Planifier la sécurité d’un environnement d’équipe ou de service interne (Office SharePoint Server)

Mise à jour : 2009-04-23

Dans cet article :

  • Liste de vérification pour une conception sécurisée

  • Planifier le renforcement de la sécurité pour les rôles des serveurs

  • Planifier des configurations sécurisées pour les composants fonctionnels Office SharePoint Server

Les conseils de sécurité pour une équipe ou un service interne privilégient les recommandations sur les configurations et les paramètres de sécurité pratiques pour une équipe ou un service au sein d'une entreprise de grande taille. Ces instructions supposent que les serveurs ne sont pas hébergés par l'équipe informatique principale au sein de l'entreprise.

Bien que les instructions pour cet environnement requièrent des connaissances en informatique, il n'est pas nécessaire que les administrateurs de batterie soient des informaticiens spécialisés. Si des rôles plus spécifiques sont nécessaires pour implémenter un paramètre, ces rôles sont indiqués.

Ces instructions sont destinées à être utilisées conjointement aux instructions fournies dans Planifier des configurations sécurisées pour les fonctionnalités Office SharePoint Server.

Liste de vérification pour une conception sécurisée

Consultez la liste de vérification suivante pour vous assurer que vos prévisions répondent aux critères d'une conception de topologie de serveur sécurisée.

Topologie

[ ]

Dans le cadre d'un déploiement pour une équipe ou un service qui dispose d'un accès interne uniquement, Microsoft Office SharePoint Server 2007 peut être installé sur un seul serveur ou sur deux serveurs.

[ ]

Dans le cadre d'un déploiement sur au moins deux serveurs, le site Administration centrale doit être hébergé, dans la mesure du possible, sur un autre serveur que le serveur Web frontal. Ceci ne peut s'effectuer que si les rôles serveurs d'applications sont hébergés sur un autre serveur que le rôle serveur Web frontal.

Par exemple, si le serveur A héberge le rôle serveur Web frontal et le serveur B héberge le rôle de base de données et le rôle serveur d'applications, l'emplacement le plus sécurisé pour le site Administration centrale est le serveur B. En revanche, si le serveur A héberge le serveur Web frontal et les rôles serveur d'applications et le serveur B héberge uniquement le rôle de base de données, la seule option consiste à héberger le site Administration centrale sur le serveur A.

Architecture logique

[ ]

Au moins une zone de chaque application Web utilise l'authentification NTLM. Celle-ci est nécessaire pour que le compte de recherche puisse analyser le contenu de l'application Web. Le compte de recherche ne peut pas utiliser l'authentification Kerberos pour analyser du contenu.

Pour plus d'informations, voir Planifier des méthodes d’authentification (Office SharePoint Server).

[ ]

Lors du déploiement de composants WebPart personnalisés, assurez-vous que seuls des composants WebPart dignes de confiance sont déployés dans des applications Web qui hébergent du contenu sensible ou sécurisé. Cela protège le contenu sensible contre les attaques par script entre sites.

Planifier le renforcement de la sécurité pour les rôles des serveurs

Les instructions pour un environnement d'équipe ou de service interne supposent que l'accès interne est uniquement autorisé aux serveurs, aux sites et au contenu et que l'environnement réseau global est sécurisé par des stratégies développées par un service informatique. Par conséquent, le renforcement de la protection des serveurs pour des rôles spécifiques n'est pas aussi utile que pour les autres environnements. Toutefois, plusieurs fonctionnalités nécessitent des services spécifiques ou d'autres paramètres qui autrement pourraient ne pas être configurés.

Le tableau suivant décrit les paramètres recommandés de renforcement de la sécurité pour une équipe ou un service interne.

Composant fonctionnel Paramètre

Intégration de messagerie

Si l'intégration de messagerie est activée, le service SMTP est requis sur un serveur Web frontal.

Microsoft Office Project Server 2007 et Microsoft Office Forms Server 2007

Office Project Server 2007 et Office Forms Server 2007 conservent l'état de la session. Si vous déployez ces fonctionnalités ou produits dans votre batterie de serveurs, ne désactivez pas le service d’état ASP.NET. En outre, si vous déployez InfoPath Forms Services, ne désactivez pas le service d'état de l'affichage.

Authentification unique (SSO, Single Sign-On)

L'authentification unique s'appuie sur le service d'authentification unique de Microsoft. Pour plus d'informations sur la configuration de cette fonctionnalité, voir Planifier l’authentification unique.

Planifier des configurations sécurisées pour les composants fonctionnels Office SharePoint Server

Le tableau suivant donne des recommandations supplémentaires pour la sécurisation des composants fonctionnels Office SharePoint Server 2007. Ces recommandations sont appropriées pour un environnement d'équipe ou de service interne.

Composant fonctionnel ou zone Recommandation

Authentification

Procédez à l'authentification auprès du système de gestion des identités existant. Si ce n'est pas le service d'annuaire Active Directory, utilisez l'authentification par formulaires ASP.NET pour vous connecter à votre système de gestion des identités. L'utilisation de l'authentification par formulaires peut nécessiter l'assistance des rôles suivants :

  • Le développeur ASP.NET pour développer le fournisseur d'authentification.

  • L'administrateur du système de gestion des identités auquel vous vous connectez.

Site Administration centrale

  • Limitez l'accès au site Administration centrale aux utilisateurs appropriés uniquement.

  • Si vous activez l'administration à distance sur le site Administration centrale, sécurisez ce dernier à l'aide de SSL (Secure Sockets Layer).

  • Les administrateurs qui exécutent des opérations de déploiement doivent être membres du groupe local Administrateurs sur le serveur qui héberge le site Administration centrale.

Service Administration Windows SharePoint Services

Dans un déploiement sur un seul serveur, le service Administration Windows SharePoint Services est désactivé par défaut pour les raisons suivantes :

  • Ce service, utilisé pour exécuter des tâches de déploiement qui sont lancées à partir du site Administration centrale, n'est généralement pas nécessaire pour un déploiement sur un seul serveur. En revanche, ces tâches de déploiement sont exécutées à l'aide de l'outil en ligne de commande Stsadm.exe qui ne nécessite pas l'utilisation de ce service.

  • Le compte utilisé pour le site Administration centrale est partagé par tous les autres processus. Par conséquent, la désactivation de ce service se traduit par une configuration plus sécurisée.

Pour un déploiement sur un seul serveur sécurisé, il est recommandé de :

  • Modifier le compte de batterie de serveurs après avoir exécuté le programme d'installation.

  • Démarrer le service Administration Windows SharePoint Services.

Ces actions vous permettront d'exécuter des tâches liées au déploiement directement dans le site Administration centrale.

Télécharger ce livre

Cette rubrique est incluse dans le livre à télécharger suivant pour une lecture et une impression plus faciles :

Vous trouverez la liste complète des livres disponibles sur Livres à télécharger pour Office SharePoint Server 2007.