Planejar a segurança para um ambiente externo de acesso anônimo (Office SharePoint Server)
Atualizado em: 2009-04-23
Neste artigo:
Proteger servidores back-end
Configurar acesso anônimo
Proteger o site da Administração Central
Implantação de conteúdo seguro usando SSL
Desabilitar email de entrada
Usar modo de bloqueio
Lista de verificação de design seguro
Planejar configuração de segurança para funções de servidor
Planejar configurações de segurança para recursos do Office SharePoint Server
Uma das metas é a orientação em segurança para um ambiente de acesso anônimo externo, para permitir o acesso anônimo ao conteúdo, ao mesmo tempo protegendo os servidores de back-end no farm contra acesso direto do usuário ou ações mal-intencionadas direcionadas por servidores Web de front-end. Em um ambiente onde vários farms podem ser implantados para aceitar criação, preparo e publicação, a orientação para esse ambiente é voltada ao farm publicado (o farm acessado anonimamente pelos usuários).
Há várias recomendações especiais para um ambiente de acesso anônimo externo. Algumas delas podem não ser práticas para todas as soluções.
Proteger servidores back-end
Hospedar sites para uso anônimo requer servidores de Internet. Você pode limitar a exposição ao tráfego da Internet protegendo os servidores back-end, inclusive o servidor de indexação e outras funções de servidor de aplicativo e servidores que hospedam bancos de dados:
Protegendo servidores de banco de dados No mínimo, coloque um firewall entre os servidores Web front-end e os servidores que hospedam os bancos de dados. Alguns ambientes exigem que os servidores de banco de dados sejam hospedados em uma rede interna, em vez de diretamente em um ambiente de extranet.
Proteger servidores de aplicativo No mínimo, proteja servidores de aplicativo exigindo que o IPsec projeta a comunicação entre computadores do farm do servidor. Além disso, você pode colocar servidores de aplicativo atrás do firewall usado para proteger os servidores de bancos de dados. Você também pode introduzir um firewall adicional entre os servidores Web front-end e os servidores de aplicativo.
Proteger a função de índice O componente de índice comunica-se por meio de um servidor Web front-end para rastrear conteúdo em sites. Para proteger esse canal de comunicação, considere a configuração de um servidor Web front-end dedicado a ser usado por um ou mais servidores de índice. Isso isola a comunicação de rastreamento a um servidor Web front-end que não pode ser acessado por usuários. Adicionalmente, configure os Serviços de Informações da Internet (IIS) para restringir SiteData.asmx (o serviço SOAP rastreador) e permitir que somente o servidor de indexação (ou outros rastreadores) o acessem. O fornecimento de um servidor Web front-end dedicado ao rastreamento de conteúdo também aprimora o desempenho ao reduzir a carga nos principais servidores Web front-end, melhorando a experiência do usuário.
Configurar acesso anônimo
Para que o conteúdo esteja disponível para acesso anônimo, os seguintes itens precisam ser configurados:
O site ou conjunto de sites precisa(m) ser configurado(s) para permitir acesso anônimo.
Pelo menos uma zona no aplicativo Web precisa ser configurado para permitir acesso anônimo.
Habilite o acesso anônimo somente para aplicativos Web que exijam acesso não autenticado. Se desejar usar a autenticação para personalização, implemente a autenticação de formulários usando um simples provedor de autenticação de banco de dados.
Proteger o site da Administração Central
Como os usuários externos têm acesso à zona de rede, é importante proteger o site da Administração Central para bloquear o acesso externo e proteger o acesso interno:
Não hospede o site da Administração Central em um servidor Web front-end.
Bloqueie o acesso externo ao site da Administração Central. Isso pode ser feito colocando um firewall entre os servidores Web front-end e o servidor que hospeda o site da Administração Central.
Configure o site da Administração Central usando SSL. Isso garante que a comunicação da rede interna com o site da Administração Central esteja protegida.
Proteger a implantação do conteúdo
Se você não estiver usando o recurso de implantação de conteúdo, desabilite o farm de servidores para o recebimento de implantações de conteúdo (em Definições de Implantação de Conteúdo, selecione Rejeitar trabalhos de implantação de conteúdo de entrada). Esta é a definição padrão.
Se estiver usando recursos de implantação de conteúdo para implantar conteúdo de um farm de servidores em outro, assegure-se de que o site da Administração Central do farm de servidores de recebimento esteja configurado para usar SSL. Isso garantirá que a comunicação entre servidores relacionada à implantação de conteúdo entre os dois farms de servidores esteja protegida com o uso do SSL.
Além disso, para proteger as identidades dos autores, desabilite a configuração Implantar nomes de usuários ao configurar o caminho de implantação de conteúdo.
Desabilitar email de entrada
Não use a integração de emails para emails de entrada. Isso protege o ambiente contra riscos associados a emails enviados de fontes anônimas na Internet. Se você permitir emails de entrada, configure o site da Administração Central para que permita emails anônimos. Essa opção está disponível, mas não é muito segura.
Usar modo de bloqueio
O modo de bloqueio é um recurso que pode ser usado para proteger sites publicados. Quando o modo de bloqueio está ativado, as permissões restritas para o nível de permissão de acesso limitado são reduzidas. A tabela abaixo detalha as permissões padrão do nível de permissão de acesso limitado e as permissões reduzidas quando o modo de bloqueio está ativado.
| Permissão | Acesso limitado — padrão | Acesso limitado — modo de bloqueio |
|---|---|---|
Listar permissões: Exibir Páginas de Aplicativo |
● |
|
Permissões de site: Procurar Informações do Usuário |
● |
● |
Permissões do site: Usar Interfaces Remotas |
● |
|
Permissões do site: Usar Recursos de Integração do Cliente |
● |
● |
Permissões do site: Abrir |
● |
● |
O modo de bloqueio é aplicado aos sites nas seguintes situações:
A ferramenta de linha de comando Stsadm.exe é usada para ativar o modo de bloqueio.
O modelo do site do Portal de Publicação é aplicado ao conjunto de sites. Por padrão, o modo de bloqueio é ativado quando este modelo é aplicado.
Considere usar o modo de bloqueio em sites publicados se estes exigirem uma segurança maior. Além disso, se você aplicou o modelo de site do Portal de Publicação, determine se o modo de bloqueio é a configuração desejada para esses sites. Se não for, use a ferramenta de linha de comando Stsadm.exe para desativar o modo de bloqueio.
A tabela abaixo lista os comandos Stsadm relacionados ao uso do modo de bloqueio.
| Ação | Comando |
|---|---|
Ativar o modo de bloqueio para um conjunto de sites |
stsadm -o activatefeature -url <url do conjunto de sites> -filename ViewFormPagesLockDown\feature.xml |
Desativar o modo de bloqueio de um conjunto de sites |
stsadm -o deactivatefeature -url <url do conjunto de sites> -filename ViewFormPagesLockDown\feature.xml |
Lista de verificação de design seguro
Use esta lista de verificação de design junto com as listas de verificação em Revisar as listas de verificação de design de topologia segura (Office SharePoint Server).
Topologia
[ ] |
Proteja os servidores back-end colocando pelo menos um firewall entre os servidores Web front-end e os servidores de aplicativos e de banco de dados. |
[ ] |
Planeje um servidor Web front-end dedicado para rastreamento de conteúdo. Não inclua esse servidor Web front-end na rotação Web front-end para usuário final. |
Arquitetura lógica
[ ] |
Permitir o acesso anônimo somente para zonas de aplicativos Web que hospedam sites ou conjuntos de sites que estão configurados para permitir o acesso anônimo. Para obter mais informações, consulte Planejar métodos de autenticação (Office SharePoint Server). |
[ ] |
Usar SSL para proteger a implantação do conteúdo. |
[ ] |
Bloquear o acesso ao site da Administração Central e configurar SSL para o site. |
Planejar configuração de segurança para funções de servidor
A tabela a seguir descreve as recomendações de proteção adicionais para um ambiente de acesso anônimo externo.
| Componente | Recomendação |
|---|---|
Portas |
Bloqueie o acesso externo à porta do site da Administração Central. |
Protocolos |
|
IIS |
Se você estiver configurando um servidor Web de front-end dedicado para indexação, configure o IIS para restringir o SiteData.asmx (o serviço SOAP de rastreador) para permitir que somente o servidor de indexação (ou outros rastreadores) o acesse. |
Planejar configurações de segurança para recursos do Office SharePoint Server
A tabela abaixo descreve recomendações adicionais para proteger os recursos do Microsoft Office SharePoint Server 2007 em um ambiente de acesso anônimo externo.
| Recurso ou área | Recomendação |
|---|---|
Autenticação |
Especifique autenticação anônima no IIS. |
Implantação de conteúdo |
Se você não está usando o recurso de implantação de conteúdo, desabilite o recebimento de implantações de conteúdo no farm de servidores. Esta é a definição padrão. Se estiver usando o recurso de implantação de conteúdo, as seguintes configurações são recomendadas:
|
Integração de email |
Não habilite a integração de email para email de entrada. |
Cache de conteúdo de páginas que possuem conteúdo personalizado |
O cache de saída pode ser usado para otimizar o desempenho de sites que exibem algum conteúdo personalizado. Nesse cenário, a substituição pós-cache é usada para assegurar que o conteúdo personalizado seja atualizado para o usuário. Consequentemente, se a página inteira ou a maior parte dela incluir conteúdo personalizado, o uso do cache de saída oferecerá poucas vantagens. Se você estiver usando cache de saída em páginas que possuem conteúdo personalizado, leve em consideração as implicações de segurança resultantes da forma como ele é configurado. Se as seguintes condições forem verdadeiras, assegure-se de que os sites que exibem conteúdo personalizado suportem substituição pós-cache:
Neste cenário, todos os usuários anônimos veem conteúdo idêntico. O conteúdo que os usuários autenticados veem dependerá da exibição do conteúdo personalizado e do suporte para substituição pós-cache para este conteúdo:
|
InfoPath Forms Server |
Em um ambiente anônimo, desabilite o proxy do serviço da Web InfoPath Forms Services. Este serviço é executado como conta de serviço confiável e encaminha solicitações de serviços da Web usando a identidade da conta de serviço confiável. Em ambientes nos quais os formulários do InfoPath são acessados somente por usuários autenticados, o acesso a um sistema de dados back-end é protegido por autenticação. No entanto, se formulários do InfoPath subsequentes forem criados para uso por usuários anônimos e esses formulários acessarem o mesmo sistema de dados back-end, o sistema de dados back-end será configurado para confiar no proxy do serviço da Web e fornecer os dados solicitados. Neste caso, é possível que usuários anônimos acessem dados que geralmente estão disponíveis somente para usuários autenticados. Por padrão, o proxy do serviço da Web é desabilitado. Você gerencia esse serviço na Administração Central. Na guia Gerenciamento de Aplicativo, procure na categoria InfoPath Forms Services e clique em Gerenciar o proxy do serviço da Web. |
Baixar este manual
Para facilitar a leitura e a impressão, este tópico está incluído no seguinte manual que pode ser baixado:
Planejamento e arquitetura para o Office SharePoint Server 2007, parte 2
Planejamento de um ambiente de Extranet para o Office SharePoint Server (em inglês)
Consulte a lista completa de manuais disponíveis na página de download de conteúdo do Office SharePoint Server 2007.