настройки брандмауэра можно использовать рекомендации из этой статьи.

Серверы SharePoint

В этом разделе определены характеристики усиления защиты для серверов SharePoint. Некоторые инструкции применяются к определенным приложениям службы; в этих случаях соответствующие характеристики следует применять только на серверах, на которых работают службы, связанные с соответствующими приложениями службы.

Категория Характеристика
Службы, указанные в оснастке служб консоли управления
Включите следующие службы:
ASP.NET службы состояния (если вы используете InfoPath Forms Services или Project Server 2016)
Просмотр службы состояния (если вы используете InfoPath Forms Services)
служба веб-публикации;
Убедитесь, что эти службы не отключены:
Заявки для службы маркеров Windows
Администрирование SharePoint
Служба таймера SharePoint
Служба трассировки SharePoint
Служба модуля записи VSS SharePoint
Убедитесь, что эти службы не отключены на серверах, на которых размещены соответствующие роли:
Служба кэша AppFabric
Узел пользовательского кода SharePoint
Хост-контроллер поиска SharePoint
служба поиска SharePoint Server.
Порты и протоколы
TCP 80, TCP 443 (SSL)
Пользовательские порты для обхода при поиске, если они настроены (например, для обхода файлового ресурса или веб-сайта в порте, не установленном по умолчанию)
Порты, используемые компонентом индексирования поиска — TCP 16500-16519 (только внутри фермы)
Порты, необходимые для службы кэширования AppFabric Caching Service — TCP 22233-22236
Порты, необходимые для взаимодействия с Windows Communication Foundation — TCP 808
Порты, необходимые для обмена данными между серверами SharePoint и приложениями-службами (по умолчанию используется HTTP):
Привязка HTTP: порт TCP 32843
Привязка HTTP: TCP 32844
Привязка net.tcp: TCP 32845 (только если сторонний производитель реализовал этот параметр для приложения службы)
Если в компьютерной сетевой среде используется Windows Server 2012, Windows Server 2008, Windows Server 2008 R2, Windows 7 или Windows Vista вместе с версиями Windows до Windows Server 2012 и Windows Vista, необходимо включить соединение для следующих диапазонов портов:
высокий диапазон портов (49152-65535);
низкий диапазон портов (1025-5000).
Порты по умолчанию для взаимодействия с SQL Server — TCP 1433, UDP 1434. Если эти порты заблокированы на компьютере SQL Server, а базы данных установлены на именованном экземпляре, настройте псевдоним клиента SQL Server для подключения к именованным экземплярам.
Служба пользовательского кода Microsoft SharePoint Foundation (для изолированных решений) — TCP 32846. Этот порт должен быть открыт для исходящих подключений на всех внешних и внешних серверах с распределенным кэшем. Этот порт должен быть открыт для входящих подключений на внешних и внешних серверах с серверами распределенного кэша, где эта служба включена.
Убедитесь, что порты по-прежнему открыты для веб-приложений, доступных пользователям.
Заблокируйте внешний доступ к порту, используемому для центра Центр администрирования.
SMTP для интеграции электронной почты — TCP 25 или настраиваемый TCP-порт, если вы настроили исходящую почту для использования порта, отличного от порта по умолчанию.
ICMP для эхо-запроса — каждый сервер распределенного кэша должен иметь правила брандмауэра для входящего и исходящего трафика, позволяющие включить ICMP для эхо-запроса.
Реестр
Нет дополнительных инструкций
Аудит и ведение журнала
При перемещении файлов журнала не забудьте обновить их расположение. Также обновите списки управления доступом (ACL).
Web.config;
Следуйте этим рекомендациям для каждого файла Web.config, созданного после запуска программы установки:
Не разрешайте компиляцию или создание скриптов страниц базы данных с помощью элементов PageParserPaths.
Выберите значения <SafeMode> CallStack="false" и AllowPageLevelTrace="false".
Убедитесь, что границы веб-частей вокруг максимальных элементов управления в каждой зоне установлены на минимальном уровне.
Убедитесь, что в списке SafeControls выбран минимально необходимый для сайтов набор элементов управления.
Убедитесь, что в списке Workflow SafeTypes выбран минимально необходимый уровень типов SafeType.
Убедитесь, что включен параметр customErrors (<customErrors mode="On"/>).
При необходимости рассмотрите параметры веб-прокси (<system.net>/<defaultProxy>).
Задайте максимальный размер Upload.aspx, который пользователи будут отправлять. Загрузка файлов размером более 100 МБ может отразиться на производительности.

Роль сервера базы данных

Примечание.

С добавлением функции MinRole в SharePoint Server 2016 концепция ролей изменилась. Сведения о ролях см . в статье Планирование развертывания сервера MinRole в SharePoint Server 2016.

Основная рекомендация для SharePoint Server заключается в том, чтобы защитить обмен данными между фермами, блокируя порты по умолчанию, используемые для обмена данными SQL Server, и устанавливая пользовательские порты для этого взаимодействия. Дополнительные сведения о настройке портов для взаимодействия с SQL Server см. в разделе Блокировка стандартных портов SQL Server далее в этой статье.

Категория Характеристика
Порты
Заблокируйте порт UDP 1434.
Рассмотрите возможность блокировки порта TCP 1433.

В этой статье не описывается, как защитить SQL Server. Дополнительные сведения о том, как защитить SQL Server, см. в разделе Защита SQL Server (https://go.microsoft.com/fwlink/p/?LinkId=186828).

Инструкции для конкретных портов, протоколов и служб

В оставшейся части этой статьи более подробно описаны конкретные требования к защите для SharePoint Server.

Содержание

Блокировка стандартных портов SQL Server

Работа конкретных портов, используемых для подключения к SQL Server, зависит от того, установлены ли базы данных на экземпляре SQL Server по умолчанию или на именованном экземпляре SQL Server. Экземпляр SQL Server по умолчанию прослушивает порт TCP 1433 в ожидании запросов клиентов. Именованный экземпляр SQL Server прослушивает назначенный случайным образом порт. Кроме того, номер случайно выбранного порта при перезапуске именованного экземпляра может измениться (в зависимости от того, доступен ли ранее назначенный порт).

По умолчанию клиентские компьютеры, подключающиеся к SQL Server, сначала пытаются использовать порт TCP 1433. При невозможности установить соединение клиентские компьютеры запрашивают службу разрешений SQL Server, прослушивающую порт UDP 1434, чтобы определить, какой порт прослушивает экземпляр базы данных.

Выбранное по умолчанию поведение порта и обмена данными SQL Server несколько усложняет процесс усиления безопасности сервера. Во-первых, SQL Server использует хорошо известные порты, а служба разрешений SQL Server часто становится мишенью таких атак, как переполнение буфера и отказ в обслуживания, в том числе червя Slammer. Даже при установке исправлений SQL Server, призванных снизить уязвимость службы разрешений SQL Server, сохраняется опасность, связанная с известностью порта. Во-вторых, при установке базы данных на именованный экземпляр SQL Server соответствующие порты обмена данными присваиваются в случайном порядке и могут измениться. Из-за этого возможны перебои в процессе обмена данными между серверами в защищенной среде. Для обеспечения безопасности среды крайне важно иметь возможность управлять открытыми и блокируемыми TCP-портами.

Примечание.

Мы рекомендуем использовать стандартные порты SQL, но убедитесь, что брандмауэр настроен так, чтобы разрешить обмен данными только с серверами, которым требуется доступ к SQL Server. Серверы, которым не нужен доступ к SQL Server, должны быть заблокированы для подключения к SQL Server через TCP-порт 1433 и UDP-порт 1444.

Существует несколько методов блокировки портов. Эти порты можно заблокировать с помощью брандмауэра. Однако лучше заблокировать эти порты непосредственно на сервере, на котором установлен SQL Server, особенно если нет уверенности в отсутствии других способов доступа к этому сегменту сети или есть подозрение, что к этому сегменту сети могут иметь доступ злоумышленники. Для этого можно использовать брандмауэр Windows на панели управления.

Настройка экземпляров базы данных SQL Server для прослушивания нестандартного порта

SQL Server обеспечивает возможность заново назначать порты, используемые экземпляром по умолчанию и любыми именованными экземплярами. В SQL Server порты назначаются с помощью диспетчера конфигурации SQL Server.

Настройка псевдонимов клиента SQL Server

В ферме серверов все интерфейсные веб-серверы и серверы приложений — это клиентские компьютеры SQL Server. При блокировке UDP-порта 1434 компьютера, на котором установлен SQL Server, или изменении порта по умолчанию для экземпляра по умолчанию необходимо настроить псевдонимы клиентов SQL Server на всех серверах, которые подключаются к компьютеру SQL Server. В этом сценарии псевдоним клиента SQL Server задает порт TCP, который прослушивает этот именованный экземпляр.

Для подключения к экземпляру SQL Server следует установить компоненты клиента SQL Server на целевом компьютере и настроить псевдоним клиента SQL Server с помощью диспетчера конфигурации SQL Server. Для установки компонентов клиента SQL Server запустите программу установки и выберите установку только следующих клиентских компонентов:

  • Компоненты связи

  • Средства управления (в том числе диспетчер конфигурации SQL Server)

Конкретные шаги по защите для блокировки стандартных портов SQL Server см. в статье Настройка безопасности SQL Server для SharePoint Server.

Взаимодействие с приложениями-службами

По умолчанию обмен данными между серверами SharePoint и приложениями-службами в ферме осуществляется по протоколу HTTP с привязкой к TCP 32843. После публикации приложения-службы можно выбрать протокол HTTP или HTTPS со следующими привязками.

  • Привязка HTTP: порт TCP 32843

  • Привязка HTTPS: порт TCP 32844

Кроме того, сторонние производители, создающие приложения-службы, могут реализовать третий вариант:

  • Привязка net.tcp: порт TCP 32845

Пользователь может изменить протокол и привязку к порту для каждого приложения службы. На странице Приложения-службы в центре администрирования выберите приложение службы, а затем выберите Опубликовать.

Привязки HTTP/HTTPS/net.tcp также можно просмотреть и изменить с помощью командлетов Microsoft PowerShell Get-SPServiceHostConfig и Set-SPServiceHostConfig .

Взаимодействие приложений-служб и SQL Server осуществляется через стандартные порты SQL Server или порты, настроенные для взаимодействия с SQL Server.

Подключения к внешним серверам

Некоторые функции SharePoint Server можно настроить для доступа к данным, которые находятся на серверных компьютерах за пределами фермы серверов. В этом случае, требуется установить соединение между соответствующими компьютерами. В большинстве случаев, используемые порты, протоколы и службы зависят от внешних ресурсов. Например:

  • Подключения к общим ресурсам используют службу общего доступа к файлам и принтерам.

  • Подключения к внешним базам данных SQL Server используют порты по умолчанию или настраиваемые портов для связи с сервером SQL Server.

  • Подключения к базам данных Oracle обычно используют OLE DB.

  • Подключения к веб-службам используют и HTTP, и HTTPS.

В следующей таблице перечислены компоненты, которые можно настроить для доступа к данным, которые находятся на компьютерах вне фермы серверов.

Возможность Описание
Обход контента
Можно настроить правила для обхода данных, которые находятся на внешних ресурсах, включая веб-сайты, совместные файлы, общие папки Exchange и приложения бизнес-данных. При обходе внешних источников данных роль обхода подключается к этим ресурсам напрямую.
Дополнительные сведения см. в статье Управление обходом контента в SharePoint Server.
Подключения к бизнес-данным
Веб-серверы и серверы приложений напрямую связываются с компьютерами, настроенными для подключений к бизнес-данным.

Требования к службам для интеграции электронной почты

Для интеграции электронной почты необходимо использовать две службы:

Служба SMTP

Для интеграции электронной почты необходимо использовать службу SMTP по крайней мере на одном интерфейсном веб-сервере фермы. Служба SMTP необходима для получения входящей электронной почты. Для исходящей электронной почты можно использовать службу SMTP или направлять исходящую электронную почту через выделенный сервер электронной почты организации, например через компьютер Microsoft Exchange Server.

Служба управления каталогом Microsoft SharePoint

SharePoint Server включает внутреннюю службу Microsoft SharePoint Directory Management Service для создания групп рассылки электронной почты. При настройке интеграции электронной почты можно включить службу управления каталогом и дать пользователям возможность создавать списки рассылки. Когда пользователи создают группу SharePoint и выбирают возможность создания списков рассылки, служба управления каталогом Microsoft SharePoint создает соответствующий список рассылки Active Directory в среде Active Directory.

В средах с повышенным уровнем безопасности рекомендуется ограничить доступ к службе управления каталогами Microsoft SharePoint, обеспечив безопасность файла SharePointEmailws.asmx, связанного с этой службой. Например, можно разрешить доступ к файлу только учетной записи фермы серверов.

Кроме того, для работы с этой службой необходимо иметь в среде Active Directory разрешения на создание объектов списка рассылки Active Directory. Рекомендуется настроить отдельное подразделение (OU) в Active Directory для объектов SharePoint Server. Только этой единице предоставляется разрешение на запись в учетную запись, используемую службой управления каталогами Microsoft SharePoint.

Требования к службам состояния сеанса

Project Server 2016 и InfoPath Forms Services поддерживают состояние сеанса. Если вы развертываете эти функции или продукты в ферме серверов, не отключайте службу ASP.NET состояния. Кроме того, если вы развертываете InfoPath Forms Services, не отключайте службу просмотра состояния.

Службы продуктов SharePoint Server

Не отключайте службы, установленные SharePoint Server (перечисленные ранее в моментальном снимке).

Если в вашей среде запрещены службы, работающие в качестве локальной системы, вы можете отключить службу администрирования SharePoint только в том случае, если вы знаете о последствиях и можете обойти их. Эта служба Win32 запускается как локальная система.

Эта служба используется службой таймера SharePoint для выполнения действий, требующих административных разрешений на сервере, таких как создание веб-сайтов служб IIS, развертывание кода, остановка и запуск служб. Если отключить эту службу, вы не сможете выполнить задачи, связанные с развертыванием, на сайте центра администрирования. Необходимо использовать Microsoft PowerShell для выполнения командлета Start-SPAdminJob (или использовать программу командной строки Stsadm.exe для выполнения операции execadmsvcjobs ), чтобы завершить развертывание нескольких серверов для SharePoint Server и выполнить другие задачи, связанные с развертыванием.

Файл web.config

В пакете .NET Framework, и в частности в ASP.NET, для настройки приложений используются файлы конфигурации в формате XML. Определение параметров конфигурации в .NET Framework выполняется на основе файлов конфигурации. Это текстовые файлы XML. В одной системе обычно может использоваться несколько файлов конфигурации.

System-wide configuration settings for the .NET Framework are defined in the Machine.config file. Файл Machine.config находится в папке %SystemRoot%\Microsoft.NET\Framework%VersionNumber%\CONFIG\. The default settings that are contained in the Machine.config file can be modified to affect the behavior of applications that use the .NET Framework on the whole system.

Настройки конфигурации ASP.NET отдельного приложения можно изменить, создав файл Web.config в корневой папке этого приложения. При этом настройки из файла Web.config заменяют настройки из файла Machine.config.

При расширении веб-приложения с помощью центра администрирования SharePoint Server автоматически создает файл Web.config для веб-приложения.

В разделе, посвященном моментальному снимку веб-сервера и сервера приложений, были перечислены рекомендации по настройке файлов Web.config. Эти рекомендации необходимо применить к каждому из создаваемых файлов Web.config, включая файл Web.config сайта центра администрирования.

Дополнительные сведения о файлах конфигурации ASP.NET и редактировании файла Web.config см. в разделе конфигурация ASP.NET (https://go.microsoft.com/fwlink/p/?LinkID=73257).

См. также

Концепции

Безопасность SharePoint Server