Planen des Verstärkens der Sicherheit für Serverrollen innerhalb einer Serverfarm (Office SharePoint Server)

Inhalt dieses Artikels:

• Informationen zum Verstärken der Sicherheit

• Empfehlungen für Anwendungsserver

• Sichere Kommunikation mit der Microsoft SQL Server-Datenbank

• Dienstanforderungen für die Datei- und Druckerfreigabe

• Anforderungen für das Verstärken der Sicherheit beim einmaligen Anmelden

• Office Server-Webdienste

• Verbindungen mit externen Servern

• Dienstanforderungen für die E-Mail-Integration

• Dienstanforderungen für den Sitzungsstatus

• Office SharePoint Server-Dienste

• Konten und Gruppen

• Web.config (Datei)

• Sichere Snapshotergänzungen

Verwenden Sie diesen Artikel zum Planen der Serverfarmsicherheit. Die Aufgaben im Artikel sind für die folgenden Sicherheitsumgebungen geeignet:

• Intern vom IT-Team bereitgestellt

• Sichere Zusammenarbeit mit externen Benutzern

• Externer anonymer Zugriff

Informationen zum Verstärken der Sicherheit

In einer Serverfarmumgebung spielen die einzelnen Server bestimmte Rollen. Die Empfehlungen für die Verstärkung der Sicherheit dieser Server hängen von der jeweiligen Rolle ab.

Die Empfehlungen für die Verstärkung der Serversicherheit gelten zusätzlich zu den Empfehlungen in den folgenden Sicherheitshandbüchern, die in "Microsoft-Muster und -Methoden" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73704&clcid=0x407) bereitgestellt werden:

• Schützen des Webservers (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x407)

• Schützen des Datenbankservers (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x407)

• "Schützen des Netzwerks" (https://go.microsoft.com/fwlink/?linkid=73707&clcid=0x407)

Diese Handbücher folgen einem methodischen Ansatz für das Schützen von Servern für bestimmte Rollen und für das Schützen des unterstützenden Netzwerks. Die Reihenfolge der Anwendung der Einstellungen und der Installation der Anwendungen sowie der Verstärkung ihrer Sicherheit wird ebenfalls vorgegeben, vom Anwenden von Patches und Updates über die Verstärkung der Sicherheit der Netzwerk- und Betriebssystemeinstellungen zur anwendungsspezifischen Verstärkung der Sicherheit. Beispielsweise wird in Schützen des Webservers (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x407) empfohlen, die Internetinformationsdienste (Internet Information Services, IIS) erst nach dem Anwenden von Patches auf das Betriebssystem und der Verstärkung der Sicherheit des Betriebssystems zu installieren und ihre Sicherheit zu verstärken. Außerdem sieht das Handbuch vor, dass Microsoft .NET Framework erst installiert wird, wenn sämtliche Patches auf die Internetinformationsdienste angewendet wurden und die Sicherheit der Internetinformationsdienste verstärkt wurde.

Die Kategorien der in Schützen des Webservers (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x407) methodisch vorgegebenen Sicherheitseinstellungen werden in der folgenden Abbildung im Detail gezeigt.

Außerdem enthält jedes der drei Handbücher einen sicheren Snapshot und eine Liste der empfohlenen Sicherheitseinstellungen für die jeweilige Serverrolle oder für das Netzwerk. Die Snapshotlisten sind in Kategorien unterteilt, die den in der vorhergehenden Abbildung gezeigten Sicherheitseinstellungen entsprechen.

Der Sicherheitsentwurf und die Verstärkungsanleitung in diesem Artikel basieren auf den in diesen drei Handbüchern veröffentlichten Anleitungen. Bei diesen Anleitungen wird vorausgesetzt, dass Sie die Handbücher als Basis für das Sichern und für das Verstärken der Sicherheit der Serverfarm verwenden.

In diesem Artikel werden die Erwartungen oder Ergänzungen zu den für Ihre Umgebung empfohlenen Snapshots beschrieben. Diese werden im Tabellenformat mit den gleichen Kategorien und in der gleichen Reihenfolge wie in den drei Sicherheitshandbüchern aufgelistet. Dieses Format soll das Identifizieren und Anwenden bestimmter Empfehlungen beim Verwenden der Handbücher erleichtern.

Das Handbuch "Bereitstellung für Office SharePoint 2007" (https://go.microsoft.com/fwlink/?linkid=76139&clcid=0x407) enthält Anweisungen für die Anwendung bestimmter Sicherheitsempfehlungen, die in den Sicherheitsleitfäden zu Mustern und Vorgehensweisen nicht behandelt werden.

Die Art der Server-zu-Server-Kommunikation innerhalb einer Serverfarm und die speziellen Features von Microsoft Office SharePoint Server 2007 sind die Hauptgründe für bestimmte Empfehlungen zum Verstärken der Sicherheit. In diesem Artikel wird zudem beschrieben, wie die wichtigsten Kommunikationskanäle und Microsoft Office SharePoint Server 2007-Features die Sicherheitsanforderungen beeinflussen.

Empfehlungen für Anwendungsserver

In Microsoft Office SharePoint Server 2007 sind Anwendungsserverrollen keine typischen Middle-Tier-Anwendungsserver, die Teil von Enterprise Services-Anwendungen sind. Daher gelten die Empfehlungen unter Schützen des Anwendungsservers (https://msdn.microsoft.com/de-de/library/aa302433.aspx) nicht für Microsoft Office SharePoint Server 2007-Anwendungsserver. Verwenden Sie stattdessen die Anleitung unter Schützen des Webservers (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x407), um die Sicherheit Ihrer Microsoft Office SharePoint Server 2007-Anwendungsserver zu verstärken:

• Wenden Sie die Anleitung für Netzwerk- und Betriebssystemeinstellungen auf alle Anwendungsserver in der Serverfarm an. Diese Anleitung bezieht sich auf die folgenden Kategorien: Patches und Updates, Dienste, Protokolle, Konten, Dateien und Verzeichnisse, Freigaben, Ports, Registrierung sowie Überwachung und Protokollierung.

• Wenden Sie die Anleitung für die Verstärkung der Sicherheit der Internetinformationsdienste und für andere Webeinstellungen nur auf dem Anwendungsserver an, auf dem die Website für die Zentraladministration gehostet wird. Diese Anleitung bezieht sich auf die folgenden Kategorien: IIS, Machine.config, Codezugriffssicherheit, LocalIntranet_Zone und Internet_Zone.

Wenden Sie zusätzlich zum Verwenden des sicheren Snapshots in Schützen des Webservers (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x407) auch die Empfehlungen aus dem Abschnitt Sichere Snapshotergänzungen weiter unten in diesem Artikel an.

Sichere Kommunikation mit der Microsoft SQL Server-Datenbank

In Schützen des Datenbankservers (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x407) wird empfohlen, den Zugriff auf zwei standardmäßige Microsoft SQL Server-Kommunikationsports zu beschränken: TCP-Port 1433 und UDP-Port 1434. Die Empfehlung für sichere Serverfarmumgebungen lautet:

• Blockieren Sie UDP-Port 1434 vollständig.

• Konfigurieren Sie benannte SQL Server-Instanzen zum Abhören eines Nichtstandardports (eines anderen Ports als TCP-Port 1433 oder UDP-Port 1434).

• Erhöhen Sie die Sicherheit, indem Sie TCP-Port 1433 blockieren und den von der Standardinstanz verwendeten Port einem Nichtstandardport zuweisen.

• Konfigurieren Sie SQL-Clientaliase auf allen Front-End-Webservern und Anwendungsservern in der Serverfarm. Wenn Sie TCP-Port 1433 oder UDP-Port 1434 blockiert haben, sind SQL-Clientaliase auf allen Computern notwendig, die mit dem SQL Server-Computer kommunizieren.

Dieser Ansatz bietet ein viel höheres Maß an Kontrolle darüber, wie SQL Server bereitgestellt und ausgeführt wird. So kann beispielsweise sichergestellt werden, dass nur autorisierte Computer mit dem SQL Server-Computer kommunizieren können.

Die Schritte zum Verstärken der Sicherheit für die Erstellung eines SQL-Clientalias müssen vor der Installation von Microsoft Office SharePoint Server 2007 ausgeführt werden. Wenn Sie Setup für Microsoft Office SharePoint Server 2007 ausführen und den Namen des Computers mit SQL Server angeben, mit dem eine Verbindung hergestellt werden soll, müssen Sie den Namen des SQL-Clientalias eingeben.

Blockieren der standardmäßigen SQL Server-Ports

Welche Ports zum Herstellen einer Verbindung mit SQL Server verwendet werden, hängt davon ab, ob die Datenbanken in einer Standardinstanz von SQL Server oder in einer benannten Instanz von SQL Server installiert sind. Die Standardinstanz von SQL Server hört Clientanforderungen auf TCP-Port 1433 ab. Eine benannte Instanz von SQL Server hört eine zufällig zugewiesene Portnummer ab. Außerdem kann die Portnummer für eine benannte Instanz neu zugewiesen werden, wenn die Instanz neu gestartet wird (abhängig von der Verfügbarkeit der vorher zugewiesenen Portnummer).

Standardmäßig wird auf Clientcomputern, die eine Verbindung mit SQL Server herstellen, zuerst eine Verbindung mithilfe von TCP-Port 1433 hergestellt. Wenn diese Kommunikation nicht erfolgreich ist, fragen die Clientcomputer den UDP-Port 1434 abhörenden SQL Server-Auflösungsdienst ab, um den von der Datenbankinstanz abgehörten Port zu ermitteln.

Das Standardport-Kommunikationsverhalten von SQL Server führt zu verschiedenen Problemen, die sich auf die Verstärkung der Serversicherheit auswirken. Erstens handelt es sich bei den von SQL Server verwendeten Ports um allgemein veröffentlichte Ports, und der SQL Server-Auflösungsdienst ist Ziel von Pufferüberlaufangriffen und Denial-of-Service-Angriffen, beispielsweise durch den Wurmvirus "Slammer". Auch wenn SQL Server gepatcht wird, um die Sicherheitsprobleme im SQL Server-Auflösungsdienst zu mindern, bleiben die allgemein veröffentlichten Ports ein Ziel. Zweitens wird, wenn Datenbanken in einer benannten Instanz von SQL Server installiert werden, der entsprechende Kommunikationsport zufällig zugewiesen und kann geändert werden. Dieses Verhalten kann möglicherweise in einer Umgebung mit verstärkter Sicherheit die Kommunikation zwischen Servern verhindern. Die Möglichkeit, zu steuern, welche TCP-Ports geöffnet sind oder blockiert werden, ist unerlässlich für den Schutz der Umgebung.

Daher sieht die Empfehlung für eine Serverfarm vor, benannten Instanzen von SQL Server statische Portnummern zuzuweisen und UDP-Port 1434 zu blockieren, um potenzielle Angreifer am Zugreifen auf den SQL Server-Auflösungsdienst zu hindern. Ziehen Sie es außerdem in Betracht, den von der Standardinstanz verwendeten Port neu zuzuweisen und TCP-Port 1433 ebenfalls zu blockieren.

Es gibt verschiedene Methoden, die Sie zum Blockieren von Ports verwenden können. Sie können die Ports mithilfe einer Firewall blockieren. Wenn Sie jedoch nicht sicher sind, dass keine weiteren Routen in das Netzwerksegment vorhanden sind und dass keine böswilligen Benutzer mit Zugriff auf das Netzwerksegment vorhanden sind, sollten Sie diese Ports direkt auf dem Server blockieren, auf dem SQL Server gehostet wird. Hierzu können Sie die Windows-Firewall in der Systemsteuerung verwenden.

Konfigurieren von SQL Server-Datenbankinstanzen zum Abhören eines Nichtstandardports

Sie können in SQL Server die von der Standardinstanz und von benannten Instanzen verwendeten Ports neu zuweisen. In SQL Server 2000 weisen Sie Ports mithilfe der SQL Server-Netzwerkkonfiguration neu zu. In SQL Server 2005 verwenden Sie zum Zuweisen von Ports den SQL Server-Konfigurations-Manager.

Konfigurieren von SQL-Clientaliasen

In einer Serverfarm sind alle Front-End-Webserver und Anwendungsserver SQL Server-Clientcomputer. Wenn Sie UDP-Port 1434 auf dem SQL Server-Computer blockieren oder den Standardport für die Standardinstanz ändern, müssen Sie auf allen Servern, die eine Verbindung mit dem SQL Server-Computer herstellen, einen SQL-Clientalias konfigurieren.

Zum Herstellen einer Verbindung mit einer Instanz von SQL Server 2000 installieren Sie die SQL Server-Clienttools auf dem Zielcomputer und konfigurieren dann den SQL-Clientalias. Sie installieren die Tools, indem Sie Setup für SQL Server ausführen und SQL Server-Clienttools auswählen.

Zum Herstellen einer Verbindung mit einer Instanz von SQL Server 2005 installieren Sie die SQL Server-Clientkomponenten auf dem Zielcomputer und konfigurieren dann den SQL-Clientalias mithilfe des SQL Server-Konfigurations-Managers. Zum Installieren der SQL Server-Clientkomponenten führen Sie Setup aus und wählen nur die folgenden Clientkomponenten für die Installation aus:

• Konnektivitätskomponenten

• Verwaltungstools (einschließlich SQL Server-Konfigurations-Manager)

Die SQL Server-Clientkomponenten können mit SQL Server 2000 und anstelle der SQL Server-Clienttools verwendet werden.

Schritte zum Verstärken der Sicherheit

Konfigurieren von SQL Server

Konfigurieren einer SQL Server 2000-Instanz zum Abhören eines Nichtstandardports

Verwenden Sie die SQL Server-Netzwerkkonfiguration, um den von einer Instanz von SQL Server 2000 verwendeten TCP-Port zu ändern.

1. Führen Sie auf dem SQL Server-Computer die SQL Server-Netzwerkkonfiguration aus.

2. Wählen Sie im Menü Instanz(en) auf diesem Server die Instanz aus. Stellen Sie sicher, dass Sie die gewünschte Instanz ausgewählt haben. Standardmäßig hört die Standardinstanz Port 1433 ab. Benannten Instanzen von SQL Server 2000 wird eine zufällige Portnummer zugewiesen, sodass Sie die einer benannten Instanz zurzeit zugewiesene Portnummer beim Ausführen der SQL Server-Netzwerkkonfiguration möglicherweise nicht kennen.

3. Klicken Sie im Bereich Aktivierte Protokolle auf der rechten Seite der Oberfläche der SQL Server-Netzwerkkonfiguration auf TCP/IP, und klicken Sie dann auf Eigenschaften.

4. Ändern Sie im Dialogfeld Standardwert für das Netzwerkprotokoll einrichten die TCP-Portnummer. Vermeiden Sie die Verwendung eines der allgemein bekannten TCP-Ports. Wählen Sie beispielsweise eine Portnummer aus einem höheren Bereich aus, z. B. 40000. Aktivieren Sie nicht das Kontrollkästchen Server ausblenden.

5. Klicken Sie auf OK.

6. Klicken Sie im Dialogfeld SQL Server-Netzwerkkonfiguration auf OK. Es wird eine Meldung angezeigt, aus der hervorgeht, dass die Änderung erst wirksam wird, wenn der SQL Server-Dienst neu gestartet wird. Klicken Sie auf OK.

7. Starten Sie den SQL Server-Dienst neu, und vergewissern Sie sich, dass der SQL Server-Computer den ausgewählten Port abhört. Sie können dies überprüfen, indem Sie nach dem Neustarten des SQL Server-Diensts das Protokoll der Ereignisanzeige anzeigen. Suchen Sie nach einem Informationsereignis, das ähnlich wie das folgende Ereignis aussieht:

   Event Type:Information

   Event Source:MSSQLSERVER

   Event Category:(2)

   Event ID:17055

   Date:3/6/2008

   Time:11:20:28 AM

   User:N/A

   Computer:Computername

   Description:

   19013:

   SQL Server listening on 10.1.2.3: 40000

Konfigurieren einer SQL Server 2005-Instanz zum Abhören eines Nichtstandardports

Verwenden Sie den SQL Server-Konfigurations-Manager, um den von einer Instanz von SQL Server 2005 verwendeten TCP-Port zu ändern.

1. Verwenden Sie den SQL Server-Konfigurations-Manager, um den von einer Instanz von SQL Server 2005 verwendeten TCP-Port zu ändern.

2. Öffnen Sie auf dem SQL Server-Computer den SQL Server-Konfigurations-Manager.

3. Erweitern Sie im linken Bereich die Option SQL Server 2005-Netzwerkkonfiguration.

4. Klicken Sie unter SQL Server 2005-Netzwerkkonfiguration auf den entsprechenden Eintrag für die zu konfigurierende Instanz. Die Standardinstanz wird aufgelistet als Protokolle für MSSQLSERVER. Benannte Instanzen werden angezeigt als Protokolle für benannte Instanz.

5. Klicken Sie im rechten Bereich mit der rechten Maustaste auf TCP/IP, und klicken Sie auf Eigenschaften.

6. Klicken Sie auf die Registerkarte IP-Adressen. Für jede dem SQL Server-Computer zugewiesene IP-Adresse befindet sich auf dieser Registerkarte ein entsprechender Eintrag. Standardmäßig hört SQL Server alle dem Computer zugewiesenen IP-Adressen ab.

7. Führen Sie die folgenden Aktionen aus, um den von der Standardinstanz abgehörten Port global zu ändern:

   1. Löschen Sie für jede IP außer IPAll alle Werte für Dynamische TCP-Ports und TCP-Port.

   2. Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie in das Feld TCP-Port den Port ein, der von der Instanz von SQL Server abgehört werden soll. Geben Sie beispielsweise 40000 ein.

8. Führen Sie die folgenden Aktionen aus, um den von einer benannten Instanz abgehörten Port global zu ändern:

   1. Löschen Sie für jede IP, einschließlich IPAll, alle Werte für Dynamische TCP-Ports. Der Wert 0 in diesem Feld gibt an, dass SQL Server für die IP-Adresse einen dynamischen TCP-Port verwendet. Ein leerer Eintrag für diesen Wert bedeutet, dass SQL Server 2005 keinen dynamischen TCP-Port für die IP-Adresse verwendet.

   2. Löschen Sie für jede IP außer IPAll alle Werte für TCP-Port.

   3. Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie in das Feld TCP-Port den Port ein, der von der Instanz von SQL Server abgehört werden soll. Geben Sie beispielsweise 40000 ein.

9. Klicken Sie auf OK. Es wird eine Meldung angezeigt, aus der hervorgeht, dass die Änderung erst wirksam wird, wenn der SQL Server-Dienst neu gestartet wird. Klicken Sie auf OK.

10. Schließen Sie den SQL Server-Konfigurations-Manager.

11. Starten Sie den SQL Server-Dienst neu, und vergewissern Sie sich, dass der SQL Server-Computer den ausgewählten Port abhört. Sie können dies überprüfen, indem Sie nach dem Neustarten des SQL Server-Diensts das Protokoll der Ereignisanzeige anzeigen. Suchen Sie nach einem Informationsereignis, das ähnlich wie das folgende Ereignis aussieht:

    Event Type:Information

    Event Source:MSSQL$MSSQLSERVER

    Event Category:(2)

    Event ID:26022

    Date:3/6/2008

    Time:1:46:11 PM

    User:N/A

    Computer:Computername

    Description:

    Der Server hört [ 'any' <ipv4>50000] ab

Konfigurieren der Windows-Firewall

Konfigurieren der Windows-Firewall zum Blockieren der standardmäßig von SQL Server abgehörten Ports

1. Öffnen Sie in der Systemsteuerung die Windows-Firewall.

2. Klicken Sie auf der Registerkarte Allgemein auf Ein. Stellen Sie sicher, dass das Kontrollkästchen Keine Ausnahmen zulassen deaktiviert ist.

3. Klicken Sie auf der Registerkarte Ausnahmen auf Port hinzufügen.

4. Geben Sie in das Dialogfeld Port hinzufügen einen Namen für den Port ein. Geben Sie beispielsweise UDP-1434 ein. Geben Sie dann die Portnummer ein. Geben Sie beispielsweise 1434 ein.

5. Wählen Sie das entsprechende Optionsfeld aus: UDP oder TCP. Zum Blockieren von Port 1434 beispielsweise klicken Sie auf UDP. Zum Blockieren von Port 1433 klicken Sie auf TCP.

6. Klicken Sie auf Bereich ändern, und stellen Sie sicher, dass der Bereich für diese Ausnahme auf Alle Computer (einschließlich der im Internet) festgelegt ist.

7. Klicken Sie auf OK.

8. Suchen Sie auf der Registerkarte Ausnahmen die erstellte Ausnahme. Zum Blockieren des Ports deaktivieren Sie das Kontrollkästchen für diese Ausnahme. Standardmäßig ist das Kontrollkästchen aktiviert, das heißt, der Port ist geöffnet.

Konfigurieren der Windows-Firewall zum Öffnen manuell zugewiesener Ports

1. Folgen Sie den Schritten 1 - 7 im vorherigen Verfahren, um eine Ausnahme für den Port zu erstellen, den Sie manuell einer SQL-Instanz zugewiesen haben. Erstellen Sie beispielsweise eine Ausnahme für TCP-Port 40000.

2. Suchen Sie auf der Registerkarte Ausnahmen die erstellte Ausnahme. Stellen Sie sicher, dass das Kontrollkästchen für die Ausnahme aktiviert ist. Standardmäßig ist das Kontrollkästchen aktiviert, das heißt, der Port ist geöffnet.

   Hinweis

   Weitere Informationen zum Verwenden von Internetprotokollsicherheit (IPsec) zum Schützen der Kommunikation zum und vom SQL Server-Computer finden Sie im Microsoft Knowledge Base-Artikel 233256: Aktivieren von IPSec-Verkehr über eine Firewall (möglicherweise maschinelle Übersetzung) (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x407).

Konfigurieren eines SQL-Clientalias

Konfigurieren eines SQL-Clientalias

Wenn Sie UDP-Port 1434 oder TCP-Port 1433 auf dem SQL Server-Computer blockieren, müssen Sie auf allen anderen Computern in der Serverfarm einen SQL-Clientalias erstellen. Sie können SQL Server-Clientkomponenten verwenden, um einen SQL-Clientalias für Computer zu erstellen, die eine Verbindung mit SQL Server 2000 oder SQL Server 2005 herstellen.

1. Führen Sie Setup für SQL Server 2005 auf dem Zielcomputer aus, und wählen Sie die folgenden Clientkomponenten für die Installation aus:

   1. Konnektivitätskomponenten

   2. Verwaltungstools

2. Öffnen Sie den SQL Server-Konfigurations-Manager.

3. Klicken Sie im linken Bereich auf SQL Native Client-Konfiguration.

4. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Aliase, und wählen Sie Neuer Alias aus.

5. Geben Sie in das Dialogfeld Alias einen Namen für den Alias ein, und geben Sie dann die Portnummer für die Datenbankinstanz ein. Geben Sie beispielsweise SharePoint-Alias ein.

6. Geben Sie in das Feld Portnummer die Portnummer für die Datenbankinstanz ein. Geben Sie beispielsweise 40000 ein. Stellen Sie sicher, dass das Protokoll auf TCP/IP festgelegt ist.

7. Geben Sie in das Feld Server den Namen des SQL Server-Computers ein.

8. Klicken Sie auf Anwenden, und klicken Sie dann auf OK.

Testen des SQL-Clientalias

Testen Sie die Konnektivität mit dem SQL Server-Computer mithilfe des Programms Microsoft SQL Server Management Studio, das nach dem Installieren der SQL Server-Clientkomponenten verfügbar ist.

1. Öffnen Sie SQL Server Management Studio.

2. Wenn Sie zum Eingeben eines Servernamens aufgefordert werden, geben Sie den Namen des erstellten Alias ein, und klicken Sie dann auf Verbinden. Wenn die Verbindung erfolgreich hergestellt wurde, wird SQL Server Management Studio mit Objekten aufgefüllt, die der Remotedatenbank entsprechen.

   Hinweis

   Zum Überprüfen der Konnektivität mit weiteren Datenbankinstanzen über SQL Server Management Studio klicken Sie auf die Schaltfläche Verbinden, und wählen Sie Datenbankmodul aus.

Dienstanforderungen für die Datei- und Druckerfreigabe

Verschiedene Kernfeatures hängen vom Datei- und Druckerfreigabedienst und den entsprechenden Protokollen und Ports ab. Dazu gehören beispielsweise die Folgenden:

• Suchabfragen Der Datei- und Druckerfreigabedienst ist für alle Suchabfragen erforderlich.

• Crawlen und Indizieren von Inhalten Zum Crawlen von Inhalten sendet die Indexkomponente Anforderungen über den Front-End-Webserver. Der Front-End-Webserver kommuniziert direkt mit Inhaltsdatenbanken und sendet Ergebnisse zurück an den Indexserver. Für diese Kommunikation ist der Datei- und Druckerfreigabedienst erforderlich.

• Indexverteilung Wenn die Abfragerolle auf einem anderen Server als die Indexrolle installiert ist, kopiert der Indexserver Inhaltsindizes auf die Abfrageserver. Diese Aktion erfordert den Datei- und Druckerfreigabedienst und die entsprechenden Protokolle und Ports.

Für den Datei- und Druckerfreigabedienst ist die Verwendung von Named Pipes erforderlich. Named Pipes können mithilfe von direkt gehosteten SMB- oder NBT-Protokollen kommunizieren. Für eine sichere Umgebung wird direkt gehostetes SMB anstelle von NBT empfohlen. In den Empfehlungen für die Verstärkung der Sicherheit in diesem Artikel wird angenommen, dass SMB verwendet wird.

In der folgenden Tabelle werden die Anforderungen für die Verstärkung der Sicherheit beschrieben, die durch die Abhängigkeit vom Datei- und Druckerfreigabedienst entstehen.

Kategorie	Anforderung	Hinweise
Dienste	Datei- und Druckerfreigabe	Erfordert die Verwendung von Named Pipes.
Protokolle	Named Pipes mit direkt gehostetem SMB Deaktivieren von NBT	Named Pipes können NBT anstelle von direkt gehostetem SMB verwenden. NBT gilt jedoch nicht als so sicher wie direkt gehostetes SMB.
Ports	TCP-/UDP-Port 445	Verwendet von direkt gehostetem SMB.

Weitere Informationen zum Deaktivieren von NBT finden Sie im Microsoft Knowledge Base-Artikel 204279: Direktes Hosting von SMB über TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x407).

Anforderungen für das Verstärken der Sicherheit bei einmaligen Anmelden

Das SSO-Feature (Single Sign-On, einmaliges Anmelden) in Microsoft Office SharePoint Server 2007 wird verwendet, um Verbindungen mit Datenquellen herzustellen, die sich außerhalb der Serverfarm befinden. Das SSO-Feature ist in einer Microsoft Office SharePoint Server 2007-Serverfarm standardmäßig nicht aktiviert. SSO sollte nur konfiguriert werden, wenn das Feature benötigt wird, um Verbindungen mit externen Datenquellen herzustellen. Da das SSO-Feature eine Benutzerauthentifizierung erfordert, funktioniert dieses Feature nicht in einer Umgebung mit externem anonymem Zugriff.

SSO basiert auf dem Microsoft Dienst für einmaliges Anmelden und den entsprechenden Protokollen und Ports. Daher muss dieser Dienst auf den folgenden Servern aktiviert werden:

• Auf allen Front-End-Webservern

• Auf dem designierten Server für den Verschlüsselungsschlüssel (eine Rolle, die normalerweise von einem Anwendungsserver gehostet wird)

• In der Rolle Dienste für Excel-Berechnungen

Wenn ein benutzerdefinierter Security Trimmer auf dem Abfrageserver installiert ist und dieser den Zugriff auf SSO-Daten erfordert, muss der Microsoft Dienst für einmaliges Anmelden auf dieser Serverrolle ebenfalls ausgeführt werden.

Mit dem SSO-Feature werden verschiedene Anforderungen für das Verstärken der Sicherheit für die Serverfarm eingeführt. Der Dienst für einmaliges Anmelden verwendet RPC (Remote Procedure Call). RPC verwendet Port 135. Er nutzt zudem einen dynamisch zugewiesenen Port im Bereich von 1024–65535/TCP. Dies wird als dynamischer RPC bezeichnet. Es ist möglich, den Bereich, der dynamischen RPC-Ports zugewiesen ist, mithilfe eines Windows-Registrierungsschlüssels zu begrenzen. Anstatt alle Ports mit hoher Nummerierung (1024–65535) zu verwenden, können Sie den Wertebereich der dynamischen RPC-Ports auf eine wesentlich kleinere Zahl beschränken. Dies wird als statischer RPC bezeichnet.

Weitere Informationen zum Beschränken der von RPC verwendeten Ports finden Sie in den folgenden Ressourcen:

• "Active Directory in durch Firewalls segmentierten Netzwerken" (https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x407).

• Microsoft Knowledge Base-Artikel 154596: Konfigurieren der dynamischen RPC-Portzuweisung für Firewall-Einsatz (https://go.microsoft.com/fwlink/?linkid=76145&clcid=0x407).

• Microsoft Knowledge Base-Artikel 300083: Beschränken von TCP/IP-Ports unter Windows 2000 und Windows XP (https://go.microsoft.com/fwlink/?linkid=76148&clcid=0x407) (möglicherweise maschinelle Übersetzung).

In der folgenden Tabelle sind die Anforderungen für das Verstärken der Sicherheit aufgeführt, die durch SSO eingeführt werden. Diese Anforderungen gelten für alle Server in der Serverfarm.

Kategorie	Anforderung	Hinweise
Dienste	Dienst für einmaliges Anmelden	Erfordert die Verwendung des RPC-Protokolls.
Protokolle	RPC	Konfigurieren Sie statisches RPC zur Begrenzung des Portbereichs, der von dynamischem RPC verwendet wird.
Ports	TCP-Port 135 plus den Portbereich, den Sie für dynamisches RPC konfigurieren

Während diese Anforderungen für das Verstärken der Sicherheit im Betriebssystem konfiguriert werden, ist die Reihenfolge, in der die Anforderungen konfiguriert werden, entscheidend für die erfolgreiche Bereitstellung von SSO. Die Anforderungen für Protokolle und Ports können jederzeit vor dem Konfigurieren des SSO-Features in Microsoft Office SharePoint Server 2007 konfiguriert werden. Die Reihenfolge, in der der Dienst für einmaliges Anmelden auf den Servern in der Farm aktiviert wird, beeinflusst jedoch die Konfiguration von SSO.

Der erste Server, auf dem Sie den Dienst aktivieren, wird zum Server für den Verschlüsselungsschlüssel für die Serverfarm. Dieser Server speichert den Verschlüsselungsschlüssel. Es wird empfohlen, diese Rolle auf einem der Anwendungsserver zu hosten. Der Dienst für einmaliges Anmelden muss auch auf jedem Front-End-Webserver in der Serverfarm aktiviert werden. Diese Computer leiten Anmeldeinformationen an den Server für den Verschlüsselungsschlüssel weiter.

Die erfolgreiche Konfiguration des SSO-Features in Microsoft Office SharePoint Server 2007 erfordert Konfigurationsschritte auf der Zentraladministrationswebsite zusätzlich zur Aktivierung des Diensts für einmaliges Anmelden. Folglich sollten Sie den Dienst für einmaliges Anmelden nicht vor Installation von Microsoft Office SharePoint Server 2007 aktivieren. Weitere Informationen zum Konfigurieren von SSO finden Sie im Artikel Planen des einmaligen Anmeldens.

Office Server-Webdienste

Der Office Services-Webdienst wird von Microsoft Office SharePoint Server 2007 als Kommunikationskanal zwischen Webservern und Anwendungsservern verwendet. Dieser Dienst verwendet die folgenden Ports:

• TCP 56737

• TCP/SSL 56738

Verbindungen mit externen Servern

Verschiedene Features von Microsoft Office SharePoint Server 2007 können für den Zugriff auf Daten konfiguriert werden, die sich auf Servercomputern außerhalb der Serverfarm befinden. Wenn Sie den Zugriff auf Daten auf externen Servercomputern konfigurieren, sollten Sie sicherstellen, dass die Kommunikation zwischen den entsprechenden Computern aktiviert ist. In den meisten Fällen sind die verwendeten Ports, Protokolle und Dienste von der externen Ressource abhängig. Zum Beispiel:

• Für Verbindungen mit Dateifreigaben wird der Datei- und Druckerfreigabedienst verwendet.

• Für Verbindungen mit externen SQL Server-Datenbanken werden die standardmäßigen oder angepassten Ports für die SQL Server-Kommunikation verwendet.

• Für Verbindungen mit Oracle wird normalerweise OLE DB verwendet.

• Für Verbindungen mit Webdiensten werden sowohl HTTP als auch HTTPS verwendet.

In der folgenden Tabelle sind die Features aufgeführt, die für den Zugriff auf Daten, die sich auf Servercomputern außerhalb der Serverfarm befinden, konfiguriert werden können.

Feature	Beschreibung
Inhaltscrawling	Sie können Crawlregeln für das Crawlen von Daten auf externen Ressourcen, einschließlich Websites, Dateifreigaben, öffentlichen Exchange-Ordnern und Branchenanwendungen konfigurieren. Beim Crawlen externer Datenquellen kommuniziert die Indexrolle direkt mit diesen externen Ressourcen. Weitere Informationen finden Sie unter Planen des Crawlens von Inhalten (Office SharePoint Server).
Geschäftsdatenkatalog-Verbindungen	Webserver und Anwendungsserver kommunizieren direkt mit Computern, die für Geschäftsdatenkatalog-Verbindungen konfiguriert sind. Weitere Informationen finden Sie unter Planen von Geschäftsdatenverbindungen mit dem Geschäftsdatenkatalog.
Empfangen von Microsoft Office Excel-Arbeitsblättern	Wenn Arbeitsmappen, die in Excel-Diensten geöffnet sind, eine Verbindung mit einer externen Datenquelle (z. B. Analysis Services und SQL Server) herstellen, müssen geeignete TCP/IP-Ports zum Verbinden mit dieser externen Datenquelle geöffnet werden. Weitere Informationen finden Sie unter Planen externer Datenverbindungen für Excel Services. Wenn UNC-Pfade (Universal Naming Convention) in Excel Services als vertrauenswürdige Websites konfiguriert sind, verwendet die Anwendungsrolle Dienste für Excel-Berechnungen die Protokolle und Ports des Datei- und Druckerfreigabediensts zum Empfangen von Office Excel-Arbeitsmappen über einen UNC-Pfad. Arbeitsmappen, die in Inhaltsdatenbanken gespeichert sind oder durch Benutzer auf Websites hochgeladen bzw. von Websites heruntergeladen werden, sind von dieser Kommunikation nicht betroffen.

Dienstanforderungen für die E-Mail-Integration

Für die E-Mail-Integration ist die Verwendung von zwei Diensten erforderlich:

• SMTP-Dienst (Simple Mail Transfer-Protokoll)

• Microsoft SharePoint-Verzeichnisverwaltungsdienst

SMTP-Dienst

Für die E-Mail-Integration muss der SMTP-Dienst auf mindestens einem der Front-End-Webserver in der Serverfarm verwendet werden. Der SMTP-Dienst ist für eingehende E-Mail erforderlich. Für ausgehende E-Mail können Sie den SMTP-Dienst verwenden oder ausgehende E-Mail über einen dedizierten E-Mail-Server in der Organisation leiten, beispielsweise über einen Microsoft Exchange Server-Computer.

Microsoft SharePoint-Verzeichnisverwaltungsdienst

Microsoft Office SharePoint Server 2007 umfasst einen internen Dienst, den Microsoft SharePoint-Verzeichnisverwaltungsdienst, zum Erstellen von E-Mail-Verteilergruppen. Wenn Sie die E-Mail-Integration konfigurieren, haben Sie die Möglichkeit zur Aktivierung des Verzeichnisdienstverwaltungs-Features, sodass die Benutzer Verteilerlisten erstellen können. Wenn Benutzer eine SharePoint-Gruppe erstellen und die Option zum Erstellen einer Verteilerliste auswählen, erstellt der Microsoft SharePoint-Verwaltungsverzeichnisdienst die entsprechende Active Directory-Verzeichnisdienstverteilerliste in der Active Directory-Umgebung.

In Umgebungen mit verstärkter Sicherheit wird empfohlen, den Zugriff auf den Microsoft SharePoint-Verzeichnisverwaltungsdienst durch Schützen der diesem Dienst zugeordneten Datei (SharePointEmailws.asmx) einzuschränken. Lassen Sie beispielsweise den Zugriff auf diese Datei nur für das Serverfarmkonto zu.

Darüber hinaus sind für diesen Dienst Berechtigungen in der Active Directory-Umgebung erforderlich, um Active Directory-Verteilerlistenobjekte zu erstellen. Es wird empfohlen, eine separate Organisationseinheit für SharePoint-Objekte in Active Directory einzurichten. Nur diese Organisationseinheit sollte Schreibzugriff auf das vom Microsoft SharePoint-Verzeichnisverwaltungsdienst verwendete Konto gewähren.

Dienstanforderungen für den Sitzungsstatus

Sowohl Microsoft Office Project Server 2007 als auch Microsoft Office Forms Server 2007 behalten den Sitzungsstatus bei. Wenn Sie diese Features oder Produkte innerhalb der Serverfarm bereitstellen, sollten Sie den ASP.NET-Statusdienst nicht deaktivieren. Wenn Sie InfoPath Forms Services bereitstellen, sollten Sie den Dienst Ansichtstatus auch nicht deaktivieren.

Office SharePoint Server-Dienste

Deaktivieren Sie keine Dienste, die von Microsoft Office SharePoint Server 2007 installiert werden.

Die folgenden Dienste werden auf allen Front-End-Webservern und Anwendungsservern installiert und werden im MMC-Snap-In (Microsoft Management Console) Dienste angezeigt (in alphabetischer Reihenfolge):

• Office SharePoint Server-Suche

• Windows SharePoint Services-Verwaltung

• Windows SharePoint Services-Suche

• Windows SharePoint Services-Timer

• Windows SharePoint Services-Ablaufverfolgung

• Windows SharePoint Services VSS Writer

Wenn als lokales System ausgeführte Dienste in der Umgebung nicht zulässig sind, können Sie das Deaktivieren des Windows SharePoint Services-Verwaltungsdiensts in Betracht ziehen. Sie müssen jedoch die Konsequenzen kennen und sie umgehen können. Dieser Dienst ist ein Win32-Dienst, der als lokales System ausgeführt wird.

Dieser Dienst wird vom Windows SharePoint Services-Timerdienst zum Ausführen von Aktionen verwendet, für die Administratorrechte auf dem Server erforderlich sind, beispielsweise Erstellen von IIS-Websites, Bereitstellen von Code und Beenden und Starten von Diensten. Wenn Sie diesen Dienst deaktivieren, können Sie keine Aufgaben im Zusammenhang mit der Bereitstellung über die Website für die Zentraladministration ausführen. Sie müssen das Befehlszeilentool Stsadm.exe verwenden und den Befehl execadminsvcjobs ausführen, um Bereitstellungen auf mehreren Servern für Windows SharePoint Services 3.0 abzuschließen und andere Aufgaben im Zusammenhang mit der Bereitstellung auszuführen.

Konten und Gruppen

Die sicheren Snapshots in den Sicherheitshandbüchern zu Mustern und Methoden enthalten Empfehlungen für das Schützen von Konten und Gruppen.

Empfehlungen zur Planung von Konten finden Sie unter Planen administrativer Konten und Planen von Dienstkonten (Office SharePoint Server).

Empfehlungen zur Planung von Verwaltungs- und Benutzerrollen finden Sie unter Planen der Sicherheitsrollen (Office SharePoint Server).

Web.config (Datei)

In .NET Framework und insbesondere ASP.NET werden zum Konfigurieren von Anwendungen Konfigurationsdateien im XML-Format verwendet. In .NET Framework werden Konfigurationsdateien zum Definieren von Konfigurationsoptionen verwendet. Die Konfigurationsdateien sind textbasierte XML-Dateien. Auf einem einzigen System können sich mehrere Konfigurationsdateien befinden, und normalerweise ist dies auch der Fall.

Systemweite Konfigurationseinstellungen für .NET Framework werden in der Datei Machine.config definiert. Die Datei Machine.config befindet sich im Ordner %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. Die Standardeinstellungen in der Datei Machine.config können geändert werden, um das Verhalten von Anwendungen auf dem gesamten System zu beeinflussen, die .NET Framework verwenden. Empfehlungen zum Konfigurieren der Datei Machine.config finden Sie unter Schützen des Webservers (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x407).

Sie können die ASP.NET-Konfigurationseinstellungen für eine einzelne Anwendung ändern, indem Sie eine Datei Web.config im Stammordner der Anwendung erstellen. Wenn Sie dies tun, werden durch die Einstellungen in der Datei Web.config die Einstellungen in der Datei Machine.config außer Kraft gesetzt.

Wenn Sie eine Webanwendung mithilfe der Zentraladministration erweitern, wird von Microsoft Office SharePoint Server 2007 automatisch eine Datei Web.config für die Webanwendung erstellt.

Im Abschnitt Sichere Snapshotergänzungen weiter unten in diesem Artikel werden Empfehlungen für das Konfigurieren der Datei Web.config aufgelistet. Diese Empfehlungen sollten auf jede erstellte Datei Web.config angewendet werden, einschließlich der Datei Web.config für die Website für die Zentraladministration.

Weitere Informationen zu ASP.NET-Konfigurationsdateien und zum Bearbeiten der Datei Web.config finden Sie unter ASP.NET-Konfiguration (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x407).

Sichere Snapshotergänzungen

In diesem Abschnitt sind die Ergänzungen zu den Snapshots in den Sicherheitsleitfäden zu Mustern und Vorgehensweisen enthalten, die für Microsoft Office SharePoint Server 2007-Umgebungen empfohlen werden. Diese werden im Tabellenformat mithilfe derselben Kategorien und in derselben Reihenfolge wie in den Sicherheitsleitfäden zu Mustern und Vorgehensweisen ausführlich dargestellt.

Dieses Format soll es Ihnen erleichtern, die speziellen Empfehlungen zu identifizieren und bei der Verwendung der Leitfäden zu Mustern und Vorgehensweisen anzuwenden. Mit ein paar Ausnahmen sollten diese Empfehlungen zum Verstärken der Sicherheit vor der Ausführung des Setups für Microsoft Office SharePoint Server 2007 angewendet werden.

Weitere Informationen zur Kommunikation zwischen bestimmten Serverrollen in einer Serverfarm finden Sie unter Planen des Verstärkens der Sicherheit von Extranetumgebungen.

Schützen der Snapshotergänzungen für Netzwerke

In der folgenden Tabelle werden Empfehlungen für das Schützen der Netzwerkergänzungen beschrieben.

Komponente	Charakteristische Ausnahme
Alle	Keine zusätzlichen Empfehlungen

Schützen der Snapshotergänzungen für Webserver

In der folgenden Tabelle werden Empfehlungen für das Schützen der Webserverergänzungen beschrieben.

Komponente	Merkmal
Dienste	Aktivieren: Datei- und Druckerfreigabe Office SharePoint Server-Suche Dienst für einmaliges Anmelden (nur bei Verwendung von SSO) ASP.NET-Statusdienst (bei Verwendung von InfoPath Forms Server oder Project Server) Ansichtstatusdienst (bei Verwendung von InfoPath Forms Server) WWW-Publishingdienst Stellen Sie sicher, dass diese Dienste nach dem Ausführen des Setups aktiviert bleiben: Office SharePoint Server-Suche Windows SharePoint Services-Verwaltung Windows SharePoint Services-Suche Windows SharePoint Services-Timer Windows SharePoint Services-Ablaufverfolgung Windows SharePoint Services VSS Writer
Protokolle	Aktivieren: SMB SMTP (bei Verwendung von integrierter E-Mail) RPC (nur bei Verwendung von SSO) Deaktivieren: NBT
Konten	Wenn der Microsoft Directory-Verwaltungsdienst als Teil einer E-Mail-Integration aktiviert ist, konfigurieren Sie die Active Directory-Umgebung so, dass der Schreibzugriff auf das vom Microsoft-Verzeichnisverwaltungsdienst verwendete Konto (das Serverfarmkonto) zulässig ist. Weitere Anleitungen zum Konfigurieren von Konten sowie Kontoanforderungen und Empfehlungen für Microsoft Office SharePoint Server 2007 finden Sie unter Planen administrativer Konten und Planen von Dienstkonten (Office SharePoint Server).
Dateien und Verzeichnisse	Wenn die E-Mail-Integration aktiviert ist und das Feature Verzeichnisverwaltungsdienst aktiviert ist, schränken Sie den Zugriff auf den Microsoft SharePoint-Verzeichnisverwaltungsdienst ein, indem Sie die diesem Dienst zugeordnete Datei schützen: SharePointEmailws.asmx. Gewähren Sie beispielsweise nur dem Serverfarmkonto Zugriff auf diese Datei.
Freigaben	Keine zusätzlichen Empfehlungen
Ports	Öffnen Sie TCP-/UDP-Port 445. Öffnen Sie TCP-Port 135 sowie Ports in dem Bereich, den Sie beim Konfigurieren von statischem RPC angegeben haben (nur bei Verwendung von SSO). Öffnen Sie die TCP-Ports 56737 und 56738 für die Office Server-Webdienste. Wenn UDP-Port 1434 auf dem SQL Server-Computer blockiert ist und Datenbanken in einer benannten Instanz installiert sind, konfigurieren Sie einen SQL-Clientalias zum Herstellen der Verbindung mit der benannten Instanz. Wenn TCP-Port 1433 auf dem SQL Server-Computer blockiert ist und Datenbanken in der Standardinstanz installiert sind, konfigurieren Sie einen SQL-Clientalias zum Herstellen der Verbindung mit der benannten Instanz. Stellen Sie sicher, dass Ports für Webanwendungen, auf die Benutzer zugreifen können, geöffnet bleiben. Blockieren Sie den externen Zugriff auf den Port, der für die Website für die Zentraladministration verwendet wird.
Registrierung	Wenn Sie SSO verwenden, bearbeiten Sie die Registrierung, um statische Remoteprozeduraufrufe (Remote Procedure Call, RPC) zu konfigurieren.
Überwachung und Protokollierung	Wenn Protokolldateien verschoben werden, stellen Sie sicher, dass die Speicherorte der Protokolldateien entsprechend aktualisiert werden.
IIS	Siehe Anleitung für die Internetinformationsdienste weiter unten.
Websites und virtuelle Verzeichnisse	Keine zusätzlichen Empfehlungen
Skriptzuordnungen	Keine zusätzlichen Empfehlungen
ISAPI-Filter	Keine zusätzlichen Empfehlungen
IIS-Metabasis	Keine zusätzlichen Empfehlungen
.NET Framework	Siehe Anleitung für .NET Framework weiter unten.
Machine.config: HttpForbiddenHandler	Keine zusätzlichen Empfehlungen
Machine.config: Remoting	Keine zusätzlichen Empfehlungen
Machine.config: Trace	Keine zusätzlichen Empfehlungen
Machine.config: compilation	Keine zusätzlichen Empfehlungen
Machine.config: customErrors	Keine zusätzlichen Empfehlungen
Machine.config: sessionState	Keine zusätzlichen Empfehlungen
Codezugriffssicherheit	Stellen Sie sicher, dass für die Webanwendung ein Mindestsatz Sicherheitsberechtigungen für den Codezugriff aktiviert ist. (Das Element <trust> in der Datei Web.config für jede Webanwendung sollte auf WSS_Minimal (für WSS_Minimal gelten die in 12\config\wss_minimaltrust.config definierten niedrigen Standardwerte) oder auf eine eigene benutzerdefinierte Richtliniendatei mit minimalen Einstellungen) festgelegt sein.
LocalIntranet_Zone	Keine zusätzlichen Empfehlungen
Internet_Zone	Keine zusätzlichen Empfehlungen
Web.config	Wenden Sie die folgenden Empfehlungen auf jede Datei Web.config an, die nach dem Ausführen des Setups erstellt wird: Lassen Sie Kompilierung oder Skripting von Datenbankseiten über die PageParserPaths-Elemente nicht zu. Stellen Sie sicher, dass Folgendes festgelegt ist: <SafeMode> CallStack=""false"" und AllowPageLevelTrace=""false"" Stellen Sie sicher, dass die Webpartlimits für maximale Steuerelemente pro Zone niedrig festgelegt sind. Stellen Sie sicher, dass die Liste SafeControls auf die mindestens für die Websites benötigten Steuerelemente festgelegt ist. Stellen Sie sicher, dass die Liste Workflow SafeTypes auf die mindestens benötigen SafeTypes festgelegt ist. Stellen Sie sicher, dass customErrors aktiviert ist (<customErrors mode=""On""/>). Berücksichtigen Sie gegebenenfalls die Webproxyeinstellungen (<system.net>/<defaultProxy>). Legen Sie das Limit upload.aspx auf die höchste Größe fest, die aller Wahrscheinlichkeit nach von Benutzern hochgeladen wird (der Standardwert ist 2 GB). Durch Uploads mit einer Größe von mehr als 100 MB kann die Leistung beeinträchtigt werden.

Schützen der Snapshotergänzungen für Datenbankserver

In der folgenden Tabelle werden Empfehlungen für das Schützen der Datenbankserverergänzungen beschrieben.

Komponente	Charakteristische Ausnahme
Dienste	Keine zusätzlichen Empfehlungen
Protokolle	Keine zusätzlichen Empfehlungen
Konten	Entfernen Sie nicht verwendete Konten regelmäßig manuell.
Dateien und Verzeichnisse	Keine zusätzlichen Empfehlungen
Freigaben	Keine zusätzlichen Empfehlungen
Ports	Blockieren Sie UDP-Port 1434. Ziehen Sie das Blockieren von TCP-Port 1433 in Betracht.
Registrierung	Keine zusätzlichen Empfehlungen
Überwachung und Protokollierung	Keine zusätzlichen Empfehlungen
SQL Server-Einstellungen	Siehe Anleitung für SQL Server-Einstellungen weiter unten.
SQL Server-Sicherheit	Keine zusätzlichen Empfehlungen
SQL Server-Anmeldungen, Benutzer und Rollen	Keine zusätzlichen Empfehlungen
SQL Server-Datenbankobjekte	Keine zusätzlichen Empfehlungen

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

• Planung und Architektur für Office SharePoint Server 2007, Teil 2 (in englischer Sprache)

• Planen einer Extranetumgebung für Office SharePoint Server (in englischer Sprache)

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007