Планирование повышения безопасности сред экстрасетей (сервер Windows SharePoint Services)

Содержание:

• Топология сети

• Отношения доверия между доменами

• Связь с ролями серверов фермы

• Связь с ролями серверов инфраструктуры

• Связь службы Active Directory между сетевыми доменами

В этой статье приводится подробное описание требований к повышению безопасности среды экстрасети, в которой ферма серверов Windows SharePoint Services 3.0 размещается в демилитаризованной зоне, а сайты доступны из Интернета или корпоративной сети.

топологию сети;

Приведенные в этой статье указания по усилению защиты можно применять ко множеству различных конфигураций экстрасети. На следующем рисунке показана реализация сетевой топологии демилитаризованной зоны с двумя межсетевыми экранами, демонстрирующая роли серверов и клиентов в среде экстрасети.

Целью данного рисунка является выделение каждой возможной роли и их отношений со средой в целом. Сайт центра администрирования может быть установлен на веб-сервере или на поисковом сервере (показаны на рисунке). Показанные маршрутизаторы могут быть заменены на межсетевые экраны.

Отношения доверия между доменами

Требования к отношениям доверия между доменами зависят от настройки фермы серверов. В этом разделе обсуждаются две возможные конфигурации.

Ферма серверов размещается в демилитаризованной зоне

Для демилитаризованной зоны необходима собственная инфраструктура и домен службы каталогов Active Directory. Обычно между доменом демилитаризованной зоны и доменом корпоративной сети отношение доверия не настраивается. Однако для проверки подлинности пользователей интрасети и работающих удаленно сотрудников, которые используют свои учетные данные для домена (проверка подлинности Windows), необходимо настроить одностороннее отношение доверия, в рамках которого домен демилитаризованной зоны доверяет домену корпоративной сети. Для проверки подлинности с помощью форм и единого входа через Интернет отношение доверия между доменами не требуется.

Ферма серверов разделяется между демилитаризованной зоной и корпоративной сетью

Если ферма серверов разделяется между демилитаризованной зоной и корпоративной сетью и при этом серверы баз данных размещаются в корпоративной сети, то при использовании учетных записей Windows необходимо установить отношение доверия между доменами. В этой ситуации демилитаризованная зона должна доверять корпоративной сети. Если используется проверка подлинности SQL, то отношение доверия между доменами не требуется. В следующей таблице приведены сводные данные о различиях между этими двумя подходами.

	Проверка подлинности Windows	Проверка подлинности SQL
Описание	Учетные записи домена корпоративной сети используются для всех учетных записей служб Windows SharePoint Services 3.0 и административных учетных записей, включая учетные записи пула приложений. Необходимо одностороннее отношение доверия, в рамках которого демилитаризованная зона доверяет корпоративной сети.	Учетные записи Windows SharePoint Services 3.0 настраиваются следующим образом: для каждой создаваемой базы данных используется проверка подлинности SQL; все другие административные учетные записи и учетные записи служб создаются в виде учетных записей домена демилитаризованной зоны; веб-серверы и поисковые серверы присоединяются к демилитаризованной зоне. Отношение доверия не требуется, но может быть настроено для поддержки проверки подлинности клиентов на внутреннем контроллере домена. Примечание Если поисковые серверы располагаются в домене корпоративной сети, то необходимо установить одностороннее отношение доверия, в рамках которого демилитаризованная зона доверяет корпоративной сети.
Настройка	Ниже перечислены условия, которые должны быть выполнены при настройке. Административные учетные записи и учетные записи служб приложения Windows SharePoint Services 3.0 создаются в домене корпоративной сети. Веб-серверы и поисковые серверы присоединяются к демилитаризованной зоне. Устанавливается одностороннее отношение доверия, в рамках которого демилитаризованная зона доверяет домену корпоративной сети.	Ниже перечислены условия, которые должны быть выполнены при настройке. Все учетные записи баз данных должны создаваться как учетные записи входа в SQL Server в программе SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio. Эти учетные записи должны быть созданы *до* создания каких-либо баз данных Windows SharePoint Services 3.0, включая базу данных конфигурации и базу данных SharePoint_AdminContent. Для создания базы данных конфигурации и базы данных AdminContent необходимо использовать средство командной строки Psconfig. Эти базы данных не могут быть созданы с помощью мастера настройки продуктов и технологий SharePoint. Кроме использования параметров -user и -password для определения учетной записи фермы серверов, необходимо использовать параметры -dbuser и -dbpassword для определения учетных записей для проверки подлинности SQL. Выбрав параметр Проверка подлинности SQL, в центре администрирования можно создать дополнительные базы данных контента. Однако сначала в приложении SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio нужно создать учетные записи для входа в SQL. Все соединения с серверами баз данных защищаются с помощью протокола SSL. Все порты, используемые для связи с приложением SQL Server, остаются открытыми между демилитаризованной зоной и корпоративной сетью.
Дополнительная информация	Одностороннее отношение доверия позволяет подключенным к домену экстрасети веб-серверам и серверам приложений разрешать учетные записи, находящиеся в домене корпоративной сети.	Учетные записи входа в SQL шифруются в реестре веб-серверов и серверов приложений Учетная запись фермы серверов не используется для доступа к базе данных конфигурации и базе данных SharePoint_AdminContent. Вместо этого используются соответствующие учетные записи входа в SQL

Сведения, приведенные в представленной выше таблице, предполагают выполнение перечисленных ниже условий

• Как веб-серверы, так и серверы приложений размещаются в демилитаризованной зоне

• Все учетные записи создаются в соответствии с принципом предоставления минимальных прав, включая следующие рекомендации:

  • в качестве всех административных учетных записей и учетных записей служб создаются отдельные учетные записи;

  • ни одна из этих учетных записей не входит в группу "Администраторы" какого-либо компьютера, включая сервер, на котором установлено приложение SQL Server.

Дополнительную информацию об учетных записях служб Windows SharePoint Services 3.0 см. в разделе Планирование учетных записей администратора и служб (Windows SharePoint Services).

Дополнительную информацию о создании баз данных с помощью средства командной строки Psconfig см. в разделе Справочник по использованию командной строки для мастера настройки продуктов и технологий SharePoint (Windows SharePoint Services).

Связь с ролями серверов фермы

При настройке среды экстрасети важно понимать, как роли различных серверов взаимосвязаны в пределах фермы серверов.

Связи между ролями серверов

На следующем рисунке показаны каналы связи в рамках фермы серверов. В приведенной после рисунка таблице описываются порты и протоколы, представленные на рисунке. Стрелки показывают, какая серверная роль инициирует связь. Например, веб-сервер инициирует связь с сервером баз данных. Сервер баз данных не инициирует связь с веб-сервером. Это важно знать при настройке входящих и исходящих соединений на маршрутизаторе или межсетевом экране.

Номер пункта	Порты и протоколы
1	Доступ клиентов (включая службу управления правами на доступ к данным и поисковые запросы) — один или несколько из следующих вариантов: TCP-порт 80 TCP/SSL-порт 443 Настраиваемые порты
2	Служба общего доступа к файлам и принтерам — *один* из следующих вариантов: Протокол Direct-hosted SMB (TCP/UDP-порт 445) — рекомендуется Протокол NetBIOS через TCP/IP (TCP/UDP-порты 137, 138, 139) — если не используются, следует отключить
3	Обход при поиске — в зависимости от настройки проверки подлинности сайты SharePoint могут расширяться с помощью дополнительной зоны или сайта служб IIS, чтобы обеспечить доступ компонента индекса к контенту. Эта конфигурация может привести к открытию настраиваемых портов. TCP-порт 80 TCP/SSL-порт 443 Настраиваемые порты
4	Связь с базой данных: TCP/SSL-порт 1433 (по умолчанию) для экземпляра по умолчанию (настраиваемый) Случайный TCP/SSL-порт для именованных экземпляров (настраиваемый)

Связь между рабочими станциями администраторов и центром администрирования

Сайт центра администрирования может быть установлен на любом веб-сервере или поисковом сервере. Изменения параметров, выполняемые через сайт центра администрирования, передаются в базу данных конфигурации. Другие серверные роли фермы принимают изменения конфигурации, которые регистрируются в базе данных конфигурации, в ходе своих циклов опроса базы данных. Следовательно, сайт центра администрирования не устанавливает какие-либо новые требования к связи для других серверных ролей фермы серверов. Однако в зависимости от того, на каком сервере реализован сайт центра администрирования, нужно разрешить доступ к нему с рабочих станций администраторов.

На следующем рисунке показан канал связи рабочей станции администратора с сайтом центра администрирования и базой данных конфигурации.

В следующей таблице описываются порты и протоколы, которые необходимы для осуществления связи с сайтом центра администрирования.

Номер пункта	Порты и протоколы
1	Сайт центра администрирования — один или несколько из следующих портов: TCP-порт 80 TCP/SSL-порт 443 Настраиваемые порты
4	Связь с базой данных: TCP/SSL-порт 1433 (по умолчанию) для экземпляра по умолчанию (настраиваемый) Случайный TCP/SSL-порт для именованных экземпляров (настраиваемый)

Связь с ролями серверов инфраструктуры

При настройке среды экстрасети важно понимать, как различные роли серверов осуществляют связь в пределах серверных компьютеров инфраструктуры.

Контроллер домена службы Active Directory

В следующей таблице перечислены требования к портам для входящих подключений каждой роли сервера к контроллеру домена службы Active Directory.

Поз.	Веб-сервер	ПоисковыйСервер	Сервер баз данных
TCP/UDP-порт 445 (службы каталогов)	X	X	X
TCP/UDP-порт 88 (проверка подлинности Kerberos)	X	X	X
LDAP/LDAPS-порты 389/636 по умолчанию, настраиваемые	X

Для веб-серверов требуется использование портов протоколов LDAP/LDAPS только в том случае, если настроена проверка подлинности по протоколу LDAP.

DNS-сервер

В следующей таблице перечислены требования к портам для входящих подключений каждой роли сервера к DNS-серверу. Во многих средах экстрасетей на одном серверном компьютере размещаются контроллер домена службы Active Directory и DNS-сервер.

Поз.	Веб-сервер	Поисковый сервер	Сервер баз данных
DNS, TCP/UDP-порт 53	X	X	X

Служба SMTP

Для интеграции электронной почты необходимо использовать службу SMTP, которая в свою очередь использует TCP-порт 25 по крайней мере на одном интерфейсном веб-сервере фермы. Служба SMTP необходима для получения входящей электронной почты (входящее соединение). Для исходящей электронной почты можно использовать службу SMTP или направлять исходящую электронную почту через выделенный сервер электронной почты организации, например через компьютер, на котором запущен сервер Microsoft Exchange Server.

Поз.	Веб-сервер	Поисковый сервер	Сервер баз данных
TCP-порт 25	X

Связь службы Active Directory между сетевыми доменами

Для осуществления связи службы Active Directory между доменами, необходимой для поддержки проверки подлинности контроллером домена внутри корпоративной сети, необходимо как минимум одностороннее отношение доверия, в рамках которого демилитаризованная зона доверяет корпоративной сети.

В показанном на первом рисунке этой статьи примере в качестве исходящих соединений с сервером ISA Server B для поддержки одностороннего отношения доверия используются следующие порты:

• TCP/UDP-порт 135 (RPC)

• TCP/UDP-порт 389 по умолчанию, настраиваемый (LDAP)

• TCP/UDP-порт 636 по умолчанию, настраиваемый (LDAP SSL)

• TCP-порт 3268 (LDAP GC)

• TCP-порт 3269 (LDAP GC SSL)

• TCP/UDP-порт 53 (DNS)

• TCP/UDP-порт 88 (проверка подлинности Kerberos)

• TCP/UDP-порт 445 (службы каталогов)

• TCP/UDP-порт 749 (Kerberos-Adm)

• TCP/UDP-порт 750 (Kerberos-IV)

При настройке сервера ISA Server B (или альтернативного устройства, расположенного между демилитаризованной зоной и корпоративной сетью) отношение сетей должно быть определено посредством маршрутизации. Не определяйте отношение сетей через преобразование сетевых адресов (NAT).

Дополнительную информацию о требованиях к усилению безопасности, связанных с отношениями доверия, см в следующих документах:

• Настройка брандмауэра для установления доверительных отношений между доменами (https://go.microsoft.com/fwlink/?linkid=83470&clcid=0x419).

• Служба Active Directory в сетях, разделенных на сегменты брандмауэрами (на английском языке) (https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x419) (на английском языке)

Загрузить эту книгу

Для упрощения чтения и печати этот раздел включен в следующие загружаемые книги:

• Планирование и архитектура для Windows SharePoint Services 3.0, часть 2 (на английском языке)

• Планирование среды экстрасети для служб Windows SharePoint Services (на английском языке)

• Безопасность для служб Windows SharePoint Services 3.0 (на английском языке)

Полный список доступных книг см. в разделе Загружаемые книги для служб Windows SharePoint Services.