Examiner les listes de vérification pour une conception sécurisée de la topologie (Windows SharePoint Services)

  • Article

Mise à jour : 2009-04-16

Dans cet article :

  • Liste de vérification pour une conception sécurisée de la topologie des serveurs

  • Liste de vérification pour une conception sécurisée de la topologie du réseau

  • Liste de vérification pour une conception sécurisée de l’architecture logique

  • Liste de vérification pour une conception sécurisée du système d’exploitation

Dans Windows SharePoint Services 3.0, la réussite du renforcement de la protection des serveurs dépend de leur topologie et de l’architecture logique conçues pour obtenir une isolation et une communication sécurisée déterminées.

Les articles précédents sur la planification traitent de la topologie et de l’architecture logique en profondeur. Cet article fournit des listes de vérification que vous pouvez utiliser afin que vos plans répondent aux critères d’une conception sécurisée.

Utilisez les listes de vérification pour une conception sécurisée de la topologie avec les environnements de sécurité suivants :

  • Environnement informatique hébergé en interne

  • Collaboration sécurisée externe

  • Accès anonyme externe

Liste de vérification pour une conception sécurisée de la topologie des serveurs

Examinez la liste de vérification suivante pour vous assurer que vos plans répondent aux critères d’une conception de topologie de serveur sécurisée.

[ ]

La topologie comprend des serveurs Web frontaux dédiés.

[ ]

Les serveurs qui hébergent le rôle de recherche et le rôle de serveur de base de données Windows SharePoint Services sont protégés contre l’accès direct des utilisateurs.

[ ]

Le site Administration centrale de SharePoint est hébergé sur le même serveur que le rôle de recherche Windows SharePoint Services.

Liste de vérification pour une conception sécurisée de la topologie du réseau

Examinez la liste de vérification suivante pour vous assurer que vos plans répondent aux critères d’une conception de topologie de réseau sécurisée.

[ ]

Tous les serveurs de la batterie résident dans un centre de données unique et sur le même réseau local virtuel.

[ ]

L’accès est autorisé par le biais d’un seul point d’entrée, en l’occurrence un pare-feu.

[ ]

Pour un environnement plus sécurisé, la batterie de serveurs est divisée en trois niveaux (Web frontal, recherche et base de données), qui sont séparés par des routeurs ou des pare-feu à chaque limite réseau local virtuel.

Liste de vérification pour une conception sécurisée de l’architecture logique

Examinez la liste de vérification suivante pour vous assurer que vos plans répondent aux critères d’une conception d'architecture logique sécurisée.

[ ]

Au moins une zone dans chaque application Web utilise l’authentification NTLM. Cela est indispensable pour que le compte de recherche puisse analyser le contenu dans l’application Web. Pour plus d’informations, voir Planifier des méthodes d’authentification (Windows SharePoint Services).

[ ]

Les applications Web sont implémentées à l’aide des noms d’hôtes au lieu des numéros de port générés aléatoirement qui sont affectés automatiquement. N’utilisez pas de liaisons d’en-tête d’hôte IIS si l’application Web doit héberger des collections de sites basées sur l’en-tête de l’hôte.

[ ]

Envisagez d’utiliser des applications Web distinctes dans les circonstances suivantes :

  • Votre stratégie d’entreprise requiert l’isolation des processus pour le contenu et les applications.

  • Vous implémentez des sites qui s’intègrent à des sources de données externes dont le contenu qu’elles fournissent est sensible ou exige une sécurité renforcée.

[ ]

Dans un environnement de proxy inverse, envisagez d’utiliser le port par défaut pour le réseau destiné au public et de recourir à un autre port sur votre réseau interne. Cela peut aider à prévenir les attaques de port simples sur votre réseau interne qui partent de l’hypothèse que le protocole HTTP figure systématiquement sur le port 80.

[ ]

Lors du déploiement de composants WebPart personnalisés, seuls les composants WebPart dignes de confiance sont déployés dans les applications Web qui hébergent du contenu sensible ou sécurisé. Cela protège le contenu sensible des attaques par script à l’intérieur d’un domaine.

[ ]

Des comptes de pool d’applications distincts sont utilisés pour l’Administration centrale et pour chaque application Web unique.

Liste de vérification pour une conception sécurisée du système d’exploitation

Examinez la liste de vérification suivante pour vous assurer que vos plans répondent aux critères d’une conception de système d’exploitation sécurisée.

[ ]

Le système d’exploitation serveur est configuré pour utiliser le système de fichiers NTFS.

[ ]

Les horloges sur tous les serveurs de la batterie sont synchronisées.