Einblicke in SharePointSharePoint-Security-Hardening
Pav Cherny
Inhalt
Security-Abhängigkeiten in einer SharePoint-Umgebung
Aktivieren von NAP
Domänenisolierung einrichten
Isolation implementieren Server (und Workstation)
Schlussbemerkung
Absichern des SharePoint-Sicherheit erfordert einen End-to-End-Ansatz, der das vollständige Spektrum der Sicherheitsabhängigkeiten und Risiken innerhalb und zwischen Serverfarmen Adressen.Insbesondere können neuesten Innovationen und Technologien zur Verfügung, das mit Windows Server 2008, z. B. des Netzwerkzugriffsschutzes (NAP) mit Internetprotokollsicherheit (IPsec) erzwingen um SharePoint-Sicherheit zu erhöhen.Detaillierte Empfehlungen von Microsoft für die Härtung des SharePoint-Sicherheit in einer Windows Server 2008-Umgebung sind noch schwer zu finden.DieWindows Server 2008 Resource Center für SharePoint-Produkte und-Technologiennicht enthalten-Sicherheitshandbuch.Führt darüber hinaus für Sicherheit-AbsicherungWindows SharePoint Services (WSS) 3.0undMicrosoft Office SharePoint Server (MOSS) 2007basieren immer noch auf Microsoft Patterns and Practices, die werden datiert, Juni 2003 und wurden im Januar 2006 nur teilweise aktualisiert, die in jedem Fall noch lange vor der Veröffentlichung von Windows Server 2008 und Internetinformationsdienste (IIS) 7.0, war.
Natürlich überarbeitete Richtlinien sind sehr überfällig und nicht nur da lange seit verschoben auf von Windows 2000, SQL Server 2000, IIS 5.0 und Microsoft .NET Framework 1.1, sondern auch, da die alten Möglichkeiten der Umgang mit Sicherheit Absicherung immer wieder unzureichende erwiesen haben.Es ist einfach nicht genug, um eine SharePoint-Farm als XAMLs isolierten Server sichern als ob SharePoint Serverfarmen im luftleeren vorhanden.Die Realität ist, dass keine einzelne security-hardening Schritt in einer SharePoint-Farm ist, Wichtig Wenn der Active Directory-Gesamtstruktur unsicher, wenn die Intranetumgebung mit Spyware und Rootkits infested ist oder wenn Benutzer versehentlich oder böswillig Sicherheitsrichtlinien, z. B. verletzen downloaden und installieren File-sharing-Software von fragwürdige Quellen.
Es ist möglich, diese Probleme zu lösen, mithilfe der Windows Server 2008-Technologie.Es ist der Schlüssel zum Erreichen einer hohen Sicherheitsebene in einer SharePoint-Umgebung Ende zu Ende von Clientcomputern, mit den Datenbankservern.
In diesem Artikel erläutern ich SharePoint Sicherheitsaspekte in einer Intranetumgebung basierend auf Windows Server 2008.Diese Diskussion umfasst allgemeine SharePoint-Sicherheitsabhängigkeiten jenseits der Grenzen einer einzelnen Serverfarm analysieren und dann Bereitstellung von NAP mit IPSec-Erzwingung mit entsprechenden Regeln für Sicherheit und Isolation um Risiken zu verringern.Für SharePoint-Administratoren ist ein offensichtlicher Vorteil von NAP kann beenden es nicht verwalteten Client-Computer aus auf SharePoint-Ressourcen zugreifen und Dokumente zu downloaden.Ein weiteres, vielleicht weniger offensichtlich, Vorteil ist, dass Sie Ihr Intranet in separate logische Netzwerke über Domänen und Server isoliert aufteilen können.Auf diese Weise können Sie die eingehende und ausgehende Client-zu-Server- und Server-zu-Server-Kommunikation schützen und auch begrenzen Datenverkehr zum gewünschten Front-End-Server.Angenommen, die bis zu 30 Prozent der SharePoint-Websites einer Firma befinden sich auf Abteilungen Rogue-Farmen, unzureichend gesichert und außerhalb des Steuerelements die IT-Abteilung, die Vorteile der Clientdatenverkehr einschränken können nicht genug betont werden.Das Begleitmaterial enthält wie immer Arbeitsblätter mit schrittweise Anweisungen für folgende meinen Erklärungen in einer Testumgebung.
Security-Abhängigkeiten in einer SharePoint-Umgebung
Angesichts der Komplexität der SharePoint-basierte Lösungen, die einfach Datenmenge im SharePoint-Websites und häufig widersprüchlichen Sicherheit und Produktivität Anforderungen in einem Unternehmen gespeichert sein wie und wo bestimmen schwierigen Einstieg in SharePoint Sicherheit Härten.Vielleicht ist die erste Schritt das Konzept lang gehalten Ruhestand unsere Intranets angezeigten Umgebungen, Virenscanner und Umkreisfirewalls ausreichend geschützt sind.Firewalls und Scanner nicht Anfügen einer PS2 oder USB-Hardware Keylogger auf einen Clientcomputer von einen böswilligen Benutzer blockieren – keine erforderlichen Treiber.Sie wird nicht auch verhindern, dass ein Rootkit Zero-Day Ihren mobilen Computern in Zombies umwandeln, während Sie eine unzureichend geschützte Umgebung zu Hause, in Hotels oder Flughäfen oder an Kundensites verbunden sind.Anspruchsvoll klingt vielleicht, aber Kategorisieren der internen Umgebung als freie hilft bei der Nutzungsbedingungen Erkennen von kritischen Sicherheitsabhängigkeiten innerhalb und zwischen SharePoint-Serverfarmen.
Mal sehen, welche wichtige Probleme, die wir in einer einfach Testumgebung ermitteln können, z. B. der in Abbildung 1 dargestellt und in der Begleitarbeitsblatt beschriebenen "Bereitstellen von eine Testumgebung mit mehreren SharePoint-Farmen und einem Netzwerkrichtlinienserver". Diese SharePoint-Umgebung nicht sicher.Tatsächlich Arbeitsblattes Bereitstellung verstößt gegen verschiedene Sicherheitsempfehlungen und wichtige Abhängigkeiten ignoriert.Erhalten gewöhnlich sofort, vorausgesetzt, dass keine Sicherheitsanforderungen in Testlabors.Natürlich könnte habe fertig schlimmer durch Installation von SharePoint auf einem Domänencontroller oder durch Erteilen von Sicherheit Konten administrative Berechtigungen, aber diese beabsichtigt Konfigurationsfehler sind nicht erforderlich.Im Hinblick auf Sicherheit besteht meiner Testumgebung bereits fehlerhafte genug.
.gif)
Abbildung 1 ein unsicherer Testumgebung mit mehreren SharePoint-Farmen
Zunächst einmal, verwenden Sie das Domäne-Administratorkonto auf allen Servern und Arbeitsstationen anmelden und alle Systeme installieren, während Sie mit dem Internet verbunden wären.Dies ist riskant.Es ist besser, Anmelden an einem ungesicherten Computer vermeiden, indem ein Domäne-Administratorkonto.Ebenso ist es empfehlenswert, installieren und patch von Computern in einer separaten, sichere staging Umgebung prior to Bereitstellung.Windows Automated Installation Kit (AIK) und Windows Deployment Services (WDS) bieten eine gute Lösung, aber ich nicht nutzen diese Technologien in meiner Testumgebung aus Gründen der Komplexität.Verknüpfungen, weil ich mein Active Directory-Umgebung möglicherweise bereits gefährdet – und damit Meine SharePoint-Serverfarmen.Das Spiel ist über, bevor es sogar gestartet!Eine SharePoint-Farm kann nie sicherer als seine Active Directory-Umgebung sein.
Domäne-Administrator-Konten sind tatsächlich sehr vertrauliche Konten.Sie können auch in einem vertraulichen Bereich beim Zugriff auf SharePoint-Ressourcen, z. B. die Website SharePoint 3.0-Zentraladministration und SharePoint-Websitesammlungen.Zugriff auf eine SharePoint-Website impliziert ASP.NET-Code unter der Identität des aktuellen Benutzers auf dem Front-End-Server ausgeführt.Wenn der aktuelle Benutzer Domänenadministrator ist, wird der Code mit Administratorrechten ausgeführt.Sie sollten Domänenadministratoren und lokale Server Administratoren Zugriff auf die SharePoint-Webanwendungen verweigern, weil es möglich, Ihre erhöhten, z. B. das Extrahieren von Sicherheitskonten und Kennwörter, wie in der Spalte Januar 2009 erläutert auszunutzen.Wenn ein Angreifer einen SharePoint-Administrator täuschen kann eine böswillige Komponente bereitstellen oder aktivieren ASP.NET Inlinecode, der Angreifer auch möglicherweise bestimmen die Sicherheitskonto Kennwörter und anschließend den Zugriff auf alle Websites in alle Serverfarmen, die diese Konten verwenden.
In meiner Testumgebung ignoriert diese Sicherheitskonto Abhängigkeiten und administrative Risiken ich, WSS-Farm und die HR-Farm mit den gleichen Sicherheitskonten konfiguriert und der Domäne-Administrator-Account zum Arbeiten mit SharePoint 3.0-Zentraladministration in beiden Serverfarmen verwendet.Sicherheitskonten zwischen Farmen gemeinsam ist eine gute Idee, insbesondere wenn Sie unterschiedliche Sicherheitsanforderungen aufweisen.Eine Farm, die Ihre Konten gemeinsam hängt von der anderen Serverfarm für die Sicherheit – und eine höhere Sicherheit als die anderen Farm kann daher nie erreichen.
Verwenden separate Sicherheitskonten ist eine wichtige bewährte Methode, jedoch eine gefährdete Farm kann weiterhin eine Angriffsmöglichkeit für Angriffe auf anderen Farmen in der gleichen Active Directory-Umgebung bereitstellen.Zum Beispiel dauern nicht es viel Aufwand, um einen kompromittierten SharePoint-Server in einer internen Phishing-Plattform zu verwandeln.Ein Angreifer möglicherweise aktivieren Sie die Standardauthentifizierung oder erhalten eine böswillige Komponente in einer festgelegten SharePoint-Serverfarm, die ein Header "WWW-Authenticate" an die Benutzer sendet und fängt die zurückgegebenen Anmeldeinformationen in Klartext, wie in Abbildung 2 dargestellt.Da Benutzer Ihre interne SharePoint-Websites vertrauen, ist es wahrscheinlich, dass Sie die angeforderten Anmeldeinformationen ohne kommen eingeben – und der Angriff erfolgreich ist.
.gif)
Abbildung 2 eine beeinträchtigte SharePoint-Farm können Angriffe auf anderen Farmen.
Natürlich ist es schwierig, ordnungsgemäß verwalteten SharePoint-Server zu gefährden, aber das ist nicht der Punkt.Der Punkt verhindert wird Sicherheitsverletzungen auf Systemen, die ordnungsgemäß verwaltet werden nicht auf vertrauliche Systeme mit höheren Sicherheit übergreifen.Daher müssen mindestens die sensibelsten SharePoint-Ressourcen, z. B. ein HR-Farm mit persönlich identifizierbare Informationen, Sie diese Abhängigkeiten Zugriff berücksichtigen, die im Grunde bedeutet, dass eine SharePoint-Farm nur so sicher wie die am wenigsten sichere Sites sein kann, die Farm Administratoren, Websitesammlung Administratoren und Benutzer der Website mit Ihren Benutzerkonten zugreifen können.
Vergessen Sie nicht die Clientcomputer in der Analyse der Zugang und Nutzung Abhängigkeiten einschließen.Wieder wird meiner Testumgebung eine schlechte Beispiel, da jeder Benutzer einer beliebigen Arbeitsstation verwenden, kann um alle Ressourcen zugreifen, und die Computer sind nicht mit Virenscanner oder die neuesten Sicherheitspatches ausgestattet.Genommen Sie an, einen Benutzer nur mit den Berechtigungen eines Administrators Farm oder Websitesammlung lokal anmelden auf einem Spyware infested Clientcomputer oder einem Computer in einem nicht gesperrten Büro, in denen ein Angreifer eine Hardware-Keylogger problemlos anfügen können.Farmen und Websitesammlungen sind gefährdet, sobald der Angreifer Zugriff auf ein Administratorkonto und Kennwort auf jedem Computer in einem beliebigen Ort erhält.Dateifreigabe-Software auf Clientcomputern stellt auch Sicherheitsrisiken, wie Clientcomputer häufig Inhalte aus SharePoint-Websites lokal, manuell oder automatisch downloaden die Informationen in temporären Dateien zu speichern.Daher kann eine SharePoint-Farm nie sicherer als die Clientcomputer sein, die Benutzern Zugriff auf Ressourcen der Serverfarm verwendet wird.
Natürlich, gibt es weitere Schwächen in meiner Testumgebung.Ich Laden Sie untersuchen die relevanten Abschnitte in den SharePoint-Sicherheit-Diensthärtung-Handbüchern und mit dieser Überprüfung auf eigene fortfahren.Sie sollten mindestens ein paar zusätzliche Probleme wie z. B. erkennen, dass die SharePoint 3.0-Zentraladministration Sites und Suche Rollen direkt auf Front-End-Server, die Websiteinhalte gehostet werden, es gibt keine Antiviruslösung auf den Servern, WSS-Farm und die HR-Farm einen allgemeine und ungeschützten Datenbankserver freigeben, dass alle Computer in der Testumgebung direkten Zugriff auf den Datenbankserver verfügen und, dass die Netzwerkkommunikation im Klartextformat stattfindet.Keines dieser ist wünschenswert, also einige dieser Sicherheitsprobleme befassen.
Aktivieren von NAP
Es gibt viele Schritte zum Erhöhen der Sicherheit in einer SharePoint-Umgebung wie das Steuern des physischen Zugriffs auf Computer und das Netzwerk, vLANs und Zugriffssteuerung konfigurieren Zugriffssteuerungslisten (ACLs) auf Routern und Sichern von Infrastruktur-Servern durch Bereitstellen von Microsoft Forefront Security für SharePoint und Active Directory-Rechteverwaltungsdienste (AD RMS) (DNS-Servern, DHCP-Servern, Domänencontrollern und usw.).Zugang-Steuerelemente und grundlegende TCP/IP-Netzwerke und Router Konfigurationen sind Gegenstand dieser Spalte und AD RMS hat in früheren Artikeln erläutert wurde, damit, uns mit NAP, IPsec, HTTP über SSL (Secure Sockets Layer) und Forefront Security als nächsten logischen Themen verlässt.Dieser Artikel konzentriert sich auf NAP und IPsec.HTTP über SSL und Forefront Security wird in zukünftigen Spalten behandelt.
NAP mit IPsec bietet mindestens drei wichtige Vorteile für eine interne SharePoint-Umgebung:
- Sie können erzwingen System Integritätsrichtlinien und automatisch beheben Kompatibilitätsprobleme auf Clientcomputern unter Windows XP Service Pack 3 und Windows Vista;
- Sie können eine zusätzliche Sicherheitsstufe-Netzwerksicherheit über IPsec und Windows-Firewall in einer Active Directory-Gesamtstruktur; implementieren.
- Sie können verschlüsselte Kommunikationskanäle über ESP (Encapsulating Security PAYLOAD) innerhalb einer SharePoint-Farm und zwischen Servern und Clientcomputern einrichten.
Eine Zulage ist die Fähigkeit zum Verwalten der Netzwerkkommunikation zentral über Gruppenrichtlinien und Zugriff auf das Netzwerk überwachen.Kurz gesagt, ist NAP mit IPsec eine wichtige Aktivierung einer effektiven End-to-End-Sicherheitsstrategie für SharePoint.
Den Kern stützt sich auf einen intelligente Verteilungsmechanismus für x. 509-Zertifikate NAP mit IPsec.System Health Agents (SHAs) informieren Sie den NAP-Agent auf dem Clientcomputer über deren Einhaltung Status über Dokumente, die Anweisung des Zustands (SoH), die NAP-Agent in einer System-Anweisung des Zustands (SSoH) konsolidiert.Die SSoH übergeben auf dem Clientcomputer, der wiederum die SSoH auf dem NAP erzwingen Server (NAP ES) übergibt an den IPSec-NAP-Erzwingungsclient (EC NAP).Dies ist die HRA (Health Registration Authority), die Systemintegrität Zertifikate von einer Zertifizierungsstelle (CA) für kompatible Computer erhält.Abbildung 3 zeigt, wie ein NAP-Client ein Integritätszertifikat erhält.
.gif)
Abbildung 3 NAP-Client/Server-Kommunikation mit Informationen zu Exchange System- und Zertifikate
Ermitteln, ob der anfordernde Computer kompatibel ist, übergibt der NAP-ES die SSoH in einer RADIUS-Meldung der Netzwerkrichtlinienserver (Network Policy Server, NPS).Der NPS übergibt die SSoH erneut an den NAP-Verwaltung Server, die wiederum einzelne SoHs aus der SSoH extrahiert und an die entsprechenden System Health Validators (SHVs) weiterleitet.Den SHVs SoH Informationen analysieren und eine Anweisung des Zustands Antwort (SoHR), die der NPS in einer Antwort des Anweisung des Systemzustands (SSoHR) konsolidiert, die das NAP-System an die SHAs auf dem Client-Computer dann übergibt zurück.Kommunizieren über SoH und SoHRs SHVs mit ihren entsprechenden SHA-Entsprechungen.Beispielsweise kann die SoHR von antivirus-SHV entsprechende Antivirensoftware SHA um die neueste Version der Datei für die Signatur von einem Server Sicherheitsverbesserungen, um den Clientcomputer in Kompatibilität wieder zu downloaden anweisen.
Auf der Serverseite, NAP außerdem vergleicht die SoHRs zu den konfigurierten Richtlinien Netzwerk und der Zustand und ein System-Integritätszertifikat ausgegeben, wenn der Clientcomputer kompatibel ist.Der NAP-Client empfängt das Zertifikat von der NAP-ES und in dessen Zertifikatsspeicher gespeichert.Das Zertifikat ist jetzt verfügbar für Internetschlüsselaustausch (IKE)-Aushandlung, IPsec-Sicherheitszuordnungen mit Partnern vertrauenswürdiger Kommunikation herzustellen.Der NAP-Client erneuert das Zertifikat des Systemzustands, wenn es abgelaufen ist oder wenn ein SHA-Status Änderungen an der NAP-Agent gibt.Die Quintessenz ist, dass kompatible Computern ein Integritätszertifikat empfangen und nicht richtlinienkonforme Computer nicht.Tief technische Details empfehle ich das Whitepaper"Netzwerk Access Protection Platform-Architektur." Begleitarbeitsblatt "Konfigurieren von Netzwerkzugriffsschutz" beschreibt die Schritte zum eine grundlegende NAP-Infrastruktur in einer Testumgebung bereitstellen.
Domänenisolierung einrichten
Auch in meiner bescheidenen wenig Testlabors mit NPS und HRA Rollen auf einem einzelnen Server können Sie die Vorteile von NAP sofort feststellen.Sobald Sie auf den Clientcomputern über Gruppenrichtlinieneinstellungen NAP aktivieren, rät NAP dringend Sie die neuesten Sicherheitspatches und ein Antivirenprogramm installieren.Der NAP-Client informiert Sie über fehlende Sicherheitskomponenten und der Netzwerkstatus enthält eine Benachrichtigung darüber informiert, dass Netzwerkzugriff eingeschränkt, kann, bis der Computer für Integritätsanforderungen erfüllt.Zu diesem Zeitpunkt haben jedoch nicht richtlinienkonforme Computer weiterhin Zugriff auf alle Server im Netzwerk weil wir noch IPSec-Richtlinien konfiguriert haben.Ohne IPSec-Richtlinien, die anfordern oder erfordern von Authentifizierung für eingehende und ausgehende Verbindungen, nicht die NAP-Infrastruktur wirklich viel mehr als einen Verteilungsmechanismus Health Certificate.Wir müssen Domänenisolierung für NAP effektiv zu implementieren.
Implementierende Domänenisolierung bedeutet dividiert die internen Netzwerk in Segmente von eingeschränkten, Grenzen und sicheren Netzwerken durch IPSec-Durchsetzung von Richtlinien.Das Ziel verhindern, dass nicht richtlinienkonforme Computer den Zugriff auf alle Server im internen Netzwerk ist – mit Ausnahme von diesen Servern, die nicht richtlinienkonforme Computer kompatibel sind und ein Integritätszertifikat erhalten Zugriff auf sein müssen.In Abbildung 4 betrifft dies den NAP-Server NPS01.Der Unterschied zwischen der Begrenzung Segment und das sichere Segment ist, dass die IPSec-Richtlinie für das Segment Grenze Authentifizierung für eingehende und ausgehende Verbindungen Anforderungen und daher Fallback auf Klartextkommunikation mit nicht kompatiblen Computern, ermöglicht während das sichere Segment erfordert eine Authentifizierung für eingehende Verbindungen, die Fallback auf Klartext verhindert und nicht richtlinienkonforme Computer blockiert.Begleitarbeitsblatt "Konfigurieren von IPSec-Richtlinien für System-Erzwingung" können Sie diese Segmentierung implementieren.
Abbildung 4 eingeschränkt, Grenze, und sicherer Netzwerke für NAPNAP
Der Domänencontroller in Abbildung 4 ist ein Sonderfall.Können Sie anfordern oder IPsec-geschützte Kommunikation zwischen Domänenmitgliedern und Domänencontrollern erforderlich, wenn Ihr Computer ausführen, Windows Vista oder Windows Server 2008 (Siehe Begleitarbeitsblatt "Konfigurieren von IPSec für Domänencontroller Kommunikation"), aber diese Konfiguration ist für Windows Server 2003 und Windows XP nicht unterstützt.Wenn Sie nicht für die Domänencontroller Kommunikation IPsec verwenden, wird DC01 Bestandteil der der eingeschränkten Netzwerk; das Anfordern von IPsec in das Segment Grenze den Domänencontroller verschoben und erfordern IPsec dem Domänencontroller Mitglied das sichere Segment macht.Die Konfiguration hängt von Ihrer speziellen Situation und Anforderungen.Wenn möglich, sollten die Verwendung von IPsec.
Isolation implementieren Server (und Workstation)
Einrichten von NAP mit IPSec-Erzwingung und Domänenisolierung dient als erste bedeutender Meilenstein gegen Sicherheit Härten.Alle Clientcomputer müssen angemessene Integritätsanforderungen jetzt erfüllen, bevor Sie eine internen SharePoint-Ressourcen zugreifen können.Anschließend können Sie entsprechend Segmentieren die SharePoint-Umgebung in mehrere Ebenen, um eine feine Steuerungsebene Kommunikation, Ende zu Ende, einschließlich der Kommunikation von Client-Computern zu erzielen.Abbildung 5 zeigt eine mögliche Segmentierung Strategie basierend auf der Rolle jeden einzelnen Computer im internen Netzwerk.
Abbildung 5 eine verbesserte Testumgebung mit mehreren SharePoint-Farmen
Wie Sie in Abbildung 5 auffallen, umfasst meiner Testumgebung jetzt zusätzliche Systeme.Unter anderem die Konfiguration von WSS und HR-Farmen geändert I und separate Sicherheitskonten angegeben, die HR-Konfiguration und Inhaltsdatenbanken zu einem separaten SQL Server verschoben und separate Computern für die SharePoint 3.0-Zentraladministration und die SharePoint-Suche-Rolle in beiden Farmen bereitgestellt.Checken Sie die verschiedenen Arbeitsblätter im Begleitmaterial, die veranschaulichen, wie diese Schritte durchführen.
Sichern der Kommunikation zwischen den Ebenen ist jetzt ein einfacher Prozess Dank an unsere NAP mit IPsec Vorbereitungsarbeiten.Mithilfe von Gruppenrichtlinie können Sie alle Regeln für Windows Firewall mit erweiterter Sicherheit zum Sperren von ein- und ausgehende Kommunikation auf Clients und Servern zu den am stärksten einschränkende Ebenen zentral verwalten.Es empfiehlt sich Deaktivieren der Regel in der Gruppenrichtlinie verhindern, dass lokale Administratoren anwenden in Konflikt stehende Firewall zusammenführen und Verbindungssicherheitsregeln auf jedem Domänenmitglied.Beispielsweise können UDP- und TCP-Port 1434 auf den Datenbankservern sperren, öffnen einen benutzerdefinierten TCP-Port für die SQL Server-Standardinstanz, verschlüsselt den Datenverkehr, öffnen Sie die TCP-Ports, die von Webanwendungen auf Front-End-Server verwenden, und blockieren allen-HR-Computern den Zugriff auf einen Server oder Clientcomputer in der Personalabteilung.
Informationsquellen
 |
Network Access Protection-Website go.Microsoft.com/fwlink/?LinkId=69752 |
|
SharePoint Products and Technologies-Website Microsoft.com/SharePoint |
|
Windows SharePoint Services TechCenter TechNet.Microsoft.com/WindowsServer/SharePoint |
|
Windows SharePoint Services Developer Center msdn2.Microsoft.com/SharePoint |
|
Microsoft SharePoint-Produkte Teamblog und-Technologien Blogs.msdn.com/SharePoint |
Eine interessante Frage ist, ob vertrauliche Computern den Zugriff auf sowohl nicht vertrauliche Computer ebenfalls blockiert werden soll, z. B. sollten Sie dass HR-Clients auf zugreifen nicht-HR-SharePoint-Servern in der WSS-Farm.Dies ist ein Beispiel, wobei Sicherheit und Produktivität Anforderungen kollidiert.Aus Gründen der Produktivität ist Meiner Meinung nach es unmöglich, HR Personen Zugriff auf unternehmensweite SharePoint-Websites wie Sites in eigene WSS-Farm verweigern, d. h., dass WSS-Farm die gleichen Sicherheitsstandards als HR-Farm entsprechen muss.So musste in beiden Serverfarmen verschieben die SharePoint 3.0-Zentraladministration Standorte und Rollen auf einem separaten Computer suchen und Firewall- und Verbindung Sicherheitsregeln anwenden.Natürlich sollten auch dedizierte, nicht privilegierten Konten für die SharePoint-Verwaltung in beiden Serverfarmen festlegen und weiteren Sicherheit Diensthärtung Schritten anwenden.Joel Oleson ist eine hervorragende Zusammenfassungsliste der Schritte auf seine Sicherheit Diensthärtung gebucht.Land der SharePoint-blog. Ich empfehle folgenden Joel Ratschläge in einer IPsec-fähigen Infrastruktur, die eine Grundlage praxisnahe für End-to-End SharePoint Sicherheit Diensthärtung bereitstellt.
Schlussbemerkung
SharePoint-Serverfarmen vorhanden nicht im luftleeren.Sie sind in einer Umgebung, die Clientcomputer, Infrastrukturserver und Netzwerkgeräte gehören, vorhanden.Das heißt, Sie diese Komponenten teilnehmen müssen, wenn Sie bessere Sicherheit durch Absichern von SharePoint-Diensthärtung erreichen möchten.Es ist unmöglich, eine SharePoint-Serverfarm in einer unsicheren Active Directory-Umgebung zu schützen.Es ist unmöglich, eine SharePoint-Farm sichern, wenn die Client-Computer mit Spyware infested sind.Es ist unmöglich, eine SharePoint-Farm sichern, wenn ein Angreifer Benutzerkonten, Administratorkonten oder Sicherheitskonten überall highjack kann.
Windows Server 2008-Technologie bietet die Grundlage eine umfassende Sicherheit net über Active Directory-Gesamtstruktur über NAP mit Internetprotokollsicherheit Erzwingung, Windows-Firewall mit erweiterter Sicherheit und Gruppenrichtlinienverwaltung umgewandelt.Nutzen diese Technologien in einer SharePoint-Umgebung ist definitiv lohnt sich der Aufwand.Können Sie steuern und sichere Kommunikation zwischen Arbeitsstationen, Servern und Domänencontrollern; Sie können System Health Standards erzwingen; Sie können die Domänenisolierung; implementieren und Sie können separate Ebenen in der internen SharePoint-Umgebung erzwingen.Über die Mitgliedschaft in Sicherheitsgruppen oder Organisationseinheiten ermittelt Active Directory automatisch die Richtlinieneinstellungen, die auf jedem Domänenmitglied, einschließlich Client-Computern, Datenbankserver, Front-End-Server und Middle-Tier-Server für Verwaltung und andere Zwecke anwenden.Sie können allgemeine Richtlinien für jede Ebene und bestimmte Richtlinien für jede Computerrolle Typ und dem Server herstellen.Sie können verhindern, dass Benutzer zum Hosten von SharePoint auf Clientcomputern blockiert alle eingehende Verbindungen können, und Sie die Abteilungen von hosting nicht genehmigte und unsichere SharePoint-Serverfarmen, die Möglichkeiten für Angriffe auf anderen Farmen im internen Netzwerk bereitstellen können.
Doch nicht overboard mit Einschränkungen.Bedenken Sie, die auf SharePoint-Bereitstellungen außerhalb des Rechenzentrums vielen Abteilungen von Geschäftsprozessen basieren.Nachdem alle ist SharePoint eine geschäftskritische Zusammenarbeit-Plattform im Unternehmen.
Pav Cherny ist IT-Experte und Autor, die Microsoft-Technologien für Zusammenarbeit und einheitliche Kommunikation spezialisiert und.Seine Veröffentlichungen enthalten Whitepapers, Produkthandbücher und Bücher mit Schwerpunkt auf IT-Vorgänge und Systemverwaltung.Pav ist Präsident der Biblioso Corporation, ein Unternehmen, das auf verwaltete Dokumentations- und Lokalisierungsdienste spezialisiert ist.