Compartir a través de

Planeación de configuraciones seguras para las características de Office SharePoint Server

  • Artículo

En este artículo:

  • Recomendaciones para las características de Office SharePoint Server

En este artículo encontrará recomendaciones para configurar y administrar las características de Microsoft Office SharePoint Server 2007 de forma más segura. Normalmente, las configuraciones recomendadas se establecen en Administración central en lugar de en la red, el sistema operativo, Internet Information Services (IIS) o Microsoft .NET Framework. Las recomendaciones de este artículo son adecuadas para los siguientes entornos de seguridad:

  • Equipo o departamento internos

  • Entorno hospedado de TI interno

  • Colaboración externa segura

  • Acceso anónimo externo

Para obtener más información acerca de estos entornos, vea Elección del entorno de seguridad (Office SharePoint Server).

Recomendaciones para las características de Office SharePoint Server

En la tabla siguiente se describen recomendaciones seguras para las características de Office SharePoint Server 2007.

Característica o área Descripción y recomendación

Autenticación

  • No use el inicio de sesión automático del cliente cuando use el sitio de Administración central.

  • Permita sólo a los equipos servidor cliente web realizar la autenticación de los usuarios. No permita a cuentas o grupos de usuarios finales realizar la autenticación con el equipo servidor de la base de datos.

Autorización

Asigne permisos a grupos en lugar de a cuentas individuales.

Niveles de permisos

Asigne a los usuarios el menor número de permisos posible para que puedan completar sus tareas.

Administración

Use permisos de acceso para proteger el sitio de Administración central y permitir a los administradores conectarse al sitio de forma remota (en lugar de habilitar el sitio de Administración central sólo para el uso del equipo local). De este modo, los administradores no tienen que iniciar sesión de forma local en el equipo que hospeda Administración central. Configurar el acceso de Terminal Services al equipo crea un riesgo de seguridad mayor que si se deja el sitio web de Administración central disponible para el acceso remoto.

Integración con correo electrónico

  • Configure Office SharePoint Server 2007 para aceptar sólo correo electrónico que haya sido retransmitido a través de un servidor de correo dedicado, como Microsoft Exchange Server, que filtre los virus y el correo electrónico comercial no solicitado, al tiempo que autentique al remitente del correo.

  • Al establecer la configuración de flujos de trabajo, Office SharePoint Server 2007 permite dar a los participantes que no tienen permisos acceso a un documento en un sitio para recibir el documento como datos adjuntos de correo electrónico. En un entorno seguro, no seleccione la opción Permitir a los usuarios externos participar en el flujo de trabajo enviándoles una copia del documento. En Office SharePoint Server 2007, esta opción no está seleccionada de manera predeterminada.

Almacenamiento y seguridad de elementos web

  • Asegúrese de implementar sólo código de confianza en la granja de servidores. Todo el código XML o ASP.NET que implemente debe proceder de un origen de confianza, incluso si tiene previsto reforzar la seguridad tras la implementación con medidas de defensa en profundidad como seguridad de acceso del código.

  • Asegúrese de que la lista SafeControl del archivo Web.config contenga el conjunto de controles y elementos web que desea permitir.

  • Asegúrese de que los elementos web personalizados que va a reforzar con medidas de defensa en profundidad estén instalados en el directorio bin de la aplicación web (donde está activada la confianza parcial), con permisos específicos para cada ensamblado.

  • Considere la posibilidad de quitar el elemento web Editor de contenido de la lista SafeControl. Esto impide a los usuarios agregar JavaScript en la página como elemento web y usar JavaScript hospedado en servidores externos.

  • Asegúrese de conceder los niveles de permisos de diseño y colaboración del sitio a las personas adecuadas. Un usuario con el nivel de permisos de colaboración puede cargar páginas de Active Server Page Extension (ASPX) a una biblioteca y agregar elementos web. Los usuarios con el nivel de permisos de diseño, que pueden agregar elementos web, pueden modificar páginas, incluida la página principal del sitio (Default.aspx).

Búsqueda

  • La cuenta de acceso a contenido predeterminada no debe pertenecer al grupo de administradores de la granja de servidores; de lo contrario, los índices del servicio Office SharePoint Server Search indizarán las versiones sin publicar de los documentos.

  • Asegúrese de que los IFilters y separadores de palabras adicionales que implemente sean de confianza para el equipo de TI.

  • De forma predeterminada, el archivo de índice de búsqueda es accesible sólo para los miembros del grupo de administradores de granjas de servidores. Asegúrese de que este archivo no sea accesible para los usuarios que no pertenecen a este grupo.

Perfiles de usuario

La cuenta de acceso al contenido Perfiles de usuario y propiedades se usa para conectarse e importar datos de un servicio de directorio. Si no proporciona credenciales para esta cuenta, se usa la cuenta predeterminada de acceso al contenido en su lugar. Puede especificar una cuenta distinta para cada servicio de directorio. Para un entorno más seguro, use una cuenta que tenga acceso de lectura al servicio de directorio. No dé acceso al servicio de directorio a la cuenta predeterminada de acceso al contenido. Para obtener más información, vea Planeación de cuentas administrativas y de servicio (Office SharePoint Server).

Mis sitios

  • Las personas que tienen el nivel de permisos de lectura pueden ver todos los sitios de Mi sitio. De forma predeterminada, todos los usuarios autenticados reciben el nivel de permisos de lectura. Para un entorno más seguro, conceda el nivel de permisos de lectura sólo a los grupos necesarios. Puede conceder el nivel de permisos de lectura a grupos individuales en la sección Grupo de sitio predeterminado Lector en la página Configuración de Mi sitio en el sitio web de Administración de servicios compartidos. Para especificar las acciones que pueden realizar los miembros de un grupo, en la página principal de Administración de servicios compartidos, haga clic en la configuración Permisos de servicios de personalización, seleccione el grupo cuyos permisos desea cambiar y, a continuación, haga clic en Modificar permisos de los usuarios seleccionados.

  • Los proveedores de servicios compartidos (SSP) se pueden configurar para que confíen en otros SSP en un entorno. Esta confianza permite a un SSP determinar a qué SSP pertenece un usuario. De este modo, cuando un usuario crea un sitio de Mi sitio, los SSP de confianza pueden determinar qué SSP debe hospedar el sitio de Mi sitio, independientemente de la ubicación que esté examinando el usuario cuando haga clic en el vínculo para crear un sitio de Mi sitio. Esto garantiza que los usuarios tengan sólo un sitio de Mi sitio en la organización. Asimismo, cuando los usuarios agregan vínculos a sus sitios personales, los SSP de confianza crearán el vínculo a partir del contexto del SSP del usuario, en lugar del SSP que está examinando el usuario. Los SSP de confianza también garantizan que los vínculos no se agreguen a ubicaciones que no son de confianza. Para un entorno más seguro, asegúrese de que las listas de ubicaciones de hosts de Mi sitio de confianza se administren de manera uniforme en todos los SSP. Lo ideal es configurar las listas del mismo modo para todos los SSP.

Creación de sitios sin intervención del administrador (SSC)

Puede usar la página Administración de sitios sin intervención del administrador para permitir a los usuarios crear y administrar sus propios sitios web de nivel superior automáticamente. Al habilitar la creación de sitios sin intervención del administrador, los usuarios pueden crear sus propios sitios web de nivel superior en una ruta de acceso específica (de forma predeterminada, la ruta de acceso /sites). Cuando la creación de sitios sin intervención del administrador está habilitada, se agrega un anuncio al sitio de nivel superior en la ruta de acceso raíz de la aplicación web y los usuarios que tienen permiso para ver dicho anuncio pueden establecer vínculos con el nuevo sitio.

Si se debe habilitar la creación de sitios sin intervención del administrador depende del entorno:

  • Entorno de intranet     Habilite la creación de sitios sin intervención del administrador si existe la necesidad empresarial.

  • Entorno de colaboración seguro   Habilite la creación de sitios sin intervención del administrador sólo para las personas o grupos que tienen necesidad empresarial de esta característica.

  • Entorno anónimo externo    No habilite la creación de sitios sin intervención del administrador en Internet.

Directorio de sitios

Algunas plantillas de sitio incluyen un directorio de sitios. Un directorio de sitios es una página web de vínculos de sitio que están aprobados. Cualquiera puede enviar un sitio para que se incluya en el directorio de sitios. Sólo los administradores del directorio de sitios pueden aprobar y agregar sitios al directorio de sitios.

  • En una intranet segura, no apruebe vínculos a sitios fuera del firewall corporativo.

  • De forma predeterminada, cualquier persona que tenga el nivel de permisos de colaborador puede enviar sitios para su aprobación. Esto no se recomienda para sitios de gran tamaño de la intranet y sitios públicos. Para estos sitios, limite el número de personas que pueden enviar sitios reduciendo el número de personas a las que concede el nivel de permisos de colaborador o permitiendo sólo a los administradores del directorio de sitios enviar sitios.

Elemento web RSS

De manera predeterminada, el elemento web RSS sólo puede obtener acceso a fuentes anónimas. Para permitir fuentes autenticadas (como fuentes a contenido de un sitio de SharePoint autenticado), debe conceder a los equipos servidor web acceso a los equipos servidor que corresponda por medio de la delegación limitada en el servicio de directorio de Active Directory.

Almacenamiento en caché del contenido de páginas con contenido personalizado

Puede usar el almacenamiento en caché de resultados para optimizar el rendimiento de los sitios que muestran contenido personalizado. En este caso, la sustitución después del almacenamiento en caché se usa para asegurarse de que el contenido personalizado se actualiza para el usuario. Por tanto, si toda la página o la mayor parte de la página incluye contenido personalizado, el rendimiento no mejora mucho si se usa el almacenamiento en caché de resultados.

Si tiene previsto habilitar el almacenamiento en caché de resultados en páginas con contenido personalizado, asegúrese de que los sitios que muestran contenido personalizado admitan la sustitución después del almacenamiento en caché si se cumplen las siguientes condiciones:

  • Los usuarios tanto anónimos como autenticados tienen acceso al contenido.

  • La solución incluye sitios con controles que muestran contenido personalizado (para usuarios autenticados).

En este escenario, todos los usuarios anónimos verán un contenido idéntico. El contenido que ven los usuarios autenticados depende de si se muestra el contenido personalizado y si se admite la sustitución después del almacenamiento en caché para este contenido:

  • Si se admite la sustitución después del almacenamiento en caché para el contenido personalizado, los usuarios autenticados con los mismos permisos sólo pueden ver su propio contenido personalizado.

  • Si no se admite la sustitución después del almacenamiento en caché para el contenido personalizado, los usuarios con los mismos permisos también verán un contenido idéntico. Por ejemplo, si primero se almacena en caché contenido personalizado para el usuario A, todos los demás usuarios con los mismos permisos verán el contenido personalizado del usuario A en lugar del suyo.

Distribución de contenido

Si no usa la característica de distribución de contenido, no permita que la granja de servidores acepte trabajos de distribución de contenido entrantes de otra granja. La configuración predeterminada consiste en rechazar los trabajos de distribución de contenido entrantes.

InfoPath Forms Server

  • Si está habilitado, el proxy del servicio web InfoPath Forms Services debe ejecutarse bajo una cuenta de grupo de aplicaciones única. Deshabilite el proxy si no se usa.

  • Revise todas las plantillas de formulario que contengan código antes de cargarlas en el equipo servidor. Para obtener más información, vea Implementación de plantillas de formulario aprobadas por el administrador (Office SharePoint Server).

  • En escenarios de sólo explorador, use las listas de control de acceso (ACL) de Office SharePoint Server 2007 para impedir que los usuarios descarguen el XSN.

  • Piense detenidamente si va a permitir que las plantillas de formulario de usuario estén habilitadas para exploradores.

  • Piense detenidamente si va a permitir la representación en el explorador de las plantillas de formulario de usuario.

  • Use los umbrales configurables para mitigar los ataques por denegación de servicio. Las sesiones de usuario finalizan según determinados umbrales, entre ellos:

    • Número máximo de devoluciones permitidas por estado de sesión del formulario.

    • Número máximo de acciones permitidas por devolución.

    • Tamaño máximo del estado de sesión del formulario.

    • Tiempo máximo que puede estar activa una sesión del formulario.

  • Use estas características cuidadosamente en formularios habilitados para el explorador. Las siguientes características pueden hacer que el XML de formularios aumente de tamaño significativamente, lo que a su vez puede aumentar el riesgo de ataques por denegación de servicio:

    • Firmas digitales

    • Control de datos adjuntos del archivo

    • Control de texto enriquecido

    • Consultas de conexión de datos que pueden devolver grandes conjuntos de resultados

Conexiones de datos de InfoPath

  • Deje la opción Aprobación del contenido activada en las bibliotecas de conexiones de datos y asegúrese de que sólo los usuarios de confianza tienen derechos de aprobación del contenido.

  • Proteja la información de autenticación sólo del servidor mediante el atributo AltDataSource en el archivo de conexión de datos universal (UDC) y dando a los usuarios sólo el permiso de visualización en el archivo UDC del servidor, o estableciendo webAccessible en False en la biblioteca de conexiones administradas por el administrador (Administrar archivos de conexión de datos).

  • Revise y supervise el uso de conexiones de datos entre dominios para asegurarse de que sólo se mueven dentro y fuera del dominio los datos adecuados.

  • De forma predeterminada, las plantillas de formulario de usuario representadas en un explorador no pueden usar la autenticación sólo del servidor. En un entorno seguro, limite el uso de la autenticación sólo del servidor, como el inicio de sesión único (SSO) o la autenticación de nombres de usuario y contraseñas explícitos.

  • No use nombres de usuario y contraseñas explícitos en archivos UDC excepto para prototipos en un equipo servidor de prueba. Use SSO en su lugar.

  • No use credenciales incrustadas de SQL Server en una cadena de conexión de base de datos. Use SSO en su lugar.

  • Use el proxy del servicio web sólo con un servicio web diseñado para usar el valor de UserNameToken proporcionado para autorizar el acceso a los datos o limitar el conjunto de datos que se devuelve.

  • Requiera una conexión de Capa de sockets seguros (SSL) al conectarse a orígenes de datos que requieren la autenticación básica o implícita, ya que las credenciales se transmiten de forma no segura por la red.

  • No autentique a los usuarios basándose en datos escritos en un formulario por el usuario. En lugar de ello, use un método de autenticación más seguro.

Acceso a datos de Excel Calculation Services

Existen dos modelos de acceso a datos que puede usar para cualquiera de las topologías de granjas de servidores de Servicios de Excel en Microsoft Office SharePoint Server 2007: subsistema de confianza y delegación limitada de Kerberos.

  • Subsistema de confianza   Configuración predeterminada de una granja de servidores de Windows, porque no tiene los requisitos de configuración adicionales del modelo de delegación. En el modelo del subsistema de confianza, los servidores cliente web y los servidores de aplicaciones que ejecutan Excel Calculation Services confían en las cuentas de las aplicaciones de Office SharePoint Server 2007 asociadas mediante el SSP. En un entorno de subsistema de confianza, al abrir archivos desde Office SharePoint Server 2007, se pueden realizar comprobaciones de permisos en los archivos en relación con las identidades de los usuarios finales incluso si no está configurada la autenticación Kerberos. Si los servidores de aplicaciones de Excel Calculation Services abren libros desde carpetas compartidas de convención de nomenclatura universal (UNC) o sitios web HTTP, no es posible suplantar la cuenta de usuario y se debe usar la cuenta de proceso.

  • Delegación limitada de Kerberos   La delegación limitada de Kerberos es la configuración preferida para implementar Servicios de Excel. La delegación limitada de Kerberos es la configuración más segura para la comunicación entre servidores cliente web y servidores de aplicaciones de Excel Calculation Services. La delegación limitada de Kerberos es también la configuración más segura para obtener acceso a orígenes de datos back-end desde servidores de aplicaciones. Para las conexiones de datos externos, la autenticación integrada de Windows sólo funciona si se implementa el modelo de delegación.

Comunicación segura de Excel Calculation Services

Puede usar el protocolo de seguridad de Internet (IPsec) o SSL para cifrar la transmisión de datos entre servidores de aplicaciones, orígenes de datos, equipos cliente y servidores cliente web de Servicios de Excel. Para requerir la transmisión de datos cifrados entre equipos cliente y servidores cliente web, en el sitio web de Administración de servicios compartidos, en la página de configuración de Excel Services, cambie el valor de Cifrado de la conexión de No se requiere a Requerido. No se requiere es la opción predeterminada. Si cambia el valor de Cifrado de la conexión a Requerido, el servidor de aplicaciones de Excel Calculation Services sólo permite las transmisiones de datos entre equipos cliente y servidores cliente web mediante conexiones SSL.

Si decide requerir la transmisión de datos cifrada, debe configurar manualmente IPsec o SSL. Puede requerir conexiones cifradas entre los equipos cliente y los servidores cliente web a la vez que permite conexiones no cifradas entre los servidores cliente web y los servidores de aplicaciones de Excel Calculation Services.

Descarga de este libro

En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:

Vea la lista completa de libros disponibles en la página que muestra el contenido descargable para Office SharePoint Server 2007.