Condividi tramite

Pianificare configurazioni protette per le caratteristiche di Windows SharePoint Services

  • Articolo

Contenuto dell'articolo:

  • Suggerimenti sulle caratteristiche di Windows SharePoint Services

In questo articolo è possibile trovare consigli utili per configurare e gestire le caratteristiche di Microsoft Windows SharePoint Services 3.0 in modo più protetto. È preferibile in genere effettuare le configurazioni consigliate in Amministrazione centrale anziché in rete, nel sistema operativo, in Internet Information Services (IIS) o in Microsoft .NET Framework. Le indicazioni fornite nell'articolo sono valide per gli ambienti di protezione seguenti:

  • Team o reparto interno

  • Ambiente interno ospitato da IT

  • Collaborazione protetta esterna

  • Accesso anonimo esterno

Per ulteriori informazioni su questi ambienti, vedere Scegliere l'ambiente di protezione (Windows SharePoint Services).

Suggerimenti sulle caratteristiche di Windows SharePoint Services

Nella tabella seguente sono contenuti suggerimenti utili per proteggere le caratteristiche di Microsoft Windows SharePoint Services 3.0.

Caratteristica o area Suggerimento

Autenticazione

  • Non utilizzare l'accesso automatico sul lato client quando si utilizza il sito Amministrazione centrale.

  • Consentire solo ai computer server Web front-end di eseguire l'autenticazione degli utenti. Non consentire ai gruppi o agli account di utenti finali di eseguire l'autenticazione a fronte del computer server database.

Autorizzazione

Assegnare le autorizzazioni ai gruppi anziché ai singoli account.

Livelli di autorizzazione

Assegnare agli utenti le autorizzazioni minime necessarie per effettuare le relative attività.

Amministrazione

Utilizzare le autorizzazioni di accesso per proteggere il sito Amministrazione centrale e consentire agli amministratori di connettersi al sito in modalità remota invece di impostare il sito Amministrazione centrale solo per l'utilizzo da computer locale. In questo modo per gli amministratori non è più tassativamente necessario connettersi in locale al computer che ospita Amministrazione centrale. Configurare l'accesso mediante Servizi terminal al computer rappresenta un rischio maggiore per la protezione che non lasciare il sito Web Amministrazione centrale disponibile per l'accesso remoto.

Integrazione della posta elettronica

  • Configurare Microsoft Windows SharePoint Services 3.0 in modo da accettare solo la posta elettronica inoltrata tramite un server di posta dedicato, quale ad esempio Microsoft Exchange Server, che filtri i virus e i messaggi commerciali indesiderati e che autentichi il mittente.

  • Quando si configurano le impostazioni del flusso di lavoro, Microsoft Windows SharePoint Services 3.0 consente di autorizzare i partecipanti che non dispongono dei diritti di accesso a un documento presente in un sito a ricevere tale documento come allegato di posta elettronica. In un ambiente protetto non selezionare l'opzione Consenti agli utenti esterni di partecipare al flusso di lavoro tramite l'invio di una copia del documento. In Microsoft Windows SharePoint Services 3.0 questa opzione è deselezionata per impostazione predefinita.

Archiviazione e protezione delle web part

  • Ricordarsi di distribuire nella server farm solo codice attendibile. Tutto il codice da distribuire, anche di tipo XML o ASP.NET, deve provenire da una fonte attendibile, anche se dopo la distribuzione si intende applicare un livello di protezione maggiore con misure di difesa in profondità, tra cui la protezione dell'accesso di codice.

  • Verificare che nell'elenco SafeControl all'interno del file Web.config sia presente l'insieme di controlli e di web part che si desidera consentire.

  • Verificare che le web part personalizzate a cui si intende applicare un maggiore livello di protezione mediante misure di difesa in profondità siano installate nella directory bin dell'applicazione Web, dove è attivata un'attendibilità parziale, con autorizzazioni specifiche per ogni assembly.

  • Considerare la possibilità di rimuovere la web part Editor contenuto dall'elenco SafeControl. In questo modo si impedisce agli utenti di aggiungere codice JavaScript nella pagina come web part e di utilizzare il codice JavaScript ospitato in server esterni.

  • Verificare che ai membri appropriati dell'organizzazione siano concessi i livelli di autorizzazione Progettazione e Collaborazione nel sito. Un utente con il livello di autorizzazione Collaborazione può caricare pagine ASPX (Active Server Page Extension) in una raccolta e aggiungere web part. Gli utenti con il livello di autorizzazione Progettazione, che sono autorizzati ad aggiungere web part, possono invece modificare le pagine, inclusa la home page del sito, ovvero Default.aspx.

Ricerca

  • L'account del servizio di ricerca di Windows SharePoint Services non deve essere membro del gruppo Amministratori farm, altrimenti il servizio di ricerca di Windows SharePoint Services indicizzerà le versioni non pubblicate dei documenti.

  • Verificare che i filtri IFilter e i word breaker aggiuntivi da distribuire siano ritenuti attendibili dal team IT.

  • Per impostazione predefinita, il file dell'indice di ricerca è accessibile solo ai membri del gruppo Amministratori farm. Verificare che a tale file non possano accedere utenti che non appartengono a questo gruppo.

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

Vedere l'elenco completo dei manuali disponibili visitando la pagina Web Manuali scaricabili per Windows SharePoint Services (informazioni in lingua inglese).