Поделиться через

Планирование безопасности для внутренней среды группы или отдела (Windows SharePoint Services)

  • Статья

Содержание:

  • Контрольный список проекта системы безопасности

  • Планирование усиления безопасности для ролей сервера

  • Планирование безопасных конфигураций компонентов служб Windows SharePoint Services

Руководящие принципы обеспечения безопасности во внутренней среде группы или отдела опираются на практические рекомендации по конфигурациям и параметрам системы безопасности для группы или отдела в более крупной организации. В данном руководстве предполагается, что серверы не обслуживаются основной ИТ-группой организации.

Несмотря на то что для планирования в такой среде требуются определенные знания в области ИТ, администраторы фермы не обязательно должны быть ИТ-специалистами. Если для реализации той или иной настройки требуются более специализированные роли, об этом упоминается отдельно.

Данное руководство следует использовать совместно с рекомендациями, изложенными в разделе Планирование безопасных конфигураций компонентов служб Windows SharePoint Services.

Контрольный список безопасного проекта

Ознакомьтесь со представленным ниже контрольным списком, чтобы убедиться в соответствии планов критериям безопасного проекта серверной топологии.

Топология

[ ]

При выполнении развертывания для группы или отдела исключительно с внутренним доступом службы Windows SharePoint Services 3.0 можно установить на одном или двух серверах.

[ ]

При развертывании на двух и более серверах сайт центра администрирования по возможности должен размещаться на сервере, отличном от роли интерфейсного веб-сервера. Этого можно добиться только в том случае, если роли сервера приложений расположены на сервере, отличном от роли интерфейсного веб-сервера.

Например, если на сервере A размещена роль интерфейсного веб-сервера, а на сервере B — роли сервера баз данных и приложений, то безопасней всего будет разместить сайт центра администрирования на сервере B. Однако если на сервере A размещены роли интерфейсного веб-сервера и сервера приложений, а на сервере B только роль сервера баз данных, то единственным вариантом будет размещение сайта центра администрирования на сервере A.

Логическая архитектура

[ ]

По меньшей мере, в одной зоне в каждом веб-приложении должна использоваться проверка подлинности NTLM. Этот способ проверки подлинности требуется учетной записи службы поиска для обхода контента в веб-приложении.Проверка подлинности Kerberos не может использоваться учетной записью службы поиска для обхода контента.

Дополнительные сведения см. в разделе Планирование способов проверки подлинности (Windows SharePoint Services).

[ ]

При развертывании настраиваемых веб-частей необходимо обеспечить, чтобы только доверенные веб-части развертывались в веб-приложениях с конфиденциальным или защищаемым контентом. Это позволит защитить конфиденциальный контент от атак с использованием внутридоменных сценариев.

Планирование мер по усилению безопасности для ролей сервера

Рекомендации по созданию внутренней среды группы или отдела предполагают, что для серверов, сайтов и контента допускается только внутренний доступ и что общая сетевая среда защищена политиками, разработанными ИТ-отделом. Поэтому усиление защиты серверов для определенных ролей не требуется в той же мере, в которой это необходимо для других сред. Однако для некоторых функций данной среды необходимы определенные службы или другие параметры, которые невозможно задать иным образом.

В следующей таблице описаны рекомендуемые параметры для усиления безопасности для внутренней группы или отдела.

Возможность Параметр

Интеграция электронной почты

При включении интеграции электронной почты на интерфейсном веб-сервере требуется служба SMTP.

Планирование безопасных конфигураций компонентов служб Windows SharePoint Services

В следующей таблице приведены дополнительные рекомендации по обеспечению безопасности функций Windows SharePoint Services 3.0. Эти рекомендации относятся к внутренней среде группы или отдела.

Функция или область Рекомендации

Проверка подлинности

Используйте проверку подлинности на основе существующей системы управления удостоверениями. Если не используется служба каталогов Active Directory, следует использовать проверку подлинности с помощью форм ASP.NET для подключения к системе управления удостоверениями. Для использования проверки подлинности с помощью форм может потребоваться поддержка со стороны следующих ролей:

  • Разработчик ASP.NET для разработки поставщика проверки подлинности.

  • Администратор системы управления удостоверениями, к которой выполняется подключение.

Сайт центра администрирования

  • Ограничьте доступ к сайту центра администрирования, предоставив его только уполномоченным пользователям.

  • Если разрешено удаленное управление сайтом центра администрирования, то для его защиты рекомендуется использовать протокол SSL.

  • Администраторы, выполняющие операции развертывания, должны быть членами группы локальных администраторов на сервере с сайтом центра администрирования.

Служба администрирования Windows SharePoint Services

При развертывании в среде одного сервера служба администрирования Windows SharePoint Services по умолчанию отключена по перечисленным ниже причинам.

  • Эта служба, которая используется для выполнения задач развертывания, запускаемых с сайта центра администрирования, как правило, не требуется при развертывании в среде одного сервера. Однако задачи развертывания можно запускать при помощи средства командной строки Stsadm.exe, для которого не требуется использование этой службы.

  • Учетная запись, используемая для сайта центра администрирования, является общей для всех других процессов. Следовательно, отключение этой службы приводит к более безопасной конфигурации.

При развертывании в среде из одного сервера рекомендуется выполнить следующие действия.

  • Изменить учетную запись фермы серверов после выполнения программы установки.

  • Запустить службу администрирования Windows SharePoint Services.

Выполнение этих действий позволит запускать операции, связанные с развертыванием, непосредственно с сайта центра администрирования.

Загрузить эту книгу

Для упрощения чтения и печати этот раздел включен в следующие загружаемые книги:

Полный список доступных книг см. в разделе Загружаемые книги для служб Windows SharePoint Services.