Поделиться через


Анализ контрольных списков проекта безопасной топологии (Windows SharePoint Services)

Содержание:

  • Контрольный список проекта топологии сервера

  • Контрольный список проекта топологии сети

  • Контрольный список проекта логической архитектуры

  • Контрольный список проекта операционной системы

В Windows SharePoint Services 3.0 успех процесса усиления защиты сервера зависит от топологии сервера и логической архитектуры, разработанной с расчетом на целевую изоляцию и безопасный обмен данными.

В предыдущих статьях по планированию подробно описана топология и логическая архитектура. В этой статье приведены контрольные списки, с помощью которых можно убедиться, что планы соответствуют критериям безопасного проекта.

Используйте контрольные списки для безопасного проекта топологии в следующих безопасных средах:

  • Внутренние ИТ-размещенные

  • взаимодействие с внешними пользователями по защищенному каналу;

  • внешний анонимный доступ.

Контрольный список проекта топологии сервера

Ознакомьтесь со представленным ниже контрольным списком, чтобы убедиться в соответствии планов критериям безопасного проекта серверной топологии.

[ ]

В топологию входят выделенные интерфейсные веб-серверы.

[ ]

Серверы, где размещаются роль поиска и роль сервера базы данных Windows SharePoint Services, закрыт для прямого доступа пользователей.

[ ]

Сайт центра администрирования SharePoint размещен на том же сервере, что и роль поиска Windows SharePoint Services.

Контрольный список проекта топологии сети

Проанализируйте следующий контрольный список и убедитесь, что планы соответствуют критериям безопасного проекта топологии сети.

[ ]

Все серверы фермы находятся в одном центре обработки данных и в одной и той же виртуальной локальной сети.

[ ]

Доступ возможен только через одну точку входа — через брандмауэр.

[ ]

Для повышения безопасности среды ферма делится на три уровня (интерфейсные веб-серверы, поиск и база данных), разделенные маршрутизаторами или брандмауэрами на границе каждой виртуальной локальной сети.

Контрольный список проекта логической архитектуры

Проанализируйте следующий контрольный список и убедитесь, что планы соответствуют критериям безопасного проекта логической архитектуры.

[ ]

По меньшей мере в одной зоне каждого веб-приложения используется проверка подлинности NTLM. Это необходимо, чтобы учетная запись поиска обходила внутренний контент веб-приложения. Подробнее см. в разделе Планирование способов проверки подлинности (Windows SharePoint Services).

[ ]

Веб-приложения внедряются с использованием имен узлов, а не сгенерированных случайным образом и автоматически назначенных номеров портов. Если в веб-приложении будут размещаться семейства сайтов на основе заголовка узла, не используйте привязки заголовка узла IIS.

[ ]

Обдумайте использование отдельных веб-приложений в следующих случаях:

  • Политика компании предусматривает изоляцию процессов для контента и приложений.

  • Внедряются сайты, которые интегрируются с внешними источниками данных, контент которых уязвим или требует повышенного уровня безопасности.

[ ]

В среде с обратным прокси-сервером обдумайте использование порта по умолчанию для открытой пользователям сети, а для внутренней сети — порт, отличный от порта по умолчанию. Это позволяет предотвратить простые атаки на внутреннюю сеть через порт, при осуществлении которых предполагается, что для HTTP всегда используется порт 80.

[ ]

При развертывании пользовательских веб-частей внутри веб-приложений, где размещается уязвимый или защищенный контент, можно развертывать только доверенные части. Это позволит защитить уязвимый контент от атаки с использованием внутридоменных сценариев.

[ ]

Для центра администрирования и всех уникальных веб-приложений использованы отдельные учетные записи пула приложений.

Контрольный список проекта операционной системы

Проанализируйте следующий контрольный список и убедитесь, что планы соответствуют критериям безопасного проекта операционной системы.

[ ]

В серверной операционной системе используется файловая система NTFS.

[ ]

Часы всех серверов фермы синхронизированы.