Planifier une administration avec des privilèges minimum dans SharePoint Server

  • Article

S’APPLIQUE À :oui-img-132013 oui-img-162016 oui-img-192019 oui-img-seÉdition d’abonnement no-img-sopSharePoint dans Microsoft 365

Le principe de l'administration de privilèges minimum consiste à attribuer aux utilisateurs les autorisations minimales nécessaires pour leur permettre d'effectuer des tâches autorisées. L'objectif est de configurer et de maintenir un contrôle sécurisé de l'environnement. Le résultat est que chaque compte sous lequel un service s’exécute n’a accès qu’aux ressources nécessaires.

Microsoft recommande de déployer SharePoint Server avec l’administration avec les privilèges minimum. L’implémentation de l’administration avec privilèges minimum peut entraîner des coûts opérationnels plus élevés, car d’autres ressources peuvent être nécessaires pour maintenir ce niveau d’administration. En outre, la possibilité de résoudre les problèmes de sécurité devient plus complexe.

Introduction

Les entreprises mettent en œuvre l’administration de privilèges minimum pour disposer d’un meilleur niveau de sécurité que celui généralement recommandé. Seul un petit pourcentage des organisations a besoin de ce niveau de sécurité accru en raison des coûts en ressources liés à la maintenance de l’administration avec les privilèges minimum. Ce niveau accru de sécurité est par exemple nécessaire pour les déploiements effectués par les agences gouvernementales, les organisations de sécurité et les organisations du secteur financier. L’implémentation d’un environnement avec les privilèges minimum ne doit pas être confondue avec les meilleures pratiques. Dans un environnement avec des privilèges minimum, les administrateurs implémentent les meilleures pratiques avec d’autres niveaux de sécurité renforcés.

Environnement basé sur les privilèges minimum pour les comptes et les services

Pour planifier l'administration de privilèges minimum, vous devez prendre en compte plusieurs comptes, rôles et services. Certains s'appliquent à SQL Server et d'autres à SharePoint Server. À mesure que les administrateurs verrouillent d’autres comptes et services, les coûts opérationnels quotidiens sont susceptibles d’augmenter.

Rôles SQL Server

Dans un environnement SharePoint Server, plusieurs comptes peuvent recevoir les deux rôles SQL Server de niveau serveur répertoriés ci-après. Dans un environnement SharePoint Server basé sur les privilèges minimum, nous vous recommandons de n'accorder ces privilèges qu'au compte avec lequel le service Minuteur de flux de travail Microsoft SharePoint Foundation est exécuté. En règle générale, le service Minuteur est exécuté avec le compte de la batterie de serveurs. Pour les opérations quotidiennes, nous vous recommandons de retirer les deux rôles SQL Server de niveau serveur répertoriés ci-après de tous les autres comptes utilisés pour l'administration de SharePoint :

  • Dbcreator : les membres du rôle serveur fixe dbcreator peuvent créer, modifier, supprimer et restaurer les bases de données.

  • Securityadmin : les membres du rôle serveur fixe securityadmin gèrent les connexions et leurs propriétés. Ils peuvent accorder (GRANT), refuser (DENY) et révoquer (REVOKE) des autorisations de niveau serveur. Ils peuvent également accorder, refuser et révoquer des autorisations au niveau de la base de données s'ils ont accès à une base de données. En outre, ils peuvent réinitialiser les mots de passe pour les connexions à SQL Server.

Remarque

La possibilité d’accorder l’accès au moteur de base de données et de configurer les autorisations des utilisateurs permet aux administrateurs ayant le rôle securityadmin d’attribuer la plupart des autorisations de serveur. Le rôle securityadmin doit être vu comme équivalent au rôle sysadmin.

Pour plus d’informations sur SQL Server rôles de niveau serveur, consultez Rôles de niveau serveur.

Si vous supprimez un ou plusieurs de ces rôles SQL Server, vous pouvez recevoir des messages de type « erreur inattendue » sur le site web Administration centrale. En outre, vous pouvez recevoir le message suivant dans le fichier journal ULS (Unified Logging Service) :

System.Data.SqlClient.SqlException... <autorisation de type> d’opération refusée dans la base de données de base de données<>. Table de table <>

En plus de l’affichage d’un message d’erreur, vous pouvez vous retrouver dans l’incapacité d’effectuer les tâches suivantes :

  • Restaurer la sauvegarde d'une batterie de serveurs, car vous ne pouvez pas écrire dans une base de données

  • Mettre en service une instance de service ou une application web

  • Configurer les comptes gérés

  • Modifier les comptes gérés pour des applications web

  • Effectuer quelque action que ce soit sur une base de données, un compte géré ou un service faisant appel au site web Administration centrale

Dans certaines situations, les administrateurs de base de données peuvent vouloir opérer indépendamment des administrateurs SharePoint Server, et créer et gérer toutes les bases de données. C'est couramment le cas dans les environnements informatiques où les exigences en matière de sécurité et les politiques d'entreprise requièrent une séparation des rôles d'administrateur. L'administrateur de la batterie de serveurs indique les besoins relatifs à la base de données SharePoint Server à l'administrateur de base de données, qui crée ensuite les bases de données nécessaires et configure les connexions pour la batterie de serveurs.

Par défaut, l'administrateur de base de données dispose d'un accès complet à l'instance SQL Server, mais il a besoin d'autorisations supplémentaires pour accéder à SharePoint Server. Les administrateurs de base de données utilisent généralement Windows PowerShell 3.0 pour ajouter, créer, déplacer ou renommer les bases de données SharePoint et doivent donc être membres des comptes suivants :

  • Rôle serveur fixe Securityadmin sur l’instance SQL Server.

  • Rôle de base de données fixe db_owner sur toutes les bases de données de la batterie de serveurs SharePoint.

  • Groupe Administrateurs sur l'ordinateur sur lequel ils exécutent les applets de commande PowerShell.

En outre, il se peut que l'administrateur de base de données doive être membre du rôle SharePoint_Shell_Access pour accéder à la base de données de contenu SharePoint. Dans certains cas, il peut être conseillé pour l'administrateur de base de données d'ajouter le compte d'utilisateur d'installation au rôle db_owner.

Services et rôles SharePoint Server

De manière générale, vous devez supprimer l'autorisation de créer des bases de données aux comptes de service SharePoint Server. Aucun compte de service SharePoint Server ne doit avoir le rôle sysadmin sur le SQL Server instance et aucun compte de service SharePoint Server ne doit être administrateur local sur le serveur qui exécute SQL Server.

Pour plus d’informations sur les comptes SharePoint Server, reportez-vous à l’article Autorisations de compte et paramètres de sécurité dans SharePoint Server 2016.

Pour en savoir plus sur les comptes dans SharePoint Server 2013, consultez l'article Autorisations de compte et paramètres de sécurité dans SharePoint 2013.

La liste suivante fournit des informations sur le verrouillage des autres rôles et services SharePoint Server :

  • Rôle SharePoint_Shell_Access

    La suppression de ce rôle SQL Server enlève la possibilité d'écrire des entrées dans la base de données de configuration et de contenu, ainsi que la capacité à effectuer des tâches à l'aide de Microsoft PowerShell. Pour plus d’informations sur ce rôle, consultez Add-SPShellAdmin.

  • Service du minuteur SharePoint (SPTimerV4)

    Nous vous recommandons de ne pas limiter les autorisations par défaut accordées au compte sous lequel ce service s’exécute et de ne jamais désactiver ce compte. Au lieu de cela, utilisez un compte d’utilisateur sécurisé, pour lequel le mot de passe n’est pas largement connu, et laissez le service en cours d’exécution. Par défaut, ce service est installé lorsque vous installez SharePoint Server et il conserve les informations de cache de configuration. Si vous désactivez ce type de service, vous pouvez rencontrer les problèmes suivants :

    • Les travaux du minuteur ne seront pas exécutés

    • Les règles de l'analyseur d'intégrité ne seront pas exécutées.

    • La configuration de la batterie de serveurs et de la maintenance ne sera plus à jour.

  • Service d'administration SharePoint (SPAdminV4)

    Ce service effectue des changements automatiques requérant des droits d'administrateur local sur le serveur. Lorsque le service n’est pas en cours d’exécution, vous devez traiter manuellement les modifications administratives au niveau du serveur. Nous vous recommandons de ne pas limiter les autorisations par défaut accordées au compte sous lequel ce service s’exécute et de ne jamais désactiver ce compte. Au lieu de cela, utilisez un compte d’utilisateur sécurisé, pour lequel le mot de passe n’est pas largement connu, et laissez le service en cours d’exécution. Si vous désactivez ce type de service, vous pouvez rencontrer les problèmes suivants :

    • Les travaux du minuteur d'administration ne seront pas exécutés.

    • Les fichiers de configuration web ne seront pas mis à jour.

    • Les groupes de sécurité et les groupes locaux ne seront pas mis à jour.

    • Les valeurs et les clés de Registre ne seront pas écrites.

    • Il peut être impossible de démarrer ou de redémarrer certains services.

    • La mise en service des services peut ne pas réussir à se terminer.

  • Service SPUserCodeV4

    Ce service permet à un administrateur de collection de sites de charger une solution en bac à sable dans la galerie solutions. Si vous n'utilisez pas les solutions en mode bac à sable, vous pouvez désactiver ce service.

  • Service d'émission de jetons Revendications vers Windows (C2WTS)

    Par défaut, ce service est désactivé. Le service C2WTS peut être nécessaire pour un déploiement avec des services partagés Excel Services, PerformancePoint Services ou SharePoint qui doivent être traduits entre des jetons de sécurité SharePoint et des identités Windows. Par exemple, vous utilisez ce service pour configurer une délégation Kerberos contrainte afin d'accéder à des sources de données externes. Pour plus d'informations sur C2WTS, voir Planifier l'authentification Kerberos dans SharePoint Server.

Les fonctionnalités suivantes peuvent présenter des symptômes supplémentaires dans certaines circonstances :

  • Sauvegarde et restauration

    Les restaurations à partir d’une sauvegarde peuvent échouer si vous avez supprimé les autorisations d’accès aux bases de données.

  • Mise à niveau

    Le processus de mise à niveau démarre correctement, mais échoue si vous ne disposez pas des autorisations appropriées pour les bases de données. Si votre entreprise utilise déjà un environnement basé sur les privilèges minimum, la solution consiste à passer à un environnement basé sur les meilleures pratiques pour terminer la mise à niveau, puis à revenir à l'environnement basé sur les privilèges minimum.

  • Mettre à jour

    La possibilité d’appliquer une mise à jour logicielle à une batterie de serveurs réussit pour le schéma de la base de données de configuration, mais échoue sur la base de données de contenu et les services.

Éléments supplémentaires à prendre en compte dans le cas d’un environnement basé sur les privilèges minimum

Outre les considérations précédentes, vous devrez prendre en compte d’autres opérations. La liste suivante est incomplète. Sélectionnez les éléments à utiliser en fonction de vos besoins :

  • Compte d'utilisateur d'installation : ce compte est utilisé pour configurer chaque serveur d'une batterie. Il doit être membre du groupe Administrateurs sur chaque serveur de la batterie SharePoint Server. Pour plus d'informations sur ce compte, voir Comptes d'administration et de service de déploiement initial dans SharePoint Server.

    Lorsque vous générez une nouvelle batterie de serveurs SharePoint et que la build basée a la cu d’octobre 2022 ou un nouveau glissé dans le processus de génération, vous utilisez le modèle de sécurité le moins privilégié. Une fois psconfig terminé sur le premier serveur de la batterie de serveurs, avant d’exécuter l’Assistant Configuration de batterie ou de provisionner d’autres composants, les commandes suivantes doivent être exécutées pour garantir l’accès aux bases de données SharePoint :

    Get-SPDatabase | %{$_.GrantOwnerAccessToDatabaseAccount()}

  • Compte de synchronisation : pour SharePoint Server, ce compte est utilisé pour se connecter au service d’annuaire. Nous vous recommandons de ne pas limiter les autorisations par défaut accordées au compte sous lequel ce service s’exécute et de ne jamais désactiver ce compte. Au lieu de cela, utilisez un compte d’utilisateur sécurisé, pour lequel le mot de passe n’est pas largement connu, et laissez le service en cours d’exécution. Ce compte nécessite également l’autorisation Répliquer les modifications d’annuaire sur AD DS, ce qui permet au compte de lire les objets AD DS et de découvrir les objets AD DS qui ont été modifiés dans le domaine. L’autorisation Accorder la réplication des modifications d’annuaire ne permet pas à un compte de créer, de modifier ou de supprimer des objets AD DS.

  • Compte de pool d'applications d'hôte de sites Mon site : il s'agit du compte avec lequel le pool d'applications de Mon site est exécuté. Pour configurer ce compte, vous devez être membre du groupe Administrateurs de batterie. Vous pouvez limiter les privilèges de ce compte.

  • Groupe d'utilisateurs prédéfini : la suppression du groupe d'utilisateurs de sécurité prédéfini ou la modification des autorisations peuvent avoir des conséquences imprévues. Nous vous recommandons de ne pas limiter les privilèges aux comptes ou groupes intégrés.

  • Autorisations de groupes : par défaut, le groupe SharePoint WSS_ADMIN_WPG a accès en lecture et en écriture aux ressources locales. Les emplacements de système de fichiers WSS_ADMIN_WPG suivants : %WINDIR%\System32\drivers\etc\Hosts et %WINDIR%\Tasks sont nécessaires pour que SharePoint Server fonctionne correctement. Si d'autres services ou applications sont exécutés sur un serveur, vous devrez peut-être tenir compte de la façon dont ils accèdent à l'emplacement des dossiers Tâches ou Hôtes. Pour plus d'informations sur les paramètres de compte pour SharePoint Server, voir Autorisations de compte et paramètres de sécurité dans SharePoint Server 2016.

    Pour plus d’informations sur les comptes dans SharePoint Server 2013, reportez-vous à l’article Autorisations de compte et paramètres de sécurité dans SharePoint Server 2013.

  • Modifier les autorisations d'un service : modifier une autorisation pour un service peut avoir des conséquences imprévues. Par exemple, si la clé de Registre HKLM\SYSTEM\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters a la valeur 0, le service User Code Host sera désactivé, ce qui entraînera l'arrêt du fonctionnement des solutions en mode bac à sable.

Voir aussi

Autres ressources

Configuration de privilèges minimum pour le gestionnaire de workflow avec SharePoint 2013