共用方式為

規劃 Office SharePoint Server 功能的安全設定

  • 發行項

本文內容:

  • Office SharePoint Server 功能的建議

使用本文可尋找以更安全的方式設定及管理 Microsoft Office SharePoint Server 2007 功能的建議。您通常會在管理中心進行建議的設定,而不是在網路、作業系統、網際網路資訊服務 (IIS) 或 Microsoft .NET Framework 中。本文中的建議適合下列安全性環境:

  • 內部小組或部門

  • 架設內部 IT

  • 外部安全共同作業

  • 外部匿名存取

如需這些環境的詳細資訊,請參閱<選擇安全性環境 (Office SharePoint Server)>。

Office SharePoint Server 功能的建議

下表說明 Office SharePoint Server 2007 功能的安全建議。

功能或區域 描述與建議

驗證

  • 使用管理中心網站時,請勿使用用戶端自動登入。

  • 僅允許前端網頁伺服器電腦執行使用者驗證。請勿允許一般使用者帳戶或群組對資料庫伺服器電腦進行驗證。

授權

指定權限給群組,而不是個別帳戶。

權限層級

指定使用者完成工作所需的最低權限。

管理

使用存取權限保護管理中心網站,並允許管理員從遠端連線至網站 (相對於啟用管理中心網站僅供本機電腦使用)。這會降低管理員從本機登入架設管理中心之電腦的需求。設定電腦的終端機服務存取權,比提供管理中心網站的遠端存取權造成更高的安全性風險。

電子郵件整合

  • 設定 Office SharePoint Server 2007 僅接受透過專用郵件伺服器 (例如 Microsoft Exchange Server) 轉送的電子郵件,可篩選出病毒與未經同意的廣告郵件,並驗證郵件寄件者。

  • 設定工作流程設定時,Office SharePoint Server 2007 允許您讓無權存取網站上文件的參與者,可改以電子郵件附件形式接收文件。在安全環境中,請勿選取 [是否要傳送文件複本給外部使用者的方法,以允許他們參與工作流程] 選項。在 Office SharePoint Server 2007 中,這個選項的預設是不選取。

網頁組件儲存與安全性

  • 確定僅將信任的程式碼部署至伺服器陣列。您部署的所有程式碼、XML 或 ASP.NET 程式碼皆應來自信任的來源,即使您想在部署後使用深入防禦的措施 (例如程式碼存取安全性) 加強安全性亦然。

  • 確定 Web.config 檔案的SafeControl 清單包含一組您想允許的控制項與網頁組件。

  • 確定您要使用深入防禦措施增強的自訂網頁組件,安裝在 Web 應用程式 (已開啟部分信任) 的 Bin 目錄中,且每個組件擁有特定權限。

  • 請考慮從SafeControl 清單中移除「內容編輯器」網頁組件。這麼做可避免使用者將 JavaScript 作為網頁組件新增至頁面中,或使用外部伺服器上架設的 JavaScript。

  • 確定授與組織內適當人員網站的「設計」與「參與」權限層級。擁有「參與」權限層級的使用者可將 Active Server Page Extension (ASPX) 頁面上載至文件庫,並新增網頁組件。擁有「設計」權限層級且允許新增網頁組件的使用者可修改頁面,包含網站首頁 (Default.aspx)。

搜尋

  • 預設的內容存取帳戶不得是「伺服器陣列管理員」群組的成員;否則,Office SharePoint Server 搜尋服務會對未發佈的文件版本編製索引。

  • 確定您部署的其他 IFilters 與斷詞工具受到 IT 團隊的信任。

  • 根據預設,只有「伺服器陣列管理員」群組的成員可存取搜尋索引檔案。請確定非此群組的使用者無法存取這個檔案。

使用者設定檔

「使用者設定檔及屬性」內容存取帳戶是用以連線至目錄服務,並從目錄服務匯入資料。如果未提供此帳戶的認證,則會改用預設的內容存取帳戶。您可以為每個目錄服務指定不同的帳戶。如需更安全的環境,請使用擁有目錄服務讀取權限的帳戶。請勿提供預設的內容存取帳戶對目錄服務的存取權。如需詳細資訊,請參閱<規劃管理者帳戶和服務帳戶 (Office SharePoint Server)>。

我的網站

  • 擁有「讀取」權限的人員可檢視所有「我的網站」。根據預設,會授與所有驗證的使用者「讀取」權限層級。如需更安全的環境,請僅授與必要群組「讀取」權限層級。您可以在共用服務管理網站 [我的網站設定] 頁面的 [預設讀取者網站群組] 區段中,授與個別群組「讀取」權限層級。若要指定群組成員可執行的動作,請在共用服務管理的首頁上,按一下 [個人化服務權限] 設定,選取要變更權限的群組,然後按一下 [修改所選使用者的權限]。

  • 共用服務提供者 (SSP) 可設定為信任環境中的其他 SSP。這個信任可讓 SSP 決定使用者所屬的 SSP。因此,當使用者建立「我的網站」時,信任的 SSP 可決定哪個 SSP 應架設「我的網站」,而不論使用者按一下建立「我的網站」連結時所瀏覽的位置。如此可確保使用者在組織中僅有一個「我的網站」。此外,當使用者將連結新增至個人網站時,信任的 SSP 會建立來自使用者 SSP 內容的連結,而不是使用者目前正在瀏覽的 SSP。信任的 SSP 亦確保連結不會新增至不受信任的位置。如需更安全的環境,請確保統一管理所有 SSP 之間的「受信任的我的網站主機位置」清單。在理想狀況下,請為所有 SSP 設定相同的清單。

自助網站架設

您可以使用 [自助網站管理] 頁面,讓使用者自動建立及管理自己的最上層網站。當您啟用 Web 應用程式的自助網站架設時,使用者可在特定路徑下建立自己的最上層網站 (預設是 /sites 路徑)。啟用自助網站架設時,會在 Web 應用程式根路徑的最上層網站上新增宣告,而有權檢視該宣告的使用者可連結至新網站。

您的環境會決定是否應啟用自助網站架設:

  • 內部網路環境   根據業務需求啟用自助網站架設。

  • 安全共同作業環境   僅為具有使用此功能之業務需求的人員或群組,啟用自助網站架設。

  • 外部匿名環境   請勿在網際網路上啟用自助網站架設。

網站目錄

有些網站範本含有網站目錄。網站目錄是核准的網站連結網頁。任何人都可以送出需經審議的網站在網站目錄。只有網站目錄管理員可核准及新增網站至網站目錄。

  • 在安全內部網路中,請勿核准公司防火牆外的網站連結。

  • 根據預設,擁有「參與者」權限層級的任何人皆可送出網站以待核准。大型內部網路網站與公用網站不建議使用。針對這些網站,請減少授與「參與者」權限層級的人數,或僅允許網站目錄管理員可送出網站,來限制可送出網站的人數。

RSS 網頁組件

根據預設,RSS 網頁組件僅可存取匿名摘要。若要允許驗證的摘要 (例如驗證的 SharePoint 網站內容摘要),則必須使用 Active Directory 目錄服務的限制委派,授與網頁伺服器電腦對適當伺服器電腦的存取權。

含個人化內容之頁面的內容快取

您可以使用輸出快取,最佳化顯示部分個人化內容的網站效能。在此情況下,會使用張貼快取替換,以確保個人化內容對使用者而言是最新的。因此,如果整個頁面或大部分的頁面包含個人化內容,使用輸出快取不會大幅改進效能。

如果您要在含個人化內容的頁面上啟用輸出快取,請確定在符合下列情況下,顯示個人化內容的網站會支援張貼快取替換:

  • 匿名與驗證的使用者皆可存取內容。

  • 解決方案包含的網站具有顯示個人化內容的控制項 (適用於驗證的使用者)。

在此情況下,所有的匿名使用者會看到相同的內容。驗證的使用者所能檢視的內容會視個人化內容是否顯示,以及此內容是否支援張貼快取替換而定。

  • 如果個人化內容支援張貼快取替換,擁有相同權限的驗證使用者僅可檢視自己的個人化內容。

  • 如果個人化內容不支援張貼快取替換,擁有相同權限的使用者也會看到相同的內容。例如,如果先由使用者 A 快取個人化內容,所有後續擁有相同權限的使用者會看到使用者 A 的個人化內容,而不是自己的個人化內容。

內容部署

如果不要使用內容部署功能,請勿允許伺服器陣列接受從其他伺服器陣列傳入的內容部署工作。預設設定是拒絕傳入的內容部署工作。

InfoPath Forms Server

  • 如果啟用,InfoPath Forms Services Web 服務 Proxy 應在唯一的應用程式集區帳戶下執行。如果不使用 Proxy,請加以停用。

  • 檢閱所有包含程式碼的表單範本,再上載至伺服器電腦。如需詳細資訊,請參閱<部署管理員核准的表單範本 (Office SharePoint Server)>。

  • 在瀏覽器特有的情況下,於 Office SharePoint Server 2007 中使用存取控制清單 (ACL) 可避免使用者下載 XSN。

  • 謹慎考慮是否要允許使用者表單範本供瀏覽器使用。

  • 謹慎考慮是否要允許瀏覽器轉譯使用者表單範本。

  • 使用可設定的臨界值可減輕拒絕服務攻擊。根據下列臨界值會終止使用者工作階段:

    • 每個表單工作階段狀態的回傳數目上限。

    • 每次回傳的動作數目上限。

    • 表單工作階段狀態大小上限。

    • 表單工作階段可用時間上限。

  • 謹慎使用供瀏覽器使用的表單中的功能。下列功能會導致表單 XML 大小大幅增加,進而增加拒絕服務攻擊的風險:

    • 數位簽章

    • 檔案附件控制項

    • RTF 控制項

    • 可能傳回大量結果集的資料連線查詢

InfoPath 資料連線

  • 在資料連線庫中保留開啟 [內容核准],並確保僅信任的使用者擁有內容核准權限。

  • 保護伺服器特有的驗證資訊,方法是使用通用資料連線 (UDC) 檔案中的AltDataSource 屬性,並僅授與使用者伺服器 UDC 檔案的「檢視」權限;或在管理員管理的連線庫中 (管理資料連線檔案),將 [webAccessible] 設為 False。

  • 檢閱及監視跨網域資料連線的使用,可確保僅適當的資料移入及移出網域。

  • 根據預設,在瀏覽器中轉譯的使用者表單範本,無法使用伺服器特有的驗證。請在安全環境中,限制使用伺服器特有的驗證,例如單一登入 (SSO) 或明確的使用者名稱及密碼驗證。

  • 請勿在 UDC 檔案中使用明確的使用者名稱及密碼 (在測試伺服器電腦製作原型除外)。改用 SSO。

  • 請勿在資料庫連線字串中使用內嵌 SQL Server 認證。改用 SSO。

  • Web 服務 Proxy 僅可搭配 Web 服務使用,該服務的設計使用提供的 UserNameToken,以授與資料的存取權或限制傳回的資料集。

  • 因為在網路上傳遞認證並不安全,所以連線至需要基本或摘要式驗證的資料來源時需要安全通訊端階層 (SSL) 連線。

  • 請勿根據使用者輸入表單的資料來驗證使用者。改用更安全的驗證方法。

Excel Calculation Services 資料存取

您可以為任何 Excel Services in Microsoft Office SharePoint Server 2007 伺服器陣列拓撲使用兩種資料存取模式:信任的子系統與 Kerberos 限制委派。

  • 信任的子系統   Windows 伺服器陣列的預設設定,因為不需要委派模式的額外設定需求。在信任的子系統模式中,前端網頁伺服器與執行 Excel Calculation Services 的應用程式伺服器信任使用 SSP 的相關 Office SharePoint Server 2007 應用程式帳戶。在信任的子系統環境中,從 Office SharePoint Server 2007 開啟檔案時,即使未設定 Kerberos 驗證,也可在檔案上對使用者身分識別執行權限檢查。如果 Excel Calculation Services 應用程式伺服器從通用命名慣例 (UNC) 共用資料夾或 HTTP 網站開啟活頁簿,即無法模擬使用者帳戶,且必須使用處理序帳戶。

  • Kerberos 限制委派   Kerberos 限制委派是部署 Excel Services 的喜好設定。Kerberos 限制委派是在前端網頁伺服器與 Excel Calculation Services 應用程式伺服器之間進行通訊的最安全設定。Kerberos 限制委派也是從應用程式伺服器存取後端資料來源最安全的設定。在外部資料連線中,整合式 Windows 驗證僅適用於實作委派模式時。

Excel Calculation Services 安全通訊

您可以使用網際網路通訊協定安全性 (IPsec) 或 SSL 在 Excel Services 應用程式伺服器、資料來源、用戶端電腦及前端網頁伺服器之間加密資料傳輸。若要在用戶端電腦與前端網頁伺服器之間要求資料傳輸要加密,請在共用服務管理網站的 [Excel Services 設定] 頁面上,將 [連線加密] 設定從 [非必要] 變更為 [必要]。[非必要] 是預設設定。如果您將 [連線加密] 設定變更為 [必要],Excel Calculation Services 應用程式伺服器僅允許透過 SSL 連線在用戶端電腦與前端網頁伺服器之間進行資料傳輸。

如果您決定要求資料傳輸要加密,就必須手動設定 IPsec 或 SSL。您可以要求用戶端電腦與前端網頁伺服器之間的連線要加密,而同時允許前端網頁伺服器和 Excel Calculation Services 應用程式伺服器之間的連線不需要加密。」

下載本書

本主題隨附於下列可下載的叢書中,以便於閱讀與列印:

請參閱 Office SharePoint Server 2007 可下載的內容 (英文) 上提供的完整叢書清單。