SharePoint-Sicherheit: Grundlagen zur Sicherheit für SharePoint-Bereitstellungen

Brien Posey

Selbst ein unerfahrener Administrator kann Microsoft Office SharePoint Server 2007 innerhalb weniger Stunden bereitstellen. Es besteht allerdings die Möglichkeit, dass die grundlegende Bereitstellung zwar funktional, jedoch nicht im Hinblick auf optimale Sicherheit konfiguriert ist. SharePoint Server 2007 ist eine jener Anwendungen, bei denen die Installation einfach, das richtige Vorgehen jedoch weniger einfach ist.

Die Sicherheit stellt eine besondere Herausforderung dar, weil SharePoint 2007 ein monolithisches Produkt ist, das es quasi allen recht machen möchte. SharePoint 2007 ist eine Webanwendung, doch können Sie es auch als Teamarbeitstool, Dokumentserver oder gar als Entwicklungsframework verstehen. Aufgrund seiner abstrakten Art und hochgradigen Anpassbarkeit ist es so schwierig, SharePoint sicher zu machen.

Wie Sie sich sicher denken können, gibt es keine Zauberformel, um SharePoint sicher zu machen. Jede SharePoint-Bereitstellung ist einzigartig. Und deshalb ist eine Einheitslösung einfach nicht praktikabel. Jedoch gibt es einen grundlegenden Ansatz, der für alle Bereitstellungen passt.

Wenn Sie jemals eine SharePoint-Website erstellt haben, dann wissen Sie, dass SharePoint als modulare Anwendung konzipiert wurde, mit deren Bausteinen Sie SharePoint-Websites, -Websitesammlungen, -Listen, -Bibliotheken usw. erstellen können. Und in punkto Sicherheit können Sie diesen modularen Aufbau zu Ihrem Vorteil nutzen.

Dem Grundgedanken nach sichern Sie schwerpunktmäßig die einzelnen Komponenten Ihrer SharePoint-Bereitstellung. Aufgrund der modularen Beschaffenheit von SharePoint benötigt Ihre Bereitstellung meist zahlreiche einzelne SharePoint-Server. Wenn Sie also Ihre Bereitstellung sicher machen möchten, müssen Sie folglich diese individuellen Server so konfigurieren, dass sie sicher sind.

SQL Server

Alle in SharePoint-Listen und -Bibliotheken enthaltene Daten werden in einer zugrunde liegenden SQL Server-Datenbank gespeichert, in der auch die meisten SharePoint-Konfigurationseinstellungen gespeichert sind. Selbstverständlich ist die ordnungsgemäße Sicherung Ihres SQL Server von entscheidender Bedeutung.

Kleinere Unternehmen installieren häufig SQL Server und SharePoint auf ein und demselben Server, um Hardwarekosten zu reduzieren. Jedoch ist die Bereitstellung von SQL Server und SharePoint auf einem gemeinsamen Computer sowohl in Bezug auf die Sicherheit als auch die Leistung ungünstig.

Eines der Grundkonzepte in der IT-Sicherheit besteht in der Verringerung der Angriffsfläche eines Servers auf ein Minimum. Wenn sich SQL und SharePoint auf demselben Server befinden, hat dieser Server eine recht große Angriffsfläche. Meine erste Empfehlung lautet demnach, SQL Server auf einem eigenen Computer laufen zu lassen. Wenn ein dedizierter SQL Server über das Budget Ihrer Organisation hinaus geht, ziehen Sie den Einsatz von Servervirtualisierung in Betracht, um SQL und SharePoint voneinander zu isolieren.

Es empfiehlt sich außerdem, alle nicht mehr verwendeten Dienste und Komponenten zu deaktivieren. Eine grundlegende SharePoint-Bereitstellung verwendet das SQL Server-Datenbankmodul, den SQL Server-Agenten und die SQL Server-Browserkomponenten. Erweiterte Installationen benötigen möglicherweise Volltextindizierung, Analysis oder Reporting Services.

Wie entscheiden Sie, was deaktiviert werden kann? Microsoft stellt ein Tool namens SQL Server-Oberflächenkonfigurationstool (siehe Abbildung 1) bereit, das dabei hilfreich sein kann. Dieses Tool dient der Analyse Ihrer SQL Server-Implementierung und der Deaktivierung aller nicht verwendeten Elemente. Dieses Dienstprogramm sollten Sie ausführen, sobald SharePoint installiert und funktionsfähig ist.

Um auf das Tool zuzugreifen klicken Sie im Server im Menü „Start | Alle Programme | Microsoft SQL Server 2005 | Konfigurationstools“ auf die Option „SQL Server-Oberflächenkonfiguration“.

SQL Server-Oberflächenkonfigurationstool

Abbildung 1 Mit dem SQL Server-Oberflächenkonfigurationstool können Sie bestimmen, welche Komponenten und Dienste Sie deaktivieren können.

Außerdem sollten Sie die Authentifizierungsmethode für die SQL Server-Sicherheit mit Bedacht auswählen. Sie könnten zwar entweder den gemischten Modus oder den Windows-Authentifizierungsmodus auswählen, sollten jedoch Ihren SQL Server so konfigurieren, dass nach Möglichkeit immer Windows-Authentifizierung verwendet wird. Der Windows-Modus ist sicherer als der gemischt Modus, weil der beim Authentifizierungsverfahren das Kerberos-Sicherheitsprotokoll verwendet. Darüber hinaus arbeitet die Windows-Authentifizierung mit Domänenbenutzerkonten, so dass Kennwortrichtlinien, die Sie in Ihrem Active Directory festgelegt haben, weiterhin gültig bleiben.

Dienstkonten

Einer der größten Fehler hinsichtlich Sicherheit, den Administratoren bei der Bereitstellung von SharePoint 2007 machen, ist die nicht ordnungsgemäße Konfiguration der Dienstkonten. Wenn Sie jemals SharePoint 2007 installiert haben, wissen Sie, dass Sie an mehreren Stellen im Verlauf der Bereitstellungs- und Konfigurationsverfahren aufgefordert werden, ein Dienstkonto anzugeben.

Allzu oft erstellen die Administratoren nur ein Dienstkonto und verwenden es über die gesamte SharePoint-Installation hinweg. Der sich daraus ergebende SharePoint-Server ist zwar funktionsfähig, doch birgt diese Methode vom Standpunkt der Sicherheit einige Risiken.

Das Problem ist Folgendes: Wenn Sie in SharePoint ein Dienstkonto angeben, werden dem benannten Konto Rechte zur Ausführung der jeweiligen Aufgabe eingeräumt. SharePoint gibt dem Konto nicht mehr und nicht weniger Rechte, als zur Erfüllung der Aufgabe erforderlich sind. Wenn Sie jedoch dasselbe Dienstkonto im Verlauf der Bereitstellung mehrere Male verwenden, besitzt das Konto letztendlich übermäßig viele Rechte, weil es bei jeder Verwendung weitere Rechte bekommt. Anschließend könnte jemand auf einem SharePoint-Server einen Code ausführen, der diese übermäßigen Rechte auswertet, und so die Kontrolle über den Server erlangen.

Die Informationen über die Strukturierung der in SharePoint verwendeten Konten sind größtenteils widersprüchlich. Es ist selbst schwierig geworden, die empfohlenen bewährten Methoden zu bestätigen. Nichtsdestotrotz ist bei Durchführung einer grundlegenden SharePoint-Bereitstellung die Nutzung von mindestens fünf separaten Konten ratsam.

Es empfiehlt sich auch, ein spezielles Benutzerkonto ausschließlich zum Zweck der Installation von SharePoint und SQL Server zu erstellen. Für Administratoren ist es ein übliches Verfahren, zur Anmeldung bei der SharePoint-Bereitstellung entweder ihr eigenes persönliches Konto oder das Domänenadministratorkonto zu benutzen. Die Verwendung des eigenen Kontos kann unter Sicherheitsaspekten ein Fehler sein, weil diesem Konto zusätzliche Rechte gewährt werden, um die Einrichtung durchzuführen.

Wenn Sie sich für die Nutzung eines speziellen Kontos für die Installation entscheiden, müssen Sie das Konto auf jedem Ihrer SharePoint-Server zum Mitglied der lokalen Gruppe des Administrators machen. Ferner müssen Sie das Konto zum Mitglied der Gruppe der SQL Server-Anmeldungen machen, damit das Konto sich bei Ihrer SQL Server-Instanz anmelden kann.

Schließlich müssen Sie das Konto auf Ihrem SQL Server den Rollen SQL Server-Datenbankersteller und SQL Server-Sicherheitsadministrator zuweisen. Diese Rollen geben den Konten die Berechtigung zum Erstellen und Ändern von Datenbanken und Verwalten der Sicherheit von SQL Server. Diese besonderen Berechtigungen bilden die Grundlage für die Empfehlung, ein spezielles Benutzerkonto zu verwenden.

Neben der Erstellung eines eigenen Kontos für den SharePoint-Installationsprozess müssen Sie einige weitere Dienstkonten erstellen:

Datenbankzugriffskonto. Das ist das Konto, über das SharePoint mit der SQL Server-Datenbank kommuniziert.

SharePoint-Suchdienstkonto. Der SharePoint-Suchdienst benutzt dieses Konto, um Inhaltsindexdateien auf den Indexserver zu schreiben und die Indexinformationen auf andere in der Serverfarm vorhandene Abfrageserver zu replizieren.

Inhaltszugriffskonto. Mit diesem Konto werden Inhalte innerhalb eines bestimmten Anbieters für gemeinsame Dienste durchsucht. In manchen Fällen müssen Sie möglicherweise mehrere Inhaltszugriffskonten erstellen, so dass mehrere Inhaltsquellen einzeln durchsucht werden können.

Anwendungspool-Dienstkonto. Arbeitsprozesse in IIS verwenden dieses Konto. Die Webanwendungen in dem Pool müssen eine Möglichkeit zum Zugreifen auf SharePoint-Inhaltsdatenbanken haben, und das Anwendungspool-Identitätskonto ermöglicht diesen Vorgang.

SQL Server-Dienstkonto. SQL Server erfordert ebenfalls ein Dienstkonto, und Sie sollten zu diesem Zweck ein eigenes Konto vorsehen.

Bei erweiterten SharePoint-Bereitstellungen werden möglicherweise zusätzliche Dienstkonten benötigt. Der Abschnitt „Verwandter Inhalt“ am Ende dieses Artikels enthält einen Link zu einem TechNet-Artikel mit ausführlichen Informationen über die anderen Dienstkonten, die Sie möglicherweise brauchen.

Benennungskonventionen

Bisher haben Sie erfahren, dass Sie zahlreiche Konten erstellen müssen, bevor Sie überhaupt mit der Bereitstellung von SharePoint beginnen. Ein Trick für eine reibungslose Bereitstellung lautet, vor dem Erstellen der Dienstkonten eine Benennungskonvention zu bestimmen.

Zur Festlegung einer Benennungskonvention für Dienstkonten kann man auf unterschiedliche Weise vorgehen. Sie sollten jedoch einige wenige Grundregeln beachten. Es ist ratsam, so aussagekräftige Namen wie möglich auszuwählen, und sich die Zeit zu nehmen, die gewählten Namen mitsamt dem zugehörigen Zweck zu dokumentieren. Beispielsweise könnten Sie das SharePoint-Suchkonto „SPT_Suche“ oder ähnlich nennen.

Aufgrund bestimmter Einschränkungen aus der Vergangenheit sollte SharePoint nicht ausgeschrieben werden. Windows erlaubt Benutzernamen von über 100 Zeichen. Allerdings waren die Benutzernamen früher auf sechzehn Zeichen begrenzt. Zeitweise können unerwartete Probleme mit längeren Benutzernamen auftreten, die auf ältere Hardware oder Software zurückzuführen sind. Diese Schwierigkeiten sind zwar selten, aber nicht ganz auszuschließen. Deshalb sollten Sie besser bei den kürzeren Namen bleiben.

Und bedenken Sie: Ich habe zwar empfohlen, aussagekräftige Namen für Dienstkonten zu verwenden, was den Administratoren sicherlich ihre Aufgaben erleichtert; allerdings bietet dies nicht unbedingt Gewähr für optimale Sicherheit. Dienstkonten sind ideale Ziele für Hacker, weil sie über höhere Berechtigungen als normale Benutzerkonten verfügen. Sie haben darüber hinaus oft auch statische, unveränderte Kennwörter. Vor diesem Hintergrund sollten Sie erwägen, Ihre Dienstkonten zu tarnen. Denken Sie in diesem Fall daran, die Namen und Funktionen der Dienstkonten zu dokumentieren.

Verschlüsselung von Datenverkehr

Bei der Planung einer SharePoint-Bereitstellung verwenden die Administratoren viel Zeit auf den Entwurf der Serverarchitektur. Ein manchmal übersehenes Element ist die Public Key-Infrastruktur (PKI). Sie müssen PKI einrichten, bevor Sie SharePoint bereitstellen, damit Sie den SharePoint-Verkehr richtig verschlüsseln können. HTTP-Verkehr zwischen SharePoint-Servern und Endbenutzern muss SSL-verschlüsselt sein (mit HTTPS).

Gleichermaßen muss Datenverkehr zwischen SharePoint-Servern mit IPSec verschlüsselt sein. Beide Arten der Verschlüsselung sind von Zertifikaten und einer zugrunde liegenden PKI-Infrastruktur abhängig.

Diese bewährten Sicherheitsverfahren sind keinesfalls erschöpfend. Sie bilden jedoch einen guten Ausgangspunkt, von dem aus Sie dafür sorgen können, dass Ihre SharePoint-Installation so sicher wie möglich ist.

Brien Posey*, MVP, ist freischaffender technischer Redakteur, der Tausende von Artikeln und Dutzende Bücher verfasst hat. Sie können seine Website unter*brienposey.com besuchen.

Verwandter Inhalt

·       Plan für Administrator- und Dienstkonten (Office SharePoint Server)

·       Erläuterungen zur Oberflächenkonfiguration

·       Schritt-für-Schritt-Anleitung für Active Directory-Zertifikatdienste