Authentifizierung |
Verwenden Sie auf der Website Zentraladministration keinesfalls die clientseitige automatische Anmeldung. Lassen Sie die Ausführung der Authentifizierung von Benutzern nur für Front-End-Webservercomputer zu. Gestatten Sie Endbenutzerkonten oder Gruppen keine Authentifizierung für den Datenbankservercomputer. |
Autorisierung |
Weisen Sie Berechtigungen Gruppen anstatt einzelnen Konten zu. |
Berechtigungsstufen |
Weisen Sie den Benutzern lediglich Berechtigungen der Stufe zu, die für die Ausführung ihrer Aufgaben erforderlich sind. |
Verwaltung |
Verwenden Sie Zugriffsberechtigungen, um die Website Zentraladministration zu sichern, und gestatten Sie Administratoren das Herstellen einer Remoteverbindung mit der Website (anstatt die Website Zentraladministration nur für lokale Computer zu aktivieren). Dadurch entfällt die Notwendigkeit einer lokalen Anmeldung bei dem Computer, auf dem die Zentraladministration gehostet wird, für Administratoren. Aus der Konfiguration des Zugriffs auf die Terminaldienste ergeben sich höhere Sicherheitsrisiken, als dies der Fall wäre, wenn der Remotezugriff auf die Website Zentraladministration weiterhin verfügbar ist. |
E-Mail-Integration |
Konfigurieren Sie Microsoft Office SharePoint Server 2007 so, dass nur über einen dedizierten E-Mail-Server weitergeleitete E-Mails akzeptiert werden. Dazu zählt beispielsweise Microsoft Exchange Server, wo Viren und Junk-E-Mails gefiltert und die Absender authentifiziert werden. Beim Konfigurieren der Workfloweinstellungen können Sie mithilfe von Microsoft Office SharePoint Server 2007 Teilnehmern, die keine Berechtigung für den Zugriff auf ein Dokument oder auf eine Website haben, den Empfang des Dokuments als E-Mail-Anhang ermöglichen. Wählen Sie in einer sicheren Umgebung keinesfalls die Option Externen Benutzern die Berechtigung zum Teilnehmen am Workflow erteilen, indem ihnen eine Kopie des Dokuments gesendet wird aus. In Microsoft Office SharePoint Server 2007 ist diese Option standardmäßig deaktiviert. |
Webpart-Speicherung und -Sicherheit |
Stellen Sie sicher, dass Sie auf Ihrer Serverfarm nur vertrauenswürdigen Code bereitstellen. Sämtlicher Code, einschließlich XML- oder ASP.NET-Code, den Sie bereitstellen, sollte aus einer vertrauenswürdigen Quelle stammen. Dies ist auch dann der Fall, wenn Sie die Sicherheit nach der Bereitstellung mithilfe weitreichender Abwehrmaßnahmen, beispielsweise mithilfe der Codezugriffssicherheit, optimieren möchten. Stellen Sie sicher, dass die Liste SafeControl in der Datei Web.config die Steuerelement- und Webpartsätze enthält, die Sie zulassen möchten. Stellen Sie sicher, dass die benutzerdefinierten Webparts, die mithilfe weitreichender Abwehrmaßnahmen gesichert werden sollen, im BIN-Verzeichnis der Webanwendung (in der die teilweise Vertrauenswürdigkeit aktiviert ist) mit speziellen Berechtigungen für die einzelnen Assemblies installiert sind. Entfernen Sie unter Umständen den Inhalts-Editor-Webpart aus der Liste SafeControl. Dadurch wird verhindert, dass die Benutzer der Seite JavaScript als Webpart hinzufügen und dass sie auf externen Servern gehostete JavaScripts verwenden. Stellen Sie sicher, dass den entsprechenden Personen in Ihrer Organisation die Berechtigungsstufen Entwerfen und Teilnehmen erteilt werden. Ein Benutzer mit der Berechtigung Teilnehmen kann ASPX-Seiten (Active Server Page Extension) in eine Bibliothek hochladen und Webparts hinzufügen. Benutzer mit der Berechtigungsstufe Entwerfen, die Webparts hinzufügen dürfen, können Seiten ändern, einschließlich der Homepage Ihrer Website (Default.aspx). |
Suche |
Das Standardkonto für den Inhaltszugriff darf nicht Mitglied der Gruppe Farmadministratoren sein. Andernfalls indiziert der Office SharePoint Server-Suchdienst nicht veröffentlichte Versionen von Dokumenten. Stellen Sie sicher, dass Ihr IT-Team zusätzlichen IFiltern und von Ihnen bereitgestellten Wörtertrennungen vertraut. Standardmäßig können nur Mitglieder der Gruppe Farmadministratoren auf die Suchindexdatei zugreifen. Stellen Sie sicher, dass Benutzer, die nicht zu dieser Gruppe gehören, nicht auf diese Datei zugreifen können. |
Benutzerprofile |
Mithilfe des Inhaltszugriffskontos Benutzerprofile und Eigenschaften werden Verbindungen mit einem Verzeichnisdienst hergestellt und Daten aus einem Verzeichnisdienst importiert. Wenn Sie für dieses Konto keine Anmeldeinformationen bereitstellen, wird stattdessen das standardmäßige Inhaltszugriffskonto verwendet. Sie können für jeden Verzeichnisdienst ein anderes Konto angeben. Verwenden Sie für eine sicherere Umgebung ein Konto mit Lesezugriff auf den Verzeichnisdienst. Erteilen Sie dem standardmäßigen Inhaltszugriffskonto keinen Zugriff auf den Verzeichnisdienst. Weitere Informationen dazu finden Sie unter Planen administrativer Konten und Planen von Dienstkonten (Office SharePoint Server). |
Meine Websites |
Personen mit der Berechtigungsstufe Lesen können alle Websites unter Meine Website anzeigen. Standardmäßig wird allen authentifizierten Benutzern die Berechtigungsstufe Lesen erteilt. Erteilen Sie die Berechtigungsstufe Lesen nur den nötigen Gruppen, um die Sicherheit einer Umgebung zu erhöhen. Auf der Seite Einstellungen für 'Meine Website' der Website Verwaltung der gemeinsamen Dienste können Sie einzelnen Gruppen im Abschnitt Standard für Websitegruppe "Leser" die Berechtigungsstufe Lesen erteilen. Wenn Sie die Aktionen angeben möchten, die die Mitglieder einer Gruppe ausführen können, klicken Sie auf der Homepage Verwaltung der gemeinsamen Dienste auf die Einstellungen Berechtigungen für Personalisierungsdienste, wählen Sie die Gruppe aus, deren Berechtigungen Sie ändern möchten, und klicken Sie dann auf Berechtigungen der ausgewählten Benutzer ändern. Anbieter für gemeinsame Dienste (Shared Services Providers, SSPs) können so konfiguriert werden, dass anderen SSPs in einer Umgebung vertraut wird. Anhand dieser Vertrauensstellung kann ein SSP bestimmen, zu welchem SSP ein Benutzer gehört. Demnach können vertrauenswürdige SSPs beim Erstellen einer Website unter Meine Website durch einen Benutzer ermitteln, von welchem SSP die Website unter Meine Website gehostet werden soll. Dabei ist es unerheblich, wohin der Benutzer navigiert, wenn er auf die Verknüpfung zum Erstellen einer Website unter Meine Website klickt. Dadurch wird sichergestellt, dass die Benutzer in der Organisation nur über ein Objekt vom Typ Meine Website verfügen. Zudem wird beim Hinzufügen von Verknüpfungen zu der persönlichen Benutzerwebsite durch die Benutzer von den vertrauenswürdigen SSPs eine Verknüpfung aus dem Kontext des SSPs des Benutzers erstellt und nicht von dem SSP, zu dem der Benutzer gerade navigiert. Mithilfe von vertrauenswürdigen SSPs wird zudem sichergestellt, dass Verknüpfungen nicht zu nicht vertrauenswürdigen Speicherorten hinzugefügt werden. Stellen Sie für eine sicherere Umgebung sicher, dass die Listen Andere vertrauenswürdige Speicherorte für Websites des Typs 'Meine Website' für alle SSPs einheitlich verwaltet werden. Konfigurieren Sie die Listen idealerweise für alle SSPs identisch. |
Self-Service Site Creation |
Auf der Seite Self-Service Site-Verwaltung können Sie den Benutzern das automatische Erstellen und Verwalten ihrer eigenen Stammwebsites ermöglichen. Wenn Sie die Self-Service Site Creation für eine Webanwendung aktivieren, können die Benutzer unter einem bestimmten Pfad (standardmäßig ist dies der /Websitepfad) ihre eigenen Stammwebsites erstellen. Bei aktivierter Self-Service Site Creation wird der Stammwebsite am Stammpfad der Webanwendung eine Ankündigung hinzugefügt, und die Benutzer, die über die Berechtigung zum Anzeigen dieser Ankündigung verfügen, können eine Verknüpfung zu der neuen Website erstellen.
Ob Sie die Self-Service Site Creation aktivieren sollten, hängt von der Umgebung ab:
Intranetumgebung: Aktivieren Sie die Self-Service Site Creation je nach Unternehmensanforderung. Umgebung für sichere Zusammenarbeit: Aktivieren Sie die Self-Service Site Creation nur für Personen oder Gruppen, die dieses Feature für eine Unternehmensanforderung benötigen. Externe, anonyme Umgebung: Aktivieren Sie die Self-Service Site Creation nicht im Internet. |
Websiteverzeichnis |
Einige Websitevorlagen enthalten ein Websiteverzeichnis. Dabei handelt es sich um eine Webseite mit Verknüpfungen, die genehmigt werden. Jeder Benutzer kann eine Website zur Aufnahme in das Websiteverzeichnis einreichen. Die Genehmigung und das Hinzufügen von Websites zum Websiteverzeichnis kann jedoch nur durch Websiteverzeichnisadministratoren erfolgen.
Genehmigen Sie in einem sicheren Intranet keine Verknüpfungen zu Websites außerhalb der Unternehmensfirewall. Standardmäßig kann jeder Benutzer mit der Berechtigungsstufe Teilnehmer Websites zur Genehmigung einreichen. Für umfangreiche Intranetwebsites und Websites, auf die die Öffentlichkeit zugreifen kann, wird dies jedoch nicht empfohlen. Begrenzen Sie für diese Websites die Anzahl der Personen, die Websites einreichen können, indem Sie die Anzahl der Personen, denen Sie die Berechtigungsstufe Teilnehmer zuweisen, reduzieren. Alternativ dazu können Sie das Einreichen von Websites ausschließlich Administratoren gestatten. |
RSS-Webpart |
Standardmäßig kann mit dem RSS-Webpart nur auf anonyme Feeds zugegriffen werden. Wenn Sie authentifizierte Feeds zulassen möchten (z. B. Feeds für authentifizierten SharePoint-Websiteinhalt), müssen Sie den Webservercomputern Zugriff auf die entsprechenden Servercomputer erteilen, indem Sie im Active Directory-Verzeichnisdienst die eingeschränkte Delegierung verwenden. |
Zwischenspeichern von Inhalt für Seiten mit personalisiertem Inhalt |
Mithilfe der Ausgabezwischenspeicherung können Sie die Leistung von Websites optimieren, auf denen personalisierter Inhalt angezeigt wird. In diesem Szenario wird nachträglich ein Teil des zwischengespeicherten Inhalts ersetzt und dadurch sichergestellt, dass der personalisierte Inhalt für den Benutzer aktualisiert wird. Demzufolge wird die Leistung bei Verwendung der Ausgabezwischenspeicherung nicht wesentlich verbessert, wenn die gesamte Seite oder der größte Teil der Seite personalisierten Inhalt umfasst.
Wenn Sie auf Seiten mit personalisiertem Inhalt die Aktivierung der Ausgabezwischenspeicherung planen, stellen Sie unter den folgenden Bedingungen sicher, dass die Websites, auf denen personalisierter Inhalt angezeigt wird, das nachträgliche Ersetzen eines Teils des zwischengespeicherten Inhalts unterstützen:
In diesem Szenario wird für alle anonymen Benutzer identischer Inhalt angezeigt. Der für authentifizierte Benutzer sichtbare Inhalt ist davon abhängig, ob personalisierter Inhalt angezeigt wird und ob für diesen Inhalt das nachträgliche Ersetzen eines Teils des zwischengespeicherten Inhalts unterstützt wird:
Wenn für personalisierten Inhalt das nachträgliche Ersetzen eines Teils des zwischengespeicherten Inhalts unterstützt wird, können authentifizierte Benutzer mit identischen Berechtigungen nur ihren eigenen personalisierten Inhalt anzeigen. Wenn das nachträgliche Ersetzen eines Teils des zwischengespeicherten Inhalts für personalisierten Inhalt nicht unterstützt wird, wird für Benutzer mit denselben Berechtigungen ebenfalls identischer Inhalt angezeigt. Falls beispielsweise personalisierter Inhalt zunächst für Benutzer A zwischengespeichert wird, sehen alle nachfolgenden Benutzer mit denselben Berechtigungen anstatt ihres eigenen Inhalts den personalisierten Inhalt von Benutzer A. |
Inhaltsbereitstellung |
Wenn Sie das Inhaltsbereitstellungsfeature nicht verwenden, lassen Sie nicht zu, dass die Serverfarm eingehende Aufträge zur Inhaltsbereitstellung aus einer anderen Farm akzeptiert. Laut der Standardeinstellung werden eingehende Aufträge zur Inhaltsbereitstellung abgelehnt. |
InfoPath Forms Server |
Falls aktiviert, sollte der InfoPath Forms Services-Webdienstproxy unter einem eindeutigen Anwendungspoolkonto ausgeführt werden. Deaktivieren Sie den Proxy, wenn er nicht verwendet wird. Überprüfen Sie alle Formularvorlagen, die Code enthalten, bevor Sie sie auf den Servercomputer hochladen. Weitere Informationen finden Sie unter Bereitstellen der vom Administrator genehmigten Formularvorlagen (Office SharePoint Server). Verwenden Sie in Szenarien, in denen nur ein Browser vorhanden ist, die Zugriffssteuerungslisten (Access Control Lists, ACLs) in Microsoft Office SharePoint Server 2007, um zu verhindern, dass die XSN-Datei von Benutzern heruntergeladen wird. Überlegen Sie sich gründlich, ob browserfähige Benutzerformularvorlagen zugelassen werden sollen. Überlegen Sie sich gründlich, ob das Browserrendering von Benutzerformularvorlagen zugelassen werden soll. Verwenden Sie die konfigurierbaren Schwellenwerte, um Denial-of-Service-Angriffe zu verringern. Benutzersitzungen werden basierend auf Schwellenwerten abgebrochen, dazu zählen:
Maximal zulässige Anzahl von Postbacks pro Formularsitzungsstatus. Maximal zulässige Anzahl von Aktionen pro Postback. Maximale Größe des Formularsitzungsstatus. Maximal zulässige Zeit für eine aktive Formularsitzung. Seien Sie bei der Verwendung der Features in browserfähigen Formularen vorsichtig. Die folgenden Features können dazu führen, dass die XML-Datei des Formulars deutlich an Größe zunimmt, wodurch sich das Risiko von Denial-of-Service-Angriffen erhöht:
Digitale Signaturen Dateianlage-Steuerelement Nur-Text-Steuerelement Datenverbindungsabfragen, die umfangreiche Ergebnissätze zurückgeben können |
InfoPath-Datenverbindungen |
Lassen Sie die Inhaltsgenehmigung in Datenverbindungsbibliotheken aktiviert, und stellen Sie sicher, dass nur vertrauenswürdige Benutzer über Rechte zur Inhaltsgenehmigung verfügen. Schützen Sie Serverauthentifizierungsinformationen mithilfe des AltDataSource-Attributs in der UDC-Datei (Universal Data Connection) und indem Sie Benutzern für die Server-UDC-Datei nur die Berechtigung Nur anzeigen erteilen. Alternativ dazu können Sie die Einstellung webAccessible in der administratorverwalteten Verbindungsbibliothek (Datenverbindungsdateien verwalten) auf Falsch festlegen. Überprüfen und überwachen Sie die Verwendung domänenübergreifender Datenverbindungen, um sicherzustellen, dass nur geeignete Daten in die Domäne und aus der Domäne verschoben werden. Standardmäßig kann für in einem Browser gerenderte Benutzerformularvorlagen keine Serverauthentifizierung verwendet werden. Beschränken Sie in einer sicheren Umgebung die Verwendung der Serverauthentifizierung, beispielsweise einmaliges Anmelden (SSO), oder der expliziten Authentifizierung per Benutzername und Kennwort. Verwenden Sie in UDC-Dateien keine expliziten Benutzernamen und Kennwörter, es sei denn, es dient der Erstellung eines Prototyps auf einem Testservercomputer. Verwenden Sie stattdessen SSO. Verwenden Sie in einer Datenbankverbindungszeichenfolge keine eingebetteten SQL Server-Anmeldeinformationen. Verwenden Sie stattdessen SSO. Verwenden Sie den Webdienstproxy nur für einen Webdienst, der für die Verwendung des bereitgestellten UserNameToken dient, um den Zugriff auf die Daten zu autorisieren oder um den zurückgegebenen Datensatz einzuschränken. Fordern Sie beim Herstellen einer Verbindung mit Datenquellen, für die eine Basisauthentifizierung oder eine Digestauthentifizierung erforderlich ist, eine SSL-Verbindung (Secure Sockets Layer) an, da die Weiterleitung von Anmeldeinformationen über das Netzwerk nicht sicher ist. Authentifizieren Sie Benutzer nicht basierend auf Daten, die durch die Benutzer in ein Formular eingegeben wurden. Verwenden Sie stattdessen eine sicherere Authentifizierungsmethode. |
Dienste für Excel-Berechnungen – Datenzugriff |
Es existieren zwei Datenzugriffsmodelle, die Sie für die Excel Services in Microsoft Office SharePoint Server 2007-Serverfarmtopologien verwenden können: Das vertrauenswürdige Subsystem und die eingeschränkte Kerberos-Delegation.
Vertrauenswürdiges Subsystem: Dies ist die Standardeinstellung für eine Windows-Serverfarm, da dafür keine zusätzlichen Konfigurationsanforderungen des Delegationsmodells existieren. Im Modell eines vertrauenswürdigen Subsystems vertrauen Front-End-Webserver und Anwendungsserver, auf denen Dienste für Excel-Berechnungen ausgeführt wird, mithilfe des SSP den Konten der zugeordneten Microsoft Office SharePoint Server 2007-Anwendungen. In einer Umgebung mit einem vertrauenswürdigen Subsystem können beim Öffnen von Dateien in Microsoft Office SharePoint Server 2007 anhand der Endbenutzeridentitäten Berechtigungsüberprüfungen für die Dateien ausgeführt werden. Dies ist auch dann möglich, wenn die Kerberos-Authentifizierung nicht konfiguriert ist. Wenn Dienste für Excel-Berechnungen-Anwendungsserver Arbeitsblätter aus freigegebenen UNC-Ordnern (Universal Naming Convention) oder von HTTP-Websites öffnen, ist eine Übernahme der Identität des Benutzerkontos nicht möglich. Stattdessen muss das Prozesskonto verwendet werden. Eingeschränkte Kerberos-Delegation: Die eingeschränkte Kerberos-Delegation ist die bevorzugte Konfiguration für die Bereitstellung von Excel Services. Zudem ist sie die sicherste Konfiguration für die Kommunikation zwischen Front-End-Webservern und Dienste für Excel-Berechnungen-Anwendungsservern. Zudem ist die eingeschränkte Kerberos-Delegation die sicherste Konfiguration für den Zugriff von einem Anwendungsserver auf Back-End-Datenquellen. Bei externen Datenverbindungen funktioniert die integrierte Windows-Authentifizierung nur dann, wenn das Delegationsmodell implementiert wurde. |
Dienste für Excel-Berechnungen – Sichere Kommunikation |
Mithilfe von IPsec (Internet Protocol Security) oder SSL können Sie die Datenübertragung zwischen Excel Services-Anwendungsservern, Datenquellen, Clientcomputern und Front-End-Webservern verschlüsseln. Wenn die Datenübertragung zwischen Clientcomputern und Front-End-Webservern verschlüsselt werden soll, ändern Sie auf der Seite Excel Services-Einstellungen der Verwaltungssite der gemeinsamen Dienste die Einstellung unter Verbindungsverschlüsselung von Nicht erforderlich in Erforderlich. Die Standardeinstellung lautet Nicht erforderlich. Wenn Sie die Einstellung Verbindungsverschlüsselung in Erforderlich ändern, lässt der Dienste für Excel-Berechnungen-Anwendungsserver nur Datenübertragungen zwischen Clientcomputern und Front-End-Webservern oder SSL-Verbindungen zu.
Wenn Sie festlegen, dass eine Verschlüsselung der Datenübertragung erforderlich ist, müssen Sie IPsec oder SSL manuell konfigurieren. Sie können festlegen, dass die Verbindungen zwischen Clientcomputern und Front-End-Webservern verschlüsselt werden müssen, während zwischen Front-End-Webservern und Dienste für Excel-Berechnungen-Anwendungsservern nicht verschlüsselte Verbindungen zulässig sind. |