Share via

Pianificare configurazioni protette per le caratteristiche di Office SharePoint Server

  • Articolo

Contenuto dell'articolo:

  • Indicazioni relative alle caratteristiche di Office SharePoint Server

In questo articolo sono disponibili indicazioni relative alla configurazione e alla gestione sicure delle caratteristiche di Microsoft Office SharePoint Server 2007. Le configurazioni consigliate vengono in genere definite in Amministrazione centrale piuttosto che nella rete, nel sistema operativo, in Internet Information Services (IIS) o in Microsoft .NET Framework. Le indicazioni incluse in questo articolo sono adatte agli ambienti di protezione seguenti:

  • Team o reparto interno

  • Ambiente interno ospitato da IT

  • Collaborazione protetta esterna

  • Accesso anonimo esterno

Per ulteriori informazioni su questi ambienti, vedere Scegliere l'ambiente di protezione (Office SharePoint Server).

Indicazioni relative alle caratteristiche di Office SharePoint Server

Nella tabella seguente sono disponibili indicazioni sulla protezione relative alle caratteristiche di Microsoft Office SharePoint Server 2007.

Caratteristica o area Descrizione e indicazione

Autenticazione

  • Non utilizzare l'accesso automatico sul lato client quando si utilizza il sito Amministrazione centrale.

  • Consentire solo ai computer server Web front-end di eseguire l'autenticazione degli utenti. Non consentire ai gruppi o agli account di utenti finali di eseguire l'autenticazione a fronte del computer server database.

Autorizzazione

Assegnare le autorizzazioni ai gruppi anziché ai singoli account.

Livelli di autorizzazione

Assegnare agli utenti le autorizzazioni minime necessarie per effettuare le relative attività.

Amministrazione

Utilizzare le autorizzazioni di accesso per proteggere il sito Amministrazione centrale e consentire agli amministratori di connettersi al sito in modalità remota invece di impostare il sito Amministrazione centrale solo per l'utilizzo da computer locale. In questo modo per gli amministratori non è più tassativamente necessario connettersi in locale al computer che ospita Amministrazione centrale. Configurare l'accesso mediante Servizi terminal al computer rappresenta un rischio maggiore per la protezione che non lasciare il sito Web Amministrazione centrale disponibile per l'accesso remoto.

Integrazione della posta elettronica

  • Configurare Microsoft Office SharePoint Server 2007 per accettare solo la posta elettronica inoltrata tramite un server di posta dedicato, ad esempio Microsoft Exchange Server, in grado di filtrare virus o messaggi pubblicitari non desiderati nonché di autenticare i mittenti.

  • Per la configurazione delle impostazioni di flusso di lavoro, Microsoft Office SharePoint Server 2007 consente ai partecipanti che non dispongono di autorizzazioni di accesso a un documento su un sito di ricevere tale documento come allegato di posta elettronica. In un ambiente protetto, non selezionare l'opzione Consenti agli utenti esterni di partecipare al flusso di lavoro tramite l'invio di una copia del documento. In Microsoft Office SharePoint Server 2007 questa opzione non è selezionata per impostazione predefinita.

Archiviazione e protezione delle web part

  • Ricordarsi di distribuire nella server farm solo codice attendibile. Tutto il codice da distribuire, anche di tipo XML o ASP.NET, deve provenire da una fonte attendibile, anche se dopo la distribuzione si intende applicare un livello di protezione maggiore con misure di difesa in profondità, tra cui la protezione dell'accesso di codice.

  • Verificare che nell'elenco SafeControl all'interno del file Web.config sia presente l'insieme di controlli e di web part che si desidera consentire.

  • Verificare che le web part personalizzate a cui si intende applicare un maggiore livello di protezione mediante misure di difesa in profondità siano installate nella directory bin dell'applicazione Web, dove è attivata un'attendibilità parziale, con autorizzazioni specifiche per ogni assembly.

  • Considerare la possibilità di rimuovere la web part Editor contenuto dall'elenco SafeControl. In questo modo si impedisce agli utenti di aggiungere codice JavaScript nella pagina come web part e di utilizzare il codice JavaScript ospitato in server esterni.

  • Verificare che ai membri appropriati dell'organizzazione siano concessi i livelli di autorizzazione Progettazione e Collaborazione nel sito. Un utente con il livello di autorizzazione Collaborazione può caricare pagine ASPX (Active Server Page Extension) in una raccolta e aggiungere web part. Gli utenti con il livello di autorizzazione Progettazione, che sono autorizzati ad aggiungere web part, possono invece modificare le pagine, inclusa la home page del sito, ovvero Default.aspx.

Ricerca

  • L'account predefinito di accesso al contenuto non deve essere un membro del gruppo Amministratori farm. In caso contrario, nel servizio di ricerca di Office SharePoint Server verranno indicizzate versioni non pubblicate dei documenti.

  • Verificare che i filtri IFilter e i word breaker aggiuntivi da distribuire siano ritenuti attendibili dal team IT.

  • Per impostazione predefinita, il file dell'indice di ricerca è accessibile solo ai membri del gruppo Amministratori farm. Verificare che a tale file non possano accedere utenti che non appartengono a questo gruppo.

Profili utente

L'account di accesso al contenuto Profili utente e proprietà viene utilizzato per connettersi e importare i dati da un servizio directory. Se non si specificano le credenziali per questo account, verrà utilizzato invece l'account predefinito di accesso al contenuto. È possibile specificare un account diverso per ogni servizio directory. Per ottenere un ambiente più sicuro, utilizzare un account con accesso in lettura al servizio directory. Non consentire l'accesso al servizio directory all'account predefinito di accesso al contenuto. Per ulteriori informazioni, vedere Pianificare gli account amministrativi e di servizio (Office SharePoint Server).

Siti personali

  • Gli utenti che dispongono del livello di autorizzazione Lettura possono visualizzare tutti i siti personali. Per impostazione predefinita, a tutti gli utenti autenticati viene concesso il livello di autorizzazione Lettura. Per ottenere un ambiente più sicuro, concedere il livello di autorizzazione Lettura solo ai gruppi necessari. È possibile concedere il livello di autorizzazione Lettura a singoli gruppi nella sezione Gruppo del sito Lettore predefinito nella pagina Impostazioni siti personali nel sito Web Amministrazione servizi condivisi. Per specificare le operazioni che i membri di un gruppo possono eseguire, nella home page Amministrazione servizi condivisi fare clic sulle impostazioni Autorizzazioni servizi di personalizzazione, selezionare il gruppo di cui si desidera modificare le autorizzazioni e quindi fare clic su Modifica autorizzazioni utenti selezionati.

  • È possibile configurare i provider di servizi condivisi in modo che considerino attendibili altri provider di servizi condivisi in un ambiente. Ciò consente a ogni provider di determinare il provider di servizi condivisi a cui appartiene l'utente. Di conseguenza, quando un utente crea un sito personale, i provider di servizi condivisi attendibili possono determinare quale provider deve ospitare il sito personale, indipendentemente dal punto in cui l'utente si trova quando fa clic sul collegamento per creare il sito personale. Ciò consente di garantire che ogni utente disponga di un unico sito personale nell'organizzazione. Inoltre, quando gli utenti aggiungono collegamenti al proprio sito personale, i provider di servizi condivisi attendibili creano il collegamento dal contesto del provider dell'utente e non da quello del provider che l'utente sta attualmente esplorando. I provider di servizi condivisi attendibili garantiscono inoltre che i collegamenti non vengano aggiunti a percorsi non attendibili. Per ottenere un ambiente più sicuro, accertarsi che gli elenchi Posizioni attendibili host siti personali siano gestiti in modo uniforme tra tutti i provider di servizi condivisi. Se possibile, è consigliabile configurare gli elenchi allo stesso modo per tutti i provider di servizi condivisi.

Creazione siti in modalità self-service

È possibile utilizzare la pagina Gestione siti in modalità self-service per consentire agli utenti di creare e gestire automaticamente i propri siti Web principali. Quando si attiva Gestione siti in modalità self-service per un'applicazione Web, gli utenti possono creare i propri siti Web principali in un percorso specifico, per impostazione predefinita il percorso /sites. Se questa funzionalità è attiva, è visibile un annuncio nel sito principale nel percorso della directory principale dell'applicazione Web, in modo che gli utenti autorizzati siano informati che la funzione è disponibile.

L'opportunità di attivare la caratteristica di creazione di siti in modalità self-service dipende dall'ambiente in uso:

  • Ambiente Intranet   Attivare la creazione di siti in modalità self-service a seconda delle esigenze aziendali.

  • Ambiente di collaborazione protetto   Attivare la creazione di siti in modalità self-service solo per utenti e gruppi che hanno l'esigenza aziendale di utilizzare tale caratteristica.

  • Ambiente anonimo esterno   Non abilitare la creazione di siti in modalità self-service su Internet.

Directory siti

Alcuni modelli di sito includono una directory siti. Una directory siti è una pagina Web di collegamenti a siti approvati. Chiunque può richiedere l'inserimento di un sito nella directory siti. Solo gli amministratori della directory siti possono approvare e aggiungere i siti alla directory.

  • In un ambiente Intranet protetto, non approvare collegamenti a siti esterni al firewall aziendale.

  • Per impostazione predefinita, chiunque disponga del livello di autorizzazione Collaboratore può richiedere l'approvazione di siti. Ciò non è consigliabile per siti Intranet di grandi dimensioni e per siti pubblici. In tali casi, limitare il numero di utenti autorizzati a segnalare siti riducendo il numero di quelli a cui viene concesso il livello di autorizzazione Collaboratore o consentendo la segnalazione di siti ai soli amministratori delle directory siti.

Web part RSS

Per impostazione predefinita, la web part RSS può accedere solo a feed anonimi. Per consentire feed autenticati (ad esempio quelli del contenuto di siti di SharePoint), è necessario concedere ai server Web l'accesso ai server appropriati mediante la delega vincolata nel servizio directory Active Directory.

Memorizzazione di pagine con contenuto personalizzato nella cache dei contenuti

È possibile utilizzare la cache di output per ottimizzare le prestazioni dei siti che visualizzano contenuto personalizzato. In questo scenario, la sostituzione post-cache viene utilizzata per garantire che il contenuto personalizzato venga aggiornato per l'utente. Di conseguenza, se la pagina include solo o soprattutto contenuto personalizzato, le prestazioni non risulteranno sensibilmente migliori utilizzando la cache di output.

Se si intende attivare la cache di output nelle pagine con contenuto personalizzato, assicurarsi che i siti che visualizzano il contenuto personalizzato supportino la sostituzione post-cache nei casi in cui si verificano le condizioni seguenti:

  • Sia utenti anonimi che utenti autenticati accedono al contenuto.

  • La soluzione include siti con controlli che visualizzano contenuto personalizzato (per gli utenti autenticati).

In questo scenario, tutti gli utenti anonimi vedono contenuto identico. Il contenuto visualizzato dagli utenti autenticati dipende dalla visualizzazione del contenuto personalizzato e dal supporto della sostituzione post-cache:

  • Se la sostituzione post-cache è supportata per il contenuto personalizzato, gli utenti autenticati con le stesse autorizzazioni possono visualizzare solo i propri contenuti personalizzati.

  • Se la sostituzione post-cache non è supportata per il contenuto personalizzato, gli utenti con le stesse autorizzazioni possono inoltre visualizzare contenuti comuni identici. Se ad esempio il contenuto personalizzato viene prima memorizzato nella cache per l'utente A, tutti gli utenti successivi con le stesse autorizzazioni vedranno il contenuto personalizzato di A anziché il proprio.

Distribuzione del contenuto

Se non si utilizza la caratteristica di distribuzione del contenuto, non consentire alla server farm di accettare processi di distribuzione del contenuto in entrata da un'altra server farm. Per impostazione predefinita, questo tipo di processi viene rifiutato.

InfoPath Forms Server

  • Se attivato, il proxy del servizio Web InfoPath Forms Server deve essere eseguito con un account del pool di applicazioni univoco. Disattivare il proxy se non utilizzato.

  • Esaminare tutti i modelli di modulo contenenti codice prima del caricamento nel server. Per ulteriori informazioni, vedere Distribuire modelli di modulo approvati dall'amministratore (Office SharePoint Server).

  • In scenari solo browser, utilizzare gli elenchi di controllo di accesso (ACL) in Microsoft Office SharePoint Server 2007 per impedire il download di XSN da parte degli utenti.

  • Valutare con attenzione l'opportunità di abilitare i modelli di modulo per i browser.

  • Valutare con attenzione l'opportunità di consentire il rendering nel browser dei modelli di modulo utente.

  • Utilizzare le soglie configurabili per ridurre gli attacchi Denial Of Service. Le sessioni utente vengono terminate in base a soglie, tra cui:

    • Numero massimo di postback consentito per lo stato sessione del modulo.

    • Numero massimo di azioni consentite per postback.

    • Dimensione massima dello stato sessione del modulo.

    • Durata massima di una sessione di modulo.

  • Utilizzare con attenzione le caratteristiche dei moduli abilitati per i browser. Le caratteristiche indicate di seguito possono determinare un notevole aumento delle dimensioni del codice XML del modulo, con il conseguente aumento del rischio di attacchi Denial Of Service:

    • Firme digitali

    • Controllo file allegato

    • Controllo RTF

    • Query di connessione ai dati che possono restituire set di risultati di grandi dimensioni

Connessioni ai dati di InfoPath

  • Lasciare attivata l'opzione Approvazione contenuto nelle librerie di connessione dati e assicurarsi che solo gli utenti attendibili dispongano dei diritti di approvazione del contenuto.

  • Proteggere le informazioni di autenticazione sul lato server mediante l'attributo AltDataSource nel file di connessione dati universale (UDC) e assegnando agli utenti la sola autorizzazione di visualizzazione per il file UDC del server oppure impostando webAccessible su false nella libreria di connessioni gestite dall'amministratore (Gestisci file di connessione dati).

  • Esaminare e monitorare l'utilizzo di connessioni dati tra domini per assicurarsi che vengano scambiati solo i dati appropriati.

  • Per impostazione predefinita, i modelli di modulo utente di cui è stato eseguito il rendering in un browser non possono utilizzare l'autenticazione del lato server. In un ambiente protetto, limitare l'utilizzo dell'autenticazione lato server, ad esempio SSO (Single Sign-On) o l'autenticazione esplicita di nome utente e password.

  • Non utilizzare nomi utente e password espliciti nei file UDC ad eccezione di prototyping su un computer server di prova. Utilizzare invece SSO.

  • Non utilizzare le credenziali di SQL Server incorporate in una stringa di connessione al database. Utilizzare invece SSO.

  • Utilizzare il proxy del servizio Web solo con un servizio Web progettato per utilizzare il token UserNameToken per autorizzare l'accesso ai dati o per limitare il set di dati restituito.

  • Richiedere una connessione SSL (Secure Sockets Layer) per la connessione a origini dati che richiedono l'autenticazione di base o con digest, in quanto le credenziali vengono passate sulla rete in modo non protetto.

  • Non autenticare gli utenti in base ai dati immessi in un modulo dall'utente stesso. Utilizzare invece un metodo di autenticazione più sicuro.

Accesso ai dati di Servizi di calcolo Excel

Sono disponibili due modelli di accesso ai dati utilizzabili per qualsiasi topologia di server farm di Excel Services in Microsoft Office SharePoint Server 2007: il sottosistema trusted e la delega vincolata Kerberos.

  • Sottosistema trusted   È l'impostazione predefinita per le server farm Windows poiché non prevede i requisiti di configurazione aggiuntivi del modello con delega. Nel modello di sottosistema trusted, server Web front-end e server applicazioni che eseguono Servizi di calcolo Excel considerano attendibili gli account delle applicazioni di Microsoft Office SharePoint Server 2007 associate mediante il provider di servizi condivisi. In un ambiente di sottosistema trusted, all'apertura di file da Microsoft Office SharePoint Server 2007, è possibile eseguire il controllo delle autorizzazioni per i file in base alle identità degli utenti finali anche se l'autenticazione Kerberos non è configurata. Se nei server applicazioni Servizi di calcolo Excel vengono aperte cartelle di lavoro da cartelle condivise UNC o da siti Web HTTP, l'account utente non può essere rappresentato e deve essere utilizzato l'account del processo.

  • Delega vincolata Kerberos   La delega vincolata Kerberos rappresenta la configurazione preferenziale per la distribuzione di Excel Services. La delega vincolata Kerberos è la configurazione più sicura per la comunicazione tra server Web front-end e server applicazioni Servizi di calcolo Excel. La delega vincolata Kerberos è anche la configurazione che offre maggiore protezione per l'accesso alle origini dati back-end dai server applicazioni. Per le connessioni ai dati esterni, l'autenticazione integrata di Windows funziona solo se viene implementato il modello di delega.

Comunicazioni protette di Servizi di calcolo Excel

È possibile utilizzare Internet Protocol Security (IPSec) o SSL per crittografare la trasmissione dei dati tra i server applicazioni Excel Services, le origini dati, i computer client e i server Web front-end. Per richiedere la trasmissione dei dati crittografati tra i computer client e i server Web front-end, nel sito Web Amministrazione servizi condivisi, nella pagina Impostazioni Excel Services modificare l'impostazione Crittografia connessione da Non necessario a Necessario. Non necessario è l'impostazione predefinita. Se si imposta Crittografia connessione su Necessario, il server applicazioni Servizi di calcolo Excel consente solo la trasmissione dei dati tra computer client e server Web front-end tramite connessioni SSL.

Se si decide di impostare come necessaria la trasmissione dei dati crittografati, occorre configurare manualmente IPSec o SSL. È possibile richiedere connessioni crittografate tra i computer client e i server Web front-end e, allo stesso tempo, consentire connessioni non crittografate tra i server Web front-end e i server applicazioni Servizi di calcolo Excel.

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

Per un elenco completo dei manuali disponibili che è possibile scaricare per Office SharePoint Server 2007, vedere Downloadable content for Office SharePoint Server 2007 (informazioni in lingua inglese).