SharePoint 的安全性:保障 SharePoint 部署安全性的基礎
Brien Posey
甚至一個缺乏經驗的系統管理員可以在幾個小時內部署 Microsoft Office SharePoint Server 2007。 機率是,但是,雖然基本部署的確會是功能性,可能 wouldn’t 設定也為了獲得最佳的安全性。 SharePoint Server 2007 是一種 ’s 容易安裝,但艱難因此正常執行的應用程式。
安全性那麼一大挑戰在於 SharePoint 2007 是嘗試將所有人的所有事情的整合型產品。 SharePoint 2007 是 Web 應用程式,但您可以也將它視為文件伺服器或甚至開發架構是共同作業工具。 SharePoint 的抽象,並可以充分自訂的工具的本質是什麼使艱難安全的。
如您可能已經認為,’s 沒有魔法來確保安全的 SharePoint 解決方案。 每個 SharePoint 部署是唯一,因此 one-size-fits-all 解決方案只 isn’t 實用。 但是,沒有適用於所有部署的基本方法。
如果您曾建立 SharePoint 網站,您知道 SharePoint 設計為模組與可用來建立 SharePoint 網站,網站集合、 清單、 文件庫,以及等等的建置組塊。 且說到安全性,您可以使用此模組化本質您優點。
其概念是專注於保護您的 SharePoint 部署的個別元件。 模組化的 SharePoint 性質表示您的部署通常需要許多個別的 SharePoint 伺服器。 因此,視您是安全的部署,您必須設定這些個別的伺服器都安全。
SQL Server
包含 SharePoint 清單中的所有資料,而程式庫會儲存在一個基礎 SQL Server 資料庫,也會儲存大部份的 SharePoint 組態設定。 清楚、 適當地保護 SQL Server 是不可或缺的。
小型的組織通常安裝 SQL Server 和 SharePoint 以減少伺服器的硬體成本在相同伺服器上。 但在一般的電腦上部署 SQL Server 與 SharePoint 是個好主意,從這兩個一個安全性和效能的觀點來看。
IT 安全性最基本的概念是伺服器 ’s 被攻擊的風險降到最低。 如果 SQL 和 SharePoint 位於相同的伺服器上,該伺服器要有相當大的攻擊面。 所以,我第一個建議是在專用的電腦上執行 SQL Server。 如果專用的 SQL Server 已超出您的組織 ’s 預算,請考慮使用伺服器虛擬化來隔離 SQL 和 SharePoint。
它也 ’s 停用任何未使用的服務與元件是個不錯的作法。 基本的 SharePoint 部署使用 SQL Server ’s 資料庫引擎]、 [「 SQL Server 代理程式 」] 和 [SQL Server 瀏覽器元件。 更進階的安裝可能需要全文字索引、 分析或報告服務。
您如何決定所停用? Microsoft 提供名為 [SQL 伺服器介面區組態工具 (如 中所示的工具圖 1) 可以幫助與程序。 這個工具被設計來分析您的 SQL Server 實作,並停用 isn’t 所使用的任何內容。 您取得 SharePoint 啟動並執行之後,您應該執行這個公用程式。
若要存取工具,[SQL Server 介面區組態] 選項,從伺服器 ’s 開始選擇 | 程式集 | Microsoft SQL Server 2005 | 組態工具] 功能表。
.png)
圖 1 SQL Server 介面區組態工具可以協助您找出哪些元件和服務您可以停用。
您應該也仔細考慮驗證方法您選取 SQL Server 的安全性。 雖然您可以選擇 [混合的模式] 或 [Windows 驗證模式,您應該設定 SQL Server,以使用 Windows 驗證,不論何時儘可能。 Windows 模式是比混合模式更安全,因為它會驗證程序期間使用 Kerberos 安全性通訊協定。 此外,Windows 驗證使用網域使用者帳戶,所以您已建立在 Active Directory 內任何密碼原則仍然有效。
服務帳戶
系統管理員進行部署 SharePoint 2007 時最大的安全性錯誤之一就是它們 don’t 正確設定服務帳戶。 如果您曾經安裝 SharePoint 2007,您知道在何處會要求您提供的服務帳戶部署及組態程序有幾個點。
系統管理員往往會建立單一的服務帳戶,並使用整個 SharePoint 安裝程序。 雖然產生的 SharePoint 伺服器功能但是,這個方法就從安全性的觀點來看有風險。
問題即,每當 SharePoint 提供服務帳戶,指定的帳戶被授予的權限可執行手邊的工作。 SharePoint 提供具有只是足夠的權限來執行其工作多個執行任何動作帳戶。 但是,如果您使用多次整個部署程序相同的服務帳戶,您最後得到具有過多的權限的帳戶因為它每次使用它時收到額外的權限。 有人然後,可以利用這些過多的權限的 SharePoint 伺服器上執行程式碼,取得伺服器的控制權。
有 ’s 許多有關如何結構 SharePoint 會使用的帳戶的衝突資訊。 也變得難以甚至確認建議的最佳作法。 仍然,如果您正在執行基本的 SharePoint 部署,使用最小值為五個不同的帳戶是建議。
它也 ’s 建議建立單獨的目的安裝 SharePoint 與 SQL Server 的特殊使用者帳戶。 是系統管理員可以部署 SharePoint 時使用他們自己的個人帳號] 或 [網域系統管理員帳戶登入的常見作法。 使用現有的帳戶可能會從未來,安全性錯誤,因為該帳戶將被授予其他權限,才能完成安裝程序。
如果決定使用專用的帳戶進行安裝您必須讓該帳戶是本機系統管理員 ’s 群組的成員在每一份您的 SharePoint 伺服器上。 您也必須將該帳戶會讓帳戶記錄到 SQL Server 執行個體的 「 SQL Server 登入] 群組的一個成員。
最後,您需要指派帳戶 SQL Server 資料庫建立者 」 和 「 SQL Server 安全性系統管理員] 角色,SQL Server 上。 這些角色授予帳戶權限,來建立和修改資料庫及管理 SQL Server ’s 安全性。 這些特殊權限是建議使用專屬的使用者帳戶的基礎。
除了建立特別 SharePoint 安裝程序的帳戶,您必須建立其他幾個服務帳戶:
資料庫存取帳號。 這是 SharePoint 會使用與 SQL Server 資料庫溝通的帳戶。
SharePoint 搜尋服務帳戶。 內容索引檔案寫入索引] 伺服器,並將索引資訊複寫到伺服陣列中存在任何查詢伺服器,SharePoint 搜尋服務會使用這個帳戶。
內容存取帳戶。 這個帳戶用來耙梳內容內一個特定共用服務提供者。 在某些情況下,您可能需要建立多個內容存取帳戶,讓多個內容來源可以個別地編目。
應用程式集區服務帳戶。 在 IIS 中的背景工作處理序使用這個帳戶。 集區中的 Web 應用程式必須要有一種存取 SharePoint 內容資料庫,而且應用程式集區識別碼帳戶可加速此程序。
SQL Server 服務帳戶。 SQL Server 也需要服務帳戶,因此您應該使用一個專用的帳戶為此目的。
更進階的 SharePoint 部署可能需要額外的服務帳戶使用。 在本文結尾相關內容區段會包括在某些其他您可能需要的服務帳戶提供的詳細的資訊的 TechNet 文章的連結。
名稱慣例
現在您可以看到您將必須建立了許多的帳戶,您甚至可以開始部署 SharePoint 之前。 一墩,可以確保順利部署是在建立之前,先決定服務帳戶的命名慣例。
有不同的方法可以用在建立服務帳戶,命名慣例,但是一些應該遵循的基本規則。 建議您讓名稱描述您可以,和花一點時間所選擇的名稱和其預期的用途的文件。 比方說您可能會呼叫 SharePoint 搜尋帳戶 SPT_Search 類似。
不出 SharePoint 拼字的原因有做一些傳統的限制。 Windows 允許超過 100 個字元的使用者名稱,但一次使用者名稱已限制為 16 個字元。 偶而非預期的問題會裁剪與較長的時間的使用者名稱,因為到舊版的硬體或軟體中。 雖然它 ’s 稀有,發生所以 ’s 停較短的名稱會更好。
請記住雖然我建議使用描述性的服務帳戶名稱它肯定方便生命為系統管理員這樣做因此 doesn’t 永遠提供最佳的安全性。 服務帳戶的駭客讓良好的目標,因為他們擁有更高的權限比一般使用者帳戶。 它們通常也有靜態、 未變更密碼。 可被寫,您可能要考慮 camouflaging 服務帳戶。 如果您這麼做請務必記錄服務帳戶名稱和函式。
加密資料傳輸
說到 SharePoint 部署規劃,系統管理員會花費大量時間設計伺服器架構。 有時會被忽略的一個項目是公開金鑰基礎結構 (PKI).You 必須要有就地的 PKI 部署 SharePoint,讓您可以正確地加密 SharePoint 流量之前。 SharePoint 伺服器和使用者之間的 HTTP 流量需要 SSL 加密 (使用 HTTPS)。
同樣地,您應該使用 IPSec 來加密 SharePoint 伺服器之間的流量。 這兩種加密類型是相依在憑證和基礎的 PKI 基礎結構上。
這些安全性最佳作法是不是完整的。 它們是,但是,您可以使用來確保您的 SharePoint 安裝是一樣可能安全是很好起點。
Brien Posey MVP 是數千個發行項與數十個書籍他信用卡的 freelance 技術作者。 您可以瀏覽在他的網站 * brienposey.com*.
相關的內容
· 系統管理和服務帳戶 (Office SharePoint 伺服器) 的計劃
· 了解介面區組態