Planen der Sicherheit einer Umgebung für interne Teams oder Abteilungen (Office SharePoint Server)

  • Artikel

Inhalt dieses Artikels:

  • Prüfliste für einen sicheren Entwurf

  • Planen der Verstärkung der Sicherheit für Serverrollen

  • Planen sicherer Konfigurationen für Office SharePoint Server-Features

Die Sicherheitsanweisungen für ein internes Team oder eine interne Abteilung enthält in erster Linie Empfehlungen für praktische Sicherheitskonfigurationen und -einstellungen für ein Team oder eine Abteilung in einer größeren Organisation. Für diese Anweisungen wird davon ausgegangen, dass die Server nicht von dem IT-Kernteam innerhalb der Organisation bereitgestellt werden.

Zum Verständnis der Anweisungen für diese Umgebung sind zwar gewisse IT-Kenntnisse Voraussetzung, aber es ist nicht erforderlich, dass Farmadministratoren IT-Experten sind. Wenn zum Implementieren einer Einstellung spezialisierte Rollen erforderlich sind, werden diese genannt.

Diese Anleitung ist für die Verwendung zusammen mit den Anleitungen in Planen sicherer Konfigurationen für Office SharePoint Server-Features gedacht.

Prüfliste für einen sicheren Entwurf

Gehen Sie die folgende Prüfliste durch, um sicherzustellen, dass Ihre Pläne die Kriterien für einen sicheren Servertopologieentwurf erfüllen.

Topologie

[ ]

Für eine Team- oder Abteilungsbereitstellung mit ausschließlich internem Zugriff kann Microsoft Office SharePoint Server 2007 auf einem einzelnen Server oder auf zwei Servern installiert werden.

[ ]

In einer Bereitstellung mit mindestens zwei Servern sollte die Zentraladministrationswebsite möglichst auf einem anderen Server als dem Front-End-Webserver gehostet werden. Dies ist nur möglich, wenn Anwendungsserverrollen auf einem anderen Server als die Front-End-Webserverrolle gehostet werden.

Beispiel: Wenn auf Server A die Front-End-Webserverrolle und auf Server B die Datenbank- und die Anwendungsserverrollen gehostet werden, befindet sich der sicherste Ort für die Zentraladministrationswebsite auf Server B. Wenn auf Server  A jedoch die Front-End-Webserver- und Anwendungsserverrollen gehostet werden und auf Server B nur die Datenbankrolle gehostet wird, kann die Zentraladministrationswebsite nur auf Server A gehostet werden.

Logische Architektur

[ ]

Mindestens eine Zone in jeder Webanwendung verwendet die NTLM-Authentifizierung. Dies ist erforderlich, damit das Suchkonto Inhalt in der Webanwendung crawlen kann. Das Suchkonto kann zum Crawlen von Inhalt nicht die Kerberos-Authentifizierung verwenden.

Weitere Informationen finden Sie unter Planen von Authentifizierungsmethoden (Office SharePoint Server).

[ ]

Beim Bereitstellen von benutzerdefinierten Webparts müssen Sie sicherstellen, dass nur vertrauenswürdige Webparts in Webanwendungen bereitgestellt werden, in denen sensibler oder sicherer Inhalt gehostet wird. So kann sensibler Inhalt vor domäneninternen Skriptangriffen geschützt werden.

Planen der Verstärkung der Sicherheit für Serverrollen

Bei den Anweisungen für eine Umgebung für ein internes Team oder eine interne Abteilung wird davon ausgegangen, dass für die Server, Websites und Inhalt nur interner Zugriff gewährt wird und dass die gesamte Netzwerkumgebung durch von einer IT-Abteilung entwickelte Richtlinien gesichert ist. Dies bedeutet, dass die Verstärkung der Sicherheit von Servern für bestimmte Rollen nicht unbedingt in dem Maße erforderlich ist, wie das für andere Umgebungen der Fall ist. Es gibt jedoch mehrere Features, die spezielle Dienste oder andere Einstellungen erfordern, die andernfalls nicht konfiguriert würden.

In der folgenden Tabelle werden die empfohlenen Einstellungen für das Verstärken der Sicherheit für ein internes Team oder eine interne Abteilung beschrieben.

Feature Einstellung

E-Mail-Integration

Wenn die E-Mail-Integration aktiviert ist, muss auf einem Front-End-Webserver der SMTP-Dienst vorhanden sein.

Microsoft Office Project Server 2007 und Microsoft Office Forms Server 2007

Office Project Server 2007 und Office Forms Server 2007 behalten den Sitzungsstatus bei. Wenn Sie diese Features oder Produkte innerhalb einer Farm bereitstellen, deaktivieren Sie nicht den ASP.NET-Statusdienst. Deaktivieren Sie außerdem den Dienst für den Ansichtsstatus nicht, wenn Sie InfoPath Forms Services bereitstellen.

Einmaliges Anmelden (Single Sign-On, SSO)

Das einmalige Anmelden basiert auf dem Microsoft-SSO-Dienst. Weitere Informationen zum Konfigurieren dieses Features finden Sie unter Planen des einmaligen Anmeldens.

Planen sicherer Konfigurationen für Office SharePoint Server-Features

In der folgenden Tabelle werden weitere Empfehlungen zum Sichern von Microsoft Office SharePoint Server 2007-Features beschrieben. Diese Empfehlungen sind für eine Umgebung für interne Teams oder Abteilungen geeignet.

Feature oder Bereich Empfehlung

Authentifizierung

Führen Sie eine Authentifizierung beim vorhandenen System für die Identitätsverwaltung aus. Wenn es sich dabei nicht um den Active Directory-Verzeichnisdienst handelt, verwenden Sie die ASP.NET-Formularauthentifizierung, um eine Verbindung mit dem System für die Identitätsverwaltung herzustellen. Beim Verwenden der Formularauthentifizierung ist ggf. Unterstützung durch die folgenden Rollen erforderlich:

  • ASP.NET-Entwickler zum Entwickeln des Authentifizierungsanbieters

  • Administrator des Systems für die Identitätsverwaltung, mit dem eine Verbindung hergestellt wird

Zentraladministrationswebsite

  • Beschränken Sie den Zugriff auf die Zentraladministrationswebsite auf die entsprechenden Benutzer.

  • Wenn Sie die Zentraladministrationswebsite für die Remoteverwaltung aktivieren, sichern Sie die Zentraladministrationswebsite mit SSL (Secure Sockets Layer).

  • Administratoren, die Bereitstellungsvorgänge ausführen, müssen Mitglied der lokalen Administratorgruppe auf dem Server sein, auf dem die Zentraladministrationswebsite gehostet wird.

Windows SharePoint Services-Verwaltungsdienst

In einer Bereitstellung mit einem Server ist der Windows SharePoint Services-Verwaltungsdienst aus den folgenden Gründen standardmäßig deaktiviert:

  • Dieser Dienst, mit dem von der Zentraladministrationswebsite initiierte Bereitstellungsaufgaben ausgeführt werden, ist in der Regel in einer Bereitstellung mit einem Server nicht erforderlich. Bereitstellungsaufgaben können jedoch mit dem Befehlszeilentoll Stsadm.exe ausgeführt werden, für das dieser Dienst nicht verwendet werden muss.

  • Das für die Zentraladministrationswebsite verwendete Konto ist für alle anderen Prozesse freigeben. Folglich führt das Deaktivieren des Diensts zu einer sichereren Konfiguration.

Folgende Empfehlungen gelten für eine sichere Bereitstellung mit einem Server:

  • Ändern Sie das Serverfarmkonto, wenn Setup ausgeführt wurde.

  • Starten Sie den Windows SharePoint Services-Verwaltungsdienst.

Wenn Sie diese Aktionen ausführen, können Sie Aufgaben im Zusammenhang mit der Bereitstellung direkt auf der Zentraladministrationswebsite ausführen.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007.