(0) exportieren Drucken
Alle erweitern

Planen der Verstärkung der Sicherheit für SharePoint 2013

 

Gilt für: SharePoint Server 2013, SharePoint Foundation 2013

Letztes Änderungsdatum des Themas: 2014-10-23

Zusammenfassung: Informationen zum Verstärken der Sicherheit für die Webserver-, Anwendungsserver- und Datenbankserverrollen von SharePoint, darunter ein ausführlicher Leitfaden zu den speziellen Anforderungen für das Verstärken der Sicherheit von Ports, Protokollen und Diensten.

Inhalt dieses Artikels:

In einer Serverfarmumgebung spielen die einzelnen Server bestimmte Rollen. Die Empfehlungen für die Verstärkung der Sicherheit dieser Server hängen von der jeweiligen Rolle der Server ab. Dieser Artikel enthält sichere Momentaufnahmen von zwei Kategorien von Serverrollen:

Die Momentaufnahmen sind in allgemeine Konfigurationskategorien unterteilt. Die für jede Kategorie definierten Merkmale stellen den optimal verstärkten Sicherheitsstatus für SharePoint 2013 dar. Dieser Artikel enthält keine Anleitung zum Verstärken der Sicherheit für andere Software in der Umgebung.

Zusätzlich zum Verstärken der Sicherheit für bestimmte Rollen ist es wichtig, die SharePoint-Farm zu schützen, indem zwischen den Farmservern und externen Anforderungen eine Firewall eingerichtet wird. Der Leitfaden in diesem Artikel kann zum Konfigurieren einer Firewall verwendet werden.

In diesem Abschnitt werden Merkmale zur Verstärkung der Sicherheit für Webserver und Anwendungsserver beschrieben. Ein Teil des Leitfadens bezieht sich auf bestimmte Dienstanwendungen. In diesen Fällen müssen die entsprechenden Merkmale nur auf die Server angewendet werden, auf denen die den Dienstanwendungen zugeordneten Dienste ausgeführt werden.

 

Kategorie Merkmal

Im MMC-Snap-In Dienste aufgeführte Dienste

Aktivieren Sie folgende Dienste:

  • ASP.NET-Statusdienst (bei Verwendung von InfoPath Forms Services oder Project Server 2013)

  • Ansichtstatusdienst (bei Verwendung von InfoPath Forms Services)

  • WWW-Publishingdienst

Stellen Sie sicher, dass diese Dienste nicht deaktiviert sind:

  • AppFabric-Cachedienst

  • Forderungen an den Windows-Tokendienst

  • SharePoint-Verwaltung

  • SharePoint-Timerdienst

  • SharePoint-Ablaufverfolgungsdienst

  • SharePoint VSS Writer

Stellen Sie sicher, dass diese Dienste auf den Servern mit den entsprechenden Rollen nicht deaktiviert sind:

  • SharePoint-Benutzercodehost

  • SharePoint-Suchhostcontroller

  • SharePoint Server-Suche 15

  • Die folgenden Dienste werden von der Benutzerprofildienst-Anwendung auf dem Server benötigt, die Profile aus dem Verzeichnisspeicher importiert:

    • Forefront Identity Manager

    • Forefront Identity Manager Synchronization

Ports und Protokolle

  • TCP 80, TCP 443 (SSL)

  • Benutzerdefinierte Ports für Suchdurchforstung, falls konfiguriert (z. B. zum Durchforsten einer Dateifreigabe oder einer Website auf einem Nicht-Standardport)

  • Von der Suchindexkomponente verwendete Ports – TCP 16500-16519 (nur innerhalb der Farm)

  • Für den AppFabric-Cachedienst erforderliche Ports – TCP 22233-22236

  • Für die Windows Communication Foundation-Kommunikation erforderliche Ports – TCP 808

  • Erforderliche Ports für die Kommunikation zwischen Webservern und Dienstanwendungen (Standard ist HTTP):

    • HTTP-Bindung: TCP 32843

    • HTTPS-Bindung: TCP 32844

    • net.tcp-Bindung: TCP 32845 (nur wenn ein Drittanbieter diese Option für eine Dienstanwendung implementiert hat)

  • Erforderliche Ports für die Synchronisierung von Profilen zwischen SharePoint 2013 und Active Directory-Domänendienste (AD DS) auf dem Server, auf dem der Verwaltungs-Agent für Forefront Identity Manager ausgeführt wird:

    • TCP 5725

    • TCP&UDP 389 (LDAP-Dienst)

    • TCP&UDP 88 (Kerberos)

    • TCP&UDP 53 (DNS)

    • UDP 464 (Kerberos – Kennwort ändern)

    Weitere Informationen zum Synchronisieren von Profilen mit anderen Verzeichnisspeichern finden Sie unter Anforderungen zum Verstärken der Sicherheit für den Benutzerprofildienst weiter unten in diesem Artikel.

  • Standardports für die SQL Server-Kommunikation – TCP 1433, UDP 1434. Falls diese Ports auf dem Computer mit SQL Server blockiert sind (empfohlen) und Datenbanken in einer benannten Instanz installiert sind, konfigurieren Sie einen SQL Server-Clientalias für die Verbindung mit der benannten Instanz.

  • Microsoft SharePoint Foundation-Benutzercodedienst (für Sandkastenlösungen) – TCP 32846. Dieser Port muss auf allen Webservern für ausgehende Verbindungen geöffnet sein. Der Port muss für eingehende Verbindungen auf Webservern oder Anwendungsservern geöffnet sein, auf denen der Dienst aktiviert ist.

  • Stellen Sie sicher, dass Ports für Webanwendungen, auf die Benutzer zugreifen können, geöffnet bleiben.

  • Blockieren Sie den externen Zugriff auf den Port, der für die Website der Zentraladministration verwendet wird.

  • SMTP für E-Mail-Integration – TCP 25

Registrierung

Keine zusätzlichen Hinweise

Überwachung und Protokollierung

Wenn Protokolldateien verschoben werden, stellen Sie sicher, dass die Speicherorte der Protokolldateien entsprechend aktualisiert werden. Aktualisieren Sie auch die Zugriffssteuerungslisten (ACLs) der Verzeichnisse.

Web.config

Folgen Sie diesen Empfehlungen für jede Datei Web.config, die nach der Ausführung des Setupprogramms erstellt wird:

  • Lassen Sie Kompilierung oder Skripting von Datenbankseiten über die PageParserPaths-Elemente nicht zu.

  • Stellen Sie sicher, dass Folgendes festgelegt ist: <SafeMode> CallStack="false" und AllowPageLevelTrace="false".

  • Stellen Sie sicher, dass die Webpartlimits für maximale Steuerelemente pro Zone niedrig festgelegt sind.

  • Stellen Sie sicher, dass die Liste SafeControls auf die mindestens für die Websites benötigten Steuerelemente festgelegt ist.

  • Stellen Sie sicher, dass die Liste Workflow SafeTypes auf die mindestens benötigen SafeTypes festgelegt ist.

  • Stellen Sie sicher, dass "customErrors" aktiviert ist (<customErrors mode="On"/>).

  • Berücksichtigen Sie gegebenenfalls die Webproxyeinstellungen (<system.net>/<defaultProxy>).

  • Legen Sie das Limit für "Upload.aspx" auf die höchste Größe fest, die aller Wahrscheinlichkeit nach von Benutzern hochgeladen wird (maximal 2 GB). Durch Uploads von mehr als 100 MB kann die Leistung beeinträchtigt werden.

Die wichtigste Empfehlung für SharePoint 2013 lautet, die Kommunikation zwischen den Farmen durch Blockieren der Standardports für die SQL Server-Kommunikation und Einrichten benutzerdefinierter Ports für diese Kommunikation zu sichern. Weitere Informationen zum Konfigurieren von Ports für die SQL Server-Kommunikation finden Sie unter Blockieren der standardmäßigen SQL Server-Ports weiter unten in diesem Artikel.

 

Kategorie Merkmal

Ports

  • Blockieren Sie UDP 1434.

  • Ziehen Sie das Blockieren von TCP 1433 in Betracht.

Das Sichern von SQL Server wird in diesem Artikel nicht beschrieben. Weitere Informationen zum Sichern von SQL Server finden Sie unter Sichern von SQL Server (http://go.microsoft.com/fwlink/p/?LinkId=186828).

Im Rest des Artikels werden die speziellen Anforderungen für das Verstärken der Sicherheit der SharePoint 2013 ausführlicher beschrieben.

Inhalt dieses Abschnitts:

Die spezifischen Ports, die zum Herstellen einer Verbindung mit SQL Server verwendet werden, hängen davon ab, ob die Datenbanken in einer Standardinstanz von SQL Server oder in einer benannten Instanz von SQL Server installiert sind. Die Standardinstanz von SQL Server hört TCP 1433 auf Clientanforderungen ab. Eine benannte Instanz von SQL Server hört eine zufällig zugewiesene Portnummer ab. Außerdem kann die Portnummer für eine benannte Instanz neu zugewiesen werden, wenn die Instanz neu gestartet wird (abhängig von der Verfügbarkeit der vorher zugewiesenen Portnummer).

Standardmäßig wird auf Clientcomputern, die eine Verbindung mit SQL Server herstellen, zuerst eine Verbindung mithilfe von TCP 1433 hergestellt. Wenn diese Kommunikation nicht erfolgreich ist, fragen die Clientcomputer den UDP 1434 abhörenden SQL Server-Auflösungsdienst ab, um den von der Datenbankinstanz abgehörten Port zu ermitteln.

Das Standardport-Kommunikationsverhalten von SQL Server führt zu verschiedenen Problemen, die sich auf die Verstärkung der Serversicherheit auswirken. Erstens handelt es sich bei den von SQL Server verwendeten Ports um allgemein veröffentlichte Ports, und der SQL Server-Auflösungsdienst ist Ziel von Pufferüberlaufangriffen und Denial-of-Service-Angriffen, beispielsweise durch den Wurmvirus "Slammer". Auch wenn SQL Server aktualisiert wird, um die Sicherheitsprobleme im SQL Server-Auflösungsdienst zu mindern, bleiben die allgemein veröffentlichten Ports ein Ziel. Zweitens wird, wenn Datenbanken in einer benannten Instanz von SQL Server installiert werden, der entsprechende Kommunikationsport zufällig zugewiesen und kann geändert werden. Dieses Verhalten kann möglicherweise in einer Umgebung mit verstärkter Sicherheit die Kommunikation zwischen Servern verhindern. Die Möglichkeit, zu steuern, welche TCP-Ports geöffnet sind oder blockiert werden, ist unerlässlich für den Schutz der Umgebung.

Daher sieht die Empfehlung für eine Serverfarm vor, benannten Instanzen von SQL Server statische Portnummern zuzuweisen und UDP 1434 zu blockieren, um potenzielle Angreifer am Zugreifen auf den SQL Server-Auflösungsdienst zu hindern. Ziehen Sie es außerdem in Betracht, den von der Standardinstanz verwendeten Port neu zuzuweisen und TCP 1433 zu blockieren.

Es gibt verschiedene Methoden, die Sie zum Blockieren von Ports verwenden können. Sie können die Ports mithilfe einer Firewall blockieren. Wenn Sie jedoch nicht sicher sind, dass keine weiteren Routen in das Netzwerksegment vorhanden sind und dass keine böswilligen Benutzer mit Zugriff auf das Netzwerksegment vorhanden sind, sollten Sie diese Ports direkt auf dem Server blockieren, auf dem SQL Server gehostet wird. Hierzu können Sie die Windows-Firewall in der Systemsteuerung verwenden.

In SQL Server können Ports, die von der Standardinstanz und benannten Instanzen verwendet werden, neu zugewiesen werden. In SQL Server weisen Sie Ports mithilfe des SQL Server-Konfigurations-Managers neu zu.

In einer Serverfarm sind alle Front-End-Webserver und Anwendungsserver SQL Server-Clientcomputer. Wenn Sie UDP 1434 auf dem SQL Server-Computer blockieren oder den Standardport für die Standardinstanz ändern, müssen Sie auf allen Servern, die eine Verbindung mit dem Computer mit SQL Server herstellen, einen SQL Server-Clientalias konfigurieren. Bei diesem Szenario gibt der SQL Server-Clientalias den TCP-Port an, der von der benannten Instanz abgehört wird.

Zum Herstellen einer Verbindung mit einer Instanz von SQL Server installieren Sie die SQL Server-Clientkomponenten auf dem Zielcomputer und konfigurieren dann den SQL Server-Clientalias mithilfe des SQL Server-Konfigurations-Managers. Zum Installieren der SQL Server-Clientkomponenten führen Sie das Setup aus und wählen nur die folgenden Clientkomponenten für die Installation aus:

  • Konnektivitätskomponenten

  • Verwaltungstools (enthalten den SQL Server-Konfigurations-Manager)

Informationen zur Verstärkung der Sicherheit durch Blockieren der standardmäßigen SQL Server-Ports finden Sie unter Konfigurieren von SQL Server-Sicherheit für SharePoint 2013-Umgebungen.

Standardmäßig findet die Kommunikation zwischen Webservern und Dienstanwendungen in einer Farm über HTTP mit einer Bindung an TCP 32843 statt. Beim Veröffentlichen einer Dienstanwendung können Sie entweder HTTP oder HTTPS mit folgenden Bindungen auswählen:

  • HTTP-Bindung: TCP 32843

  • HTTPS-Bindung: TCP 32844

Daneben können Drittanbieter, die Dienstanwendungen entwickeln, eine dritte Möglichkeit implementieren:

  • net.tcp-Bindung: TCP 32845

Sie können die Protokoll- und Portbindung für jede Dienstanwendung ändern. Wählen Sie auf der Seite Dienstanwendungen in der Zentraladministration die Dienstanwendung aus, und klicken Sie dann auf Veröffentlichen.

Die HTTP/HTTPS/net.tcp-Bindungen können auch mit den PowerShell-Cmdlets "Get-SPServiceHostConfig" und "Set-SPServiceHostConfig" angezeigt und geändert werden.

Die Kommunikation zwischen Dienstanwendungen und SQL Server erfolgt über die standardmäßigen SQL Server-Ports oder die Ports, die Sie für die SQL Server-Kommunikation konfigurieren.

Die Benutzerprofildienst-Anwendung synchronisiert mithilfe des Verwaltungs-Agents für Forefront Identity Manager Profile zwischen SharePoint 2013n und Active Directory oder einem LDAP-Verzeichnisdienst (Lightweight Directory Access-Protokoll). Der Verwaltungs-Agent für Forefront Identity Manager wird auf allen Servern in einer SharePoint-Farm installiert, ist jedoch nur auf dem Server erforderlich, der für die Synchronisierung mit dem Verzeichnisspeicher eingerichtet wurde.

Der Verwaltungs-Agent für Forefront Identity Manager enthält die folgenden beiden Dienste, die auf dem Server aktiviert bleiben müssen, der für die Durchforstung von Active Directory oder eines anderen Verzeichnisspeichers eingerichtet wurde:

  • Forefront Identity Manager-Dienst

  • Forefront Identity Manager-Synchronisierungsdienst

Zudem muss TCP 5725 auf dem Server geöffnet sein, auf dem der Verwaltungs-Agent für Forefront Identity Manager ausgeführt wird und der für die Durchforstung eines Verzeichnisspeichers eingerichtet wurde.

In Active Directory-Umgebungen müssen die folgenden Ports für die Kommunikation zwischen dem Server mit SharePoint 2013n, der die Synchronisierung mit dem Verzeichnisspeicher ausführt, und dem Server, auf dem Active Directory ausgeführt wird, geöffnet sein:

  • TCP&UDP 389 (LDAP-Dienst)

  • TCP&UDP 88 (Kerberos)

  • TCP&UDP 53 (DNS)

  • UDP 464 (Kerberos – Kennwort ändern)

Weitere Informationen zu Anforderungen für das Verstärken der Sicherheit des Verwaltungs-Agents für Forefront Identity Manager und Portanforderungen für andere Verzeichnistypen finden Sie unter Ports, Rechte und Berechtigungen für die Kommunikation mit Verwaltungs-Agents (http://go.microsoft.com/fwlink/p/?LinkId=186832).

Verschiedene Features von SharePoint Server 2013 können für den Zugriff auf Daten konfiguriert werden, die sich auf Servercomputern außerhalb der Serverfarm befinden. Wenn Sie den Zugriff auf Daten auf externen Servercomputern konfigurieren, sollten Sie sicherstellen, dass die Kommunikation zwischen den entsprechenden Computern aktiviert ist. In den meisten Fällen sind die verwendeten Ports, Protokolle und Dienste von der externen Ressource abhängig. Zum Beispiel:

  • Für Verbindungen mit Dateifreigaben wird der Datei- und Druckerfreigabedienst verwendet.

  • Bei Verbindungen mit externen SQL Server-Datenbanken werden die standardmäßigen oder angepassten Ports für die SQL Server-Kommunikation verwendet.

  • Für Verbindungen mit Oracle-Datenbanken wird normalerweise OLE DB verwendet.

  • Für Verbindungen mit Webdiensten werden sowohl HTTP als auch HTTPS verwendet.

In der folgenden Tabelle sind die Features aufgeführt, die für den Zugriff auf Daten, die sich auf Servercomputern außerhalb der Serverfarm befinden, konfiguriert werden können.

 

Feature Beschreibung

Inhaltscrawling

Sie können Durchforstungsregeln für das Durchforsten von Daten auf externen Ressourcen, wie Websites, Dateifreigaben, öffentlichen Exchange-Ordnern und Branchenanwendungen, konfigurieren. Beim Durchforsten externer Datenquellen kommuniziert die Durchforstungsrolle direkt mit diesen externen Ressourcen.

Weitere Informationen finden Sie unter Verwalten der Durchforstung in SharePoint 2013.

Business Data Connectivity-Verbindungen

Webserver und Anwendungsserver kommunizieren direkt mit Computern, die für Business Data Connectivity-Verbindungen konfiguriert sind.

Weitere Informationen finden Sie unter Planen von Business Connectivity Services in SharePoint 2013.

Empfangen von Microsoft Office Excel-Arbeitsblättern

Wenn Arbeitsmappen, die in der Excel Services-Anwendung geöffnet sind, eine Verbindung mit einer externen Datenquelle (z. B. Analysis Services und SQL Server) herstellen, müssen geeignete TCP/IP-Ports zum Verbinden mit dieser externen Datenquelle geöffnet werden. Weitere Informationen finden Sie unter Übersicht über Excel Services in SharePoint Server 2013.

Wenn UNC-Pfade (Universal Naming Convention) in der Excel Services-Anwendung als vertrauenswürdige Websites konfiguriert sind, verwendet die Anwendungsrolle Dienste für Excel-Berechnungen die Protokolle und Ports des Datei- und Druckerfreigabediensts zum Empfangen von Office Excel-Arbeitsmappen über einen UNC-Pfad.

Arbeitsmappen, die in Inhaltsdatenbanken gespeichert sind oder durch Benutzer auf Websites hochgeladen bzw. von Websites heruntergeladen werden, sind von dieser Kommunikation nicht betroffen.

Für die E-Mail-Integration ist die Verwendung von zwei Diensten erforderlich:

Für die E-Mail-Integration muss auf mindestens einem der Front-End-Webserver in der Serverfarm der SMTP-Dienst (Simple Mail Transfer-Protokoll) verwendet werden. Der SMTP-Dienst ist für die eingehende E-Mail-Kommunikation erforderlich. Für ausgehende E-Mail-Nachrichten können Sie entweder den SMTP-Dienst verwenden oder die Nachrichten über einen dedizierten E-Mail-Server in Ihrem Unternehmen weiterleiten, z. B. einen Computer mit Microsoft Exchange Server.

SharePoint 2013 umfasst einen internen Dienst, den Microsoft SharePoint-Verzeichnisverwaltungsdienst, zum Erstellen von E-Mail-Verteilergruppen. Wenn Sie die E-Mail-Integration konfigurieren, haben Sie die Möglichkeit zur Aktivierung des Verzeichnisverwaltungsdienst-Features, mit dem Benutzer Verteilerlisten erstellen können. Wenn Benutzer eine SharePoint-Gruppe erstellen und die Option zum Erstellen einer Verteilerliste auswählen, erstellt der Microsoft SharePoint-Verzeichnisverwaltungsdienst die entsprechende Active Directory-Verteilerliste in der Active Directory-Umgebung.

In Umgebungen mit verstärkter Sicherheit wird empfohlen, den Zugriff auf den Microsoft SharePoint-Verzeichnisverwaltungsdienst durch Schützen der diesem Dienst zugeordneten Datei, SharePointEmailws.asmx, einzuschränken. Lassen Sie beispielsweise den Zugriff auf diese Datei nur für das Serverfarmkonto zu.

Darüber hinaus sind für diesen Dienst Berechtigungen in der Active Directory-Umgebung erforderlich, um Active Directory-Verteilerlistenobjekte zu erstellen. Es wird empfohlen, eine separate Organisationseinheit (OU) für Objekte der SharePoint 2013 in Active Directory einzurichten. Nur diese Organisationseinheit sollte Schreibzugriff auf das vom Microsoft SharePoint-Verzeichnisverwaltungsdienst verwendete Konto gewähren.

Sowohl Project Server 2013 als auch InfoPath Forms Services behalten den Sitzungsstatus bei. Wenn Sie diese Features oder Produkte innerhalb der Serverfarm bereitstellen, sollten Sie den ASP.NET-Statusdienst nicht deaktivieren. Wenn Sie InfoPath Forms Services bereitstellen, sollten Sie den Dienst Ansichtstatus auch nicht deaktivieren.

Deaktivieren Sie keinen der von SharePoint 2013n installierten Dienste (siehe Momentaufnahme weiter oben).

Wenn als lokales System ausgeführte Dienste in der Umgebung nicht zulässig sind, können Sie das Deaktivieren des SharePoint-Verwaltungsdiensts in Betracht ziehen. Sie müssen jedoch die Konsequenzen kennen und sie umgehen können. Dieser Dienst ist ein Win32-Dienst, der als lokales System ausgeführt wird.

Dieser Dienst wird vom SharePoint-Timerdienst zum Ausführen von Aktionen verwendet, für die Administratorberechtigungen auf dem Server erforderlich sind, beispielsweise Erstellen von IIS-Websites (Internetinformationsdienste), Bereitstellen von Code sowie Beenden und Starten von Diensten. Wenn Sie diesen Dienst deaktivieren, können Sie keine Aufgaben im Zusammenhang mit der Bereitstellung über die Website für die Zentraladministration ausführen. Sie müssen in Windows PowerShell das Start-SPAdminJob-Cmdlet verwenden (oder mit dem Befehlszeilentool "Stsadm.exe" den Vorgang execadminsvcjobs ausführen), um Bereitstellungen auf mehreren Servern für SharePoint 2013 abzuschließen und andere Aufgaben im Zusammenhang mit der Bereitstellung auszuführen.

In .NET Framework und insbesondere ASP.NET werden zum Konfigurieren von Anwendungen Konfigurationsdateien im XML-Format verwendet. In .NET Framework werden Konfigurationsdateien zum Definieren von Konfigurationsoptionen verwendet. Die Konfigurationsdateien sind textbasierte XML-Dateien. Auf einem einzigen System können sich mehrere Konfigurationsdateien befinden, und normalerweise ist dies auch der Fall.

Systemweite Konfigurationseinstellungen für .NET Framework werden in der Datei Machine.config definiert. Die Datei Machine.config befindet sich im Ordner %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. Die Standardeinstellungen in der Datei Machine.config können geändert werden, um das Verhalten von Anwendungen auf dem gesamten System zu beeinflussen, die .NET Framework verwenden.

Sie können die ASP.NET-Konfigurationseinstellungen für eine einzelne Anwendung ändern, indem Sie eine Datei Web.config im Stammordner der Anwendung erstellen. Wenn Sie dies tun, werden durch die Einstellungen in der Datei Web.config die Einstellungen in der Datei Machine.config außer Kraft gesetzt.

Wenn Sie eine Webanwendung mithilfe der Zentraladministration erweitern, wird von SharePoint 2013 automatisch eine Datei "Web.config" für die Webanwendung erstellt.

In der Momentaufnahme für Webserver und Anwendungsserver weiter oben in diesem Artikel werden Empfehlungen für das Konfigurieren der Datei Web.config aufgelistet. Diese Empfehlungen gelten für jede erstellte Datei Web.config, einschließlich der Datei Web.config für die Website für die Zentraladministration.

Weitere Informationen zu ASP.NET-Konfigurationsdateien und zum Bearbeiten der Datei Web.config finden Sie unter ASP.NET-Konfiguration (http://go.microsoft.com/fwlink/p/?LinkId=73257).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft