規劃內部小組或部門環境的安全性 (Windows SharePoint Services)

本文內容：

用於內部小組或部門的安全性指導，著重在為較大型組織中的團隊或部門建議實用的安全性組態及設定。此指導會假設伺服器不是由組織中的主要 IT 團隊架設。

雖然此環境的指導需要一些 IT 知識，但是伺服器陣列管理員不需要是專門的 IT 專家。如果需要較特別的角色來實作設定，則會將這些角色特別附註。

這份指導的目的是要與＜規劃 Windows SharePoint Services 功能的安全設定＞中提供的指導一起使用。

安全設計檢查清單

檢閱下列檢查清單，以確保計劃符合安全伺服器拓撲設計的條件。

拓撲

[ ]

如果是只具有內部存取權的團隊或部門部署，則 Windows SharePoint Services 3.0 可以安裝在單一伺服器或兩部伺服器上。

[ ]

在有兩部以上伺服器的部署中，管理中心網站應架設在不同於前端網頁伺服器的伺服器上，任何可能的地方。唯有將應用程式伺服器角色主控在不同於前端網頁伺服器角色的伺服器上，才能做到這一點。

例如，若伺服器 A 主控前端網頁伺服器角色，而伺服器 B 主控資料庫及應用程式伺服器角色，則管理中心網站最安全的位置就是在伺服器 B 上。然而，如果伺服器 A 架設前端網頁伺服器及應用程式伺服器角色，而伺服器 B 只架設資料庫角色，則唯一的選項就是將管理中心網站架設在伺服器 A 上。

邏輯架構

[ ]

每個 Web 應用程式至少要有一個區域使用 NTLM 驗證。為使搜尋帳戶得以編目 Web 應用程式內的內容，此為必要的。搜尋帳戶不能使用 Kerberos 驗證來編目內容。

[ ]

部署自訂的網頁組件時，請確定僅將信任的網頁組件部署在裝載機密或安全內容的 Web 應用程式中。這樣可保護機密內容不受到內部網域指令碼的攻擊。

用於內部小組或部門環境的指導會假設只允許伺服器、網站和內容的內部存取權，而且整個網路環境已受到 IT 部門所開發的原則保護。因此，不用像其他環境一樣為特定角色強化伺服器。然而，有幾項功能會需要可能尚未設定的特定服務或其他設定。

下表說明建議用於內部小組或部門的強化設定。

功能	設定
電子郵件整合	如果有啟用電子郵件整合，則一部前端網頁伺服器上必須要有 SMTP 服務。

下表是保護 Windows SharePoint Services 3.0 功能的其他建議。這些建議適用於內部小組或部門環境。

功能或區域	建議
驗證	向身分識別管理系統進行驗證。如果這不是 Active Directory 目錄服務，請使用 ASP.NET 表單驗證來連線到您的身分識別管理系統。使用表單驗證可能會需要下列角色的協助： ASP.NET 開發人員，以開發驗證提供者。您所連接之身分識別管理系統的管理員。
管理中心網站	僅限適當的使用者存取管理中心網站。如果您要啟用管理中心網站來進行遠端管理，請使用安全通訊端階層 (SSL) 來保護管理中心網站。執行部署作業的管理員必須是架設管理中心網站之伺服器上的本機管理員群組成員。
Windows SharePoint Services 管理服務	在單一伺服器部署中，根據預設會停用 Windows SharePoint Services 管理服務，原因如下：此服務是用來執行從管理中心網站初始化的部署工作，單一伺服器部署通常不需要此服務。然而，部署工作可以藉由使用 Stsadm.exe 命令列工具來執行，而不需要使用此服務。用於管理中心網站的帳戶會與所有其他程序共用。因此，停用此服務比較能保護設定。針對安全的單一伺服器部署，建議如下：執行安裝程式之後，變更伺服器陣列帳戶。啟動 Windows SharePoint Services 管理服務。執行這些動作可讓您直接從管理中心網站來執行部署的相關工作。

驗證

向身分識別管理系統進行驗證。如果這不是 Active Directory 目錄服務，請使用 ASP.NET 表單驗證來連線到您的身分識別管理系統。使用表單驗證可能會需要下列角色的協助：

管理中心網站

Windows SharePoint Services 管理服務

在單一伺服器部署中，根據預設會停用 Windows SharePoint Services 管理服務，原因如下：

此服務是用來執行從管理中心網站初始化的部署工作，單一伺服器部署通常不需要此服務。然而，部署工作可以藉由使用 Stsadm.exe 命令列工具來執行，而不需要使用此服務。
用於管理中心網站的帳戶會與所有其他程序共用。因此，停用此服務比較能保護設定。

針對安全的單一伺服器部署，建議如下：

執行這些動作可讓您直接從管理中心網站來執行部署的相關工作。

本主題隨附於下列可下載的叢書中，以便於閱讀與列印：