Planifier le renforcement de la sécurité pour des environnements extranet

Mise à jour : 2009-04-23

Dans cet article :

  • Outil de planification du renforcement de la sécurité extranet

  • Topologie de réseau

  • Relations d’approbation de domaine

  • Communication avec les rôles de batterie de serveurs

  • Communication avec les rôles de serveur d’infrastructure

  • Conditions requises pour la prise en charge de la conversion des documents

  • Communication entre les domaines du réseau

  • Connexions aux serveurs externes

Cet article décrit les contraintes liées au renforcement de la sécurité d’un environnement extranet dans lequel une batterie de serveurs Microsoft Office SharePoint Server 2007 est placée dans un réseau de périmètre et dont le contenu est disponible à partir d’Internet ou du réseau d’entreprise.

Pour plus d’informations sur les topologies extranet prises en charge, voir Conception de la topologie de la batterie de serveurs extranet (Office SharePoint Server).

Outil de planification du renforcement de la sécurité extranet

L’outil de planification suivant est disponible pour être utilisé parallèlement aux informations disponibles dans l’article : Outil de planification du renforcement de la sécurité extranet : périmètre dos à dos (en anglais) (https://go.microsoft.com/fwlink/?linkid=85533&clcid=0x40C) (en anglais) . Selon la topologie du périmètre dos à dos, cet outil articule la configuration requise des ports pour chacun des ordinateurs exécutant Microsoft Internet Security and Acceleration (ISA) Server et chacun des routeurs ou pare-feu. Cet outil est un fichier Microsoft Office Visio éditable que vous pouvez modifier pour votre environnement. Par exemple, vous pouvez :

  • Ajouter vos numéros de port personnalisés, le cas échéant.

  • Indiquer les ports à utiliser lorsque vous avez le choix entre plusieurs protocoles ou ports.

  • Indiquer les ports spécifiques utilisés pour les communications des bases de données dans votre environnement.

  • Ajouter ou supprimer des conditions pour les ports en fonction des éléments suivants :

    • vous configurez ou non l’intégration de la messagerie ;

    • la couche sur laquelle vous déployez le rôle de requête ;

    • vous configurez une relation d’approbation de domaine entre le domaine de périmètre et le domaine d’entreprise.

Si vous souhaitez disposer d’autres outils de planification pour d’autres topologies extranet prises en charge, faites-nous part de vos commentaires sur cet article pour nous le faire savoir.

Topologie de réseau

Les conseils en matière de renforcement de la sécurité fournis dans cet article sont applicables à de nombreuses configurations extranet différentes. La figure suivante illustre l’implémentation d’une topologie de réseau de périmètre dos à dos mettant en œuvre les rôles serveur et client dans un environnement extranet. Elle vise à illustrer l’articulation de chacun des rôles possibles et de leur relation dans l’environnement global. Par conséquent, le rôle Requête apparaît deux fois. Dans une implémentation réelle, le rôle Requête est déployé sur les serveurs Web ou en tant que serveur d’applications, mais pas sur les deux. En outre, si le rôle Requête est déployé sur les serveurs Web, il est déployé sur tous les serveurs d’une batterie. Afin de décrire les contraintes liées au renforcement de la sécurité, la figure illustre toutes les options. Les routeurs illustrés peuvent être remplacés par des pare-feu.

Schéma de renforcement de la sécurité extranet

Relations d’approbation de domaine

La nécessité d’une relation d’approbation de domaine dépend de la façon dont la batterie de serveurs est configurée. Cette section présente deux configurations possibles.

La batterie de serveurs réside dans le réseau de périmètre

Le réseau de périmètre requiert ses propres infrastructure et domaine de service d’annuaire Active Directory. En règle générale, le domaine de périmètre et le domaine d’entreprise ne sont pas configurés pour s’approuver mutuellement. Toutefois, pour l’authentification des utilisateurs intranet et les employés distants qui utilisent leurs informations d’identification de domaine (authentification Windows), vous devez configurer une relation d’approbation à sens unique dans laquelle le domaine de périmètre approuve le domaine d’entreprise. L’authentification par formulaires et l’authentification unique Web ne nécessitent pas une relation d’approbation de domaine.

La batterie de serveurs est fractionnée entre le réseau de périmètre et le réseau d’entreprise

Si la batterie de serveurs est fractionnée entre le réseau de périmètre et le réseau d’entreprise et que les serveurs de base de données résident dans le réseau d’entreprise, une relation d’approbation de domaine est requise si les comptes Windows sont utilisés. Dans ce scénario, le réseau de périmètre doit approuver le réseau d’entreprise. Si l’authentification SQL est utilisée, une relation d’approbation de domaine n’est pas requise. Le tableau suivant résume les différences entre ces deux approches.

Authentification Windows Authentification SQL

Description

Des comptes de domaine d’entreprise sont utilisés pour tous les comptes de service et d’administration Office SharePoint Server 2007, y compris pour les comptes de pool d’applications.

Une relation d’approbation à sens unique, dans laquelle le réseau de périmètre approuve le réseau d’entreprise, est requise.

Les comptes Office SharePoint Server 2007 sont configurés comme suit :

  • L’authentification SQL est utilisée pour chaque base de données créée.

  • Tous les autres comptes d’administration et de service sont créés en tant que comptes de domaine dans le réseau de périmètre.

  • Les serveurs Web et les serveurs d’applications sont joints au réseau de périmètre.

Une relation d’approbation n’est pas requise mais peut être configurée pour la prise en charge de l’authentification client auprès d’un contrôleur de domaine interne.

Notes

Si les serveurs d’applications résident dans le domaine d’entreprise, une relation d’approbation à sens unique, dans laquelle le réseau de périmètre approuve le réseau d’entreprise, est requise.

Configuration

La configuration comprend les tâches suivantes :

  • Les comptes d’administration et de service Office SharePoint Server 2007 sont créés dans le domaine d’entreprise.

  • Les serveurs Web et les serveurs d’applications sont joints au réseau de périmètre.

  • Une relation d’approbation est établie, dans laquelle le domaine de périmètre approuve le domaine d’entreprise.

La configuration comprend les tâches suivantes :

  • Tous les comptes de base de données doivent être créés en tant que comptes de connexion SQL dans SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio. Ces comptes doivent être créés *avant* toute base de données Office SharePoint Server 2007, y compris la base de données de configuration et la base de données AdminContent.

  • Vous devez utiliser l’outil en ligne de commande Psconfig pour créer la base de données de configuration et la base de données SharePoint_AdminContent. Vous ne pouvez pas utiliser l’Assistant Configuration des produits et technologies SharePoint pour créer ces bases de données. En plus d’utiliser les paramètres -user et -password pour spécifier le compte de la batterie de serveurs, vous devez utiliser les paramètres -dbuser et -dbpassword pour spécifier les comptes d’authentification SQL.

  • Vous pouvez créer des bases de données de contenu supplémentaires dans l’Administration centrale en sélectionnant l’option Authentification SQL. Toutefois, vous devez d’abord créer les comptes de connexion SQL dans SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio.

  • Sécurisez toutes les communications avec les serveurs de base de données à l’aide de SSL.

  • Faites en sorte que les ports utilisés pour la communication avec SQL Server demeurent ouverts entre le réseau de périmètre et le réseau d’entreprise

Informations supplémentaires

La relation d’approbation à sens unique permet aux serveurs Web et aux serveurs d’applications qui sont joints au domaine extranet de résoudre les comptes figurant dans le domaine d’entreprise.

  • Les comptes de connexion SQL sont chiffrés dans le Registre des serveurs Web et des serveurs d’applications.

  • Le compte de batterie de serveurs n’est pas utilisé pour l’accès à la base de données de configuration et à la base de données SharePoint_AdminContent. Les comptes de connexion SQL correspondants sont utilisés à la place.

Les informations indiquées dans le tableau précédent sont valables dans les conditions suivantes :

  • Les serveurs Web et les serveurs d’applications résident dans le réseau de périmètre.

  • Tous les comptes sont créés avec les privilèges minimums nécessaires, les recommandations suivantes devant notamment être respectées :

    • Des comptes distincts sont créés pour tous les comptes d’administration et de service.

    • Aucun compte n’est membre du groupe Administrateurs sur un ordinateur, y compris sur le serveur qui héberge SQL Server.

Si vous utilisez l’authentification SQL, les connexions SQL ci-après doivent être créées avec les autorisations suivantes :

  • Connexion SQL pour le compte utilisé pour exécuter l’outil en ligne de commande Psconfig   Le compte doit être membre des rôles SQL suivants : dbcreator et securityadmin. Il doit être membre du groupe Administrateurs sur chaque serveur sur lequel le programme d’installation est exécuté (pas sur le serveur de bases de données).

  • Connexion SQL pour le compte de batterie de serveurs   Cette connexion est utilisée pour créer la base de données de configuration et la base de données SharePoint_AdminContent. La connexion doit inclure le rôle dbcreator. Il n’est pas nécessaire qu’elle soit membre du rôle securityadmin. Elle doit être créée à l’aide de l’authentification SQL. Configurez la batterie de serveurs pour utiliser l’authentification SQL avec le mot de passe spécifié lorsque vous créez la connexion SQL.

  • Connexion SQL pour toutes les autres bases de données   La connexion doit être créée à l’aide de l’authentification SQL. Elle doit être membre des rôles SQL suivants : dbcreator et securityadmin.

Pour plus d’informations sur les comptes Office SharePoint Server 2007, voir Planifier des comptes d’administration et de service (Office SharePoint Server).

Pour plus d’informations sur la création de bases de données à l’aide de l’outil en ligne de commande Psconfig, voir Référence de la ligne de commande pour l’Assistant Configuration des produits et technologies SharePoint (Office SharePoint Server).

Communication avec les rôles de batterie de serveurs

Lorsque vous configurez un environnement extranet, il est important de comprendre comment les différents rôles de serveur communiquent dans la batterie de serveurs.

Communication entre les rôles de serveur

La figure suivante illustre les canaux de communication dans une batterie de serveurs. Le tableau qui suit la figure indique les ports et protocoles représentés dans la figure. Les flèches noires indiquent le rôle serveur qui initie la communication. Par exemple, le rôle Services de calcul Excel initie la communication avec le serveur de bases de données. Le serveur de bases de données n’initie pas la communication avec le rôle Services de calcul Excel. Une flèche en pointillé rouge indique que n’importe quel serveur initie la communication. Cela est important à savoir lorsque vous configurez les communications entrantes et sortantes sur un pare-feu.

Communication entre serveurs de batteries

Légende Ports et protocoles

1

Accès client (y compris les requêtes de recherche et celles liées à la Gestion des droits relatifs à l’information) ; au moins un des ports suivants :

  • Port TCP 80

  • Port TCP 443 (SSL)

  • Ports personnalisés

2

Service de partage de fichiers et d’imprimantes —*L’une ou l’autre* des configurations suivantes :

  • Protocole SMB à hébergement direct (TCP/UDP 445) (recommandé) ;

  • NetBIOS sur TCP/IP (ports TCP/UDP 137, 138, 139) (à désactiver en cas de non-utilisation).

3

Services Web Office Server — *Les deux* :

  • Port TCP 56737

  • TCP 443 (SSL)

4

Communication de base de données :

  • port TCP/SSL 1433 (par défaut) pour l’instance par défaut (personnalisable) ;

  • port TCP/SSL aléatoire pour les instances nommées (personnalisable).

5

Analyse de la recherche — Suivant la configuration de l’authentification, les sites SharePoint peuvent être étendus avec une zone ou un site IIS (Internet Information Services) supplémentaire afin que le composant d’index puisse accéder au contenu. Cette configuration peut aboutir au paramétrage de ports personnalisés :

  • TCP 80

  • TCP 443 (SSL)

  • ports personnalisés.

6

Service d’authentification unique — Tout rôle serveur pour lequel le service d’authentification unique s’exécute doit pouvoir communiquer avec le serveur de clés de chiffrement via un appel de procédure distante (RPC). Cela inclut tous les serveurs Web, le rôle Services de calcul Excel, et le rôle Index. En outre, si un découpage de sécurité est installé sur le serveur de requête et que ce découpage de sécurité nécessite l’accès aux données d’authentification unique, le service d’authentification unique s’exécute aussi sur ce rôle serveur.

RPC nécessite le port TCP 135 et *soit* :

  • RPC statique — ports élevés restreints (recommandé)

  • RPC dynamique — ports élevés aléatoires de la plage 1024–65535/TCP

Pour plus d’informations sur le serveur de clés de chiffrement et les rôles serveur nécessaires au service d’authentification unique, voir Planifier l’authentification unique.

Les serveurs Web équilibrent automatiquement la charge des demandes de requête sur les serveurs de requête disponibles. Par conséquent, si le rôle Requête est déployé sur des ordinateurs serveurs Web, ces serveurs communiquent les uns avec les autres à l’aide du service Partage de fichiers et d’imprimantes et des services Web Office Server. La figure ci-après illustre les canaux de communication entre ces serveurs.

Du serveur Web au serveur de requêtes

Communication entre les sites d’administration et les rôles serveur

Les sites d’administration incluent :

  • Le site Administration centrale   Ce site peut être installé sur un serveur d’applications ou sur un serveur Web.

  • Les sites d’administration des services partagés   Ces sites sont en miroir sur les serveurs Web.

Cette section détaille les contraintes de port et de protocole pour la communication entre une station de travail d’administrateur et les rôles serveur dans la batterie. Le site Administration centrale peut être installé sur n’importe quel serveur Web ou serveur d’applications. Les modifications de la configuration apportées par l’intermédiaire du site Administration centrale sont communiquées à la base de données de configuration. D’autres rôles de serveur dans la batterie sélectionnent les modifications de configuration qui sont enregistrées dans la base de données de configuration pendant leurs cycles d’interrogation. Par conséquent, le site Administration centrale n’impose pas de nouvelles contraintes de communication aux autres rôles de serveur dans la batterie de serveurs.

La figure ci-dessous illustre les canaux de communication entre une station de travail d’administrateur et les sites d’administration et la base de données de configuration.

Topologie de l’administration du site de l’administrateur

Le tableau ci-après décrit les ports et les protocoles illustrés dans la figure précédente.

Légende Ports et protocoles

A

Site d’administration des services partagés — au moins un des ports suivants :

  • TCP 80

  • TCP 443 (SSL)

  • Ports personnalisés

B

Site Administration centrale ; au moins un des ports suivants :

  • TCP 80

  • TCP 443 (SSL)

  • Ports personnalisés

C

Communication de base de données :

  • port TCP/SSL 1433 (par défaut) pour l’instance par défaut (personnalisable) ;

  • port TCP/SSL aléatoire pour les instances nommées (personnalisable).

Communication avec les rôles de serveur d’infrastructure

Lorsque vous configurez un environnement extranet, il est important de comprendre comment les différents rôles de serveur communiquent au sein des ordinateurs serveurs d’infrastructure.

Contrôleur de domaine Active Directory

Le tableau suivant indique les ports nécessaires pour les connexions entrantes depuis chaque rôle de serveur vers un contrôleur de domaine Active Directory.

Élément Serveur Web Serveurde requête Serveurd’index Services de calcul Excel Serveur de base de données

TCP/UDP 445 (services d’annuaire) ;

X

X

X

X

X

TCP/UDP 88 (authentification Kerberos)

X

X

X

X

X

Ports LDAP (Lightweight Directory Access Protocol)/LDAPS 389 à 636 par défaut (personnalisables)

X

X

X

Les ports LDAP/LDAPS sont nécessaires pour les rôles serveur selon les conditions suivantes :

  • Serveurs Web   Utilisent les ports LDAP/LDAPS si l’authentification LDAP est configurée.

  • Serveur d’index   Le rôle nécessite les ports LDAP/LDAPS pour l’importation des profils à partir des contrôleurs de domaine configurés comme sources d’importation de profils, quel que soit l’emplacement où ils résident.

  • Services de calcul Excel   Utilisent les ports LDAP/LDAPS uniquement si les connexions de sources de données sont configurées pour l’authentification via LDAP.

Serveur DNS

Le tableau suivant indique les ports nécessaires pour les connexions entrantes depuis chaque rôle de serveur vers un serveur DNS (Domain Name System). Dans de nombreux environnements extranet, un serveur héberge à la fois le contrôleur de domaine Active Directory et le serveur DNS.

Élément Serveur Web Serveur de requête Serveur d’index Services de calcul Excel Serveur de base de données

DNS, TCP/UDP 53

X

X

X

X

X

Service SMTP

L’intégration de la messagerie nécessite l’utilisation du service SMTP (Simple Mail Transport Protocol) avec le port TCP 25 sur au moins l’un des serveurs Web frontaux de la batterie de serveurs. Le service SMTP est requis pour le courrier électronique entrant (connexions entrantes). Pour le courrier électronique sortant, vous pouvez utiliser le service SMTP ou router le courrier électronique sortant par l’intermédiaire d’un serveur de messagerie dédié dans votre organisation, tel qu’un ordinateur exécutant Microsoft Exchange Server.

Élément Serveur Web Serveur de requête Serveur d’index Services de calcul Excel Serveur de base de données

Port TCP 25

X

Conditions requises pour la prise en charge de la conversion des documents

Si vous utilisez des convertisseurs de documents sur le serveur, vous devez installer et démarrer les services suivants sur un serveur d’applications :

  • Service de lancement des conversions de documents

  • Service d’équilibrage de la charge de conversion de documents

Généralement, ces services sont installés sur le même serveur d’applications ou sur des serveurs d’applications distincts, selon la topologie qui est la mieux adaptée à vos besoins. Ces services peuvent également être installés sur un ou plusieurs serveurs Web, si nécessaire. S’ils sont installés sur des serveurs distincts, la communication entre ces serveurs doit permettre à ces services de communiquer les uns avec les autres.

Le tableau suivant répertorie les contraintes de port et de protocole pour ces services. Ces contraintes ne concernent pas les rôles serveur dans la batterie pour lesquels ces services ne sont pas installés.

Service Condition requise

Service de lancement des conversions de documents

Port TCP 8082, personnalisable (TCP ou SSL)

Service d’équilibrage de la charge de conversion de documents

Port TCP 8093, personnalisable (TCP ou SSL)

Pour plus d’informations sur la configuration de ces services dans une batterie de serveurs, voir Conception de la topologie de conversion des documents.

Communication entre les domaines du réseau

Communication Active Directory

La communication Active Directory entre les domaines en vue de la prise en charge de l’authentification auprès d’un contrôleur de domaine à l’intérieur du réseau d’entreprise nécessite au moins une relation d’approbation à sens unique dans laquelle le réseau de périmètre approuve le réseau d’entreprise.

Dans l’exemple qu’illustre la première figure de cet article, les ports suivants sont requis en tant que connexions entrantes vers le serveur ISA B pour la prise en charge d’une relation d’approbation à sens unique :

  • TCP/UDP 135 (RPC) ;

  • TCP/UDP 389 par défaut, personnalisable (LDAP) ;

  • TCP 636 par défaut, personnalisable (LDAP SSL) ;

  • TCP 3268 (LDAP GC) ;

  • TCP 3269 (LDAP GC SSL) ;

  • TCP/UDP 53 (DNS) ;

  • TCP/UDP 88 (Kerberos) ;

  • TCP/UDP 445 (services d’annuaire) ;

  • TCP/UDP 749 (Kerberos-Adm) ;

  • TCP 750 (Kerberos-IV).

Lors de la configuration du serveur ISA B (ou d’un autre périphérique situé entre le réseau de périmètre et le réseau d’entreprise), la relation réseau doit être définie comme étant routée. Ne définissez pas la relation réseau en tant que traduction d’adresses réseau (NAT).

Pour plus d’informations sur les contraintes liées au renforcement de la sécurité des relations d’approbation, voir les sources d’information suivantes :

Renforcement de la sécurité pour la publication de contenu

La publication de contenu nécessite une communication à sens unique entre le site Administration centrale sur la batterie de serveurs source et le site Administration centrale sur la batterie de serveurs de destination. Les conditions requises sont les suivantes :

  • Numéro de port utilisé pour le site Administration centrale sur la batterie de serveurs de destination.

  • TCP 80 ou 443 sortant de la batterie source (pour SOAP (Simple Object Access Protocol) et HTTP Post).

Lorsque vous configurez le déploiement de contenu sur la batterie source, vous spécifiez le compte à utiliser pour l’authentification avec la batterie de destination. Une relation d’approbation entre les domaines n’est pas nécessaire pour publier du contenu d’un domaine dans un autre. Toutefois, les deux options de compte suivantes sont disponibles pour le déploiement de contenu — l’une d’elle ne nécessite pas une relation d’approbation entre les domaines :

  • Si le compte du pool d’applications de la batterie source dispose d’autorisations dans le site Administration centrale sur la batterie de destination, sélectionnez l’option Utiliser le compte du pool d’applications. Il nécessite une relation d’approbation à sens unique dans laquelle le domaine de la batterie de destination approuve le domaine de la batterie source.

  • Vous pouvez spécifier un compte manuellement au lieu d’utiliser le compte du pool d’applications source. Dans ce cas, il n’est pas nécessaire que le compte existe dans le domaine du réseau de la batterie source. Généralement, le compte est unique dans la batterie de destination. Il permet l’authentification à l’aide de l’authentification Windows intégrée ou de l’authentification de base.

Connexions aux serveurs externes

Plusieurs fonctionnalités d’Office SharePoint Server 2007 peuvent être configurées pour accéder aux données qui résident sur des serveurs hors de la batterie de serveurs. Si vous configurez l’accès aux données sur des serveurs externes, assurez-vous d’activer la communication entre les ordinateurs appropriés. Dans la plupart des cas, les ports, protocoles et services utilisés varient en fonction de la ressource externe. Par exemple :

  • Les connexions aux partages de fichiers utilisent le service Partage de fichiers et d’imprimantes.

  • Les connexions aux bases de données SQL Server externes utilisent les ports par défaut ou personnalisés pour la communication SQL Server.

  • Les connexions aux bases de données Oracle utilisent généralement OLE DB.

  • Les connexions aux services Web utilisent à la fois HTTP et HTTPS.

Le tableau suivant répertorie les fonctionnalités qui peuvent être configurées pour accéder aux données qui résident sur des serveurs externes à la batterie de serveurs.

Composant fonctionnel Description

Analyse de contenu

Vous pouvez configurer des règles d’analyse pour analyser les données qui résident sur des ressources externes, notamment, sites Web, partages de fichiers, dossiers publics Exchange et applications de données métiers. Lors de l’analyse de sources de données externes, le rôle index communique directement avec ces ressources externes.

Pour plus d’informations, voir Planifier l’analyse du contenu (Office SharePoint Server).

Connexions au catalogue de données métiers

Les serveurs Web et les serveurs d’applications communiquent directement avec les ordinateurs configurés pour les connexions au catalogue de données métiers.

Pour plus d’informations, voir Planifier des connexions de données métiers avec le catalogue de données métiers.

Réception de classeurs Microsoft Office Excel

Si des classeurs ouverts sur Excel Services se connectent à des sources de données externes (par exemple, Analysis Services et SQL Server), les ports TCP/IP appropriés doivent être ouverts pour la connexion à ces sources de données externes. Pour plus d’informations, voir Planifier des connexions de données externes pour Excel Services.

Si des chemins UNC (Universal Naming Convention) sont configurés en tant qu’emplacements approuvés dans Excel Services, le rôle d’application Services de calcul Excel utilise les protocoles et les ports utilisés par le service Partage de fichiers et d’imprimantes pour recevoir des classeurs Office Excel par le biais d’un chemin UNC.

Les classeurs stockés dans des bases de données de contenu ou chargés à partir de sites par des utilisateurs ne sont pas affectés par cette communication.

Télécharger ce livre

Cette rubrique est incluse dans le livre à télécharger suivant pour une lecture et une impression plus faciles :

Vous trouverez la liste complète des livres disponibles sur Livres à télécharger pour Office SharePoint Server 2007.