Planifier des configurations sécurisées pour les fonctionnalités Windows SharePoint Services

  • Article

Mise à jour : 2009-04-16

Dans cet article :

  • Recommandations pour les fonctionnalités Windows SharePoint Services

Utilisez cet article pour trouver des recommandations sur la configuration et la gestion des fonctionnalités Windows SharePoint Services 3.0 de manière plus sécurisée. Vous effectuerez généralement les configurations recommandées dans l’Administration centrale, plutôt que dans le réseau, le système d’exploitation, les services Internet (IIS) ou Microsoft .NET Framework. Les recommandations de cet article sont appropriées pour les environnements de sécurité suivants :

  • Équipe ou service interne

  • Environnement informatique hébergé en interne

  • Collaboration sécurisée externe

  • Accès anonyme externe

Pour plus d’informations sur ces environnements, reportez-vous à la section Choisir votre environnement de sécurité (Windows SharePoint Services).

Recommandations pour les fonctionnalités Windows SharePoint Services

Le tableau ci-dessous décrit des recommandations qui vous aident à sécuriser les fonctionnalités Windows SharePoint Services 3.0.

Fonctionnalité ou domaine Recommandation

Authentification

  • N’utilisez pas d’ouverture de session automatique côté client lorsque vous utilisez le site Administration centrale.

  • Autorisez uniquement les ordinateurs serveurs Web frontaux à effectuer l’authentification des utilisateurs. Ne permettez pas aux comptes ou groupes d’utilisateurs finaux de s’authentifier auprès de l’ordinateur serveur de bases de données.

Autorisation

Affectez les autorisations à des groupes plutôt qu’à des comptes individuels.

Niveaux d’autorisation

Attribuez aux utilisateurs les autorisations minimales nécessaires pour effectuer leurs tâches.

Administration

Utilisez des autorisations d’accès pour sécuriser le site Administration centrale et autoriser les administrateurs à se connecter au site à distance (par opposition à l’activation du site Administration centrale pour une utilisation à partir de l’ordinateur local uniquement). Cela réduit la nécessité pour les administrateurs d’ouvrir une session localement sur l’ordinateur qui héberge l’Administration centrale. La configuration d’un accès de type Services Terminal Server à l’ordinateur crée un risque de sécurité plus élevé que le fait de laisser le site Web Administration centrale accessible à distance.

Intégration de la messagerie électronique

  • Configurez Windows SharePoint Services 3.0 de manière à accepter uniquement le courrier électronique qui a été relayé par le biais d’un serveur de messagerie dédié, tel que Microsoft Exchange Server, qui filtre les virus et le courrier publicitaire non sollicité et authentifie l’expéditeur du message électronique.

  • Lorsque vous configurez les paramètres de flux de travail, Windows SharePoint Services 3.0 vous permet d’autoriser les participants qui ne sont pas habilités à accéder à un document sur un site à recevoir le document en tant que pièce jointe. Dans un environnement sécurisé, ne sélectionnez pas l’option Voulez-vous autoriser les utilisateurs externes à participer au flux de travail en leur envoyant une copie de ce document ?. Dans Windows SharePoint Services 3.0, cette option n’est pas sélectionnée par défaut.

Stockage et sécurité des composants WebPart

  • Assurez-vous que vous déployez uniquement du code de confiance dans votre batterie de serveurs. Tout le code, le code XML ou le code ASP.NET que vous déployez doit émaner d’une source fiable, même si vous souhaitez renforcer la sécurité après le déploiement avec des mesures de protection complémentaires telles que la sécurité d’accès au code.

  • Vérifiez que la liste SafeControl dans le fichier web.config contient le jeu de contrôles et de composants WebPart que vous voulez vraiment autoriser.

  • Assurez-vous que les composants WebPart personnalisés que vous souhaitez renforcer avec des mesures de protection complémentaires sont installés dans le répertoire Bin de l’application Web (où une confiance partielle est activée), avec des autorisations spécifiques pour chaque assembly.

  • Supprimez le composant WebPart Éditeur de contenu de la liste SafeControl. Cela empêche les utilisateurs d’ajouter du code JavaScript dans la page en tant que composant WebPart et d’utiliser du code JavaScript hébergé sur des serveurs externes.

  • Assurez-vous que les membres appropriés de votre organisation bénéficient des niveaux d’autorisation Conception et Collaboration dans votre site. Un utilisateur bénéficiant du niveau d’autorisation Collaboration peut télécharger des pages Active Server Page Extension (ASPX) vers une bibliothèque et ajouter des composants WebPart. Les utilisateurs bénéficiant du niveau d’autorisation Conception, qui sont autorisés à ajouter des composants WebPart, peuvent modifier les pages, y compris la page d’accueil sur votre site (Default.aspx).

Recherche

  • Le compte de service de recherche Windows SharePoint Services ne doit pas être membre du groupe Administrateurs de batterie ; sinon, le service de recherche Windows SharePoint Services indexe les versions non publiées des documents.

  • Assurez-vous que les autres filtres IFilters et séparateurs de mots que vous déployez sont approuvés par votre équipe informatique.

  • Par défaut, le fichier d’index de la recherche est accessible uniquement aux membres du groupe Administrateurs de batterie. Assurez-vous que ce fichier n’est pas accessible aux utilisateurs qui n’appartiennent pas à ce groupe.

Télécharger ce livre

Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :

Consultez la liste des livres disponibles à l’adresse Livres à télécharger pour Windows SharePoint Services.