Planeación del endurecimiento de la seguridad para las funciones de servidor en una granja de servidores (Windows SharePoint Services)
Acerca del endurecimiento de la seguridad
Recomendaciones para el servidor de aplicaciones
Comunicación segura con la base de datos de Microsoft SQL Server
Requisitos del servicio Compartir archivos e impresoras
Requisitos de servicios para la integración del correo electrónico
Servicios de Windows SharePoint Services
Cuentas y grupos
Archivo Web.config
Adiciones de instantáneas seguras
Use este artículo para planear la seguridad de la granja de servidores. Las tareas del artículo son adecuadas para los siguientes entornos de seguridad:
Entorno hospedado de TI interno
Colaboración externa segura
Acceso anónimo externo
Acerca del endurecimiento de la seguridad
En un entorno de granja de servidores, los servidores individuales desempeñan funciones específicas. Las recomendaciones para el endurecimiento de la seguridad de estos servidores dependen de la función que desempeña cada uno.
Las recomendaciones para el endurecimiento de la seguridad de los servidores se agregan a las recomendaciones proporcionadas en las siguientes guías de seguridad que se proporcionan en el documento sobre diseños y procedimientos de Microsoft (en inglés) (https://go.microsoft.com/fwlink/?linkid=73704&clcid=0xC0A) (en inglés):
Protección de un servidor web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0xC0A) (en inglés)
Protección de un servidor de base de datos (en inglés) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0xC0A) (en inglés)
Protección de una red (en inglés) (https://go.microsoft.com/fwlink/?linkid=73707&clcid=0xC0A) (en inglés)
Estas guías siguen un enfoque metódico para asegurar los servidores para funciones específicas y para asegurar la red de soporte. También se prescribe el orden en que se aplican los valores de configuración, se instalan las aplicaciones y se endurece su seguridad, empezando con la aplicación de revisiones y actualizaciones, a continuación endureciendo la seguridad de la configuración de red y del sistema operativo y, por último, endureciendo la seguridad de aplicaciones específicas. Por ejemplo, la protección del servidor web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0xC0A) (en inglés) recomienda instalar y endurecer la seguridad de Internet Information Services (IIS) sólo después de aplicar la revisión y endurecer la seguridad del sistema operativo. Además, esta guía prescribe instalar Microsoft .NET Framework una vez que IIS esté completamente revisado y su seguridad endurecida.
Las categorías de los parámetros de seguridad que se prescriben metódicamente en la protección del servidor web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0xC0A) (en inglés) se detallan en la siguiente ilustración.
.gif "Categorías de opciones de configuración de seguridad")
Además, cada una de las tres guías incluye una instantánea segura y una lista de parámetros de seguridad recomendados para la función de servidor específica o para la red. Las listas de instantáneas se organizan por categorías que corresponden a los parámetros de seguridad descritos en la ilustración anterior.
El diseño de seguridad y la orientación sobre endurecimiento de la seguridad proporcionados en este artículo se basan en la orientación publicada en estas tres guías. Esta orientación asume que usará estas guías como base para proteger y endurecer la seguridad de la granja de servidores.
Este artículo describe las excepciones o adiciones a las instantáneas que se recomiendan para su entorno. Están detalladas en formato de tabla mediante el uso de las mismas categorías y el mismo orden que las tres guías de seguridad. Este formato está destinado a facilitar la identificación y la aplicación de recomendaciones específicas a la vez que usa las guías.
La guía sobre implementación de la tecnología de Windows SharePoint Services 3.0 (https://go.microsoft.com/fwlink/?linkid=76140&clcid=0xC0A) incluye instrucciones para aplicar una directriz de seguridad específica que no se incluye en las guías de seguridad de diseño y procedimientos.
La naturaleza de la comunicación servidor a servidor dentro de una granja de servidores y las características específicas proporcionadas por Windows SharePoint Services 3.0 son las razones principales de las recomendaciones específicas de endurecimiento de la seguridad. Este artículo también describe cómo los canales de comunicación clave y las características de Windows SharePoint Services 3.0 afectan a los requisitos de seguridad..
Recomendaciones para el servidor de aplicaciones
En Windows SharePoint Services 3.0, las funciones de servidor de aplicaciones no son los típicos servidores de aplicaciones de nivel medio que están empaquetadas dentro de las aplicaciones Enterprise Services. Por tanto, las recomendaciones de la protección del servidor de aplicaciones (en inglés) (https://msdn.microsoft.com/es-es/library/aa302433.aspx) (en inglés) no se aplican a los servidores de aplicaciones de Windows SharePoint Services 3.0. En su lugar, se usan las instrucciones de la protección del servidor web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0xC0A) (en inglés) para endurecer la seguridad de los servidores de aplicaciones de Windows SharePoint Services 3.0:
Aplique la orientación para la configuración de red y de sistema operativo a todos los servidores de aplicaciones de la granja de servidores. Esta orientación está contenida en las siguientes categorías: revisiones y actualizaciones, servicios, protocolos, cuentas, archivos y directorios, recursos compartidos, puertos, registro, auditorías e inicio de sesión.
Aplique la orientación para el endurecimiento de la seguridad de IIS y de otros parámetros web sólo en el servidor de aplicaciones que hospeda el sitio web de Administración central. Esta orientación incluye las siguientes categorías: IIS, Machine.config, seguridad de acceso a código, LocalIntranet_Zone e Internet_Zone.
Además de usar la instantánea segura en la protección del servidor web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0xC0A) (en inglés), aplique también las recomendaciones incluidas en la sección sobre adiciones de instantáneas seguras más adelante en este artículo.
Comunicación segura con la base de datos de Microsoft SQL Server
Protección del servidor de base de datos (en inglés) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0xC0A) (en inglés) recomienda restringir el acceso a dos puertos de comunicaciones de Microsoft SQL Server predeterminados: puerto TCP 1433 y puerto CDP 1434. Para entornos de granjas de servidores seguros, se recomienda:
Bloquear por completo el puerto UDP 1434.
Configurar instancias con nombre de SQL Server para escuchar en un puerto no estándar (distinto del puerto TCP 1433 o del puerto UDP 1434).
Para una mayor seguridad, bloquee el puerto TCP 1433 y reasigne el puerto usado por la instancia predeterminada a un puerto no estándar.
Configure los alias de cliente SQL en todos los servidores cliente web y servidores de aplicaciones en la granja de servidores. Una vez que los puertos TCP 1433 o UDP 1434 estén bloqueados, los alias de cliente SQL son necesarios en todos los equipos que se comunican con el equipo con SQL Server.
Este método proporciona un mayor control sobre el grado de implementación y ejecución de SQL Server, incluida la capacidad de asegurar que sólo los equipos autorizados puedan comunicarse con el equipo con SQL Server.
Los pasos de endurecimiento de la seguridad para crear alias de cliente SQL deben completarse antes de instalar Windows SharePoint Services 3.0. Cuando se ejecuta la Configuración para Windows SharePoint Services 3.0 y se le pide que escriba el nombre del equipo con SQL Server al que quiere conectarse, deberá escribir el nombre del alias del cliente SQL.
Bloqueo de los puertos estándar de SQL Server
Los puertos específicos usados para conectarse a SQL Server se ven afectados en función de si las bases de datos se instalan en una instancia predeterminada de SQL Server o en una instancia con nombre de SQL Server. La instancia predeterminada de SQL Server escucha solicitudes de cliente en el puerto TCP 1433. Una instancia con nombre de SQL Server escucha un número de puerto asignado aleatoriamente. Además, el número de puerto para una instancia con nombre se puede reasignar si la instancia se reinicia (en función de si el número de puerto asignado previamente está disponible).
De forma predeterminada, los equipos cliente que se conectan a SQL Server se conectan primero usando el puerto TCP 1433. Si esta comunicación no tiene éxito, los equipos cliente consultan el servicio de resolución de SQL Server a la escucha en el puerto UDP 1434 para determinar en qué puertos está escuchando la instancia de base de datos.
El comportamiento predeterminado de comunicación con puertos de SQL Server presenta varios problemas que afectan al endurecimiento de la seguridad del servidor. En primer lugar, los puertos usados por SQL Server son puertos bien publicitados y el servicio de resolución de SQL Server ha sido objeto de ataques de desbordamiento del búfer y por denegación de servicio, incluido el virus de gusano "Slammer". Incluso a pesar de que SQL Server está revisado para mitigar los problemas de seguridad en el servicio de resolución de SQL Server, los puertos bien conocidos siguen siendo un objetivo. En segundo lugar, si las bases de datos están instaladas en una instancia con nombre de SQL Server, el puerto de comunicación correspondiente se asigna de forma aleatoria y puede cambiar. Este comportamiento puede prevenir potencialmente la comunicación servidor a servidor en un entorno con seguridad endurecida. La capacidad de controlar qué puertos TCP están abiertos o bloqueados es fundamental para proteger su entorno.
Por lo tanto, la recomendación para una granja de servidores es asignar números de puerto estáticos a instancias con nombre de SQL Server y bloquear el puerto UDP 1434 para evitar que los atacantes potenciales tengan acceso al servicio de resolución de SQL Server. Además, considere reasignar el puerto usado por la instancia predeterminada, así como bloquear el puerto TCP 1433.
Existen varios métodos que puede usar para bloquear puertos. Puede bloquear estos puertos mediante un servidor de seguridad. Sin embargo, a menos que esté seguro de que no hay otras rutas al segmento de red y de que no hay usuarios malintencionados con acceso al segmento de red, se recomienda bloquear estos puertos directamente en el servidor que hospeda SQL Server. Esto se puede conseguir usando el Firewall de Windows en el Panel de control.
Configuración de las instancias de base de datos de SQL Server para escuchar en un puerto no estándar
SQL Server proporciona la capacidad de reasignar los puertos usados por la instancia predeterminada y cualquier instancia con nombre. En SQL Server 2000, puede reasignar los puertos mediante la Herramienta de red de SQL Server. En SQL Server 2005, puede reasignar los puertos mediante el Administrador de configuración de SQL Server.
Configuración de alias de cliente SQL
En una granja de servidores, todos los servidores cliente web y los servidores de aplicaciones son equipos cliente de SQL Server. Si bloquea el puerto UDP 1434 en el equipo con SQL Server o cambia el puerto predeterminado por la instancia predeterminada, deberá configurar un alias de cliente SQL en todos los servidores que se conecten al equipo SQL Server.
Para conectar con una instancia de SQL Server 2000, debe instalar las herramientas del cliente de SQL Server en el equipo de destino y, a continuación, configurar los alias de cliente SQL, que se instalan mediante la ejecución de Configuración de SQL Server y la selección de Herramientas de cliente de SQL Server.
Para conectar con una instancia de SQL Server 2005, debe instalar los componentes del cliente de SQL Server en el equipo de destino y, a continuación, configurar el alias del cliente SQL mediante el Administrador de configuración de SQL Server. Para instalar los componentes del cliente de SQL Server, ejecute Configuración y seleccione sólo los siguientes elementos para su instalación:
Componentes de conectividad
Herramientas de administración (incluye el Administrador de configuración de SQL Server)
Los componentes del cliente de SQL Server funcionan con SQL Server 2000 y pueden usarse en lugar de las herramientas de cliente de SQL Server.
Pasos para el endurecimiento de la seguridad
Configuración de SQL Server
Configuración de una instancia de SQL Server 2000 para escuchar en un puerto no predeterminado
Use la Herramienta de red de SQL Server para cambiar el puerto TCP usado por una instancia de SQL Server 2000.
En el equipo SQL Server, ejecute la Herramienta de red de SQL Server.
En el menú Instancias en este servidor, seleccione la instancia. Asegúrese de que ha seleccionado la instancia deseada. De forma predeterminada, la instancia predeterminada escucha en el puerto 1433. Las instancias con nombre de SQL Server 2000 reciben un número de puerto aleatorio, así que puede que no sepa cuál es el número de puerto asignado actualmente a una instancia con nombre cuando ejecute la Herramienta de red de SQL Server.
En el panel Protocolos habilitados, en la parte derecha de la interfaz de la Herramienta de red de SQL Server, haga clic en TCP/IP y, a continuación, haga clic en Propiedades.
En el cuadro de diálogo Configurar el valor predeterminado del protocolo de red, cambie el número de puerto TCP. Evite usar cualquiera de los puertos TCP conocidos. Por ejemplo, seleccione un número de puerto de un rango más alto, como 40000. No active la casilla Ocultar servidor.
Haga clic en Aceptar.
En el cuadro de diálogo Herramienta de red de SQL Server, haga clic en Aceptar. Recibirá un mensaje que le indicará que el cambio no tendrá lugar hasta que el servicio SQL Server se reinicie. Haga clic en Aceptar.
Reinicie el servicio SQL Server y confirme que su equipo SQL Server está escuchando en el puerto que seleccionó. Puede confirmar esto mirando en el registro del visor de eventos después de reiniciar el servicio SQL Server. Busque un evento informativo similar al siguiente:
Tipo del evento:Información
Origen del evento:MSSQLSERVER
Categoría del evento:(2)
Id. del evento:17055
Fecha:6/3/2008
Hora:11:20:28 AM
Usuario:N/D
Equipo:nombre_de_equipo
Descripción:
19013:
SQL Server escuchando en 10.1.2.3: 40000
Configuración de una instancia de SQL Server 2005 para escuchar en un puerto no predeterminado
Use el Administrador de configuración de SQL Server para cambiar el puerto TCP usado por una instancia de SQL Server 2005.
Use el Administrador de configuración de SQL Server para cambiar el puerto TCP usado por una instancia de SQL Server 2005.
En el equipo SQL Server, abra el Administrador de configuración de SQL Server.
En el panel izquierdo, expanda Configuración de red de SQL Server 2005.
Debajo de Configuración de red de SQL Server 2005, haga clic en la entrada correspondiente para la instancia que está configurando. La instancia predeterminada aparece como Protocolos para MSSQLSERVER. Las instancias con nombre aparecerán como Protocolos para instancia_con_nombre.
En el panel derecho, haga clic con el botón secundario en TCP/IP y seleccione Propiedades.
Haga clic en la ficha Direcciones IP. Por cada dirección IP asignada al equipo SQL Server, hay una entrada correspondiente en esta ficha. De forma predeterminada, SQL Server escucha en todas las direcciones IP asignadas al equipo.
Para cambiar globalmente el puerto en el que escucha la instancia predeterminada, haga lo siguiente:
Para cada IP, excepto IPAll, borre los valores tanto de Puertos dinámicos TCP como de Puerto TCP.
Para IPAll, borre el valor de Puertos dinámicos TCP. En el campo Puerto TCP, escriba el puerto en el que desee que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.
Para cambiar globalmente el puerto en el que escucha la instancia con nombre, haga lo siguiente:
Para cada IP que incluye IPAll, borre todos los valores de Puertos dinámicos TCP. Un valor de 0 para este campo indica que SQL Server usa un puerto TCP dinámico para la dirección IP. Una entrada en blanco significa que SQL Server 2005 no usará un puerto TCP dinámico para la dirección IP.
Para cada IP, excepto IPAll, borre todos los valores de Puerto TCP.
Para IPAll, borre el valor de Puertos dinámicos TCP. En el campo Puerto TCP, escriba el puerto en el que desee que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.
Haga clic en Aceptar. Recibirá un mensaje que le indicará que el cambio no tendrá lugar hasta que SQL Server se reinicie. Haga clic en Aceptar.
Cierre el Administrador de configuración de SQL Server.
Reinicie el servicio SQL Server y confirme que el equipo SQL Server está escuchando en el puerto que seleccionó. Puede confirmarlo mirando en el registro del visor de eventos después de reiniciar el servicio SQL Server. Busque un evento informativo similar al siguiente:
Tipo del evento:Información
Origen del evento:MSSQL$MSSQLSERVER
Categoría del evento:(2)
Id. del evento:26022
Fecha:6/3/2008
Hora:1:46:11 PM
Usuario:N/D
Equipo:nombre_de_equipo
Descripción:
El servidor está escuchando en [ 'cualquier' <ipv4>50000]
Configuración del Firewall de Windows
Configuración del Firewall de Windows para bloquear los puertos de escucha predeterminados de SQL Server
En el Panel de control, abra Firewall de Windows
En la ficha General, haga clic en Activado. Asegúrese de que la casilla No permitir excepciones esté desactivada.
En la ficha Excepciones, haga clic en Agregar puerto.
En el cuadro de diálogo Agregar un puerto, escriba un nombre para el puerto. Por ejemplo, escriba UDP-1434. A continuación, escriba el número de puerto. Por ejemplo, escriba 1434.
Seleccione el botón de opción apropiado: UDP o TCP. Por ejemplo, para bloquear el puerto 1434, haga clic en UDP. Para bloquear el puerto 1433, haga clic en TCP.
Haga clic en Cambiar ámbito y asegúrese de que el ámbito para esta excepción se establezca en Cualquier equipo (incluyendo los que están en Internet).
Haga clic en Aceptar.
En la ficha Excepciones, ubique la excepción que ha creado. Para bloquear el puerto, desactive la casilla para dicha excepción. De forma predeterminada, esta casilla está activada, lo que significa que el puerto está abierto.
Configuración del Firewall de Windows para abrir manualmente los puertos asignados
Siga los pasos 1 a 7 del procedimiento anterior para crear una excepción para el puerto que ha asignado manualmente a la instancia de SQL. Por ejemplo, cree una excepción para el puerto TCP 40000.
En la ficha Excepciones, localice la excepción que ha creado. Asegúrese de que la casilla de la excepción esté marcada. De forma predeterminada, la casilla está activada, lo que significa que el puerto está abierto.
Nota
Para obtener más información sobre cómo usar la seguridad del Protocolo Internet (Ipsec) para proteger la comunicación entrante y saliente del equipo con SQL Server, vea el artículo de Microsoft Knowledge Base 233256 sobre cómo habilitar el tráfico de Pizque en un servidor de seguridad (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0xC0A).
Configuración de un alias de cliente SQL
Configuración de un alias de cliente SQL
Si bloquea el puerto UDP 1434 o el puerto TCP 1433 en el equipo con SQL Server, debe crear un alias de cliente SQL en los demás equipos de la granja de servidores. Puede usar componentes de clientes de SQL Server para crear alias de cliente SQL para los equipos que se conectan a SQL Server 2000 o SQL Server 2005.
Ejecute la instalación de SQL Server 2005 en el equipo de destino y seleccione los siguientes componentes de cliente para su instalación:
Componentes de conectividad
Herramientas de administración
Abra el Administrador de configuración de SQL Server.
En el panel de la izquierda, haga clic en Configuración de SQL Native Client.
En el panel de la derecha, haga clic con el botón secundario del mouse (ratón) en Alias y seleccione Nuevo alias.
En el cuadro de diálogo Alias, escriba un nombre para el alias y, a continuación, escriba el número de puerto para la instancia de base de datos. Por ejemplo, escriba SharePoint*_alias*.
En el campo Nº de puerto, escriba el número de puerto para la instancia de base de datos. Por ejemplo, escriba 40000. Asegúrese de que el protocolo esté establecido en TCP/IP.
En el campo Servidor, escriba el nombre del equipo con SQL Server.
Haga clic en Aplicar y, a continuación, en Aceptar.
Prueba del alias del cliente SQL
Pruebe la conectividad al equipo con SQL Server mediante Microsoft SQL Server Management Studio, que está disponible si instala los componentes del cliente de SQL Server.
Abra SQL Server Management Studio.
Cuando se le pida que escriba un nombre de servidor, escriba el nombre del alias que acaba de crear y, a continuación, haga clic en Conectar. Si la conexión tiene éxito, SQL Server Management Studio se rellena con objetos correspondientes a la base de datos remota.
Nota
Para comprobar la conectividad a instancias de base de datos adicionales desde SQL Server Management Studio, haga clic en el botón Conectar y seleccione Motor de base de datos.
Requisitos del servicio Compartir archivos e impresoras
Varias características principales dependen del servicio Compartir archivos e impresoras y los protocolos y puertos correspondientes. Estos incluyen pero no se limitan a los siguientes:
Consultas de búsqueda Todas las consultas de búsqueda requieren el servicio Compartir archivos e impresoras.
Rastreo e indización de contenido Para rastrear contenido, el componente de indización envía solicitudes a través del servidor cliente web. El servidor cliente web se comunica directamente con las bases de datos de contenido y envía los resultados de vuelta al servidor de índices. Esta comunicación requiere el servicio Compartir archivos e impresoras.
El servicio Compartir archivos e impresoras requiere el uso de canalizaciones con nombre. Las canalizaciones con nombre se comunican mediante protocolos NBT o SMB hospedados directamente. Para obtener un entorno seguro, se recomienda usar SMB hospedado directamente en lugar de NBT. Las recomendaciones para el endurecimiento de la seguridad proporcionadas en este artículo asumen que se usará SMB.
En la tabla siguiente se describen los requisitos para el endurecimiento de la seguridad introducidos por la dependencia en el servicio Compartir archivos e impresoras.
| Categoría | Requisito | Notas |
|---|---|---|
Servicios |
Compartir archivos e impresoras |
Requiere el uso de canalizaciones con nombre. |
Protocolos |
Canalizaciones con nombre que usan SMB hospedado directamente Desactivar NBT |
Las canalizaciones con nombre pueden usar NBT en lugar de SMB hospedado directamente. Sin embargo, se considera que NBT es menos seguro que SMB hospedado directamente. |
Puertos |
Puerto TCP/UDP 445 |
Usado por SMB hospedado directamente. |
Para obtener más información sobre cómo deshabilitar NET, vea el artículo de Microsoft Knowledge Base 204279 sobre el hospedaje directo de SMV a través de TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0xC0A).
Requisitos de servicios para la integración del correo electrónico
La integración del correo electrónico requiere el uso de dos servicios:
Servicio SMTP (Protocolo simple de transferencia de correo)
Servicio de administración de directorios de Microsoft SharePoint
Servicio SMTP
La integración del correo electrónico requiere usar el servicio SMTP al menos en uno de los servidores cliente web de la granja de servidores. El servicio SMTP es obligatorio para el correo electrónico entrante. Para el correo electrónico saliente, se puede usar el servicio SMTP o enrutarlo a través de un servidor de correo electrónico dedicado en la organización, como un equipo con Microsoft Exchange Server.
Servicio de administración de directorios de Microsoft SharePoint
Windows SharePoint Services 3.0 incluye un servicio interno, el Servicio de administración de directorio de SharePoint de Microsoft, para crear grupos de distribución de correo electrónico.
Al configurar la integración de correo electrónico, tiene la opción de habilitar la característica Servicio de administración de directorios, lo que permite a los usuarios crear listas de distribución. Cuando los usuarios crean un grupo de SharePoint y se selecciona la opción para crear una lista de distribución, el servicio de administración de directorios de Microsoft Sharepoint crea la lista de distribución del servicio de directorios de Active Directory correspondiente en el entorno de Active Directory.
En entornos con endurecimiento de la seguridad, se recomienda restringir el acceso al servicio de administración de directorios de Microsoft SharePoint mediante la protección del archivo asociado con este servicio: SharePointEmailws.asmx. Por ejemplo, permitir el acceso a este archivo solamente a la cuenta de la granja de servidores.
Además, este servicio requiere permisos en el entorno Active Directory para crear objetos de lista de distribución Active Directory. Se recomienda configurar una unidad organizativa independiente en Active Directory para los objetos de SharePoint. Sólo esta unidad organizativa debería permitir el acceso de escritura a la cuenta usada por el servicio de administración de directorios de Microsoft SharePoint.
Servicios de Windows SharePoint Services
No deshabilite los servicios que instalados por Windows SharePoint Services 3.0. Los siguientes servicios están instalados en todos los servidores cliente web y de aplicaciones y aparecen en el complemento de servicios de Microsoft Management Console (MMC) (orden alfabético):
Administración de Windows SharePoint Services
Búsqueda de Windows SharePoint Services
Temporizador de Windows SharePoint Services
Seguimiento de Windows SharePoint Services
Escritor de VSS de Windows SharePoint Services
Si su entorno no permite servicios que se ejecutan como sistema local, puede considerar deshabilitar el servicio de administración de Windows SharePoint Services sólo si es consciente de las consecuencias y puede evitarlas. Este servicio es un servicio Win32 que se ejecuta como servicio local.
Este servicio es usado por el servicio de temporizador de Windows SharePoint Services para realizar acciones que requieren privilegios de administrador en el servidor, como crear sitios web IIS, implementar código y detener o iniciar servicios. Si deshabilita este servicio, no podrá ejecutar tareas relacionadas con la implementación desde el sitio de Administración central. Deberá usar la herramienta de línea de comandos Stsadm.exe y ejecutar el comando execadminsvcjobs para completar implementaciones multiservidor para Windows SharePoint Services 3.0 y para ejecutar otras tareas relacionadas con la implementación.
Cuentas y grupos
Las instantáneas seguras en las guías de seguridad de diseño y procedimientos proporcionan recomendaciones para proteger cuentas y grupos.
Para obtener recomendaciones sobre cómo planear cuentas, vea Planeación de cuentas de servicio y administrativas (Windows SharePoint Services).
Para recomendaciones sobre cómo planear las funciones de usuario y de administrador, vea Planeación de funciones de seguridad (Windows SharePoint Services).
Archivo Web.config
.NET Framework, y ASP.NET en particular, usa archivos de configuración con formato XML para configurar las aplicaciones. Para definir las opciones de configuración, .NET Framework emplea archivos de configuración, que son archivos XML basados en texto. En un mismo sistema pueden existir múltiples archivos de configuración, lo que ocurre a menudo.
En .NET Framework, los parámetros de configuración de todo el sistema están definidos en el archivo Machine.config. Este archivo se encuentra en la carpeta %raízDelSistema%\Microsoft.NET\Framework\%númeroDeVersión%\CONFIG\. La configuración predeterminada que se encuentra en el archivo Machine.config se puede modificar para modificar el comportamiento de las aplicaciones que usan .NET Framework en todo el sistema. Para obtener recomendaciones sobre cómo configurar archivos Machine.config, vea la documentación sobre la protección del servidor web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0xC0A) (en inglés).
Puede cambiar los parámetros de configuración de ASP.NET para una única aplicación si crea un archivo Web.config en la carpeta raíz de la aplicación. Al hacerlo, la configuración del archivo Web.config sobrescribe la configuración del archivo Machine.config.
Cuando extiende una aplicación web mediante el uso de la Administración central, Windows SharePoint Services 3.0 crea automáticamente un archivo Web.config para la aplicación web.
La sección Adiciones de instantáneas seguras más adelante en este artículo enumera recomendaciones para configurar los archivos Web.config. Estas recomendaciones se deben aplicar a cada archivo Web.config que se cree, incluido el archivo Web.config para el sitio de Administración central.
Para obtener más información sobre los archivos de configuración de ASP.NET y la modificación de un archivo Web.config, vea la configuración de ASP.NET (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0xC0A).
Adiciones de instantáneas seguras
En esta sección se muestran las adiciones para instantáneas en las guías de seguridad de diseño y procedimientos que se recomiendan para entornos de Windows SharePoint Services 3.0. Éstas se detallan en formato de tabla mediante las mismas categorías y el mismo orden que en las guías de seguridad de diseño y procedimientos.
El objetivo de este formato es facilitar la identificación y la implementación de recomendaciones específicas al tiempo que usa guías de seguridad de diseño y procedimientos. Salvo en contadas excepciones, estas recomendaciones para el endurecimiento de la seguridad están destinadas a ser aplicadas antes de ejecutar la configuración de Windows SharePoint Services 3.0.
Para obtener más información sobre la comunicación entre funciones de servidor específicas en una granja de servidores, vea Planeación del endurecimiento de la seguridad para entornos de extranet (Windows SharePoint Services).
Protección de las adiciones de instantánea de red
En la siguiente tabla se describen las recomendaciones para proteger sus adiciones de red.
| Componente | Excepción de característica |
|---|---|
Todo |
No hay recomendaciones adicionales |
Protección de las adiciones de instantáneas de servidor web
En la siguiente tabla se describen las recomendaciones para proteger sus adiciones de servidor web.
| Componente | Característica |
|---|---|
Servicios |
Habilite:
Asegúrese de que estos servicios permanecen habilitados tras ejecutar la configuración:
|
Protocolos |
Habilite:
Deshabilite:
|
Cuentas |
|
Archivos y directorios |
Si la integración de correo electrónico está habilitada y la característica servicio de administración de directorios está activada, restrinja el acceso al servicio de administración de directorios de Microsoft SharePoint mediante la protección del archivo asociado con este servicio: SharePointEmailws.asmx. Por ejemplo, permita el acceso a este archivo sólo a la cuenta de la granja de servidores. |
Recursos compartidos |
No hay recomendaciones adicionales |
Puertos |
|
Registro |
Si usa SSO, edite el registro para configurar RPC estática. |
Auditoría y registro |
Si los archivos de registro se reubican, asegúrese de que sus ubicaciones se actualicen para que coincidan. |
IIS |
Vea la orientación para IIS más adelante. |
Sitios y directorios virtuales |
No hay recomendaciones adicionales |
Asignaciones de scripts |
No hay recomendaciones adicionales |
Filtros ISAPI |
No hay recomendaciones adicionales |
Metabase IIS |
No hay recomendaciones adicionales |
.NET Framework |
Vea la orientación para .NET Framework más adelante. |
Machine.config: HttpForbiddenHandler |
No hay recomendaciones adicionales |
Machine.config: Remoting |
No hay recomendaciones adicionales |
Machine.config: Trace |
No hay recomendaciones adicionales |
Machine.config: compilation |
No hay recomendaciones adicionales |
Machine.config: customErrors |
No hay recomendaciones adicionales |
Machine.config: sessionState |
No hay recomendaciones adicionales |
Seguridad de acceso a código |
Asegúrese de que tiene un conjunto mínimo de permisos de seguridad de acceso a código habilitado para su aplicación web. (El elemento <trust> en el archivo Web.config de cada aplicación web debe establecerse en WSS_Minimal [donde WSS_Minimal tiene sus valores mínimos predeterminados como se definen en 12\config\wss_minimaltrust.config) o su propio archivo de directiva personalizado, que está establecido en el mínimo). |
LocalIntranet_Zone |
No hay recomendaciones adicionales |
Internet_Zone |
No hay recomendaciones adicionales |
Web.config |
Aplique las siguientes recomendaciones a cada archivo Web.config que se cree después de ejecutar la configuración:
|
Protección de adiciones de instantáneas de servidores de base de datos
En la siguiente tabla se describen las recomendaciones para proteger sus adiciones de servidor de base de datos.
| Componente | Excepción de característica |
|---|---|
Servicios |
No hay recomendaciones adicionales |
Protocolos |
No hay recomendaciones adicionales |
Cuentas |
Elimine manualmente y de forma periódica las cuentas que no se usen. |
Archivos y directorios |
No hay recomendaciones adicionales |
Recursos compartidos |
No hay recomendaciones adicionales |
Puertos |
|
Registro |
No hay recomendaciones adicionales |
Auditoría y registro |
No hay recomendaciones adicionales |
Configuración de SQL Server |
Vea la orientación de la configuración de SQL Server más adelante. |
Seguridad de SQL Server |
No hay recomendaciones adicionales |
Nombres de usuario, usuarios y funciones de SQL Server |
No hay recomendaciones adicionales |
Objetos de base de datos de SQL Server |
No hay recomendaciones adicionales |
Descarga de este libro
Este tema se incluye en el siguiente libro descargable para facilitar la lectura y la impresión:
Planeación y arquitectura para Windows SharePoint Services 3.0, parte 2 (en inglés)
Planeación de un entorno de Extranet para Windows SharePoint Services (en inglés)
Vea la lista completa de libros disponibles en la página de libros descargables para Windows SharePoint Services.