SharePoint изнутри Усилена безопасность SharePoint
Пав Черны (Pav Cherny)
Cодержание
Зависимости безопасности в среде SharePoint
Включение защиты сетевого доступа
Установление изоляция домена
Изоляция реализации сервера (и рабочей станции)
Заключение.
Усиление безопасности SharePoint требует комплексного подхода к полному спектру зависимостей безопасности и рисков внутри узлов ферм и между ними. В конкретной, Последние нововведения и технологиях изначально с XML (веб-службы), такие как защита доступа К сети (NAP) с принудительного применения безопасности протокола IP (IPsec) может помочь повысить уровень безопасности SharePoint. Еще подробные рекомендации Майкрософт в укрепление безопасности SharePoint a XML (веб-службы) среды трудно найти. XML (веб-службы) ресурсов центра для SharePoint и технологии не включает руководство по безопасности. Кроме того, руководства усиления защиты безопасности для Windows SharePoint Services (WSS) 3.0 и Microsoft Office SharePoint Server (MOSS) 2007 по-прежнему основаны на шаблоны Microsoft и рекомендации, датированных 2003 Г. и частично обновлено в январе 2006 г. — которого был по-прежнему велик до выпуска XML (веб-службы) и информации службы Интернета (IIS) 7.0, в любом случае.
Очевидно измененные правила очень просрочены и просто не потому, что у нас есть время с момента перемещена на Windows 2000 и SQL Server 2000, IIS 5.0 .NET Framework 1.1, но поскольку старый способов работе с усиления защиты безопасности времени и снова доказано недостаточно. Это просто не достаточно для защиты фермы SharePoint как остров изолированного сервера, как если фермах SharePoint существуют в вакууме. На самом деле является этапом усиление не одной безопасности безопасности SharePoint ферме имеет значение, если леса Active Directory является небезопасным, если в среде интрасети infested с шпионское по и rootkit или если пользователи случайно или злонамеренно нарушают политик безопасности, например, загрузка и установка программного обеспечения доступа к файлам из сомнительных источников.
Возможно, для решения этих проблем с помощью XML (веб-службы) технологии. Это ключ для достижения высокого уровня безопасности в среде SharePoint на комплексные, от клиентских компьютеров всего до серверов баз данных.
В этой статье обсуждаются аспекты безопасности SharePoint в среде интрасети, основываясь на Windows Server 2008. Это обсуждение включает анализ общие зависимости безопасности SharePoint превышает предел отдельных фермы и развертывание NAP с принудительной защиты IPsec с помощью соответствующих правил безопасности и изоляции для снижения рисков. Для администраторов SharePoint очевидным преимущество NAP состоит, можно остановить неуправляемого клиентских компьютеров к ресурсам SharePoint и загружать документы. Другой, возможно менее очевидна, преимущество имеет интрасети можно разделить на отдельных логических сетей через изоляции домена и сервера. Таким образом можно защитить входящие и исходящие соединения клиент сервер и сервер сервер и также ограничить трафика нужные серверы переднего плана. Предполагается, до 30 процентов узлов SharePoint компании находятся на фермах случайной отделов, inadequately защищены и из отдела ИНФОРМАЦИОННЫХ технологий управления, не overemphasized преимущества ограничение клиентского трафика. Как всегда сопровождающем материале включает листы с пошаговые инструкции для следующих моим объяснениям в тестовой среде.
Зависимости безопасности в среде SharePoint
Учитывая сложность решения на основе SharePoint, само объем данных, хранящихся в веб-узлы SharePoint и часто противоречащие безопасности и требования к производительности в рамках предприятия может быть трудно определить, как и где начало работы с усиления защиты безопасности SharePoint. Возможно первым шагом является отставка понятие удерживаются long, понятное средах, достаточно защищенный через брандмауэры периметра и антивирусные программы, нашей интрасети. Брандмауэры и сканеры не блокируют злоумышленникам присоединение keylogger оборудования PS2 или USB на клиентском компьютере — драйверы, не требуется. Их также не будет препятствовать rootkit нулевого дня превращение мобильных компьютеров в zombies, когда они подключены дома, inadequately защищенной среде в гостиницах и аэропортах или на узлы клиента. Может показаться суровые но распределение внутреннего среде как hostile помогает в условия распознавание зависимостей критической безопасности внутри и между фермах SharePoint.
Давайте посмотрим, какие критических проблем мы обнаружения в простой тестовой лаборатории, например, один на рис. 1 и описанные в сопровождающем листа «Развертывание тестовой среде С несколькими SharePoint ферм и сервер политики сети.» Эта среда SharePoint не безопасности. На самом деле лист развертывания нарушает некоторые советы и рекомендации безопасности и игнорирует важных зависимостей. Обычно выдается размещения, предполагается, что нет требований безопасности в лаборатории тестирования. Конечно, имеется может выполнено хуже по установке SharePoint на контроллере домена или предоставление безопасности учетных записей разрешения администратора, но эти ошибки преднамеренные конфигурации не необходимо. С точки зрения безопасности моей тестовой среды уже достаточно плохой.
Рисунок 1 Ненадежное крепление испытаний среде с несколькими SharePoint ферм
Новичкам следует иметь в виду использовании учетной записи администратора домена для входа на серверы и рабочие станции и установить все систем во время подключения к Интернету. Это рискованно. Лучше избегать входа на компьютер с небезопасные, используя учетную запись администратора домена. Аналогично это рекомендуется для установки и обновления компьютеров в отдельный, безопасные промежуточной среде до развертывания. Пакет автоматической установки Windows (AIK) и службы развертывания Windows (WDS) предлагают хорошим решением, но я не воспользоваться преимуществами этих технологий в моей лаборатории тестирования в целях сложности. Поскольку я использовал ярлыки моей среды уже может быть нарушена — и с его Мой фермах SharePoint. Игра закончится перед даже запуска! Фермы SharePoint не может быть более безопасен, чем его среды.
Учетные записи администратора домена — это действительно очень важные учетные записи. Вы также важные области при доступе к ресурсам SharePoint, таким как узла центра администрирования SharePoint 3.0 и коллекций веб-узла SharePoint. Доступ к узлу SharePoint предполагает выполнение XML (веб-службы) код под удостоверением текущего пользователя на сервере переднего плана. Если текущий пользователь происходит быть администратором домена, код выполняется с правами администратора. Поскольку она позволяет воспользоваться их повышенными правами, такие как извлечение учетных записей безопасности и пароли, как описано в столбце «Январь 2009 г., следует запретить Администраторы домена и локального сервера администраторам доступ к приложениям SharePoint. Если злоумышленник может обманным администратор SharePoint развертывании вредоносный компонента или Включение встроенного кода ASP.NET, злоумышленник может также иметь возможность определить пароли учетных записей безопасности и впоследствии получить доступ ко всем узлам все ферм, использующих эти учетные записи.
В моей лаборатории тестирования я игнорируются эти зависимости учетной записи безопасности и администрирования риски, настроен XML (веб-службы) фермы и КАДРОВ фермы же учетных записей безопасности и использованы учетной записи администратора домена для работы с центра администрирования SharePoint 3.0 в обоих фермах. Совместное использование учетных записей безопасности между фермами является плохая идея, особенно если они имеют требования безопасности. Ферма, использует ее учетные записи зависит от других ферме для обеспечения безопасности — и таким образом никогда не может достичь более высокий уровень безопасности, чем в ферме.
Использование учетных записей безопасности отдельных важные рекомендации, но опасном фермы по-прежнему может предоставить д.12 для атак на других фермах той же среде Active Directory. Например он не принимать усилий для включения скомпрометированный сервер SharePoint в платформу внутреннего фишинга. Злоумышленник может включить обычную проверку подлинности или получить злонамеренный компонент в установленных фермы SharePoint, отправляющий «WWW-Authenticate»Заголовок для пользователей и перехватывает возвращаемый учетные данные в виде обычного текста, как показано в на рис 2. Поскольку пользователи доверять свои внутренние узлы SharePoint, вероятно, введет запрошенные учетные данные без hesitation — и успешной атаки.
Рисунок 2 опасном ферме SharePoint можно включить атак на других фермах.
Конечно трудно нарушить правильно сохраняется сервера SharePoint, но это не точку. Точка препятствует распространение важных систем с более высокого уровня безопасности нарушения безопасности в системах, не сохраняется правильно. Таким образом по крайней мере для наиболее важные ресурсов SharePoint, таких как фермы КАДРОВ с сведений частного характера, необходимо учитывать этих зависимостей доступ по сути означает что фермы SharePoint может быть только так безопасна, как узлы защиты как минимум, администраторы фермы, Администраторы семейства узлов и пользователи узла можно получить доступ с помощью своих учетных.
Не забудьте включить клиентские компьютеры в анализа доступа и использования зависимостей. Снова моей тестовой среды задает в качестве примера низкой потому, что любой пользователь, можно использовать любой рабочей станции для доступа к любому ресурсу, и компьютеров не оснащены антивирусные или последние исправления безопасности. Представьте себе пользователя с правами администратора коллекции веб-узла или фермы вход в систему локально infested шпионских клиентский компьютер или на компьютере в разблокирован офиса, где злоумышленник легко можно присоединить keylogger оборудования. Ферм и семейств компрометации сразу же злоумышленник получает доступ к учетной записи администратора и пароль на любом компьютере в любом месте. Общий доступ к файлам программное обеспечение на клиентских компьютерах также представляет угрозу безопасности, как клиентские компьютеры имеют тенденцию хранения содержимого из узлов SharePoint, локально, вручную или автоматически загрузить эту информацию в временные файлы. Следовательно фермы SharePoint не может быть более безопасен, чем клиентские компьютеры, служащие для доступа к ресурсам в ферме.
Конечно имеются дополнительные слабые места в моей тестовой среде. Я пригласить изучить соответствующие разделы руководств усиления защиты безопасности SharePoint и продолжать этой рецензии. Должен распознать по меньшей мере несколько дополнительных проблем, таких как веб-узлы центра администрирования SharePoint 3.0 и поиска ролей размещаются непосредственно на серверах переднего плана, содержимое узла, это не антивирусного решения на серверах службы, что ферме WSS и фермы КАДРОВ используют общие и незащищенных базы данных сервера, что все компьютеры в тестовой среде, имеют прямой доступ к серверу базы данных и что происходит сетевой связи в виде обычного текста. Нет такого желательно, поэтому давайте некоторые из этих проблем безопасности.
Включение защиты сетевого доступа
Существуют многие действия для повышения безопасности в среде SharePoint, такие как контроля физического доступа к компьютерам и списки сети, настройка vLANs и управление доступом (ACL) для маршрутизаторов и защита серверов инфраструктуры (DNS серверы, DHCP серверов, контроллеров домена и так далее) через развертывания Microsoft Forefront Security для SharePoint и службы Active Directory права к управления (AD RMS). Физический доступ элементов управления и основных конфигураций сети и маршрутизатора TCP/IP выходит за рамки этого столбца и AD RMS описан в предыдущих статьях, таким образом, оставляет нам с NAP, IPsec, HTTP через SSL (Secure Sockets LAYER) и Forefront Security как следующего логические разделы. В этом столбце уделяется NAP и IPsec. HTTP через SSL и Forefront Security будет устранена в будущих столбцов.
NAP с помощью IPsec предлагает по меньшей мере три ключевых преимущества внутренняя среда SharePoint:
- Можно применять политики работоспособности системы и автоматически устранить проблемы соответствия на клиентских компьютерах под управлением Windows XP с пакетом обновления 3 и Windows Vista;
- Можно реализовать дополнительный уровень безопасности сети через IPsec и брандмауэра через весь лес Active Directory;
- Можно установить зашифрованный коммуникационных каналов через (ESP) в ферме SharePoint и между серверами и клиентскими компьютерами.
Премия является способность управлять сетевой связи централизованно через групповую политику и аудита доступа к сети. Короче говоря NAP с помощью IPsec является важным включения стратегии эффективных шифрование на всем безопасности для SharePoint.
По сути NAP с помощью IPsec зависит от механизма сложную распространения сертификатов X.509. На клиентском компьютере агенты работоспособности системы (SHA) информировать агент NAP о состоянии соответствия по документам инструкции о работоспособности (SoH), который объединяет агент NAP в операторе системной работоспособности (SSoH). Он передает SSoH агент безопасности IPsec доступа к сети (NAP EC) на клиентском компьютере, в свою очередь передает SSoH серверу принудительного применения NAP (NAP ES). Это работоспособности центра регистрации (HRA), получает сертификаты работоспособности системы от центра сертификации (ЦС) для совместимых компьютеров. на рис. 3 показано, как клиент NAP получает сертификат работоспособности.
Рисунок 3 НПД клиент серверной сообщении информацию о здоровье Exchange и сертификаты
Чтобы определить совместимые запрашивающему компьютеру, NAP ES передает SSoH в сообщении RADIUS для сервера сетевой политики (NPS). NPS снова передает SSoH сервера администрирования NAP, который в свою очередь извлекает отдельные SoH от SSoH и пересылает их средства соответствующие проверки работоспособности системы (SHV). SHV анализировать информацию SoH и возвращают ответ инструкции работоспособности (SoHR), который NPS объединяет в системы инструкции из состояния ответа (SSoHR), системы NAP затем передает SHA на клиентском компьютере. Через SoH и SoHRs SHV взаимодействовать с соответствующих аналогов SHA. Например SoHR от антивирусного SHV может проинструктировать соответствующее антивирусное SHA загрузить последнюю версию файла сигнатур с сервера исправления для возвращения на клиентском компьютере в соответствие.
На стороне сервера также сравнивает SoHRs настроенных политик сети и работоспособности NAP и выдает сертификат работоспособности системы, если компьютер клиента является совместимым. Клиент NAP получает сертификат от NAP ES и сохраняет его в хранилище сертификатов компьютера. Сертификат теперь доступна для согласования (IKE) для установления сопоставлений безопасности IPsec с партнерами доверенных соединений. Клиент NAP обновляет сертификат работоспособности системы при истекает, или когда SHA указывает на изменение состояния работоспособности агент NAP. В нижней строке является совместимым компьютеры получают сертификат работоспособности и не соответствующих требованиям компьютеры не. Глубокие технические сведения я настоятельно рекомендую Технический документ «архитектура платформы защиты доступа сети». Сопутствующий листа "Настройка защиты сетевого доступа"Описываются шаги для развертывания базовую инфраструктуру NAP в тестовой лаборатории.
Установление изоляция домена
Даже в моей лаборатории тестирования humble немного с NPS и HRA роли на одном сервере можно можно немедленно заметить преимущества NAP. Сразу же включить NAP на клиентских компьютерах посредством настройки групповых политик, NAP настоятельно рекомендует установить последние обновления безопасности и средство поиска вирусов. Клиент NAP информирует об отсутствующие компоненты безопасности и состояние сети включает уведомления о том, что доступ к сети могут быть ограничены, пока компьютер требованиям работоспособности. На этом этапе однако, не соответствующих требованиям компьютеры по-прежнему иметь доступ ко всем серверам в сети поскольку мы еще не настроены политики IPsec. Без политик IPsec, запрашивать или требовать проверки подлинности для входящих и исходящих подключений инфраструктуры NAP действительно не намного больше, чем механизм распределения сертификат работоспособности. Нам нужно реализовать изоляции доменов для NAP быть эффективным.
Реализации изоляции доменов означает, что разделение внутреннюю сеть на сегменты, ограниченные, границы и безопасных сетях посредством принудительного применения политик IPsec. Целью является предотвращает доступ к любым серверам во внутренней сети не соответствующих требованиям компьютеров — за исключением серверы, не соответствующих требованиям компьютеров должны иметь возможность доступа к становятся совместимыми и получения сертификата работоспособности. В рис. 4 это касается сервера NAP NPS01. Различие между сегмента границы и безопасных сегмент состоит, политику IPsec для сегмента границы запросы проверки подлинности для входящих и исходящих подключений и таким образом разрешает возврат к открытым текстом связи с компьютерами, не соответствующих требованиям, пока безопасного сегмента требует проверки подлинности для входящих подключений, который запрещает возврата в обычный текст и блокирует несоответствии требованиям компьютеры. Можно использовать сопутствующий листа "Настройка политики IPsec для применения состояния"Чтобы реализовать это сегментации.
Рисунок 4 ограничение, границы и безопасности сети для NAPNAP
Контроллер домена в рис. 4 является особым случаем. Можно запросить или требует защищенного IPsec обмен данными между членами домена и контроллеры домена, если компьютер запуска Windows Vista или XML (веб-службы) (см. сопутствующий листа «Настройки IPSec для домена контроллер связи»), но такая конфигурация не поддерживается для Windows Server 2003 и Windows XP. Если вы решили не использовать IPsec для связи контроллер домена, DC01 становится частью ограниченной сети;запроса IPsec переместит контроллер домена в границы сегмента и необходимости IPsec контроллера домена делает член безопасного сегмента. Конфигурация зависит от конкретной ситуации и потребностей. Если это возможно рекомендуется с помощью IPsec.
Изоляция реализации сервера (и рабочей станции)
Установление NAP с помощью изоляции домена и принудительного применения IPsec служит в качестве первого значительные веха сторону усиления защиты безопасности. Все клиентские компьютеры должны теперь требованиям разумным работоспособности прежде чем можно получить доступ к любым внутренним ресурсам SharePoint. Далее можно сосредоточиться на сегментации среда SharePoint в нескольких уровней для достижения нормально уровня связи элемента управления, чтобы комплексные, включая связи клиентских компьютеров. на рис. 5 иллюстрирует стратегию возможных сегментации, на основе роли каждого отдельного компьютера во внутренней сети.
Рисунок 5 среде улучшить теста с нескольких ферм SharePoint
Как можно заметить в рис. 5 моей тестовой среды теперь включает дополнительных систем. Помимо прочего, я изменил конфигурацию XML (веб-службы) и КАДРОВ farms указанного отдельных учетных, перемещены базы КАДРОВ конфигурации и содержимого данных отдельного сервера SQL и развертывания отдельных компьютеров для центра администрирования SharePoint 3.0 и роль поиска SharePoint в обоих фермах. Ознакомьтесь с различных листов в сопровождающем материале, которые показывают, как выполнить следующие действия.
Безопасность связи между уровнями теперь представляет простой процесс, благодаря для нашего NAP IPsec подготовки к работе. Через групповую политику можно централизованно управлять все правила для брандмауэра Windows с улучшенной безопасностью для блокировки входящего и исходящего связи на клиентов и серверов для наиболее строгие уровни. Рекомендуется отключить правила объединения в групповой политике запретить применение конфликтующие брандмауэр локальных администраторов и правила безопасности подключения для любого члена домена. Например можно заблокировать UDP и TCP-порт 1434 на серверах баз данных, откройте пользовательский порт TCP для экземпляра сервера SQL по умолчанию, шифрования трафика, открыть порты TCP, использовать веб-приложений на серверах переднего плана и заблокировать все компьютеры не КАДРОВ доступ к любой сервер или клиентский компьютер в отделе КАДРОВ.
Ссылки
 |
Сети Защита доступа веб-узла go.Microsoft.com/fwlink/?LinkId=69752 |
|
Узел SharePoint и технологии Web microsoft.com/sharepoint |
|
Технический центр Windows SharePoint Services TechCenter technet.microsoft.com/windowsserver/sharepoint |
|
Центр разработчиков Windows SharePoint Services Developer Center msdn2.Microsoft.com/SharePoint |
|
Блог группы «Продукты и технологии Microsoft SharePoint? blogs.msdn.com/sharepoint |
Является ли необходимо также заблокировать важных компьютеров доступ к компьютерам nonsensitive интересный вопрос — например, следует можно предотвратить КАДРОВ клиентов доступ к серверам КАДРОВ SharePoint в XML (веб-службы) фермы. Это пример, где пересекается требования к безопасности и производительности. По соображениям производительности думаю, что невозможно отклонять КАДРЫ людей доступ ко всей компании узлов SharePoint, таких как узлы в моей ферме WSS, означает, что ферме WSS должны соответствовать тем же стандартам безопасности как ферма КАДРОВ. Поэтому в обоих фермах пришлось переместить веб-узлов центра администрирования SharePoint 3.0 и поиска роли для отдельного компьютера и безопасности правила брандмауэра и подключения. Само собой необходимо также назначить выделенным, непривилегированный учетные записи для администрирования SharePoint в обоих фермах и применить дополнительные шаги усиления защиты безопасности. Джоэл Oleson учтен очень сводный список действия усиления защиты безопасности на своей блог здания SharePoint. Я настоятельно рекомендую совет ниже Джоэл в инфраструктуру поддерживающие IPsec, самая высокая основой для усиления защиты безопасности SharePoint шифрование на всем.
Заключение.
Фермах SharePoint не существуют в вакууме. Они существуют в среде, включающий клиентские компьютеры, серверы инфраструктуры и сетевое оборудование. Это означает, если требуется обеспечить лучшую безопасность посредством усиления защиты SharePoint-защиты (SP2) должны присутствовать эти компоненты. Это невозможно защиты фермы SharePoint в небезопасной среде Active Directory. Это невозможно для защиты фермы SharePoint, если infested на клиентских компьютерах с «шпионских» программ. Это невозможно для защиты фермы SharePoint, если злоумышленник может highjack учетных записей пользователей, учетные записи администратора или любом учетных записей безопасности.
Технологии Windows Server 2008 обеспечивает основу для приведения широкий безопасности net через леса Active Directory через защиты доступа К сети с принудительного применения безопасности протокола IP, брандмауэр Windows с улучшенной безопасностью и управление групповой политикой. Преимущества этих технологий в среде SharePoint является определенно стоит затраченных усилий. Можно управлять и защиты связи между рабочих станций, серверов и контроллеров домена;обеспечить стандартов работоспособности системыможно реализовать изоляции доменов;и применения разных уровней внутренняя среда SharePoint. Через членство в группах безопасности или подразделений Active Directory автоматически определяет параметры политики, применяемые к каждом члене домена, включая клиентских компьютеров, серверов баз данных, серверы переднего плана и серверах среднего уровня для администрирования и других целей. Можно установить общие политики для каждого уровня и конкретные политики для каждой роли типа и сервер компьютера. Можно запретить пользователям размещение SharePoint на клиентских компьютерах путем блокирования всех входящих подключений, и можно предотвратить отделов от размещения неутвержденных и небезопасной фермах SharePoint, которые могут предоставляют пути для атак на других фермах внутренней сети.
Но не overboard с ограничениями. Помните, что многие отдела бизнес-процессов полагаться на развертывание SharePoint вне центра данных. В конце концов SharePoint — это платформа важнейших бизнес-совместной работы в рамках предприятия.
Пав Черны – специалист по информационным технологиям и автор, специализирующийся на технологиях совместной работы и единой среды связи от Майкрософт. В числе его публикаций статьи, руководства по продуктам и книги по эксплуатации информационных систем и системному администрированию. Пав является президентом из Biblioso Майкрософт, компании, которая занимается управляемых служб документации и локализации.