Planifier le renforcement de la sécurité (SharePoint Server 2010)

  • Article

 

S’applique à : SharePoint Foundation 2010, SharePoint Server 2010

Dernière rubrique modifiée : 2016-11-30

Cet article décrit le renforcement de la sécurité pour les rôles de serveur Web, de serveur d’application et de serveur de base de données Microsoft SharePoint Server 2010 et fournit des conseils détaillés concernant les exigences spécifiques au renforcement pour les ports, les protocoles et les services dans Produits Microsoft SharePoint 2010.

Dans cet article :

Captures instantanées de serveurs sécurisées

Dans un environnement de batterie de serveurs, les serveurs jouent des rôles spécifiques. Les recommandations en matière de renforcement de la sécurité pour ces serveurs dépendent du rôle joué par chacun d’eux. Cet article contient des captures instantanées sécurisées pour deux catégories de rôles serveur :

Les captures instantanées sont divisées en catégories de configuration courantes. Les caractéristiques définies pour chaque catégorie représentent l’état renforcé optimal pour Produits Microsoft SharePoint 2010. Cet article ne fournit aucun conseil de renforcement de la sécurité pour d’autres logiciels dans l’environnement.

Rôles serveur Web et serveur d’applications

Cette section identifie les caractéristiques de renforcement de la sécurité pour les serveurs Web et les serveurs d’applications. Certains des conseils s’appliquent à des applications de service spécifiques ; dans ces cas-là, les caractéristiques correspondantes doivent être appliquées uniquement sur les serveurs qui exécutent les services associés aux applications de service spécifiées.

Catégorie

Caractéristique

Services répertoriés dans le composant logiciel enfichable MMC Services

Activez les services suivants :

  • Partage de fichiers et d’imprimantes

  • Service d’état ASP.NET (si vous utilisez InfoPath Forms Services ou Microsoft Project Server 2010)

  • Service d’état d’affichage (si vous utilisez InfoPath Forms Services)

  • Service de publication World Wide Web

Assurez-vous que les services suivants ne sont pas désactivés :

  • Revendications du service d’émissions de jeton Windows

  • Administration SharePoint 2010

  • Minuteur SharePoint 2010

  • Suivi SharePoint 2010

  • Enregistreur VSS SharePoint 2010

Assurez-vous que les services suivants ne sont pas désactivés sur les serveurs qui hébergent les rôles correspondants :

  • Hôte de code utilisateur SharePoint 2010

  • SharePoint Foundation Search V4

  • SharePoint Server Search 14

  • Les services suivants sont requis par l’application de service Profil utilisateur sur le serveur qui importe des profils à partir du magasin d’annuaires :

    • Service Forefront Identity Manager

    • Service de synchronisation Forefront Identity Manager

Ports et protocoles

  • TCP 80, TCP 443 (SSL)

  • Ports personnalisés pour l’analyse de recherche, si elle est configurée

  • Service de partage de fichiers et d’imprimantes—l’un des suivants, utilisés par les rôles de recherche :

    • SMB à hôte direct (TCP/UDP 445) — il s’agit du port recommandé

    • NetBIOS sur TCP/IP (NetBT) (ports TCP/UDP 137, 138, 139) — désactivez ce port si vous ne l’utilisez pas

  • Ports requis pour la communication entre les serveurs Web et les applications de service (la valeur par défaut est HTTP) :

    • Liaison HTTP : 32843

    • Liaison HTTP : 32844

    • Liaison net.tcp : 32845 (uniquement si une tierce partie a implémenté cette option pour une application de service)

  • Ports requis pour la synchronisation des profils entre Produits SharePoint 2010 et Active Directory sur le serveur qui exécute l’agent Forefront Identity Management :

    • TCP/5725

    • TCP/UDP 389 (service LDAP)

    • TCP/UDP 88 (Kerberos)

    • TCP/UDP 53 (DNS)

    • UDP 464 (Modifier le mot de passe Kerberos)

    Pour savoir comment synchroniser des profils avec d’autres magasins d’annuaires, voir Exigences relatives au renforcement de la sécurité du service Profil utilisateur plus loin dans cet article.

  • Port UDP 1434 et port TCP 1433 — ports par défaut pour la communication SQL Server. Si ces ports sont bloqués sur l’ordinateur SQL Server (recommandé) et que des bases de données sont installées sur une instance nommée, configurez un alias client SQL Server pour la connexion à l’instance nommée.

  • TCP/IP 32846 pour le service de code utilisateur Microsoft SharePoint Foundation (pour les solutions en mode bac à sable) — Ce port doit être ouvert pour les connexions sortantes sur tous les serveurs Web. Ce port doit être ouvert pour les connexions entrantes sur les serveurs Web ou les serveurs d’applications sur lesquels ce service est activé.

  • Assurez-vous que les ports restent ouverts pour les applications Web qui sont accessibles aux utilisateurs.

  • Bloquez l’accès externe au port utilisé pour le site Administration centrale.

  • TCP/25 (SMTP pour intégration de la messagerie)

Registre

Aucun conseil supplémentaire

Audit et journalisation

Si vous déplacez les fichiers journaux, mettez à jour les emplacements des fichiers journaux de manière appropriée. Mettez également à jour les listes de contrôle d’accès de l’annuaire.

Sécurité d’accès au code

Assurez-vous de disposer d’un ensemble minimal d’autorisations de sécurité d’accès au code activé pour votre application Web. L’élément <trust> dans le fichier Web.config pour chaque application Web doit avoir la valeur WSS_Minimal (où WSS_Minimal possède ses valeurs par défauts faibles telles qu’elles sont définies dans 14\config\wss_minimaltrust.config ou dans votre propre fichier de stratégie personnalisé qui est défini au minimum).

Web.config

Appliquez les recommandations suivantes pour chaque fichier Web.config créé après l’exécution du programme d’installation :

  • N’autorisez pas la compilation ou les scripts de pages de bases de données via les éléments PageParserPaths.

  • Assurez-vous que <SafeMode> CallStack=""false"" et que AllowPageLevelTrace=""false"".

  • Assurez-vous que l’attribut MaxZoneParts de la valeur WebPartLimits est défini sur une valeur faible.

  • Assurez-vous que la liste SafeControls est définie sur l’ensemble minimal de contrôles nécessaires pour vos sites.

  • Assurez-vous que votre liste Workflow SafeTypes est définie sur le niveau minimal de SafeTypes nécessaires.

  • Assurez-vous que customErrors est activé (<customErrors mode=""On""/>).

  • Prenez en compte vos paramètres de proxy Web selon vos besoins (<system.net>/<defaultProxy>).

  • Définissez la limite de Upload.aspx à la taille que vous jugez la plus élevée possible pour les transferts effectués par les utilisateurs (la valeur par défaut est 2 Go). Les performances peuvent être affectées par des téléchargements supérieurs à 100 Mo.

Rôle serveur de base de données

La principale recommandation pour Produits SharePoint 2010 consiste à sécuriser la communication entre les batteries en bloquant les ports par défaut utilisés pour la communication Microsoft SQL Server et en établissant à la place des ports personnalisés pour cette communication. Pour savoir comment configurer des ports pour la communication SQL Server, voir Blocking the standard SQL Server ports plus loin dans cet article.

Catégorie

Caractéristique

Ports

  • Bloquez le port UDP 1434.

  • Envisagez le blocage du port TCP 1433.

Cet article ne décrit pas comment sécuriser SQL Server. Pour plus d’informations sur la façon de sécuriser SQL Server, voir Sécurisation de SQL Server (https://go.microsoft.com/fwlink/?linkid=186828&clcid=0x40C).

Conseils spécifiques aux ports, protocoles et services

Le reste de cet article décrit plus en détail les exigences spécifiques au renforcement de la sécurité pour Produits SharePoint 2010.

Dans cette section :

Blocage des ports SQL Server standard

Le fait que les bases de données soient installées sur une instance par défaut de SQL Server ou sur une instance nommé de SQL Server a une incidence sur les ports spécifiques utilisés pour se connecter à SQL Server. L’instance par défaut de SQL Server écoute les demandes des clients sur le port TCP 1433, tandis qu’une instance nommée de SQL Server écoute sur un numéro de port affecté de manière aléatoire. En outre, le numéro de port d’une instance nommée peut être réaffecté si l’instance est redémarrée (à condition que le numéro de port déjà affecté soit toujours disponible).

Par défaut, les ordinateurs clients qui se connectent à SQL Server se connectent d’abord par l’intermédiaire du port TCP 1433. Si cette communication échoue, ils interrogent le service de résolution SQL Server qui écoute sur le port UDP 1434 afin de déterminer le port sur lequel l’instance de base de données est à l’écoute.

Le comportement par défaut de SQL Server, qui consiste à communiquer par le biais des ports, présente plusieurs problèmes qui affectent le renforcement de la sécurité des serveurs. Tout d’abord, les ports utilisés par SQL Server sont des ports largement ouverts au public et le service de résolution SQL Server a déjà été la cible d’attaques par dépassement de mémoire tampon et d’attaques par déni de service, y compris du ver informatique « Slammer ». Même si SQL Server est mis à jour pour atténuer les problèmes de sécurité dans le service de résolution SQL Server, les ports largement ouverts au public demeurent une cible. Ensuite, si les bases de données sont installées sur une instance nommée de SQL Server, le port de communication correspondant est affecté de manière aléatoire et peut changer. Ce comportement risque d’empêcher la communication de serveur à serveur dans un environnement renforcé. La possibilité de contrôler l’ouverture et le blocage des ports TCP est essentielle pour sécuriser votre environnement.

Par conséquent, la recommandation pour une batterie de serveurs consiste à affecter des numéros de port statiques à des instances nommées de SQL Server et à bloquer le port UDP 1434 pour empêcher d’éventuels pirates d’accéder au service de résolution SQL Server. En outre, songez à réaffecter le port utilisé par l’instance par défaut et à bloquer également le port TCP 1433.

Il existe plusieurs manières de bloquer les ports. Vous pouvez le faire à l’aide d’un pare-feu. Toutefois, à moins d’être certain qu’il n’existe aucun autre itinéraire dans le segment réseau et qu’aucun utilisateur malveillant n’a accès au segment réseau, la recommandation consiste à bloquer ces ports directement sur le serveur qui héberge SQL Server. Pour ce faire, vous pouvez utiliser le Pare-feu Windows dans le Panneau de configuration.

Configuration des instances de base de données SQL Server pour écouter sur un port non standard

SQL Server permet de réassigner les ports utilisés par l’instance par défaut et toute instance nommée. Dans SQL Server 2005 et SQL Server 2008, vous réassignez les ports à l’aide du Gestionnaire de configuration SQL Server.

Configuration des alias clients SQL Server

Dans une batterie de serveurs, tous les serveurs Web frontaux et les serveurs d’applications sont des ordinateurs clients SQL Server. Si vous bloquez le port UDP 1434 sur l’ordinateur SQL Server ou si vous modifiez le port par défaut de l’instance par défaut, vous devez configurer un alias client SQL Server sur tous les serveurs qui se connectent à l’ordinateur SQL Server.

Pour vous connecter à une instance de SQL Server 2005 ou SQL Server 2008, installez les composants clients SQL Server sur l’ordinateur client, puis configurez l’alias client SQL Server à l’aide du Gestionnaire de configuration SQL Server. Pour installer les composants clients SQL Server, exécutez le programme d’installation et sélectionnez uniquement les composants clients suivants à installer :

  • Composants de connectivité

  • Outils de gestion (notamment le Gestionnaire de configuration SQL Server)

Pour connaître les étapes spécifiques de renforcement pour le blocage des ports SQL standard, voir Renforcer la sécurité de SQL Server pour les environnements SharePoint (SharePoint Server 2010).

Communication d’application de service

Par défaut, la communication entre les serveurs Web et les applications de service au sein d’une batterie s’effectue à l’aide du protocole HTTP avec une liaison au port 32843. Lorsque vous publiez une application de service, vous pouvez sélectionner le protocole HTTP ou HTTPS avec les liaisons suivantes :

  • Liaison HTTP : port 32843

  • Liaison HTTPS : port 32844

De plus, les tierces parties qui développent des applications de service peuvent implémenter un troisième choix :

  • Liaison net.tcp : port 32845

Vous pouvez modifier le protocole et la liaison de port pour chaque application de service. Dans la page Applications de service de l’Administration centrale, sélectionnez l’application de service, puis cliquez sur Publier.

La communication entre les applications de service et SQL Server s’effectue sur les ports SQL Server standard ou sur les ports que vous configurez pour la communication SQL Server.

Conditions requises par le service de partage de fichiers et d’imprimantes

Plusieurs fonctionnalités de base dépendent du service Partage de fichiers et d’imprimantes et des protocoles et ports correspondants. La liste non exhaustive de ces fonctionnalités est la suivante :

  • Requêtes de recherche   Toutes les requêtes de recherche nécessitent le service Partage de fichiers et d’imprimantes.

  • Analyse et indexation de contenu   Pour analyser le contenu, les serveurs qui incluent des composant d’analyse envoient des demandes via le serveur Web frontal. Ce dernier communique directement avec les bases de données et renvoie les résultats aux serveurs qui incluent des composant d’analyse. Cette communication nécessite le service Partage de fichiers et d’imprimantes.

  • Propagation d’index   Si une application de service de recherche est configurée avec des composants d’analyse et des composants de requête distribués sur plusieurs serveurs, les serveurs disposant de composants d’analyse copient les fichiers d’index de contenu sur les serveurs disposant de composants de requête. Cette action requiert le service Partage de fichiers et d’imprimantes et ses ports et protocoles correspondants.

Le service Partage de fichiers et d’imprimantes requiert l’utilisation de canaux nommés. Les canaux nommés peuvent communiquer en utilisant le protocole SMB à hébergement direct ou le protocole NetBT. Pour un environnement sécurisé, le protocole SMB à hébergement direct est recommandé plutôt que le protocole NetBT. Les recommandations de renforcement de la sécurité fournies dans cet article supposent l’utilisation du protocole SMB.

Le tableau suivant décrit les conditions requises par le renforcement de la sécurité qui sont générées par la dépendance au service Partage de fichiers et d’imprimantes.

Catégorie

Conditions requises

Remarques

Services

Partage de fichiers et d’imprimantes

Requiert l’utilisation de canaux nommés.

Protocoles

Canaux nommés utilisant le protocole SMB à hébergement direct

Désactiver NetBT

Les canaux nommés peuvent utiliser le protocole NetBT au lieu du protocole SMB à hébergement direct. Toutefois, le protocole NetBT n’est pas considéré comme étant aussi sécurisé que le protocole SMB à hébergement direct.

Ports

L’un des éléments suivants :

  • protocole SMB à hébergement direct (TCP/UDP 445) — recommandé ;

  • protocole NetBT (ports TCP/UDP 137, 138, 139).

Désactivez le protocole NetBT (ports 137, 138 et 139) s’il n’est pas en cours d’utilisation

Pour plus d’informations sur la façon de désactiver le protocole NetBT, voir l’article 204279 de la Base de connaissances Microsoft : Hébergement direct de SMB sur TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x40C).

Exigences relatives au renforcement de la sécurité du service Profil utilisateur

L’application de service Profil utilisateur utilise l’agent Forefront Identity Management pour synchroniser les profils entre Produits SharePoint 2010 et Active Directory ou un service d’annuaire LDAP (Lightweight Directory Access Protocol). L’agent Forefront Identity Management est installé sur tous les serveurs dans une batterie SharePoint, mais sa présence est obligatoire uniquement sur le serveur configuré pour la synchronisation avec le magasin d’annuaire.

L’agent Forefront Identity Management inclut les deux services suivants qui doivent demeurer activés sur le serveur configuré pour analyser Active Directory ou un autre magasin d’annuaire :

  • service Forefront Identity Manager ;

  • service de synchronisation Forefront Identity Manager.

En outre, le port TCP 5725 doit être ouvert sur le serveur qui exécute l’agent Forefront Identity Management et qui est configuré pour analyser un magasin d’annuaire.

Dans les environnements Active Directory, les ports suivants doivent demeurer ouverts pour la communication entre le serveur Produits SharePoint 2010 qui se synchronise avec le magasin d’annuaire et le serveur qui exécute Active Directory :

  • TCP/UDP 389 (service LDAP)

  • TCP/UDP 88 (Kerberos)

  • TCP/UDP 53 (DNS)

  • UDP 464 (Modifier le mot de passe Kerberos)

Pour plus d’informations sur les conditions requises au renforcement de la sécurité pour l’agent Forefront Identity Management, y compris les ports requis pour d’autres types d’annuaires, voir Ports, droits et autorisations pour les communications de l’agent de gestion (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=186832&clcid=0x40C).

Connexions aux serveurs externes

Plusieurs fonctionnalités de SharePoint Server 2010 peuvent être configurées pour accéder aux données qui résident sur des serveurs en dehors de la batterie de serveurs. Si vous configurez l’accès à des données situées sur des serveurs externes, assurez-vous d’activer la communication entre les ordinateurs appropriés. Dans la plupart des cas, les ports, protocoles et services utilisés varient en fonction de la ressource externe. Par exemple :

  • Les connexions aux partages de fichiers utilisent le service Partage de fichiers et d’imprimantes.

  • Les connexions aux bases de données SQL Server externes utilisent les ports par défaut ou personnalisés pour la communicationSQL Server.

  • Les connexions aux bases de données Oracle utilisent généralement OLE DB.

  • Les connexions aux services Web utilisent à la fois HTTP et HTTPS.

Le tableau suivant répertorie les fonctionnalités qui peuvent être configurées pour accéder aux données qui résident sur des serveurs externes à la batterie de serveurs.

Composant fonctionnel

Description

Analyse de contenu

Vous pouvez configurer des règles d’analyse pour analyser les données qui résident sur des ressources externes, notamment des sites Web, partages de fichiers, dossiers publics Exchange et applications de données métiers. Lors de l’analyse de sources de données externes, le rôle d’analyse communique directement avec ces ressources externes.

Pour plus d’informations, voir Planifier l’analyse du contenu (Office SharePoint Server) [ https://technet.microsoft.com/fr-fr/library/cc262926.aspx ] .

Connexions de données métiers

Les serveurs Web et les serveurs d’applications communiquent directement avec les ordinateurs configurés pour les connexions de données métiers.

Pour plus d’informations, voir Planifier des connexions de données métiers avec le catalogue de données métiers [ https://technet.microsoft.com/fr-fr/library/cc263252.aspx ] .

Réception de classeurs Microsoft Office Excel

Si des classeurs ouverts dans une application Excel Services se connectent à des sources de données externes (par exemple, Analysis Services et SQL Server), les ports TCP/IP appropriés doivent être ouverts pour la connexion à ces sources de données externes. Pour plus d’informations, voir Planifier des connexions de données externes pour Excel Services [ https://technet.microsoft.com/fr-fr/library/cc262899.aspx ] .

Si des chemins UNC (Universal Naming Convention) sont configurés en tant qu’emplacements approuvés dans une application Excel Services, le rôle d’application Services de calcul Excel utilise les protocoles et les ports utilisés par le service Partage de fichiers et d’imprimantes pour recevoir des classeurs Office Excel par le biais d’un chemin UNC.

Les classeurs stockés dans des bases de données de contenu ou chargés à partir de sites par des utilisateurs ne sont pas affectés par cette communication.

Services requis pour l’intégration de messagerie

L’intégration de messagerie nécessite l’utilisation de deux services :

Service SMTP

L’intégration de la messagerie nécessite l’utilisation du service SMTP (Simple Mail Transfer Protocol) sur au moins l’un des serveurs Web frontaux de la batterie de serveurs. Le service SMTP est requis pour le courrier électronique entrant. Pour le courrier électronique sortant, vous pouvez utiliser le service SMTP ou router le courrier électronique sortant par l’intermédiaire d’un serveur de messagerie dédié dans votre organisation, tel qu’un ordinateur Microsoft Exchange Server.

Service de gestion d’annuaire Microsoft SharePoint

Les Produits SharePoint 2010 incluent un service interne, le service de gestion d’annuaire Microsoft SharePoint, pour la création de groupes de distribution de messagerie. Lorsque vous configurez l’intégration de messagerie, vous avez la possibilité d’activer la fonctionnalité Service de gestion d’annuaire, qui permet aux utilisateurs de créer des listes de distribution. Lorsque les utilisateurs créent un groupe SharePoint et sélectionnent l’option permettant de créer une liste de distribution, le service de gestion d’annuaire Microsoft SharePoint crée la liste de distribution Active Directory correspondante dans l’environnement Active Directory.

Dans les environnements à sécurité renforcée, il est recommandé de restreindre l’accès au service de gestion d’annuaire Microsoft SharePoint en sécurisant le fichier associé à ce service, qui est SharePointEmailws.asmx. Par exemple, vous pourriez autoriser l’accès à ce fichier uniquement par le compte de batterie de serveurs.

En outre, ce service nécessite des autorisations dans l’environnement Active Directory pour créer des objets de liste de distribution Active Directory. La recommandation consiste à configurer une unité d’organisation séparée dans Active Directory pour les objets de Produits SharePoint 2010. Seule cette unité d’organisation doit autoriser l’accès en écriture au compte utilisé par le service de gestion d’annuaire Microsoft SharePoint.

Conditions de service requises pour l’état de session

Project Server 2010 et InfoPath Forms Services conservent tous deux l’état de session. Si vous déployez ces fonctionnalités ou produits dans votre batterie de serveurs, ne désactivez pas le service État ASP.NET. En outre, si vous déployez InfoPath Forms Services, ne désactivez pas le service État d’affichage.

Services de produits SharePoint 2010

Ne désactivez pas les services installés par les Produits SharePoint 2010 (répertoriés dans la capture instantanée plus haut dans cet article).

Si votre environnement n’autorise pas les services qui s’exécutent en tant que système local, vous pouvez désactiver le service Administration SharePoint 2010 uniquement si vous en connaissez les conséquences et êtes en mesure de les contourner. Ce service est un service Win32 qui s’exécute en tant que système local.

Ce service est utilisé par le service du minuteur SharePoint 2010 pour effectuer des actions qui nécessitent des autorisations administratives sur le serveur, telles que la création de sites Web IIS (Internet Information Services), le déploiement de code, et l’arrêt et le redémarrage de services. Si vous désactivez ce service, vous ne pourrez pas effectuer les tâches liées au déploiement à partir du site Administration centrale. Vous devez utiliser Windows PowerShell afin d'exécuter l’applet de commande Start-SPAdminJob (ou utiliser l’outil de ligne de commande Stsadm.exe pour exécuter l’opération execadmsvcjobs) pour effectuer des déploiements sur plusieurs serveurs pour les Produits SharePoint 2010 et pour effectuer d’autres tâches liées au déploiement.

Fichier Web.config

Le .NET Framework, et ASP.NET en particulier, utilise des fichiers de configuration au format XML pour configurer les applications. Le .NET Framework repose sur les fichiers de configuration pour définir les options de configuration. Les fichiers de configuration sont des fichiers texte XML. En règle générale, plusieurs fichiers de configuration existent sur un seul système.

Les paramètres de configuration à l’échelle du système pour le .NET Framework sont définis dans le fichier Machine.config. Le fichier Machine.config se trouve dans le dossier %SystemRoot%\Microsoft.NET\Framework\%NuméroVersion%\CONFIG\. Les paramètres par défaut contenus dans le fichier Machine.config peuvent être modifiés de manière à affecter le comportement des applications qui utilisent le .NET Framework sur l’ensemble du système.

Vous pouvez modifier les paramètres de configuration ASP.NET pour une application si vous créez un fichier web.config dans le dossier racine de l’application. Lorsque vous procédez ainsi, les paramètres du fichier web.config remplacent les paramètres du fichier Machine.config.

Lorsque vous étendez une application Web à l’aide de l’administration centrale, Produits SharePoint 2010 crée automatiquement un fichier Web.config pour l’application Web.

La capture instantanée de serveur Web et de serveur d’application présentée plus haut répertorie les recommandations pour la configuration des fichiers Web.config. Ces recommandations sont destinées à être appliquées à chaque fichier Web.config créé, y compris le fichier Web.config du site Administration centrale.

Pour plus d’informations sur les fichiers de configuration ASP.NET et sur la modification d’un fichier Web.config, voir Configuration d’ASP.NET (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x40C).