Überprüfen der Checklisten für den Entwurf sicherer Topologien (Windows SharePoint Services)
Inhalt dieses Artikels:
Checkliste für den Entwurf der Servertopologie
Checkliste für den Entwurf der Netzwerktopologie
Checkliste für den Entwurf der logischen Architektur
Checkliste für den Entwurf des Betriebssystems
In Windows SharePoint Services 3.0 hängt eine erfolgreiche Verstärkung der Serversicherheit davon ab, dass die Servertopologie und die logische Architektur für eine gezielte Isolation und sichere Kommunikation entworfen wurden.
In den vorherigen Artikeln zur Planung werden Topologie und logische Architektur ausführlich behandelt. Dieser Artikel enthält Checklisten, mit denen Sie sicherstellen können, dass Ihre Pläne die Kriterien für einen sicheren Entwurf erfüllen.
Verwenden Sie die Checklisten für den Entwurf einer sicheren Topologie in folgenden Sicherheitsumgebungen:
Von der internen IT-Abteilung gehostet
Externe sichere Zusammenarbeit
Externer anonymer Zugriff
Checkliste für den Entwurf der Servertopologie
Überprüfen Sie die folgende Checkliste, um sicherzustellen, dass Ihre Pläne die Kriterien für einen sicheren Servertopologieentwurf erfüllen.
[ ] |
Die Topologie enthält dedizierte Front-End-Webserver. |
[ ] |
Server, die die Windows SharePoint Services-Suchrolle und die Datenbankserverrolle hosten, sind vor direktem Benutzerzugriff geschützt. |
[ ] |
Die Website für die SharePoint-Zentraladministration wird auf demselben Server gehostet, der die Windows SharePoint Services-Suchrolle hostet. |
Checkliste für den Entwurf der Netzwerktopologie
Überprüfen Sie die folgende Checkliste, um sicherzustellen, dass Ihre Pläne die Kriterien für einen sicheren Netzwerktopologieentwurf erfüllen.
[ ] |
Alle Server in der Farm befinden sich in einem einzigen Rechenzentrum und im selben vLAN. |
[ ] |
Der Zugriff ist über einen einzigen Eingangspunkt, eine Firewall, zulässig. |
[ ] |
Für eine sicherere Umgebung wird die Farm in drei Schichten (Front-End-Web, Suche und Datenbank) aufgeteilt, die durch Router oder Firewalls an jeder vLAN-Grenze getrennt sind. |
Checkliste für den Entwurf der logischen Architektur
Überprüfen Sie die folgende Checkliste, um sicherzustellen, dass Ihre Pläne die Kriterien für einen sicheren Entwurf der logischen Architektur erfüllen.
[ ] |
In mindestens einer Zone in jeder Webanwendung wird die NTLM-Authentifizierung verwendet. Dies ist für das Crawlen von Inhalten in der Webanwendung durch das Suchkonto erforderlich. Weitere Informationen finden Sie unter Planen von Authentifizierungsmethoden (Windows SharePoint Services). |
[ ] |
Webanwendungen sind mithilfe von Hostnamen anstelle der zufällig generierten Portnummern implementiert, die automatisch zugewiesen werden. Verwenden Sie keine IIS-Hostheaderbindungen (Internet Information Services, Internetinformationsdienste), wenn die Webanwendung hostheaderbasierte Websitesammlungen hosten wird. |
[ ] |
Erwägen Sie die Verwendung separater Webanwendungen in den folgenden Situationen:
|
[ ] |
Erwägen Sie in einer Reverseproxyumgebung die Verwendung des Standardports für das öffentlich zugängliche Netzwerk und die Verwendung eines nicht standardmäßigen Ports im internen Netzwerk. Dies kann dazu beitragen, einfache Portangriffe im internen Netzwerk zu verhindern, bei denen angenommen wird, dass sich HTTP immer an Port 80 befindet. |
[ ] |
Beim Bereitstellen von benutzerdefinierten Webparts werden nur vertrauenswürdige Webparts in Webanwendungen bereitgestellt, die vertraulichen oder sicheren Inhalt hosten. Dies schützt den vertraulichen Inhalt vor domäneninternen Skriptangriffen. |
[ ] |
Für die Zentraladministration und für jede eindeutige Webanwendung werden separate Anwendungspoolkonten verwendet. |
Checkliste für den Entwurf des Betriebssystems
Überprüfen Sie die folgende Checkliste, um sicherzustellen, dass Ihre Pläne die Kriterien für einen sicheren Betriebssystementwurf erfüllen.
[ ] |
Das Serverbetriebssystem ist für die Verwendung des NTFS-Dateisystems konfiguriert. |
[ ] |
Die Uhren auf allen Servern in der Farm sind synchronisiert. |