Планирование безопасных конфигураций компонентов служб Windows SharePoint Services
Статья
Содержание:
Рекомендации для функций Windows SharePoint Services
В этой статье приведены рекомендации по повышению уровня безопасности настройки и управления функциями Windows SharePoint Services 3.0. Обычно рекомендуемые настройки выполняются в центре администрирования, а не в сети, операционной системе, службах IIS или Microsoft .NET Framework. Рекомендации, приведенные в данной статье, применимы к следующим средам безопасности:
внутренняя среда группы или отдела;
внутренняя размещенная среда;
взаимодействие с внешними пользователями по защищенному каналу;
Рекомендации для функций Windows SharePoint Services
В следующей таблице приведены рекомендации направленные повышение уровня безопасности функций Windows SharePoint Services 3.0.
Функция или область
Рекомендации
Проверка подлинности
Не используйте автоматический вход в систему со стороны клиента при использовании сайта центра администрирования.
Разрешайте выполнять проверку подлинности пользователей только интерфейсным веб-серверам. Не разрешайте учетным записям или группам конечных пользователей проверять подлинность на основе сведений из баз данных серверов.
Авторизация
Назначайте разрешения группам, а не отдельным учетным записям.
Уровни разрешений
Назначайте пользователям минимальные разрешения, необходимые для решения конкретных задач.
Администрирование
Для защиты сайта центра администрирования используйте разрешения на доступ и разрешайте администраторам подключаться к этому сайту удаленно (вместо того, чтобы предоставлять доступ к центру администрирования только локальным компьютерам). В этом случае администраторам не требуется входить на локальный компьютер, на котором размещается центр администрирования. Настройка служб терминалов для доступа к компьютеру создает более высокие уровни риска, чем предоставление удаленного доступа к веб-сайту центра администрирования.
Интеграция электронной почты
Настройте Windows SharePoint Services 3.0 таким образом, чтобы принимать только те сообщения электронной почты, которые передаются через выделенный почтовый сервер, например Microsoft Exchange Server, который фильтрует вирусы и нежелательную рекламную почту, а также выполняет проверку подлинности отправителей электронной почты.
При настройке параметров рабочих процессов службы Windows SharePoint Services 3.0 позволяют разрешить участникам, не имеющим права доступа к документам на сайте, получать вместо этого документы как вложения электронной почты. В безопасной среде не выбирайте параметр Разрешить внешним пользователям участвовать в рабочем процессе, отправив им копию документа. В службах Windows SharePoint Services 3.0 этот параметр по умолчанию отключен.
Хранение и безопасность веб-частей
Следите за тем, чтобы развертывать на ферме серверов только надежные программы. Все запускаемые приложения, XML-файлы и программы ASP.NET должны поступать из доверенного источника, даже если вы намереваетесь ужесточить меры безопасности после развертывания путем применения таких мощных инструментов, как разграничение доступа кода.
Убедитесь, что список SafeControl в файле Web.config содержит в точности те элементы управления и веб-части, которые необходимо разрешить.
Убедитесь, что пользовательские веб-части, безопасность которых планируется усилить с помощью стратегии глубокой обороны, установлены в каталоге bin веб-приложения (в котором включен режим частичного доверия) со особыми разрешениями для каждой сборки.
Рассмотрите возможность удаления веб-части редактора контента из списка SafeControl. Это исключит для пользователей возможность добавления кода JavaScript к страницам в качестве веб-части и использования сценариев JavaScript, размещаемых на внешних серверах.
Убедитесь, что уровни разрешения "Проектирование" и "Участие" назначаются в организации тем пользователям, которым они действительно необходимы. Пользователь с уровнем разрешений "Участие" может загружать страницы ASPX в библиотеку и добавлять веб-части. Пользователи с уровнем разрешений "Проектирование", которым разрешено добавлять веб-части, могут изменять страницы, включая начальную страницу сайта (Default.aspx).
Поисковый
Учетная запись службы поиска Службы Windows SharePoint Services не должна быть членом группы администраторов фермы; в противном случае служба поиска Службы Windows SharePoint Services будет индексировать неопубликованные версии документов.
Убедитесь, что в организации развернуты средства IFilters и средства разбиения текста по словам, одобренные ИТ-отделом.
По умолчанию, к файлу индекса поиска имеют доступ только члены группы администраторов фермы. Убедитесь, что этот файл недоступен пользователям, не принадлежащим этой группе.
Загрузить эту книгу
Для упрощения чтения и печати этот раздел включен в следующие загружаемые книги: