规划 Windows SharePoint Services 功能的安全配置

本文内容：

• 针对 Windows SharePoint Services 功能的建议

本文针对以更为安全的方式配置和管理 Windows SharePoint Services 3.0 功能给出了建议。通常在管理中心而非网络、操作系统、Internet Information Services (IIS) 或 Microsoft .NET Framework 中执行建议的配置。本文中的建议适用于以下安全环境：

• 内部团队或部门

• 内部 IT 托管

• 外部安全协作

• 外部匿名访问

有关这些环境的详细信息，请参阅选择安全环境 (Windows SharePoint Services)。

针对 Windows SharePoint Services 功能的建议

下表介绍了有助于您保护 Windows SharePoint Services 3.0 功能的建议。

功能或区域	建议
身份验证	使用管理中心网站时请勿使用客户端自动登录。 只允许前端 Web 服务器计算机执行用户的身份验证。不允许最终用户帐户或组对数据库服务器计算机进行身份验证。
授权	将权限分配给组而非单个帐户。
权限级别	向用户分配完成其任务所需的最小权限。
管理	使用访问权限保护管理中心网站，并允许管理员远程连接到该网站（与使管理中心网站仅供本地计算机使用相反）。这可以减轻对管理员在本地登录到托管管理中心的计算机的要求。配置对计算机的终端服务访问所造成的安全风险要高于允许远程访问管理中心网站。
电子邮件集成	配置 Windows SharePoint Services 3.0 ，以便只接受通过专用邮件服务器（如 Microsoft Exchange Server）中继的电子邮件，这是因为专用邮件服务器可以筛选掉病毒和商业垃圾邮件，并验证邮件发送方的身份。 在配置工作流设置时，利用 Windows SharePoint Services 3.0 可以让无权访问网站上某个文档的参与者转而以电子邮件附件的形式接收该文档。在安全环境中，不要选中“是否通过向外部用户发送文档副本，允许其参与工作流”选项。在 Windows SharePoint Services 3.0 中，默认情况下不选中此选项。
Web 部件存储和安全性	确保只将受信任的代码部署到服务器场。部署的所有代码（XML 或 ASP.NET 代码）均应来自受信任的源，即使要在部署之后用诸如代码访问安全性之类的深层防御措施来加强安全性也是如此。 确保 Web.config 文件中的 SafeControl 列表包含要允许的那组控件和 Web 部件。 确保将计划以深层防御措施加强的自定义 Web 部件安装到 Web 应用程序的 bin 目录中（此处打开部分信任），并对每个程序集指定特定权限。 考虑从 SafeControl 列表中移除内容编辑器 Web 部件。这样可防止用户将 JavaScript 作为 Web 部件添加到页面中以及使用外部服务器上托管的 JavaScript。 在网站中确保向组织中适当的人员授予“设计”和“参与讨论”权限级别。拥有“参与讨论”权限级别的用户可以将 Active Server Page Extension (ASPX) 页上载到库并添加 Web 部件。拥有“设计”权限级别的用户（允许其添加 Web 部件）可以修改页面，包括网站上的主页 (Default.aspx)。
搜索	Windows SharePoint Services 搜索服务帐户不能是 Farm Administrators 组的成员；否则 Windows SharePoint Services 搜索服务将为文档的未发布版本编制索引。 确保您部署的其他 IFilter 和分词系统受您的 IT 团队信任。 默认情况下，只有 Farm Administrators 组的成员能访问搜索索引文件。确保此文件对不属于该组的用户无法访问。

下载此书籍

本主题包含在以下可下载书籍内，以方便您阅读和打印：

• Windows SharePoint Services 3.0 的规划和体系结构 - 第 2 部分（该链接可能指向英文页面）

• Windows SharePoint Services 3.0 的安全性（该链接可能指向英文页面）

有关可下载书籍的完整列表，请参阅 Windows SharePoint Services 的可下载书籍（该链接可能指向英文页面）。