Анализ контрольных списков проекта безопасной топологии (Windows SharePoint Services)
Содержание:
Контрольный список проекта топологии сервера
Контрольный список проекта топологии сети
Контрольный список проекта логической архитектуры
Контрольный список проекта операционной системы
В Windows SharePoint Services 3.0 успех процесса усиления защиты сервера зависит от топологии сервера и логической архитектуры, разработанной с расчетом на целевую изоляцию и безопасный обмен данными.
В предыдущих статьях по планированию подробно описана топология и логическая архитектура. В этой статье приведены контрольные списки, с помощью которых можно убедиться, что планы соответствуют критериям безопасного проекта.
Используйте контрольные списки для безопасного проекта топологии в следующих безопасных средах:
Внутренние ИТ-размещенные
взаимодействие с внешними пользователями по защищенному каналу;
внешний анонимный доступ.
Контрольный список проекта топологии сервера
Ознакомьтесь со представленным ниже контрольным списком, чтобы убедиться в соответствии планов критериям безопасного проекта серверной топологии.
[ ] |
В топологию входят выделенные интерфейсные веб-серверы. |
[ ] |
Серверы, где размещаются роль поиска и роль сервера базы данных Windows SharePoint Services, закрыт для прямого доступа пользователей. |
[ ] |
Сайт центра администрирования SharePoint размещен на том же сервере, что и роль поиска Windows SharePoint Services. |
Контрольный список проекта топологии сети
Проанализируйте следующий контрольный список и убедитесь, что планы соответствуют критериям безопасного проекта топологии сети.
[ ] |
Все серверы фермы находятся в одном центре обработки данных и в одной и той же виртуальной локальной сети. |
[ ] |
Доступ возможен только через одну точку входа — через брандмауэр. |
[ ] |
Для повышения безопасности среды ферма делится на три уровня (интерфейсные веб-серверы, поиск и база данных), разделенные маршрутизаторами или брандмауэрами на границе каждой виртуальной локальной сети. |
Контрольный список проекта логической архитектуры
Проанализируйте следующий контрольный список и убедитесь, что планы соответствуют критериям безопасного проекта логической архитектуры.
[ ] |
По меньшей мере в одной зоне каждого веб-приложения используется проверка подлинности NTLM. Это необходимо, чтобы учетная запись поиска обходила внутренний контент веб-приложения. Подробнее см. в разделе Планирование способов проверки подлинности (Windows SharePoint Services). |
[ ] |
Веб-приложения внедряются с использованием имен узлов, а не сгенерированных случайным образом и автоматически назначенных номеров портов. Если в веб-приложении будут размещаться семейства сайтов на основе заголовка узла, не используйте привязки заголовка узла IIS. |
[ ] |
Обдумайте использование отдельных веб-приложений в следующих случаях:
|
[ ] |
В среде с обратным прокси-сервером обдумайте использование порта по умолчанию для открытой пользователям сети, а для внутренней сети — порт, отличный от порта по умолчанию. Это позволяет предотвратить простые атаки на внутреннюю сеть через порт, при осуществлении которых предполагается, что для HTTP всегда используется порт 80. |
[ ] |
При развертывании пользовательских веб-частей внутри веб-приложений, где размещается уязвимый или защищенный контент, можно развертывать только доверенные части. Это позволит защитить уязвимый контент от атаки с использованием внутридоменных сценариев. |
[ ] |
Для центра администрирования и всех уникальных веб-приложений использованы отдельные учетные записи пула приложений. |
Контрольный список проекта операционной системы
Проанализируйте следующий контрольный список и убедитесь, что планы соответствуют критериям безопасного проекта операционной системы.
[ ] |
В серверной операционной системе используется файловая система NTFS. |
[ ] |
Часы всех серверов фермы синхронизированы. |