Planen der Sicherheit für eine Umgebung mit externem anonymem Zugriff (Office SharePoint Server)

  • Artikel

Inhalt dieses Artikels

  • Schützen von Back-End-Servern

  • Konfigurieren des anonymen Zugriffs

  • Sichern der Website "Zentraladministration"

  • Sichern der Inhaltsbereitstellung mit SSL

  • Deaktivieren eingehender E-Mails

  • Verwenden des Sperrmodus

  • Checkliste für sichere Entwürfe

  • Planen der Verstärkung der Sicherheit für Serverrollen

  • Planen sicherer Konfigurationen für Office SharePoint Server-Features

Die Sicherheitsanweisungen für eine Umgebung mit externem anonymem Zugriff dienen der Zulassung des anonymen Zugriffs auf Inhalt bei gleichzeitigem Schutz der Back-End-Server in der Farm vor direkten Benutzerzugriffen oder böswilligen Aktionen über Front-End-Webserver. In einer Umgebung, in der zur Unterstützung von Inhaltserstellungen, Staging-Vorgängen und Veröffentlichungen möglicherweise mehrere Farmen bereitgestellt werden, sind die Anleitungen für die veröffentlichte Farm vorgesehen (die Farm, auf die die Benutzer anonym zugreifen).

Für eine Umgebung mit externem anonymem Zugriff gibt es mehrere eindeutige Empfehlungen. Einige dieser Empfehlungen sind möglicherweise nicht für alle Lösungen hilfreich.

Schützen von Back-End-Servern

Für das Hosten von Websites für eine anonyme Verwendung sind mit dem Internet verbundene Server erforderlich. Sie können die Verfügbarkeit für den Datenverkehr beschränken, indem Sie die Back-End-Server, einschließlich des Indexservers und anderer Anwendungsserverrollen, sowie die zum Hosten von Datenbanken verwendeten Server schützen:

  • Schützen der Datenbankserver: Platzieren Sie mindestens eine Firewall zwischen Front-End-Webservern und den Servern zum Hosten der Datenbanken. Für einige Umgebungen ist das Hosten der Datenbankserver in einem internen Netzwerk anstatt direkt in einer Extranetumgebung erforderlich.

  • Schützen der Anwendungsserver: Schützen Sie die Anwendungsserver, indem für die Sicherung der Kommunikation zwischen Severfarmcomputern mindestens IPsec (Internet Protocol Security) erforderlich ist. Zusätzlich können Sie hinter der zum Schützen der Datenbankserver verwendeten Firewall Anwendungsserver positionieren. Alternativ dazu können Sie zwischen Front-End-Webservern und Anwendungsservern eine zusätzliche Firewall platzieren.

  • Schützen der Indexrolle: Die Kommunikation der Indexkomponente erfolgt über einen Front-End-Webserver zum Crawlen von Inhalt auf Websites. Wenn Sie diesen Kommunikationskanal schützen möchten, sollten Sie einen dedizierten Front-End-Webserver für die Verwendung durch einen oder mehrere Indexserver konfigurieren. Dadurch wird das Crawling der Kommunikation auf einen Front-End-Webserver beschränkt, auf den die Benutzer nicht zugreifen können. Konfigurieren Sie zudem IIS (Internet Information Services) so, dass die Datei SiteData.asmx (der SOAP-Crawlerdienst) ausschließlich dem Indexserver (oder anderen Crawlern) Zugriff gewährt. Die Bereitstellung eines für das Inhaltscrawling dedizierten Front-End-Webservers führt zudem zu einer optimierten Leistung, indem die Belastung der Front-End-Hauptserver reduziert wird, was zu einer gesteigerten Benutzerfreundlichkeit führt.

Konfigurieren des anonymen Zugriffs

Wenn der Inhalt für den anonymen Zugriff verfügbar sein soll, muss Folgendes konfiguriert werden:

  • Die Website oder Websitesammlung muss so konfiguriert werden, dass der anonyme Zugriff zulässig ist.

  • Mindestens eine Zone in der Webanwendung muss für die Zulassung des anonymen Zugriffs konfiguriert sein.

Aktivieren Sie den anonymen Zugriff ausschließlich für Webanwendungen, für die ein nicht authentifizierter Zugriff erforderlich ist. Wenn Sie die Authentifizierung für die Personalisierung verwenden möchten, implementieren Sie die Formularauthentifizierung mithilfe eines einfachen Datenbankauthentifizierungsanbieters.

Sichern der Website "Zentraladministration"

Da externe Benutzer Zugriff auf die Netzwerkzone haben, ist es wichtig, die Website Zentraladministration so zu sichern, dass externe Zugriffe blockiert und interne Zugriffe gesichert werden:

  • Stellen Sie sicher, dass die Website Zentraladministration nicht auf einem Front-End-Webserver gehostet wird.

  • Blockieren Sie den externen Zugriff auf die Website Zentraladministration. Sie können dies erreichen, indem Sie zwischen den Front-End-Webservern und dem Server, mit dem die Website Zentraladministration gehostet wird, eine Firewall platzieren.

  • Konfigurieren Sie die Website Zentraladministration mithilfe von SSL (Secure Sockets Layer). Dadurch wird gewährleistet, dass die Kommunikation zwischen dem internen Netzwerk und der Website Zentraladministration gesichert wird.

Sichern der Inhaltsbereitstellung

Wenn Sie das Inhaltsbereitstellungsfeature nicht verwenden, deaktivieren Sie den Empfang von Inhaltsbereitstellungen in der Serverfarm (wählen Sie dazu unter Einstellungen für die Inhaltsbereitstellung die Option Eingehende Aufträge zur Inhaltsbereitstellung ablehnen aus). Dies ist die Standardeinstellung.

Wenn Sie für die Bereitstellung von Inhalt zwischen Serverfarmen die Inhaltsbereitstellungsfeatures verwenden, stellen Sie sicher, dass die Website Zentraladministration für die empfangende Serverfarm für die SSL-Verwendung konfiguriert ist. Dadurch wird sichergestellt, dass die Serverkommunikation bezüglich der Inhaltsbereitstellung zwischen den beiden Serverfarmen mithilfe von SSL gesichert wird.

Deaktivieren Sie zudem beim Konfigurieren des Inhaltsbereitstellungspfads die Einstellung Benutzernamen bereitstellen, um die Identitäten Ihrer Autoren zu schützen.

Deaktiveren eingehender E-Mails

Verwenden Sie für eingehende E-Mails keinesfalls die E-Mail-Integration. Dadurch wird Ihre Umgebung vor Risiken in Verbindung mit E-Mails geschützt, die von anonymen Internetquellen gesendet werden. Wenn Sie eingehende E-Mails zulassen, konfigurieren Sie die Website Zentraladministration so, dass anonyme E-Mails aktiviert werden. Obwohl diese Option verfügbar ist, bietet sie keine hohe Sicherheit.

Verwenden des Sperrmodus

Beim Sperrmodus handelt es sich um ein Feature, mit dessen Hilfe Sie veröffentlichte Websites sichern können. Bei aktiviertem Sperrmodus werden feinkörnige Berechtigungen für die Berechtigungsstufe Beschränkter Zugriff reduziert. In der folgenden Tabelle werden die Standardberechtigungen der Berechtigungsstufe Beschränkter Zugriff und die reduzierten Berechtigungen bei aktiviertem Sperrmodus detailliert beschrieben.

Berechtigung Beschränkter Zugriff – Standard Beschränkter Zugriff – Sperrmodus

Listenberechtigungen: Anwendungsseiten anzeigen

Websiteberechtigungen: Benutzerinformationen durchsuchen

Websiteberechtigungen: Remoteschnittstellen verwenden

Websiteberechtigungen: Clientintegrationsfeatures verwenden

Websiteberechtigungen: Öffnen

Der Sperrmodus wird unter den folgenden Bedingungen auf Websites angewendet:

  • Der Sperrmodus wird mithilfe des Befehlszeilentools Stsadm.exe aktiviert.

  • Auf die Websitesammlung wird die Websitevorlage Veröffentlichungsportal angewendet. Der Sperrmodus wird bei Anwendung dieser Vorlage standardmäßig aktiviert.

Verwenden Sie den Sperrmodus für veröffentlichte Websites, wenn eine erhöhte Sicherheit auf diesen Websites Voraussetzung ist. Wenn Sie die Websitevorlage Veröffentlichungsportal angewendet haben, bestimmen Sie zudem, ob der Sperrmodus für diese Websites der gewünschten Konfiguration entspricht. Ist dies nicht der Fall, deaktivieren Sie den Sperrmodus mithilfe des Befehlszeilentools Stsadm.exe.

In der folgenden Tabelle werden die Stsadm-Befehle bezüglich der Verwendung des Sperrmodus aufgeführt.

Aktion Befehl

Aktivieren des Sperrmodus für eine Websitesammlung

stsadm -o activatefeature -url <site collection url> -filename ViewFormPagesLockDown\feature.xml

Deaktivieren des Sperrmodus für eine Websitesammlung

stsadm -o deactivatefeature -url <site collection url> -filename ViewFormPagesLockDown\feature.xml

Checkliste für sichere Entwürfe

Verwenden Sie diese Checkliste in Kombination mit den Checklisten unter Überprüfen der Prüflisten für Entwürfe sicherer Topologien (Office SharePoint Server).

Topologie

[ ]

Schützen Sie Back-End-Server, indem Sie zwischen Front-End-Webservern und den Anwendungsdatenbankservern mindestens eine Firewall platzieren.

[ ]

Planen Sie einen dedizierten Front-End-Webserver zum Crawlen von Inhalt ein. Fügen Sie diesen Front-End-Webserver nicht in den Front-End-Webkreislauf für Endbenutzer ein.

Logische Architektur

[ ]

Aktivieren Sie den anonymen Zugriff ausschließlich für Webanwendungszonen, die zum Hosten von Websites oder Websitesammlungen, für die laut Konfiguration anonyme Zugriffe zulässig sind, verwendet werden.

Weitere Informationen finden Sie unter Planen von Authentifizierungsmethoden (Office SharePoint Server).

[ ]

Verwenden Sie SSL zum Sichern der Inhaltsbereitstellung.

[ ]

Blockieren Sie den Zugriff auf die Website Zentraladministration, und konfigurieren Sie SSL für die Website.

Planen der Verstärkung der Sicherheit für Serverrollen

Die folgende Tabelle enthält eine Beschreibung der Empfehlungen bezüglich zusätzlicher Verstärkung der Sicherheit für eine Umgebung mit externem anonymem Zugriff.

Komponente Empfehlung

Ports

Blockieren Sie den externen Zugriff auf den Port für die Website Zentraladministration.

Protokolle

  • Deaktivieren Sie SMTP.

  • Verwenden Sie SSL zum Sichern des Inhalts, sobald dieser ausgehend von der Erstellungsfarm in den Stagingfarmen und in den veröffentlichten Farmen bereitgestellt wird.

IIS

Konfigurieren Sie IIS bei der Konfiguration eines dedizierten Front-End-Webserver für die Indizierung so, dass die Datei SiteData.asmx (der SOAP-Crawlerdienst) nur den Zugriff durch den Indexserver (oder andere Crawler) zulässt.

Planen sicherer Konfigurationen für Office SharePoint Server-Features

Die folgende Tabelle enthält eine Beschreibung zusätzlicher Empfehlungen für die Sicherung der Microsoft Office SharePoint Server 2007-Features in einer Umgebung mit externem anonymem Zugriff.

Feature oder Bereich Empfehlung

Authentifizierung

Geben Sie in IIS die anonyme Authentifizierung an.

Inhaltsbereitstellung

Wenn Sie das Inhaltsbereitstellungsfeature nicht verwenden, deaktivieren Sie den Empfang von Inhaltsbereitstellungen in der Serverfarm. Dies ist die Standardeinstellung.

Wenn Sie das Inhaltsbereitstellungsfeature verwenden, werden die folgenden Konfigurationen empfohlen:

  • Aktivieren Sie in der empfangenden Serverfarm SSL für die Website Zentraladministration.

  • Deaktivieren Sie beim Konfigurieren des Inhaltsbereitstellungspfads die Einstellung Benutzernamen bereitstellen.

E-Mail-Integration

Aktivieren Sie für eingehende E-Mails keinesfalls die E-Mail-Integration.

Zwischenspeichern von Inhalt für Seiten mit personalisiertem Inhalt

Mithilfe der Ausgabezwischenspeicherung können Sie die Leistung von Websites optimieren, auf denen personalisierter Inhalt angezeigt wird. In diesem Szenario wird nachträglich ein Teil des zwischengespeicherten Inhalts ersetzt und dadurch sichergestellt, dass der personalisierte Inhalt für den Benutzer aktualisiert wird. Demzufolge wird die Leistung bei Verwendung der Ausgabezwischenspeicherung nicht sonderlich verbessert, wenn die gesamte Seite oder der größte Teil der Seite personalisierten Inhalt umfasst.

Wenn Sie die Ausgabezwischenspeicherung auf Seiten mit personalisiertem Inhalt verwenden, sollten Sie die Sicherheitsauswirkungen beachten, die sich aus der entsprechenden Konfiguration ergeben. Wenn die folgenden Bedingungen zutreffen, stellen Sie sicher, dass die Websites, auf denen personalisierter Inhalt angezeigt wird, das nachträgliche Ersetzen eines Teils des zwischengespeicherten Inhalts unterstützen:

  • Sie planen die Aktivierung der Seitenausgabezwischenspeicherung (zum Optimieren der Leistung).

  • Sowohl anonyme als auch authentifizierte Benutzer greifen auf den Inhalt zu.

  • Ihre Lösung umfasst Websites mit Steuerelementen zur Anzeige personalisierten Inhalts (für authentifizierte Benutzer).

In diesem Szenario wird für alle anonymen Benutzer identischer Inhalt angezeigt. Der Inhalt, den authentifizierte Benutzer anzeigen können, ist davon abhängig, ob personalisierter Inhalt angezeigt wird und ob das nachträgliche Ersetzen eines Teils des zwischengespeicherten Inhalts für diesen Inhalt unterstützt wird:

  • Wenn das nachträgliche Ersetzen eines Teils des zwischengespeicherten Inhalts für personalisierten Inhalt unterstützt wird, können authentifizierte Benutzer mit identischen Rechten lediglich ihren eigenen personalisierten Inhalt anzeigen.

  • Wenn das nachträgliche Ersetzen eines Teils des zwischengespeicherten Inhalts für personalisierten Inhalt nicht unterstützt wird, wird Benutzern mit identischen Rechten ebenfalls identischer Inhalt angezeigt. Falls in diesem Szenario der personalisierte Inhalt zuerst für Benutzer A zwischengespeichert wird, können alle nachfolgenden Benutzer mit identischen Rechten lediglich den personalisierten Inhalt von Benutzer A (anstatt ihres eigenen Inhalts) anzeigen.

InfoPath Forms Server

Deaktivieren Sie in einer anonymen Umgebung den InfoPath Forms Services-Webdienstproxy. Dieser Dienst wird als vertrauenswürdiges Dienstkonto ausgeführt, und er dient der Weiterleitung von Anfragen an Webdienste unter Verwendung der Identität des vertrauenswürdigen Dienstkontos.

In Umgebungen, in denen nur authentifizierte Benutzer auf InfoPath-Formulare zugreifen, wird der Zugriff auf Back-End-Datensysteme durch Authentifizierungen geschützt. Wenn jedoch nachfolgende InfoPath-Formulare für die Verwendung durch anonyme Benutzer erstellt werden und wenn mithilfe dieser Formulare auf das Back-End-Datensystem zugegriffen wird, wird das Back-End-Datensystem so konfiguriert, dass dem Webdienstproxy vertraut wird und dass die angeforderten Daten bereitgestellt werden. In diesem Fall können anonyme Benutzer auf Daten zugreifen, die normalerweise nur für authentifizierte Benutzer verfügbar sind.

Standardmäßig ist der Webdienstproxy deaktiviert. Dieser Dienst wird in der Zentraladministration verwaltet. Wählen Sie auf der Registerkarte Anwendungsverwaltung die Kategorie InfoPath Forms Services aus, und klicken Sie auf Webdienstproxy verwalten.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007