Pianificare la protezione avanzata per i ruoli del server in una server farm (Windows SharePoint Services)

• Informazioni sulla protezione avanzata

• Consigli relativi al server applicazioni

• Comunicazione protetta con il database di Microsoft SQL Server

• Requisiti del servizio Condivisione file e stampanti

• Requisiti del servizio per l'integrazione della posta elettronica

• Servizi di Windows SharePoint Services

• Account e gruppi

• File Web.config

• Aggiunte allo snapshot protetto

Utilizzare questo articolo per pianificare la protezione della server farm. Le attività indicate nell'articolo sono appropriate per gli ambienti di protezione seguenti:

• Ambiente interno ospitato da IT

• Collaborazione protetta esterna

• Accesso anonimo esterno

Informazioni sulla protezione avanzata

In un ambiente server farm i singoli server hanno ruoli specifici. I consigli relativi alla protezione avanzata per tali server dipendono dal ruolo di ogni server.

I consigli relativi alla protezione avanzata sono basati sui consigli contenuti nelle guide alla protezione seguenti, disponibili in Informazioni aggiuntive Microsoft (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73704&clcid=0x410) (informazioni in lingua inglese) :

• Protezione del server Web (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x410) (informazioni in lingua inglese)

• Protezione del server database (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x410) (informazioni in lingua inglese)

• Protezione della rete (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73707&clcid=0x410) (informazioni in lingua inglese)

Queste guide applicano un approccio metodico per la protezione dei server per ruoli specifici e per la protezione della rete di supporto. Viene inoltre specificato l'ordine con cui applicare le impostazioni e con cui installare e proteggere in modalità avanzata le applicazioni, a partire dall'installazione di patch e aggiornamenti fino alla protezione avanzata delle impostazioni della rete e del sistema operativo e alla protezione avanzata specifica dell'applicazione. In Protezione del server Web (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x410) (informazioni in lingua inglese) ad esempio viene suggerito di installare e proteggere in modalità avanzata Internet Information Services (IIS) solo dopo aver installato le patch e aver applicato al sistema operativo la protezione avanzata. In questa guida viene inoltre suggerito di installare Microsoft .NET Framework solo dopo avere installato le patch di IIS e aver applicato la protezione avanzata.

Nella figura seguente vengono illustrate in modo dettagliato le categorie di impostazioni di protezione suggerite metodicamente in Protezione del server Web (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x410) (informazioni in lingua inglese) .

In ognuna di queste tre guide sono inoltre disponibili uno snapshot protetto e un elenco di impostazioni di protezione consigliate per il ruolo server specifico o per la rete. Gli elenchi di snapshot sono organizzati in base a categorie corrispondenti alle impostazioni di protezione illustrate nella figura precedente.

Le informazioni aggiuntive sul sistema di protezione e sulla protezione avanzata disponibili in questo articolo sono basate sulle informazioni aggiuntive pubblicate in queste tre guide. Si presuppone che tali informazioni vengano utilizzate come linea di base per la protezione e la protezione avanzata della server farm.

In questo articolo vengono illustrate le eccezioni o le aggiunte agli snapshot consigliate per l'ambiente in uso. Tali informazioni sono disponibili sotto forma di tabella dettagliata, nello stesso ordine e con le stesse categorie utilizzate nelle tre guide alla protezione. Questo formato consente di identificare e applicare con facilità consigli specifici nel corso dell'utilizzo delle guide.

Nella guida Distribuzione della tecnologia Windows SharePoint Services 3.0 (https://go.microsoft.com/fwlink/?linkid=76140&clcid=0x410) sono incluse istruzioni per l'applicazione di specifiche informazioni aggiuntive sulla protezione non disponibili nelle guide alla protezione indicate in precedenza.

Per la natura delle comunicazioni tra i server di una server farm e per le caratteristiche specifiche offerte da Microsoft Windows SharePoint Services 3.0 sono necessari consigli specifici sulla protezione avanzata. In questo articolo viene inoltre illustrato il modo in cui i canali di comunicazione chiave e le caratteristiche di Microsoft Windows SharePoint Services 3.0 influiscono sui requisiti per la protezione.

Consigli relativi al server applicazioni

In Microsoft Windows SharePoint Services 3.0 i ruoli del server applicazioni non sono esercitati da server applicazioni di livello intermedio tipici inclusi nelle applicazioni Enterprise Services. I consigli disponibili in Protezione del server applicazioni (informazioni in lingua inglese) (https://msdn.microsoft.com/it-it/library/aa302433(it-it).aspx) non si applicano pertanto ai server applicazioni di Microsoft Windows SharePoint Services 3.0. Utilizzare invece le informazioni aggiuntive disponibili in Protezione del server Web (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x410) (informazioni in lingua inglese) per applicare ai server applicazioni di Microsoft Windows SharePoint Services 3.0 la protezione avanzata:

• Applicare le informazioni aggiuntive relative alle impostazioni di rete e del sistema operativo a tutti i server applicazioni nella server farm. Tali informazioni sono incluse nelle categorie seguenti: patch e aggiornamenti, servizi, protocolli, account, file e directory, condivisioni, porte, Registro di sistema, controllo e registrazione.

• Applicare le informazioni aggiuntive sulla protezione avanzata di IIS e di altre impostazioni Web solo al server applicazioni che ospita il sito Web Amministrazione centrale. Tali informazioni includono le categorie seguenti: IIS, Machine.config, protezione dell'accesso di codice, LocalIntranet_Zone e Internet_Zone.

Oltre a utilizzare lo snapshot protetto disponibile in Protezione del server Web (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x410) (informazioni in lingua inglese) , è necessario applicare i consigli disponibili nella sezione Aggiunte allo snapshot protetto più avanti in questo articolo.

Comunicazione protetta con il database di Microsoft SQL Server

In Protezione del server database (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x410) (informazioni in lingua inglese) viene suggerito di limitare l'accesso a due porte di comunicazione predefinite di Microsoft SQL Server: la porta TCP 1433 e la porta UDP 1434. Per gli ambienti server farm protetti, è consigliabile attenersi ai consigli seguenti:

• Bloccare interamente la porta UDP 1434.

• Configurare le istanze denominate di SQL Server in modo che siano in ascolto su una porta non standard, ovvero diversa dalla porta TCP 1433 o dalla porta UDP 1434.

• Per una protezione aggiuntiva, bloccare la porta TCP 1433 e riassegnare la porta utilizzata dall'istanza predefinita a una porta non standard.

• Configurare gli alias per client SQL in tutti i server Web front-end Web e in tutti i server applicazioni della server farm. Dopo il blocco della porta TCP 1433 o della porta UDP 1434, gli alias per client SQL sono necessari in tutti i computer che comunicano con il computer SQL Server.

Questo approccio offre un livello di controllo notevolmente superiore rispetto alla modalità con cui SQL Server viene distribuito ed eseguito, inclusa la possibilità di assicurare che solo i computer autorizzati siano in grado di comunicare con il computer SQL Server.

È necessario completare i passaggi relativi alla protezione avanzata per la creazione di un alias per client SQL prima di installare Microsoft Windows SharePoint Services 3.0. Quando si esegue il programma di installazione di Microsoft Windows SharePoint Services 3.0 e viene richiesta l'immissione del nome del computer SQL Server a cui effettuare la connessione, è necessario specificare il nome dell'alias per client SQL.

Blocco delle porte standard di SQL Server

Le porte specifiche utilizzate per la connessione a SQL Server dipendono dall'installazione dei database in un'istanza predefinita di SQL Server o in un istanza denominata di SQL Server. L'istanza predefinita di SQL Server è in ascolto di richieste client sulla porta TCP 1433. Un'istanza denominata di SQL Server è in ascolto su un numero di porta assegnato in modo casuale. Il numero di porta per un'istanza denominata può essere inoltre riassegnato in caso di riavvio dell'istanza, se il numero di porta assegnato in precedenza è disponibile.

Per impostazione predefinita, i computer client che si connettono a SQL Server, per la connessione utilizzano innanzitutto la porta TCP 1433. Se tale comunicazione ha esito negativo, i computer client eseguono una query nel Servizio di risoluzione di SQL Server in ascolto sulla porta UDP 1434 per determinare su quale porta sia in ascolto l'istanza del database.

Il comportamento predefinito per la comunicazione tra le porte di SQL Server presenta alcuni problemi che influiscono sulla protezione avanzata del server. Le porte utilizzate da SQL Server, innanzitutto, sono porte molto note e il Servizio di risoluzione di SQL Server è stato oggetto di attacchi di sovraccarico del buffer e attacchi Denial of Service, incluso il virus worm "Slammer". Anche se si applicano patch a SQL Server per ridurre i problemi relativi alla protezione nel Servizio di risoluzione di SQL Server, le porte note rimangono oggetto di attacchi. In secondo luogo, se i database sono installati in un'istanza denominata di SQL Server, la porta di comunicazione corrispondente viene assegnata in modo casuale e può cambiare. Questo comportamento potrebbe impedire la comunicazione tra server in un ambiente con protezione avanzata. La possibilità di controllare quali porte TCP siano aperte o bloccate è essenziale per la protezione dell'ambiente.

Per una server farm è pertanto consigliabile assegnare numeri di porta statici a istanze denominate di SQL Server e bloccare la porta UDP 1434 per impedire a potenziali utenti malintenzionati di accedere al Servizio di risoluzione di SQL Server. È inoltre consigliabile prendere in considerazione la riassegnazione della porta utilizzata dall'istanza predefinita e il blocco della porta TCP 1433.

Sono disponibili alcuni metodi per il blocco delle porte. È possibile bloccare le porte utilizzando un firewall. Tuttavia, a meno che non sia possibile essere certi che non siano disponibili altri percorsi di accesso al segmento di rete e che nessun utente malintenzionato disponga di accesso al segmento di rete, è consigliabile bloccare tali porte direttamente nel server che ospita SQL Server. A tale scopo, utilizzare Windows Firewall nel Pannello di controllo.

Configurazione delle istanze del database di SQL Server per l'ascolto su una porta non standard

In SQL Server è possibile riassegnare le porte utilizzate dall'istanza predefinita e da eventuali istanze denominate. In SQL Server 2000 le porte vengono riassegnate mediante l'utilità Configurazione di rete di SQL Server, mentre in SQL Server 2005 le porte vengono riassegnate tramite Gestione configurazione SQL Server.

Configurazione degli alias per client SQL

In una server farm tutti i server Web front-end e i server applicazioni sono computer client SQL Server. Se si blocca la porta UDP 1434 nel computer SQL Server o si modifica la porta predefinita per l'istanza predefinita, è necessario configurare un alias per client SQL in tutti i server che si connettono al computer SQL Server.

Per effettuare la connessione a un'istanza di SQL Server 2000, è necessario installare gli strumenti client di SQL Server nel computer di destinazione e quindi configurare l'alias per client SQL. A tale scopo, eseguire il programma di installazione per SQL Server e quindi scegliere SQL Server - Strumenti client.

Per effettuare la connessione a un'istanza di SQL Server 2005, è necessario installare i componenti client di SQL Server nel computer di destinazione e quindi configurare l'alias per client SQL utilizzando Gestione configurazione SQL Server. Per installare i componenti client di SQL Server, eseguire il programma di installazione e quindi selezionare solo i componenti client seguenti per l'installazione:

• Componenti di connettività

• Strumenti di gestione (include Gestione configurazione SQL Server)

I componenti client di SQL Server sono compatibili con SQL Server 2000 e possono essere utilizzati al posto degli strumenti client di SQL Server.

Passaggi per la protezione avanzata

Configurare SQL Server

Configurare un'istanza di SQL Server 2000 in modo che rimanga in ascolto su una porta non predefinita

Utilizzare l'utilità Configurazione di rete di SQL Server per cambiare la porta TCP utilizzata da un'istanza di SQL Server 2000.

1. Eseguire l'utilità Configurazione di rete di SQL Server nel computer SQL Server.

2. Scegliere l'istanza desiderata dal menu Istanze nel server. Verificare di avere selezionato l'istanza desiderata. Per impostazione predefinita, l'istanza predefinita rimane in ascolto sulla porta 1433. Alle istanze denominate di SQL Server 2000 viene assegnato un numero di porta casuale ed è quindi possibile che non si conosca il numero di porta attualmente assegnato a un'istanza denominata quando si esegue l'utilità Configurazione di rete di SQL Server.

3. Nel riquadro Protocolli attivati disponibile nella parte destra dell'interfaccia dell'utilità Configurazione di rete di SQL Server fare clic su TCP/IP e quindi su Proprietà.

4. Nella finestra di dialogo Imposta valori predefiniti protocollo di rete modificare il numero di porta TCP. Non utilizzare alcuna porta TCP nota. Selezionare ad esempio un numero di porta appartenente a un intervallo più elevato, quale 40000. Non selezionare la casella di controllo Nascondi server.

5. Fare clic su OK.

6. Nella finestra di dialogo Configurazione di rete di SQL Server fare clic su OK. Verrà visualizzato un messaggio che indica che la modifica verrà applicata solo dopo il riavvio dell'istanza del servizio SQL Server. Fare clic su OK.

7. Riavviare il servizio SQL Server e confermare che il computer SQL Server è in ascolto sulla porta selezionata. A tale scopo, dopo il riavvio del servizio SQL Server cercare nel registro del visualizzatore eventi informazioni analoghe all'evento seguente:

   Tipo evento: Informazioni

   Origine evento: MSSQLSERVER

   Categoria evento: (2)

   ID evento: 17055

   Data: 06/03/2008

   Ora: 11:20:28

   Utente: N/D

   Computer: nome_computer

   Descrizione

   19013:

   SQL Server in ascolto su 10.1.2.3: 40000

Configurare un'istanza di SQL Server 2000 in modo che rimanga in ascolto su una porta non predefinita

Utilizzare Gestione configurazione SQL Server per cambiare la porta TCP utilizzata da un'istanza di SQL Server 2005.

1. Utilizzare Gestione configurazione SQL Server per cambiare la porta TCP utilizzata da un'istanza di SQL Server 2005.

2. Nel computer SQL Server aprire Gestione configurazione SQL Server.

3. Nel riquadro a sinistra espandere Configurazione di rete SQL Server 2005.

4. In Configurazione di rete SQL Server 2005 fare clic sulla voce corrispondente all'istanza da configurare. L'istanza predefinita è inclusa nell'elenco come Protocolli per MSSQLSERVER, mentre le istanze denominate vengono visualizzate come Protocolli per istanza_denominata.

5. Nel riquadro a destra fare clic con il pulsante destro del mouse su TCP/IP e quindi scegliere Proprietà.

6. Fare clic sulla scheda Indirizzi IP. Tale scheda include una voce corrispondente a ogni indirizzo IP assegnato al computer SQL Server. Per impostazione predefinita, SQL Server è in ascolto su tutti gli indirizzi IP assegnati al computer.

7. Per cambiare a livello globale la porta su cui è in ascolto l'istanza predefinita, eseguire le operazioni seguenti:

   1. Per ogni IP, escluso IPAll, cancellare tutti i valori per Porte dinamiche TCP e Porta TCP.

   2. Per IPAll cancellare il valore per Porte dinamiche TCP. Nel campo Porta TCP immettere la porta su cui mettere in ascolto l'istanza di SQL Server, ad esempio digitare 40000.

8. Per cambiare a livello globale la porta su cui è in ascolto un'istanza denominata, eseguire le operazioni seguenti:

   1. Per ogni IP, incluso IPAll, cancellare tutti i valori per Porte dinamiche TCP. Un valore pari a 0 per questo campo indica che SQL Server utilizza una porta dinamica TCP per l'indirizzo IP. Se questo campo è vuoto, SQL Server 2005 non utilizzerà alcuna porta dinamica TCP per l'indirizzo IP.

   2. Per ogni IP, escluso IPAll, cancellare tutti i valori per Porta TCP .

   3. Per IPAll cancellare il valore per Porte dinamiche TCP. Nel campo Porta TCP immettere la porta su cui mettere in ascolto l'istanza di SQL Server, ad esempio digitare 40000.

9. Fare clic su OK. Verrà visualizzato un messaggio che indica che la modifica verrà applicata solo dopo il riavvio dell'istanza del servizio SQL Server. Fare clic su OK.

10. Chiudere Gestione configurazione SQL Server.

11. Riavviare il servizio SQL Server e confermare che il computer SQL Server è in ascolto sulla porta selezionata. A tale scopo, dopo il riavvio del servizio SQL Server cercare nel registro del visualizzatore eventi informazioni analoghe all'evento seguente:

    Tipo evento: Informazioni

    Origine evento: MSSQL$MSSQLSERVER

    Categoria evento: (2)

    ID evento: 26022

    Data: 06/03/2008

    Ora: 13:46:11

    Utente: N/D

    Computer: nome_computer

    Descrizione

    Il server è in attesa su [ 'any' <ipv4>50000]

Configurare Windows Firewall

Configurare Windows Firewall per bloccare le porte di ascolto predefinite di SQL Server

1. Nel Pannello di controllo aprire Windows Firewall.

2. Nella scheda Generale fare clic su Attivato. Verificare che la casella di controllo Non consentire eccezioni sia deselezionata.

3. Nella scheda Eccezioni fare clic su Aggiungi porta.

4. Nella finestra di dialogo Aggiungi porta immettere un nome per la porta, ad esempio UDP-1434. Specificare quindi il numero di porta, ad esempio 1434.

5. Selezionare il pulsante di opzione appropriato, ovvero UDP o TCP. Ad esempio, per bloccare la porta 1434, fare clic su UDP e per bloccare la porta 1433, fare clic su TCP.

6. Fare clic su Cambia ambito e verificare che l'ambito per questa eccezione sia impostato su Tutti i computer (compresi quelli in Internet).

7. Fare clic su OK.

8. Nella scheda Eccezioni individuare l'eccezione creata. Per bloccare la porta, deselezionare la casella di controllo corrispondente a questa eccezione. Per impostazione predefinita, questa casella di controllo è selezionata. Ciò significa che la porta è aperta.

Configurare Windows Firewall per l'apertura di porte assegnate manualmente

1. Eseguire i passaggi dall'1 al 7 della procedura precedente per creare un'eccezione per la porta assegnata manualmente a un'istanza di SQL. Ad esempio, creare un'eccezione per la porta TCP 40000.

2. Nella scheda Eccezioni individuare l'eccezione creata. Verificare che la casella di controllo corrispondente all'eccezione sia selezionata. Per impostazione predefinita, questa casella di controllo è selezionata. Ciò significa che la porta è aperta.

   Nota

   Per ulteriori informazioni sull'utilizzo di IPsec (Internet Protocol security) per proteggere le comunicazioni verso e dal computer SQL Server, vedere l'articolo 233256 della Microsoft Knowledge Base intitolato Attivazione del traffico IPSec attraverso un firewall (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x410).

Configurare un alias per client SQL

Configurare un alias per client SQL

Se si blocca la porta UDP 1434 o la porta TCP 1433 nel computer SQL Server, è necessario creare un alias per client SQL in tutti gli altri computer della server farm. Per creare alias per client SQL per i computer che si connettono a SQL Server 2000 o SQL Server 2005, è possibile utilizzare i componenti client di SQL Server.

1. Eseguire il programma di installazione di SQL Server 2005 nel computer di destinazione e quindi selezionare i componenti client seguenti per l'installazione:

   1. Componenti di connettività

   2. Strumenti di gestione

2. Aprire Gestione configurazione SQL Server.

3. Nel riquadro a sinistra fare clic su Configurazione SQL Native Client.

4. Nel riquadro a destra fare clic con il pulsante destro del mouse su Alias e quindi scegliere Nuovo alias.

5. Nella finestra di dialogo Alias immettere un nome per l'alias e quindi specificare il numero di porta per l'istanza di database, ad esempio SharePoint*_alias*.

6. Nel campo Numero porta immettere il numero di porta per l'istanza di database, ad esempio 40000. Verificare che il protocollo sia impostato su TCP/IP.

7. Nel campo Server immettere il nome del computer SQL Server.

8. Fare clic su Applica e quindi su OK.

Eseguire il testing dell'alias per client SQL

Eseguire il testing della connettività con il computer SQL Server utilizzando Microsoft SQL Server Management Studio, disponibile tramite l'installazione dei componenti client di SQL Server.

1. Aprire SQL Server Management Studio.

2. Quando viene richiesta l'immissione di un nome server, specificare il nome dell'alias creato e quindi fare clic su Connetti. Se la connessione ha esito positivo, in SQL Server Management Studio vengono indicati gli oggetti corrispondenti al database remoto.

   Nota

   Per verificare la connettività ad altre istanze di database da SQL Server Management Studio, fare clic sul pulsante Connetti e quindi selezionare Motore di database.

Requisiti del servizio Condivisione file e stampanti

Alcune caratteristiche di base dipendono dal servizio Condivisione file e stampanti e dai protocolli e dalle porte corrispondenti, incluse tra le altre le caratteristiche seguenti:

• Query di ricerca   Tutte le query di ricerca necessitano del servizio Condivisione file e stampanti.

• Ricerca per indicizzazione e indicizzazione del contenuto Per eseguire la ricerca per indicizzazione di contenuto, il componente di indicizzazione invia richieste tramite il server Web front-end, che comunica direttamente con i database del contenuto e restituisce i risultati al server di indicizzazione. Per tale comunicazione è necessario il servizio Condivisione file e stampanti.

Per il servizio Condivisione file e stampanti sono necessarie le named pipe, che possono comunicare tramite protocolli SMB con hosting diretto o NBT. Per un ambiente protetto, è consigliabile utilizzare SMB con hosting diretto invece di NBT. Nei consigli relativi alla protezione avanzata disponibili in questo articolo si presuppone che venga utilizzato il protocollo SMB.

Nella tabella seguente vengono illustrati i requisiti relativi alla protezione avanzata derivanti dalla dipendenza dal servizio Condivisione file e stampanti.

Categoria	Requisito	Note
Servizi	Condivisione file e stampanti	Utilizzo obbligatorio delle named pipe.
Protocolli	Named pipe che utilizzano SMB con hosting diretto Disattivare NBT	Le named pipe possono utilizzare il protocollo NBT invece del protocollo SMB con hosting diretto, ma il protocollo NBT non è considerato sicuro quanto il protocollo SMB cono hosting diretto.
Porte	Porta TCP/UDP 445	Utilizzata dal protocollo SMB con hosting diretto.

Per ulteriori informazioni sulla disattivazione del protocollo NBT, vedere l'articolo 204279 della Microsoft Knowledge Base intitolato Hosting diretto di SMB su TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x410).

Requisiti del servizio per l'integrazione della posta elettronica

Per l'integrazione della posta elettronica è necessario utilizzare i due servizi seguenti:

• Servizio SMTP (Simple Mail Transfer Protocol)

• Servizio di gestione directory di Microsoft SharePoint

Servizio SMTP

Per l'integrazione della posta elettronica è necessario utilizzare il servizio SMTP in almeno uno dei server Web front-end della server farm. Il servizio SMTP è necessario per la posta in arrivo. Per la posta in uscita, è possibile utilizzare il servizio SMTP oppure instradare la posta in uscita attraverso un server di posta elettronica dedicato nell'organizzazione, ad esempio un computer che esegue Microsoft Exchange Server.

Servizio di gestione directory di Microsoft SharePoint

Microsoft Windows SharePoint Services 3.0 include un servizio interno, il Servizio di gestione directory di Microsoft SharePoint, per la creazione di gruppi di distribuzione di posta elettronica.

Durante la configurazione dell'integrazione della posta elettronica è possibile attivare la caratteristica Servizio di gestione directory, consentendo agli utenti di creare liste di distribuzione. Quando gli utenti creano un gruppo di SharePoint e quindi selezionano l'opzione per la creazione di una lista di distribuzione, il Servizio di gestione directory di Microsoft SharePoint crea la lista di distribuzione del servizio directory di Active Directory corrispondente nell'ambiente Active Directory.

Negli ambienti con protezione avanzata è consigliabile limitare l'accesso al Servizio di gestione directory di Microsoft SharePoint, proteggendo il file associato a tale servizio, ovvero SharePointEmailws.asmx. Ad esempio, è consigliabile consentire l'accesso a questo file solo all'account della server farm.

Questo servizio necessita inoltre di autorizzazioni nell'ambiente Active Directory per creare oggetti lista di distribuzione di Active Directory. È consigliabile configurare un'unità organizzativa distinta in Active Directory per oggetti di SharePoint e fare in modo che solo tale unità organizzativa consenta l'accesso in scrittura all'account utilizzato dal Servizio di gestione directory di Microsoft SharePoint.

Servizi di Windows SharePoint Services

Non disattivare i servizi installati da Microsoft Windows SharePoint Services 3.0. I servizi seguenti, indicati in ordine alfabetico, sono installati in tutti i server Web front-end e in tutti i server applicazioni e vengono visualizzati nello snap-in Servizi di Microsoft Management Console (MMC):

• Amministrazione Windows SharePoint Services

• Servizio di ricerca di Windows SharePoint Services

• Timer di Windows SharePoint Services

• Servizio di traccia di Windows SharePoint Services

• Windows SharePoint Services VSS Writer

Se l'ambiente in uso non consente servizi eseguiti come sistema locale, è possibile valutare la disattivazione del servizio Amministrazione Windows SharePoint Services solo se si è consapevoli delle conseguenze e si è in grado di gestirle. Si tratta di un servizio Win32 eseguito come sistema locale.

Questo servizio viene utilizzato dal servizio Timer di Windows SharePoint Services per eseguire azioni che necessitano di privilegi amministrativi sul server, ad esempio la creazione di siti Web IIS, la distribuzione di codice, l'interruzione e l'avvio di servizi. Se si disattiva questo servizio, non sarà possibile eseguire attività correlate alla distribuzione dal sito Amministrazione centrale. Sarà necessario utilizzare lo strumento da riga di comando Stsadm.exe ed eseguire il comando execadminsvcjobs per completare distribuzioni multiserver per Microsoft Windows SharePoint Services 3.0 e per eseguire altre attività correlate alla distribuzione.

Account e gruppi

Negli snapshot protetti delle guide alla protezione incluse in Informazioni aggiuntive sono disponibili consigli per la protezione di account e gruppi.

Per consigli sulla pianificazione per account, vedere Pianificare gli account amministrativi e di servizio (Windows SharePoint Services).

Per consigli sulla pianificazione per ruoli amministrativi e utente, vedere Pianificare i ruoli di protezione (Windows SharePoint Services).

File Web.config

In .NET Framework e in particolare in ASP.NET vengono utilizzati file di configurazione in formato XML per la configurazione di applicazioni. I file di configurazione vengono utilizzati in .NET Framework per definire le opzioni di configurazione e sono file XML basati su testo. In genere, in un singolo sistema esistono più file di configurazione.

Le impostazioni di configurazione a livello di sistema per .NET Framework sono definite nel file Machine.config, che si trova nella cartella %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. Le impostazioni predefinite incluse nel file Machine.config possono essere modificate per influire sul comportamento delle applicazioni che utilizzano .NET Framework nell'intero sistema. Per consigli sulla configurazione dei file Machine.config, vedere Protezione del server Web (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x410) (informazioni in lingua inglese) .

Se si crea un file Web.config nella cartella principale dell'applicazione, è possibile modificare le impostazioni di configurazione di ASP.NET per una singola applicazione. Quando si esegue tale operazione, le impostazioni nel file Web.config sostituiscono le impostazioni incluse nel file Machine.config.

Quando si estende un'applicazione Web utilizzando Amministrazione centrale, Microsoft Windows SharePoint Services 3.0 crea automaticamente un file Web.config per l'applicazione Web.

Nella sezione Aggiunte allo snapshot protetto più avanti in questo articolo sono disponibili consigli per la configurazione dei file Web.config. Tali consigli presuppongono l'applicazione in ogni file Web.config creato, incluso il file Web.config per il sito Amministrazione centrale.

Per ulteriori informazioni sui file di configurazione di ASP.NET e sulla modifica di un file Web.config, vedere Configurazione ASP.NET (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x410) .

Aggiunte allo snapshot protetto

In questa sezione vengono illustrate le aggiunte agli snapshot presenti nelle guide alla protezione incluse in Informazioni aggiuntive e consigliate per ambienti Microsoft Windows SharePoint Services 3.0. Tali informazioni sono disponibili sotto forma di tabella dettagliata, nello stesso ordine e con le stesse categorie utilizzati nelle guide alla protezione.

Questo formato consente di identificare e applicare con facilità consigli specifici nel corso dell'utilizzo delle guide alla protezione incluse in Informazioni aggiuntive. Questi consigli sulla protezione avanzata, tranne poche eccezioni specificate, devono essere applicati prima dell'esecuzione del programma di installazione di Microsoft Windows SharePoint Services 3.0.

Per ulteriori informazioni sulle comunicazioni tra ruoli server specifici in una server farm, vedere Pianificare una protezione avanzata per gli ambienti Extranet (Windows SharePoint Services).

Protezione delle aggiunte allo snapshot di rete

Nella tabella seguente vengono illustrati i consigli per la protezione delle aggiunte relative alla rete.

Componente	Eccezione caratteristica
Tutto	Nessun consiglio aggiuntivo

Protezione delle aggiunte allo snapshot del server Web

Nella tabella seguente vengono illustrati i consigli per la protezione delle aggiunte relative al server Web.

Componente	Caratteristica
Servizi	Attivare: Condivisione file e stampanti Servizio Pubblicazione sul Web Verificare che i seguenti servizi rimangano attivati dopo l'esecuzione del programma di installazione: Amministrazione Windows SharePoint Services Servizio di ricerca di Windows SharePoint Services Timer di Windows SharePoint Services Servizio di traccia di Windows SharePoint Services Windows SharePoint Services VSS Writer
Protocolli	Attivare: SMB SMTP (se si utilizza la posta elettronica integrata) Disattivare: NBT
Account	Se il servizio di gestione directory Microsoft è attivato come parte dell'integrazione della posta elettronica, configurare l'ambiente Active Directory per consentire l'accesso in scrittura all'account utilizzato dal servizio di gestione directory Microsoft, ovvero l'account della server farm. Per informazioni aggiuntive sulla configurazione degli account, vedere i requisiti e i consigli relativi agli account di Microsoft Windows SharePoint Services 3.0 disponibili in Pianificare gli account amministrativi e di servizio (Windows SharePoint Services).
File e directory	Se l'integrazione della posta elettronica e la caratteristica servizio di gestione directory sono attivate, limitare l'accesso al servizio di gestione directory di Microsoft SharePoint proteggendo il file associato a tale servizio, ovvero SharePointEmailws.asmx. Ad esempio, consentire l'accesso al file solo all'account della server farm.
Condivisioni	Nessun consiglio aggiuntivo
Porte	Aprire la porta TCP/UDP 445. Se la porta UDP 1434 è bloccata nel computer SQL Server e i database sono installati in un'istanza denominata, configurare un alias per client SQL per la connessione all'istanza denominata. Se la porta TCP 1433 è bloccata nel computer SQL Server e i database sono installati nell'istanza predefinita, configurare un alias per client SQL per la connessione all'istanza denominata. Verificare che le porte rimangano aperte per le applicazioni Web accessibili all'utente. Bloccare l'accesso esterno alla porta utilizzata per il sito Amministrazione centrale.
Registro di sistema	Se si utilizza SSO, modificare il Registro di sistema per configurare il protocollo RPC statico.
Controllo e registrazione	Se i file di registro vengono spostati, verificare che i percorsi corrispondenti vengano aggiornati.
IIS	Vedere le informazioni aggiuntive su IIS più avanti.
Siti e directory virtuali	Nessun consiglio aggiuntivo
Mapping degli script	Nessun consiglio aggiuntivo
Filtri ISAPI	Nessun consiglio aggiuntivo
Metabase IIS	Nessun consiglio aggiuntivo
.NET Framework	Vedere le informazioni aggiuntive su .NET Framework più avanti.
Machine.config: httpForbiddenHandler	Nessun consiglio aggiuntivo
Machine.config: remoting	Nessun consiglio aggiuntivo
Machine.config: trace	Nessun consiglio aggiuntivo
Machine.config: compilation	Nessun consiglio aggiuntivo
Machine.config: customErrors	Nessun consiglio aggiuntivo
Machine.config: sessionState	Nessun consiglio aggiuntivo
Protezione dell'accesso di codice	Verificare di disporre di un insieme minimo di autorizzazioni per la protezione dell'accesso di codice attivate per l'applicazione Web. L'elemento <trust> nel file Web.config per ogni applicazione Web deve essere impostato su WSS_Minimal (dove i valori bassi predefiniti di WSS_Minimal corrispondono a quelli definiti in 12\config\wss_minimaltrust.config) oppure sul proprio file di criteri personalizzato, impostato su valori minimi.
LocalIntranet_Zone	Nessun consiglio aggiuntivo
Internet_Zone	Nessun consiglio aggiuntivo
Web.config	Applicare i consigli seguenti a ogni file Web.config creato dopo l'esecuzione del programma di installazione: Non consentire la compilazione o la creazione di script di pagine di database tramite gli elementi PageParserPaths. Verificare che <SafeMode> CallStack=""false"" e AllowPageLevelTrace=""false"". Verificare che i limiti delle web part relativi al numero massimo di controlli per area siano impostati su valori bassi. Verificare che l'elenco SafeControls sia impostato sull'insieme minimo di controlli necessari per i siti. Verificare che l'elenco SafeTypes del flusso di lavoro sia impostato sul livello minimo di SafeTypes necessari. Verificare che customErrors sia attivato (<customErrors mode=""On""/>). Esaminare le impostazioni del proxy Web in base alla necessità (<sistema.net>/<Proxypredefinito>). Impostare il limite per upload.aspx sulla dimensione più elevata che si può ragionevolmente prevedere che gli utenti desiderino caricare. Il valore predefinito è 2 GB. Le prestazioni possono essere influenzate negativamente da caricamenti superiori a 100 MB.

Protezione delle aggiunte allo snapshot del server database

Nella tabella seguente vengono illustrati i consigli per la protezione delle aggiunte relative al server database.

Componente	Eccezione caratteristica
Servizi	Nessun consiglio aggiuntivo
Protocolli	Nessun consiglio aggiuntivo
Account	Rimuovere manualmente a intervalli regolari gli account inutilizzati.
File e directory	Nessun consiglio aggiuntivo
Condivisioni	Nessun consiglio aggiuntivo
Porte	Bloccare la porta UDP 1434. Valutare la possibilità di bloccare la porta TCP 1433.
Registro di sistema	Nessun consiglio aggiuntivo
Controllo e registrazione	Nessun consiglio aggiuntivo
Impostazioni di SQL Server	Vedere le informazioni aggiuntive sulle impostazioni di SQL Server più avanti.
Protezione di SQL Server	Nessun consiglio aggiuntivo
Account di accesso, utenti e ruoli di SQL Server	Nessun consiglio aggiuntivo
Oggetti database di SQL Server	Nessun consiglio aggiuntivo

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

• Pianificazione e architettura per Windows SharePoint Services 3.0, parte 2 (informazioni in lingua inglese)

• Pianificazione di un ambiente Extranet per Windows SharePoint Services (informazioni in lingua inglese)

• Protezione per Windows SharePoint Services 3.0 (informazioni in lingua inglese)

Vedere l'elenco completo dei manuali disponibili visitando la pagina Web Manuali scaricabili per Windows SharePoint Services (informazioni in lingua inglese).