Поделиться через


Планирование усиления безопасности ролей сервера в ферме серверов (Windows SharePoint Services)

  • Об усилении безопасности

  • Рекомендации по серверу приложений

  • Безопасный обмен данными с базой данных Microsoft SQL Server

  • Требования к службе общего доступа к файлам и принтерам

  • Требования к службам для интеграции электронной почты

  • Службы Windows SharePoint Services

  • Учетные записи и группы

  • Файл web.config

  • Дополнения к безопасным снимкам

Используйте эту статью при планировании безопасности фермы серверов. Задачи, перечисленные в ней, применимы к следующим безопасным средам:

  • Внутренние ИТ-размещенные

  • взаимодействие с внешними пользователями по защищенному каналу;

  • внешний анонимный доступ.

Об усилении безопасности

В среде фермы серверов отдельные серверы играют определенные роли. Рекомендации по усилению безопасности для этих серверов зависят от ролей каждого из них.

Рекомендации по усилению безопасности сервера основаны на рекомендациях, приведенных в следующих руководствах по обеспечению безопасности в документе Модели и рекомендации Майкрософт (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73704&clcid=0x419) (на английском языке):

Эти руководства основаны на методическом подходе к обеспечению безопасности сервера с учетом определенных ролей и для обеспечения безопасности поддерживающей сети. Также в них предписан порядок применения настроек и установки и усиления безопасности приложений. Сначала применяются исправления и обновления, затем выполняется усиление безопасности настроек сети и операционной системы, а затем усиливается безопасность приложений. Например, в статье Обеспечение безопасности веб-сервера (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x419) (на английском языке) рекомендуется устанавливать и усиливать безопасность Internet Information Services (IIS) только после установки исправлений и усиления безопасности операционной системы. Кроме того, в этом руководстве рекомендовано устанавливать Microsoft .NET Framework только после полного исправления и усиления безопасности IIS.

Категории параметров обеспечения безопасности, методически предписанные в руководстве Обеспечение безопасности веб-сервера (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x419) (на английском языке) проиллюстрированы на следующем рисунке.

Категории параметров безопасности

Кроме того, в каждом из трех руководств приведен безопасный снимок и список рекомендованных параметров обеспечения безопасности для каждой роли сервера в сети. Списки снимков делятся на категории, соответствующие параметрам обеспечения безопасности, приведенным на предыдущем рисунке.

Руководство по проектированию и усилению системы безопасности, приведенные в этой статье, основаны на рекомендациях из этих трех руководств. Предполагается, что они будут использованы как основа для обеспечения и усиления безопасности фермы серверов.

В этой статье описаны исключения или дополнения к снимкам, рекомендованным для определенной среды. Они представлены в виде таблицы с использованием тех же самых категорий и в том же самом порядке, что и в трех руководствах по обеспечению безопасности. Этот формат должен упростить выявление и применение конкретных рекомендаций при использовании руководств.

В руководстве Развертывание для технологии Windows SharePoint Services 3.0 (https://go.microsoft.com/fwlink/?linkid=76140&clcid=0x419) включены инструкции по применению определенных рекомендаций по обеспечению безопасности, которые не включены в руководство по обеспечению безопасности "Модели и рекомендации Майкрософт".

Необходимость в специальных рекомендациях по усилению безопасности возникает в силу особенностей обмена данными между серверами фермы и возможностей Windows SharePoint Services 3.0. Кроме того, в этой статье описано, каким образом основные каналы связи и функции Windows SharePoint Services 3.0 влияют на требования к безопасности.

Рекомендации по серверу приложений

В Windows SharePoint Services 3.0 роли сервера приложений обычно не относятся к обычным серверам приложений среднего уровня, упакованным в приложения Enterprise Services. Следовательно, рекомендации, приведенные в документе Обеспечение безопасности сервера приложений (на английском языке) (https://msdn.microsoft.com/ru-ru/library/aa302433(en-us).aspx) не относятся к серверам приложений Windows SharePoint Services 3.0. Вместо них используйте руководство Обеспечение безопасности веб-сервера (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x419) (на английском языке) для усиления безопасности серверов приложений Windows SharePoint Services 3.0.

  • Примените рекомендации по параметрам сети и операционной системы на всех серверах приложений в ферме. Эти рекомендации содержатся в следующих категориях: исправления и обновления, службы, протоколы, учетные записи, файлы и каталоги, общие папки, порты, реестр, а также аудит и ведение журнала.

  • Примерите рекомендации по усилению безопасности IIS и другим веб-параметрам только на сервере приложений, где размещен веб-сайт центра администрирования. Эти рекомендации содержат следующие категории: IIS, Machine.config, безопасность доступа к коду, LocalIntranet_Zone и Internet_Zone.

Кроме использования безопасного снимка из руководства Обеспечение безопасности веб-сервера (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x419) (на английском языке), также примените рекомендации из раздела Дополнения к безопасным снимкам далее в этой статье.

Безопасный обмен данными с базой данных Microsoft SQL Server

Обеспечение безопасности сервера базы данных (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x419) (на английском языке) рекомендуется ограничить доступ к двум портам Microsoft SQL Server по умолчанию: TCP-порту 1433 и UDP-порту 434. Для обеспечения безопасности среды фермы серверов рекомендуется:

  • Полностью заблокировать порт UDP-порт 1434.

  • Настроить именованные экземпляры SQL Server для прослушивания нестандартного порта (отличного от TCP-порта 1433 или UDP-порта 1434).

  • Для обеспечения дополнительного уровня безопасности заблокировать TCP-порт 1433 и переназначить порт, используемый экземпляром по умолчанию, заменив его на нестандартный.

  • Настроить псевдонимы клиента SQL на всех интерфейсных веб-серверах и серверах приложений в ферме серверов. После блокировки TCP-порта 1433 или UDP-порта 1434 псевдонимы клиента SQL необходимы на всех компьютерах, обменивающихся данными с компьютером, на котором установлен SQL Server.

Этот подход существенно усиливает контроль за развертыванием и запуском SQL Server, включая возможность гарантировать, что только авторизованные компьютеры могут обмениваться данными с компьютером, на котором установлен SQL Server.

Процедура усиления безопасности, предусматривающая создание псевдонима клиента SQL, необходимо завершить перед установкой Windows SharePoint Services 3.0. При запуске программы уставноки Windows SharePoint Services 3.0 при отображении предложения ввести имя компьютера SQL, к которому следует подключиться, необходимо ввести псевдоним клиента SQL.

Блокировка стандартных портов SQL Server

Работа конкретных портов, используемых для подключения к SQL Server, зависит от того, установлены ли базы данных на экземпляре SQL Server по умолчанию или на именованном экземпляре SQL Server. Экземпляр SQL Server по умолчанию прослушивает TCP-порт 1433 в ожидании запросов клиентов. Именованный экземпляр SQL Server прослушивает назначенный случайным образом порт. Кроме того, номер случайно выбранного порта при перезапуске именованного экземпляра может измениться (в зависимости от того, доступен ли ранее назначенный порт).

По умолчанию клиентские компьютеры, подключающиеся к SQL Server, сначала пытаются использовать TCP-порт 1433. При невозможности установить соединение клиентские компьютеры запрашивают службу разрешений SQL Server, прослушивающую UDP-порт 1434, чтобы определить, какой порт прослушивает экземпляр базы данных.

Выбранное по умолчанию поведение порта и обмена данными SQL Server несколько усложняет процесс усиления безопасности сервера. Во-первых, SQL Server использует хорошо известные порты, а служба разрешений SQL Server часто становится мишенью таких атак, как переполнение буфера и отказ в обслуживания, включая червь "Slammer". Даже при установке исправлений SQL Server, призванных снизить уязвимость службы разрешений SQL Server, опасность, связанная с известностью порта, сохраняется. Во-вторых, при установке базы данных на именованный экземпляр SQL Server соответствующие порты обмена данными присваиваются в случайном порядке и могут измениться. Из-за этого возможны перебои в процессе обмена данными между серверами в защищенной среде. Для обеспечения безопасности среды крайне важно иметь возможность контролировать, какие TCP-порты открываются и блокируются.

Следовательно, на ферме серверов рекомендуется присваивать именованным экземплярам SQL Server статические номера портов и заблокировать UDP-порт 1434, чтобы предотвратить возможные атаки на службу разрешений SQL Server. Дополнительно следует подумать о переназначении порта, используемого экземпляром по умолчанию, и блокировки TCP-порта 1433.

Существует несколько методов блокировки портов. Эти порты можно заблокировать с помощью брандмауэра. Однако лучше заблокировать эти порты непосредственно на сервере, на котором установлен SQL Server, особенно если нет уверенности в отсутствии других способов доступа к этому сегменту сети или есть подозрение, что к этому сегменту сети могут иметь доступ злоумышленники. Для этого можно использовать брандмауэр Windows на панели управления.

Настройка экземпляров базы данных SQL Server для прослушивания нестандартного порта

В SQL Server есть возможность переназначать порты, используемые экземпляром по умолчанию и всеми именованными экземплярами. В SQL Server 2000 можно переназначать порты с помощью сетевой служебной программы SQL Server. В SQL Server 2005 для этого используется диспетчер конфигурации SQL Server.

Настройка псевдонимов клиента SQL

На ферме серверов все интерфейсные веб-серверы и серверы приложений — это клиентские компьютеры SQL Server. При блокировке UDP-порта 1434 компьютера, на котором установлен SQL Server, или изменении порта по умолчанию для экземпляра по умолчанию необходимо настроить псевдонимы клиентов SQL на всех серверах, которые подключаются к компьютеру SQL Server.

Чтобы подключиться к экземпляру SQL Server 2000, установите клиентские средства SQL Server на целевом компьютере и настройте псевдоним клиента SQL. Для этого запустите программу установки SQL Server и выберите Средства SQL Server Client.

Чтобы подключиться к экземпляру SQL Server 2005, установите клиентские компоненты SQL Server на целевом компьютере и настройте псевдоним клиента SQL с помощью диспетчера конфигурации SQL Server. Для этого запустите программу установки и выберите установку только следующих клиентских компонентов:

  • Компоненты связи

  • Средства управления (включая диспетчер конфигурации SQL Server)

Клиентские компоненты SQL Server работают с SQL Server 2000, и их можно использовать вместо клиентских средств SQL Server.

Процесс усиления безопасности

Настройка SQL Server

Настройка экземпляра SQL Server 2000 для прослушивания порта, отличного от порта по умолчанию

Используйте сетевую служебную программу SQL Server для изменения TCP-порта, используемого экземпляром SQL Server 2000.

  1. Запустите сетевую служебную программу SQL Server на компьютере, где установлен SQL Server.

  2. В меню Экземпляр(ы) на этом сервере выберите экземпляр. Убедитесь, что экземпляр выбран правильно. По умолчанию экземпляр по умолчанию прослушивает порт 1433. Именованным экземплярам SQL Server 2000 номер порта присваивается в случайном порядке, поэтому при запуске сетевой служебной программы SQL Server номер текущего порта не всегда известен.

  3. На панели Включенные протоколы в правой части интерфейса сетевой служебной программы SQL Server щелкните TCP/IP, а затем выберите Свойства.

  4. В диалоговом окне Настройка значений по умолчанию сетевого протокола измените номер порта TCP. Не используйте хорошо известные порты TCP. Выберите, например, номер из верхнего диапазона (40 000). Не устанавливайте флажок Скрыть сервер.

  5. Нажмите кнопку ОК.

  6. В диалоговом окне Сетевая служебная программа SQL Server нажмите ОК. Отображается сообщение информирующее о том, что изменение будет применено после перезагрузки SQL Server. Нажмите кнопку ОК.

  7. Перезапустите службу SQL Server и убедитесь, что компьютер, на котором установлен SQL Server, прослушивает выбранный порт. Для этого после перезапуска службы SQL Server откройте журнал средства просмотра событий. Найдите примерно такое событие:

    Тип события:информация

    Источник события:MSSQLSERVER

    Категория события:(2)

    Event ID: 17055

    Дата:3/6/2008

    Время:11:20:28

    Пользователь:не определен

    Компьютер:имя_компьютера

    Описание.

    19013:

    SQL Server прослушивает порт 10.1.2.3: 40000

Настройка экземпляра SQL Server 2005 для прослушивания порта, отличного от порта по умолчанию

Используйте диспетчер конфигурации SQL Server и измените TCP-порт, используемый экземпляром SQL Server 2005.

  1. Используйте диспетчер конфигурации SQL Server и измените TCP-порт, используемый экземпляром SQL Server 2005.

  2. На компьютере, где установлен SQL Server, откройте диспетчер конфигурации SQL Server.

  3. В левой панели разверните раздел Конфигурация сети SQL Server 2005.

  4. В разделе Конфигурация сети SQL Server 2005 щелкните запись настраиваемого экземпляра. Экземпляр по умолчанию помечен как Протоколы для MSSQLSERVER. Именованные экземпляры отображаются как Протоколы для именованного_экземпляра.

  5. В правой панели щелкните правой кнопкой мыши TCP/IP и выберите Свойства.

  6. Щелкните вкладку IP-адреса. На этой вкладке есть соответствующая запись для каждого IP-адреса, присвоенного компьютеру, на котором установлен SQL Server. По умолчанию SQL Server прослушивает все IP-адреса, присвоенные компьютеру.

  7. Чтобы глобально изменить порт, который прослушивает экземпляр по умолчанию, выполните следующую процедуру.

    1. Для каждого IP-адреса, кроме IPAll, удалите все значения для параметров Динамические TCP-порты и TCP-порт.

    2. Для IPAll удалите значение в поле Динамические TCP-порты. В поле TCP-порт введите номер порта, который должен прослушивать SQL Server. Например, введите 40000.

  8. Чтобы глобально изменить порт, который прослушивает именованный экземпляр, выполните следующую процедуру.

    1. Для каждого IP-порта, включая IPAll, удалите все значения параметра Динамические TCP-порты. Значение 0 в этом поле означает, что SQL Server использует динамический TCP-порт для IP-адреса. Пустое поле означает, что SQL Server 2005 не использует динамический TCP-порт для IP-адреса.

    2. Для каждого IP-адреса, кроме IPAll, удалите все значения парметраTCP-порт.

    3. Для IPAll удалите значение в поле Динамические TCP-порты. В поле TCP-порт введите номер порта, который должен прослушивать SQL Server. Например, введите 40000.

  9. Нажмите кнопку ОК. Отображается сообщение информирующее о том, что изменение будет применено после перезагрузки SQL Server. Нажмите кнопку ОК.

  10. Закройте диспетчер конфигурации SQL Server.

  11. Перезапустите службу SQL Server и убедитесь, что компьютер, на котором установлен SQL Server, прослушивает выбранный порт. Для этого после перезапуска службы SQL Server откройте журнал средства просмотра событий. Найдите примерно такое событие:

    Тип события:информация

    Источник события:MSSQL$MSSQLSERVER

    Категория события:(2)

    Event ID: 26022

    Дата:3/6/2008

    Время:1:46:11

    Пользователь:не определен

    Компьютер:имя_компьютера

    Описание.

    Сервер прослушивает порт [ 'любой' <ipv4>50000]

Настройка брандмауэра Windows

Настройте брандмауэр Windows для блокировки прослушивающих портов SQL Server по умолчанию

  1. В Панели управления откройте разделБрандмауэр Windows.

  2. На вкладке Общее щелкните Включить. Убедитесь, что флажок Не разрешать исключения снят.

  3. На вкладкеИсключения щелкните Добавить порт.

  4. В диалоговом окне Добавление порта введите имя порта (например, UDP-1434). Затем введите номер порта (например, 1434).

  5. Выберите кнопку соответствующего параметра (UDP или TCP). Например, чтобы заблокировать порт 1434, щелкните UDP. Чтобы заблокировать порт 1433, щелкните TCP.

  6. Щелкните Изменить область и убедитесь, что для этого исключения выбрана область Любой компьютер (включая компьютеры из Интернета).

  7. Нажмите кнопку ОК.

  8. На вкладке Исключениянайдите созданное исключение. Чтобы заблокировать порт, снимите флажок для этого исключения. По умолчанию этот флажок установлен, то есть порт открыт.

Настройка брандмауэра Windows для открытия портов, назначенных вручную

  1. Выполните шаги 1-7 из предыдущего раздела, чтобы создать исключение для порта, назначенного экземпляру SQL вручную. Например, создайте исключение для TCP-порта 40000.

  2. На вкладке Исключения найдите созданное исключение. Убедитесь, что флажок этого исключения установлен. По умолчанию он установлен, то есть порт открыт.

    Примечание

    Подробнее об использовании протокола IPsec для безопасного обмена данными с компьютером, на котором установлен SQL Server, см. в статье 233256 из базы знаний Майкрософт: Передача трафика IPSec через брандмауэр (на английском языке) (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x419) (на английском языке).

Настройте псевдоним клиента SQL

Настройте псевдоним клиента SQL

При блокировке UDP-порта 1434 или TCP-порта 1433 на компьютере, где установлен SQL Server необходимо создать псевдоним клиента SQL на всех остальных компьютерах фермы серверов. Клиенские компоненты SQL Server позволяют создавать псевдоним клиента SQL для компьютеров, подключенных к SQL Server 2000 или SQL Server 2005.

  1. Запустите программу установки SQL Server 2005 на целевом компьютере и выберите установку следующих клиентских компонентов:

    1. Компоненты связи

    2. Средства управления

  2. Откройте диспетчер конфигурации SQL Server.

  3. В левой панели щелкнитеКонфигурация собственного клиента SQL.

  4. В правой панели щелкните правой кнопкой мыши Псевдонимы и выберитеСоздать псевдоним.

  5. В диалоговом окне Псевдоним введите имя псевдонима, а затем введите номер порта экземпляра базы данных. Например, введите SharePoint*_псевдоним*.

  6. В поле Номер порта введите номер порта экземпляра базы данных (например, 40000). Убедитесь, что в качестве протокола выбран протокол TCP/IP.

  7. В поле Сервер введите имя компьютера, на котором установлен SQL Server.

  8. Нажмите кнопку Применить, а затем кнопку ОК.

Тестирование псевдонима клиента SQL

Проверьте подключение к компьютеру, на котором установлен SQL Server, используя среду Microsoft SQL Server Management Studio, доступную после установки клиентских компонентов SQL Server.

  1. Откройте SQL Server Management Studio.

  2. При отображении запроса на ввод имени сервера введите имя созданного псевдонима и нажмите Подключиться. При успешном установлении соединения SQL Server Management Studio заполняется объектами, соответствующими удаленной базе данных.

    Примечание

    Для проверки связи с дополнительными экземплярами базы данных из среды SQL Server Management Studio нажмите кнопку Подключиться и выберитеКомпонент Database Engine.

Требования к службе общего доступа к файлам и принтерам

Ряд основных функций зависят от службы общего доступа к файлам и принтерам и соответствующих протоколов и портов. В частности, к ним относится следующее:

  • Запросы поиска   Служба общего доступа к файлам и принтерам необходима для выполнения всех запросов поиска.

  • Обход и индексация контента   Для обхода контента индексирующий компонент отправляет запросы через интерфейсный веб-сервер. Он напрямую обменивается данными с базой данных контента и отправляет результаты серверу индексирования. Для такого обмена данными необходима служба общего доступа к файлам и принтерам.

Служба общего доступа к файлам и принтерам использует именованные каналы. Они могут обмениваться данными с использованием непосредственно размещенного протокола SMB или протокола NBT. В безопасной среде рекомендуется вместо NBT использовать непосредственно размещенный протокол SMB. В рекомендациях по усилению безопасности, предложенных в этой статье, предполагается использование протокола SMB.

В следующей таблице перечислены требования к усилению безопасности, обусловленные зависимостью от службы общего доступа к файлам и принтерам.

Категория Требование Примечание

Службы

Общий доступ к файлам и принтерам

Необходимо использовать именованные каналы.

Протоколы

Именованные каналы, использующие непосредственно размещенный протокол SMB

NBT отключен

Именованные каналы могут вместо непосредственно размещенного протокола SMB использовать протокол NBT. Однако NBT считается менее безопасным.

Порты

TCP/UDP-порт 445

Используемый непосредственно размещенным протоколом SMB.

Подробнее об отключении NBT см. в статье 204279 из базы знаний Майкрософт: Непосредственное размещение SMB через TCP/IP (на английском языке) (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x419) (на английском языке).

Требования к службам для интеграции электронной почты

Для интеграции электронной почты необходимо использовать две службы:

  • Служба SMTP

  • Служба управления каталогами Microsoft SharePoint

Служба SMTP

Для интеграции электронной почты необходимо использовать службу SMTP хотя бы на одном интерфейсном веб-сервере фермы. Служба SMTP необходима для входящей электронной почты. Для исходящей электронной почты можно либо использовать службу SMTP, либо маршрутизировать исходящую почту через выделенный сервер электронной почты организации (например, компьютер Microsoft Exchange Server).

Служба управления каталогами Microsoft SharePoint

В Windows SharePoint Services 3.0 предусмотрена внутренняя служба для создания групп рассылки электронной почты, служба управления каталогами Microsoft SharePoint.

При настройке интеграции электронной почты можно включить функцию службы управления каталогами и дать пользователям возможность создавать списки рассылки. Когда пользователи создают группу SharePoint и выбирают возможность создания списков рассылки, служба управления каталогами Microsoft SharePoint создает соответствующий список рассылки службы каталогов Active Directory в среде Active Directory.

В средах с повышенным уровнем безопасности рекомендуется ограничить доступ к службе управления каталогами Microsoft SharePoint, обеспечив безопасность файла SharePointEmailws.asmx, связанного с этой службой. Например, можно разрешить доступ к файлу только учетной записи фермы серверов.

Кроме того, для работы с этой службой необходимо иметь в среде Active Directory разрешения на создание объектов списка рассылки Active Directory. Для объектов SharePoint в службе Active Directory рекомендуется создать отдельную организационную единицу. Только этой единице предоставляется разрешение на запись в учетную запись, используемую службой управления каталогами Microsoft SharePoint.

Службы Windows SharePoint Services

Не отключайте службы, установленные Windows SharePoint Services 3.0. Следующие службы устанавливаются на всех интерфейсных веб-серверах и серверах приложений и отображаются в оснастке служб консоли управления (MMC) (в алфавитном порядке):

  • Администрирование Windows SharePoint Services

  • Поиск Windows SharePoint Services

  • Таймер Windows SharePoint Services

  • Трассировка Windows SharePoint Services

  • Программа записи VSS для Windows SharePoint Services

Если в этой среде не разрешены службы, запускаемые в виде локальной системы, можно принять решение об отключении служб администрирования Windows SharePoint Services, только понимая последствия и умея с ними справляться. Это служба Win32, запускаемая как локальная система.

Эта служба используется службой таймера Windows SharePoint Services для выполнения действий, требующих прав администратора сервера, таких как создание веб-сайтов IIS, развертывание кода, отключение и включение служб. После отключения этой службы на веб-сайте центра администрирования становится невозможным запускать задачи, связанные с развертыванием. Для завершения многосерверных развертываний для Windows SharePoint Services 3.0 и выполнения других задач, связанных с развертыванием необходимо использовать программу командной строки Stsadm.exe и выполнить команду execadminsvcjobs.

Учетные записи и группы

В безопасных снимках в руководствах по обеспечению безопасности "Модели и рекомендации" приводятся рекомендации по обеспечению безопасности учетных записей и групп.

Рекомендации по планированию учетных записей см. в разделе Планирование учетных записей администратора и служб (Windows SharePoint Services).

Рекомендации по планированию ролей администраторов и пользователей см. в разделе Планирование ролей безопасности (Windows SharePoint Services).

Файл web.config

В пакете .NET Framework, и в частности в ASP.NET, для настройки приложений используются файлы конфигурации в формате XML. Определение параметров конфигурации в .NET Framework выполняется на основе файлов конфигурации. Это текстовые файлы XML. В одной системе обычно может использоваться несколько файлов конфигурации.

Настройки конфигурации .NET Framework в масштабе всей системы определяются в файле Machine.config. Он находится в папке %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. Настройки по умолчанию, определяемые в файле Machine.config, можно изменить таким образом, чтобы они влияли на поведение всех приложений в системе, использующих .NET Framework. Рекомендации по настройке файлов Machine.config см. в документе Обеспечение безопасности веб-сервера (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x419) (на английском языке).

Настройки конфигурации ASP.NET отдельного приложения можно изменить, создав файл Web.config в корневой папке этого приложения. При этом настройки из файла Web.config заменяют настройки из файла Machine.config.

При расширении веб-приложение с помощью центра администрирования Windows SharePoint Services 3.0 автоматически создает для веб-приложения файл Web.config.

В разделе Дополнения к безопасным снимкам далее в этой статье перечислены рекомендации по настройке файлов Web.config. Их необходимо применить к каждому из создаваемых файлов Web.config, включая файл Web.config сайта центра администрирования.

Подробнее о файлах конфигурации ASP.NET и редактировании файла Web.config см. в документе Конфигурация ASP.NET (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x419) (на английском языке).

Дополнения к безопасным снимкам

В этом разделе перечислены дополнения к снимкам, приведенным в руководствах по обеспечению безопасности "Модели и рекомендации", которые рекомендованы для сред Windows SharePoint Services 3.0. Они представлены в виде таблицы с использованием тех же самых категорий и в том же самом порядке, что и в руководствах по обеспечению безопасности "Модели и рекомендации".

Этот формат должен упростить выявление и применение конкретных рекомендаций при использовании руководств по обеспечению безопасности "Модели и рекомендации". За исключением нескольких специально отмеченных пунктов, эти рекомендации по усилению безопасности нужно применять до запуска программы установки Windows SharePoint Services 3.0.

Дополнительные сведения об обмене данными между определенными ролями сервера в ферме см. в разделе Планирование повышения безопасности сред экстрасетей (сервер Windows SharePoint Services).

Обеспечение безопасности дополнений к снимкам сети

В следующей таблице приведены рекомендации по обеспечению безопасности дополнений к сети.

Компонент Типичное исключение

All

Дополнительных рекомендаций нет

Обеспечение безопасности дополнений к снимку веб-сервера

В следующей таблице приведены рекомендации по обеспечению безопасности дополнений к веб-серверу.

Компонент Характеристика

Службы

Подключите:

  • Общий доступ к файлам и принтерам

  • Службу веб-публикации

После запуска программы установки убедитесь в подключении следующих служб:

  • Администрирование Windows SharePoint Services

  • Поиск Windows SharePoint Services

  • Таймер Windows SharePoint Services

  • Трассировка Windows SharePoint Services

  • Программа записи VSS для Windows SharePoint Services

Протоколы

Подключите:

  • Протокол SMB

  • Протокол SMTP (при использовании интегрированной электронной почты)

Отключите:

  • Протокол NBT

Учетные записи

  • Если служба управления каталогами Microsoft включена в процессе интеграции электронной почты, настройте среду Active Directory таким образом, чтобы предоставить учетной записи, используемой этой службой, (т.е. учетной записи фермы серверов) разрешение на запись.

  • Дополнительные сведения о настройке учетных записей см. в разделе Планирование учетных записей администратора и служб (Windows SharePoint Services), где перечислены требования и рекомендации по учетной записи Windows SharePoint Services 3.0.

Файлы и каталоги

При разрешении интеграции электронной почты и включении службы управления каталогами ограничьте доступ к службе управления каталогами Microsoft SharePoint, обеспечив безопасность файла SharePointEmailws.asmx, связанного с этой службой. Например, разрешите доступ к этой службе только учетной записи фермы серверов.

Общие ресурсы

Дополнительных рекомендаций нет

Порты

  • Откройте TCP/UDP-порт 445.

  • Если UDP-порт 1434 на компьютере, где установлен SQL Server, заблокирован, а базы данных установлены на именованном экземпляре, настройте псевдоним клиента SQL для подключения к именованному экземпляру.

  • Если TCP-порт 1433 на компьютере, где установлен SQL Server, заблокирован, а базы данных установлены на экземпляре по умолчанию, настройте псевдоним клиента SQL для подключения к именованному экземпляру.

  • Убедитесь, что порты по-прежнему открыты для веб-приложений, доступных пользователям.

  • Заблокируйте внешний доступ к порту, используемому для сайта центра администрирования.

Реестр

При использовании SSO внесите изменения в реестр и настройте статический RPC.

Аудит и ведение журнала

Пре перемещении файлов журнала не забудьте обновить их местонахождение.

IIS

См. руководство по IIS далее.

Сайты и виртуальные каталоги

Дополнительных рекомендаций нет

Сопоставления сценариев

Дополнительных рекомендаций нет

Фильтры ISAPI

Дополнительных рекомендаций нет

Метабаза IIS

Дополнительных рекомендаций нет

.NET Framework

См. рекомендации по .NET Framework далее.

Machine.config: HttpForbiddenHandler

Дополнительных рекомендаций нет

Machine.config: Remoting

Дополнительных рекомендаций нет

Machine.config: Trace

Дополнительных рекомендаций нет

Machine.config: compilation

Дополнительных рекомендаций нет

Machine.config: customErrors

Дополнительных рекомендаций нет

Machine.config: sessionState

Дополнительных рекомендаций нет

Безопасность доступа к коду

Убедитесь, что для веб-приложения включен минимальный набор разрешений для обеспечения безопасности доступа к коду. Для элемента <trust> в файлах Web.config для каждого веб-приложения укажите WSS_Minimal (где минимальные значения по умолчанию WSS_Minimal указаны в файле 12\config\wss_minimaltrust.config) или собственный пользовательский файл политик, настроенный по минимуму.

LocalIntranet_Zone

Дополнительных рекомендаций нет

Internet_Zone

Дополнительных рекомендаций нет

Web.config

Примените следующие рекомендации к файлу Web.config, созданному после запуска программы установки.

  • Не разрешайте компиляцию или создание сценариев страниц базы данных с помощью элементов PageParserPaths.

  • Выберите значения <SafeMode> CallStack=""false"" и AllowPageLevelTrace=""false"".

  • Убедитесь, что границы веб-частей вокруг максимальных элементов управления в каждой зоне установлены на минимальном уровне.

  • Убедитесь, что в списке SafeControls выбран минимально необходимый для сайтов набор элементов управления.

  • Убедитесь, что в списке Workflow SafeTypes выбран минимально необходимый уровень типов SafeType.

  • Убедитесь, что включен параметр customErrors (<customErrors mode=""On""/>).

  • Продумайте необходимые настройки веб-прокси (<system.net>/<defaultProxy>).

  • Укажите максимальный размер файла upload.aspx, который пользователи предположительно могут загрузить (по умолчанию: 2 ГБ). Загрузка файлов более 100 МБ может отразиться на производительности.

Обеспечение безопасности дополнений к снимку сервера базы данных

В следующей таблице приведены рекомендации по обеспечению безопасности дополнений к серверу базы данных.

Компонент Типичное исключение

Службы

Дополнительных рекомендаций нет

Протоколы

Дополнительных рекомендаций нет

Учетные записи

Регулярно удаляйте не используемые учетные записи вручную.

Файлы и каталоги

Дополнительных рекомендаций нет

Общие ресурсы

Дополнительных рекомендаций нет

Порты

  • Заблокируйте UDP-порт 1434.

  • Рассмотрите возможность блокировки TCP-порта 1433.

Реестр

Дополнительных рекомендаций нет

Аудит и ведение журнала

Дополнительных рекомендаций нет

Настройки SQL Server

См. рекомендации по настройке SQL Server далее.

Безопасность SQL Server

Дополнительных рекомендаций нет

Имена для входа, пользователи и роли SQL Server

Дополнительных рекомендаций нет

Объекты базы данных SQL Server

Дополнительных рекомендаций нет

Загрузить эту книгу

Для упрощения чтения и печати этот раздел включен в следующие загружаемые книги:

Полный список доступных книг см. в разделе Загружаемые книги для служб Windows SharePoint Services.