Planifier le renforcement de la sécurité des environnements extranet (Windows SharePoint Services)

Article
05/17/2012

Mise à jour : 2009-04-16

Dans cet article :

Topologie de réseau
Relations d’approbation de domaine
Communication avec les rôles de batterie de serveurs
Communication avec les rôles de serveur d’infrastructure
Communication Active Directory entre les domaines de réseau

Cet article décrit les contraintes liées au renforcement de la sécurité d’un environnement extranet dans lequel une batterie de serveur Windows SharePoint Services 3.0 est placée dans un réseau de périmètre et les sites sont disponibles à partir d’Internet ou du réseau d’entreprise.

Topologie de réseau

Les conseils en matière de renforcement de la sécurité fournis dans cet article sont applicables à de nombreuses configurations extranet différentes. La figure suivante illustre l’implémentation d’une topologie de réseau de périmètre dos à dos mettant en œuvre les rôles serveur et client dans un environnement extranet.

Exemple de renforcement de la sécurité de l’environnement extranet

La figure vise à illustrer l’articulation de chacun des rôles possibles et de leur relation dans l’environnement global. Le site Administration centrale peut être installé sur un serveur Web ou sur le serveur de recherche (illustré). Les routeurs illustrés peuvent être remplacés par des pare-feu.

Relations d’approbation de domaine

La nécessité d’une relation d’approbation de domaine dépend de la façon dont la batterie de serveurs est configurée. Cette section présente deux configurations possibles.

La batterie de serveurs réside dans le réseau de périmètre

Le réseau de périmètre requiert ses propres infrastructure et domaine de service d’annuaire Active Directory. En règle générale, le domaine de périmètre et le domaine d’entreprise ne sont pas configurés pour s’approuver mutuellement. Toutefois, pour l’authentification des utilisateurs intranet et ses employés distants qui utilisent leurs informations d’identification de domaine (authentification Windows), vous devez configurer une relation d’approbation à sens unique dans laquelle le domaine de périmètre approuve le domaine d’entreprise. L’authentification par formulaires et l’authentification unique Web ne nécessitent pas une relation d’approbation de domaine.

La batterie de serveurs est fractionnée entre le réseau de périmètre et le réseau d’entreprise

Si la batterie de serveurs est fractionnée entre le réseau de périmètre et le réseau d’entreprise et que les serveurs de base de données résident dans le réseau d’entreprise, une relation d’approbation de domaine est requise si les comptes Windows sont utilisés. Dans ce scénario, le réseau de périmètre doit approuver le réseau d’entreprise. Si l’authentification SQL est utilisée, une relation d’approbation de domaine n’est pas requise. Le tableau suivant résume les différences entre ces deux approches.

	Authentification Windows	Authentification SQL
Description	Des comptes de domaine d’entreprise sont utilisés pour tous les comptes de service et d’administration Windows SharePoint Services 3.0, y compris pour les comptes de pool d’applications. Une relation d’approbation à sens unique, dans laquelle le réseau de périmètre approuve le réseau d’entreprise, est requise.	Les comptes Windows SharePoint Services 3.0 sont configurés des manières suivantes : L’authentification SQL est utilisée pour chaque base de données créée. Tous les autres comptes d’administration et de service sont créés en tant que comptes de domaine dans le réseau de périmètre. Les serveurs Web et les serveurs de recherche sont joints au réseau de périmètre. Une relation d’approbation n’est pas requise mais peut être configurée pour la prise en charge de l’authentification client auprès d’un contrôleur de domaine interne. Notes Si les serveurs de recherche résident dans le domaine d’entreprise, une relation d’approbation à sens unique, dans laquelle le réseau de périmètre approuve le réseau d’entreprise, est requise.
Configuration	La configuration comprend les tâches suivantes : Les comptes d’administration et de service Windows SharePoint Services 3.0 sont créés dans le domaine d’entreprise. Les serveurs Web et les serveurs d’applications sont joints au réseau de périmètre. Une relation d’approbation est établie, dans laquelle le domaine de périmètre approuve le domaine d’entreprise.	La configuration comprend les tâches suivantes : Tous les comptes de base de données doivent être créés en tant que comptes de connexion SQL dans SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio. Ces comptes doivent être créés avant toute base de données Windows SharePoint Services 3.0, y compris la base de données de configuration et la base de données SharePoint_AdminContent. Vous devez utiliser l’outil en ligne de commande Psconfig pour créer la base de données de configuration et la base de données de contenu de l’administration. Vous ne pouvez pas utiliser l’Assistant Configuration des produits et technologies SharePoint pour créer ces bases de données. En plus d’utiliser les paramètres -user et -password pour spécifier le compte de la batterie de serveurs, vous devez utiliser les paramètres -dbuser et -dbpassword pour spécifier les comptes d’authentification SQL. Vous pouvez créer des bases de données de contenu supplémentaires dans l’Administration centrale en sélectionnant l’option Authentification SQL. Toutefois, vous devez d’abord créer les comptes de connexion SQL dans SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio. Sécurisez toutes les communications avec les serveurs de base de données à l’aide de SSL. Faites en sorte que les ports utilisés pour la communication avec SQL Server demeurent ouverts entre le réseau de périmètre et le réseau d’entreprise
Informations supplémentaires	La relation d’approbation à sens unique permet aux serveurs Web et aux serveurs d’applications qui sont joints au domaine extranet de résoudre les comptes figurant dans le domaine d’entreprise.	Les comptes de connexion SQL sont chiffrés dans le Registre des serveurs Web et des serveurs d’applications. Le compte de batterie de serveurs n’est pas utilisé pour l’accès à la base de données de configuration et à la base de données SharePoint_AdminContent. Les comptes de connexion SQL correspondants sont utilisés à la place.

Description

Des comptes de domaine d’entreprise sont utilisés pour tous les comptes de service et d’administration Windows SharePoint Services 3.0, y compris pour les comptes de pool d’applications.

Une relation d’approbation à sens unique, dans laquelle le réseau de périmètre approuve le réseau d’entreprise, est requise.

Les comptes Windows SharePoint Services 3.0 sont configurés des manières suivantes :

L’authentification SQL est utilisée pour chaque base de données créée.
Tous les autres comptes d’administration et de service sont créés en tant que comptes de domaine dans le réseau de périmètre.
Les serveurs Web et les serveurs de recherche sont joints au réseau de périmètre.

Une relation d’approbation n’est pas requise mais peut être configurée pour la prise en charge de l’authentification client auprès d’un contrôleur de domaine interne.

Notes

Si les serveurs de recherche résident dans le domaine d’entreprise, une relation d’approbation à sens unique, dans laquelle le réseau de périmètre approuve le réseau d’entreprise, est requise.

Configuration

La configuration comprend les tâches suivantes :

Les comptes d’administration et de service Windows SharePoint Services 3.0 sont créés dans le domaine d’entreprise.
Les serveurs Web et les serveurs d’applications sont joints au réseau de périmètre.
Une relation d’approbation est établie, dans laquelle le domaine de périmètre approuve le domaine d’entreprise.

La configuration comprend les tâches suivantes :

Tous les comptes de base de données doivent être créés en tant que comptes de connexion SQL dans SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio. Ces comptes doivent être créés *avant* toute base de données Windows SharePoint Services 3.0, y compris la base de données de configuration et la base de données SharePoint_AdminContent.
Vous devez utiliser l’outil en ligne de commande Psconfig pour créer la base de données de configuration et la base de données de contenu de l’administration. Vous ne pouvez pas utiliser l’Assistant Configuration des produits et technologies SharePoint pour créer ces bases de données. En plus d’utiliser les paramètres -user et -password pour spécifier le compte de la batterie de serveurs, vous devez utiliser les paramètres -dbuser et -dbpassword pour spécifier les comptes d’authentification SQL.
Vous pouvez créer des bases de données de contenu supplémentaires dans l’Administration centrale en sélectionnant l’option Authentification SQL. Toutefois, vous devez d’abord créer les comptes de connexion SQL dans SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio.
Sécurisez toutes les communications avec les serveurs de base de données à l’aide de SSL.
Faites en sorte que les ports utilisés pour la communication avec SQL Server demeurent ouverts entre le réseau de périmètre et le réseau d’entreprise

Informations supplémentaires

La relation d’approbation à sens unique permet aux serveurs Web et aux serveurs d’applications qui sont joints au domaine extranet de résoudre les comptes figurant dans le domaine d’entreprise.

Les comptes de connexion SQL sont chiffrés dans le Registre des serveurs Web et des serveurs d’applications.
Le compte de batterie de serveurs n’est pas utilisé pour l’accès à la base de données de configuration et à la base de données SharePoint_AdminContent. Les comptes de connexion SQL correspondants sont utilisés à la place.

Les informations indiquées dans le tableau précédent sont valables dans les conditions suivantes :

Les serveurs Web et les serveurs d’applications résident dans le réseau de périmètre.
Tous les comptes sont créés avec les privilèges minimums nécessaires, les recommandations suivantes devant notamment être respectées :
- Des comptes distincts sont créés pour tous les comptes d’administration et de service.
- Aucun compte n’est membre du groupe Administrateurs sur un ordinateur, y compris sur l’ordinateur serveur qui héberge SQL Server.

Pour plus d’informations sur les comptes Windows SharePoint Services 3.0, voir Prévoir les comptes d'administration et de service (Windows SharePoint Services).

Pour plus d’informations sur la création de bases de données à l’aide de l’outil en ligne de commande Psconfig, voir Guide de référence de la ligne de commande de l’Assistant Configuration des produits et technologies SharePoint (Windows SharePoint Services).

Communication avec les rôles de batterie de serveurs

Lorsque vous configurez un environnement extranet, il est important de comprendre comment les différents rôles de serveur communiquent dans la batterie de serveurs.

Communication entre les rôles de serveur

La figure suivante illustre les canaux de communication dans une batterie de serveurs. Le tableau proposé après la figure décrit les ports et les protocoles qui sont représentés dans l’illustration. Les flèches indiquent le rôle serveur qui établit la communication. Par exemple, le serveur Web établit la communication avec le serveur de bases de données. Le serveur de bases de données n’établit pas la communication avec le serveur Web. Il est important de connaître ces caractéristiques lors de la configuration des communications entrantes et sortantes sur un routeur ou sur un pare-feu.

Communication entre batteries Windows SharePoint Services

Légende	Ports et protocoles
1	Accès client (y compris les requêtes de recherche et celles liées à la Gestion des droits relatifs à l’information) ; au moins un des ports suivants : port TCP 80 ; port TCP/SSL 443 ; ports personnalisés.
2	Service de partage de fichiers et d’imprimantes —L’une ou l’autre des configurations suivantes : protocole SMB à hébergement direct (TCP/UDP 445) (recommandé) ; NetBIOS sur TCP/IP (ports TCP/UDP 137, 138, 139) (à désactiver en cas de non-utilisation).
3	Analyse de la recherche — Suivant la configuration de l’authentification, les sites SharePoint peuvent être étendus avec une zone ou un site IIS (Internet Information Services) supplémentaire afin que le composant d’index puisse accéder au contenu. Cette configuration peut aboutir au paramétrage de ports personnalisés : port TCP 80 ; port TCP/SSL (Secure Sockets Layer) 443 ; ports personnalisés.
4	Communication de base de données : port TCP/SSL 1433 (par défaut) pour l’instance par défaut (personnalisable) ; port TCP/SSL aléatoire pour les instances nommées (personnalisable).

Communication entre les stations de travail d’administrateur et l’Administration centrale

Le site Administration centrale peut être installé sur n’importe quel serveur Web ou sur le serveur de recherche. Les modifications de la configuration apportées par l’intermédiaire du site Administration centrale sont communiquées à la base de données de configuration. D’autres rôles de serveur dans la batterie sélectionnent les modifications de configuration qui sont enregistrées dans la base de données de configuration pendant leurs cycles d’interrogation. Par conséquent, le site Administration centrale n’impose pas de nouvelles contraintes de communication aux autres rôles de serveur dans la batterie de serveurs. Toutefois, suivant le serveur sur lequel vous déployez le site Administration centrale, veillez à activer l’accès à partir des stations de travail d’administrateur.

La figure ci-dessous illustre la communication entre une station de travail d’administrateur et le site Administration centrale et la base de données de configuration.

Exemple de communication entre batteries Windows SharePoint Services

Le tableau suivant décrit les ports et protocoles qui ne sont pas indispensables pour la communication en direction, et à partir, du site Administration centrale.

Légende	Ports et protocoles
1	Site Administration centrale ; au moins un des ports suivants : port TCP 80 ; port TCP/SSL 443 ; ports personnalisés.
4	Communication de base de données : port TCP/SSL 1433 (par défaut) pour l’instance par défaut (personnalisable) ; port TCP/SSL aléatoire pour les instances nommées (personnalisable).

Site Administration centrale ; au moins un des ports suivants :

port TCP 80 ;
port TCP/SSL 443 ;
ports personnalisés.

Communication de base de données :

port TCP/SSL 1433 (par défaut) pour l’instance par défaut (personnalisable) ;
port TCP/SSL aléatoire pour les instances nommées (personnalisable).

Communication avec les rôles de serveur d’infrastructure

Lorsque vous configurez un environnement extranet, il est important de comprendre comment les différents rôles de serveur communiquent au sein des ordinateurs serveurs d’infrastructure.

Contrôleur de domaine Active Directory

Le tableau suivant indique les ports nécessaires pour les connexions entrantes depuis chaque rôle de serveur vers un contrôleur de domaine Active Directory.

Élément	Serveur Web	Serveurde recherche	Serveur de bases de données
TCP/UDP 445 (services d’annuaire)	X	X	X
TCP/UDP 88 (authentification Kerberos)	X	X	X
Ports LDAP (Lightweight Directory Access Protocol)/LDAPS 389 à 636 par défaut (personnalisables)	X

Les serveurs Web ne nécessitent l’utilisation de ports LDAP/LDAPS que si l’authentification LDAP est configurée.

Serveur DNS

Le tableau suivant indique les ports nécessaires pour les connexions entrantes depuis chaque rôle de serveur vers un serveur DNS (Domain Name System). Dans de nombreux environnements extranet, un ordinateur serveur héberge à la fois le contrôleur de domaine Active Directory et le serveur DNS.

Élément	Serveur Web	Serveur de recherche	Serveur de bases de données
DNS, TCP/UDP 53	X	X	X

Service SMTP

L’intégration de la messagerie nécessite l’utilisation du service SMTP (Simple Mail Transport Protocol) avec le port TCP 25 sur au moins l’un des serveurs Web frontaux de la batterie de serveurs. Le service SMTP est requis pour le courrier électronique entrant (connexions entrantes). Pour le courrier électronique sortant, vous pouvez utiliser le service0 SMTP ou router le courrier électronique sortant par l’intermédiaire d’un serveur de messagerie dédié dans votre organisation, tel qu’un ordinateur exécutant Microsoft Exchange Server.

Élément	Serveur Web	Serveur de recherche	Serveur de bases de données
Port TCP 25	X

Communication Active Directory entre les domaines de réseau

La communication Active Directory entre les domaines en vue de la prise en charge de l’authentification auprès d’un contrôleur de domaine à l’intérieur du réseau d’entreprise nécessite au moins une relation d’approbation à sens unique dans laquelle le réseau de périmètre approuve le réseau d’entreprise.

Dans l’exemple qu’illustre la première figure de cet article, les ports suivants sont requis en tant que connexions entrantes vers le serveur ISA B pour la prise en charge d’une relation d’approbation à sens unique :

TCP/UDP 135 (RPC) ;
TCP/UDP 389 par défaut, personnalisable (LDAP) ;
TCP 636 par défaut, personnalisable (LDAP SSL) ;
TCP 3268 (LDAP GC) ;
TCP 3269 (LDAP GC SSL) ;
TCP/UDP 53 (DNS) ;
TCP/UDP 88 (Kerberos) ;
TCP/UDP 445 (services d’annuaire) ;
TCP/UDP 749 (Kerberos-Adm) ;
TCP 750 (Kerberos-IV).

Lors de la configuration du serveur ISA B (ou d’un autre périphérique situé entre le réseau de périmètre et le réseau d’entreprise), la relation réseau doit être définie comme étant routée. Ne définissez pas la relation réseau en tant que traduction d’adresses réseau (NAT).

Pour plus d’informations sur les contraintes liées au renforcement de la sécurité des relations d’approbation, voir les ressources suivantes :

Télécharger ce livre

Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :

Consultez la liste des livres disponibles à l’adresse Livres à télécharger pour Windows SharePoint Services.