Pianificare la sicurezza avanzata (Windows SharePoint Services)

  • Articolo

 

Si applica a: SharePoint Foundation 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo vengono descritte le opzioni di sicurezza avanzata per i ruoli di server Web, server applicazioni e server database di Microsoft SharePoint Foundation 2010 e vengono fornite informazioni dettagliate sui requisiti di sicurezza avanzata specifici per porte, protocolli e servizi in Prodotti Microsoft SharePoint 2013.

Contenuto dell'articolo:

Snapshot protetti del server

In un ambiente server farm, i singoli server hanno ruoli specifici. I suggerimenti relativi alla sicurezza avanzata per tali server dipendono dal ruolo di ogni server. Questo articolo include snapshot protetti per due categorie di ruoli server:

Gli snapshot sono suddivisi in categorie di configurazione comuni. Le caratteristiche definite per ogni categoria rappresentano lo stato di sicurezza avanzata ottimale per Prodotti Microsoft SharePoint 2013. In questo articolo non sono incluse indicazioni relative alla sicurezza avanzata di altro software installato nell'ambiente.

Ruoli server Web e server applicazioni

In questa sezione vengono identificate le caratteristiche della sicurezza avanzata per server Web e server applicazioni. Alcune delle indicazioni sono valide per applicazioni di servizio specifiche. In tali casi, è necessario applicare le caratteristiche corrispondenti solo ai server che eseguono i servizi associati alle applicazioni di servizio specificate.

Categoria

Caratteristica

Servizi elencati nello snap-in MMC Servizi

Attivare i servizi seguenti:

  • Condivisione file e stampanti

  • Servizio Pubblicazione sul Web

Assicurarsi che questi servizi non siano disattivati:

  • Attestazioni per il servizio token Windows

  • Amministrazione di SharePoint 2010

  • Timer di SharePoint 2010

  • Servizio di traccia di SharePoint 2010

  • VSS Writer di SharePoint 2010

Assicurarsi che questi servizi non siano disattivati nei server che ospitano i ruoli corrispondenti:

  • Host del codice utente di SharePoint 2010

  • Servizio di ricerca SharePoint Foundation V4

Porte e protocolli

  • TCP 80, TCP 443 (SSL)

  • Servizio Condivisione file e stampanti. Uno dei protocolli seguenti utilizzati dai ruoli ricerca:

    • SMB con hosting diretto (TCP/UDP 445). Questa è la porta consigliata

    • NetBIOS su TCP/IP (NetBT) (porte TCP/UDP 137, 138, 139). Disattivare questa porta se non viene utilizzata

  • Porte necessarie per le comunicazioni tra server Web e applicazioni di servizio (l'impostazione predefinita è HTTP):

    • Binding HTTP: 32843

    • Binding HTTPS: 32844

    • Binding net.tcp: 32845 (solo se una terza parte ha implementato questa opzione per un'applicazione di servizio)

  • Porta UDP 1434 e porta TCP 1433. Sono le porte predefinite per le comunicazioni SQL Server. Se queste porte sono bloccate nel computer SQL Server (scelta consigliata) e i database sono installati in un'istanza denominata, configurare un alias per client SQL Server per la connessione all'istanza denominata.

  • TCP/IP 32846 per il servizio codice utente di Microsoft SharePoint Foundation (per soluzioni in modalità sandbox). È necessario aprire questa porta per le connessioni in uscita su tutti i server Web. È necessario aprire questa porta per le connessioni in ingresso su server Web o server applicazioni in cui il servizio è attivato.

  • Verificare che le porte rimangano aperte per le applicazioni Web accessibili all'utente.

  • Bloccare l'accesso esterno alla porta utilizzata per il sito Amministrazione centrale.

  • TCP/25 (SMTP per l'integrazione della posta elettronica)

Registro di sistema

Non sono previste ulteriori indicazioni

Controllo e registrazione

Se i file di registro vengono spostati, verificare che i percorsi corrispondenti vengano aggiornati. Aggiornare anche gli elenchi di controllo di accesso.

Sicurezza dall'accesso di codice

Verificare di disporre di un insieme minimo di autorizzazioni per la sicurezza dall'accesso di codice attivate per l'applicazione Web. L'elemento <trust> nel file Web.config per ogni applicazione Web deve essere impostato su WSS_Minimal (dove i valori bassi predefiniti di WSS_Minimal corrispondono a quelli definiti in 14\config\wss_minimaltrust.config) oppure sul proprio file di criteri personalizzato, impostato su valori minimi.

Web.config

Attenersi ai consigli seguenti per ogni file Web.config creato dopo l'esecuzione del programma di installazione:

  • Non consentire la compilazione o la creazione di script di pagine di database tramite gli elementi PageParserPaths.

  • Verificare che <SafeMode> CallStack=""false"" e AllowPageLevelTrace=""false"".

  • Verificare che i limiti delle web part relativi al numero massimo di controlli per area siano impostati su valori bassi.

  • Verificare che l'elenco SafeControls sia impostato sull'insieme minimo di controlli necessari per i siti.

  • Verificare che l'elenco SafeTypes del flusso di lavoro sia impostato sul livello minimo di SafeTypes necessari.

  • Verificare che customErrors sia attivato (<customErrors mode=""On""/>).

  • Esaminare le impostazioni del proxy Web in base alla necessità (<sistema.net>/<Proxypredefinito>).

  • Impostare il limite per Upload.aspx sulla dimensione più elevata che si può ragionevolmente prevedere che gli utenti desiderino caricare. Il valore predefinito è 2 GB. Le prestazioni possono essere influenzate negativamente da caricamenti di dimensioni maggiori di 100 MB.

Ruolo server database

Il principale consiglio cui attenersi per Prodotti SharePoint 2010 consiste nel proteggere le comunicazioni tra farm bloccando le porte predefinite utilizzate per le comunicazioni Microsoft SQL Server e definendo porte personalizzate a tale scopo. Per ulteriori informazioni su come configurare le porte per le comunicazioni SQL Server, vedere Blocking the standard SQL Server ports, più avanti in questo articolo.

Categoria

Caratteristica

Porte

  • Bloccare la porta UDP 1434.

  • Valutare la possibilità di bloccare la porta TCP 1433.

In questo articolo non viene descritto come proteggere SQL Server. Per ulteriori informazioni su come proteggere SQL Server, vedere Protezione di SQL Server (https://go.microsoft.com/fwlink/?linkid=186828&clcid=0x410).

Istruzioni specifiche per porte, protocolli e servizi

Nella parte restante di questo articolo vengono descritti in dettaglio i requisiti di sicurezza avanzata specifici per Prodotti SharePoint 2010.

Contenuto della sezione:

Blocco delle porte standard di SQL Server

Le porte specifiche utilizzate per la connessione a SQL Server dipendono dall'installazione dei database in un'istanza predefinita di SQL Server o in un istanza denominata di SQL Server. L'istanza predefinita di SQL Server è in ascolto di richieste client sulla porta TCP 1433. Un'istanza denominata di SQL Server è in ascolto su una porta cui viene assegnato un numero in modo casuale. Il numero di porta per un'istanza denominata può essere inoltre riassegnato in caso di riavvio dell'istanza, se il numero di porta assegnato in precedenza è disponibile.

Per impostazione predefinita, i computer client che si connettono a SQL Server, per la connessione utilizzano innanzitutto la porta TCP 1433. Se tale comunicazione ha esito negativo, i computer client eseguono una query nel Servizio di risoluzione di SQL Server in ascolto sulla porta UDP 1434 per determinare la porta su cui è in ascolto l'istanza del database.

Il comportamento predefinito per la comunicazione tra le porte di SQL Server presenta alcuni problemi che influiscono sulla sicurezza avanzata del server. In primo luogo, le porte utilizzate da SQL Server sono porte molto note e il Servizio di risoluzione di SQL Server è stato oggetto di attacchi di sovraccarico del buffer e attacchi Denial of Service, incluso il virus worm "Slammer". Anche se si aggiorna SQL Server per ridurre i problemi relativi alla sicurezza nel Servizio di risoluzione di SQL Server, le porte note rimangono oggetto di attacchi. In secondo luogo, se i database sono installati in un'istanza denominata di SQL Server, la porta di comunicazione corrispondente viene assegnata in modo casuale e può cambiare. Questo comportamento potrebbe impedire la comunicazione tra server in un ambiente con sicurezza avanzata. La possibilità di controllare quali porte TCP siano aperte o bloccate è essenziale per la protezione dell'ambiente.

Per una server farm è pertanto consigliabile assegnare numeri di porta statici a istanze denominate di SQL Server e bloccare la porta UDP 1434 per impedire a potenziali utenti malintenzionati di accedere al Servizio di risoluzione di SQL Server. È inoltre consigliabile prendere in considerazione la riassegnazione della porta utilizzata dall'istanza predefinita e il blocco della porta TCP 1433.

Sono disponibili numerosi metodi per il blocco delle porte. È possibile bloccare le porte utilizzando un firewall. Tuttavia, a meno che non sia possibile essere certi che non siano disponibili altri percorsi di accesso al segmento di rete e che nessun utente malintenzionato disponga di accesso al segmento di rete, è consigliabile bloccare tali porte direttamente nel server che ospita SQL Server. A tale scopo, utilizzare Windows Firewall nel Pannello di controllo.

Configurazione delle istanze del database di SQL Server per l'ascolto su una porta non standard

In SQL Server è possibile riassegnare le porte utilizzate dall'istanza predefinita e da eventuali istanze denominate. In SQL Server 2005 e in SQL Server 2008 le porte vengono riassegnate tramite Gestione configurazione SQL Server.

Configurazione degli alias per client SQL Server

In una server farm tutti i server Web front-end e i server applicazioni sono computer client SQL Server. Se si blocca la porta UDP 1434 nel computer SQL Server o si modifica la porta predefinita per l'istanza predefinita, è necessario configurare un alias per client SQL Server in tutti i server che si connettono al computer SQL Server.

Per effettuare la connessione a un'istanza di SQL Server 2005 o SQL Server 2008, è necessario installare i componenti client di SQL Server nel computer di destinazione e quindi configurare l'alias per client SQL Server utilizzando Gestione configurazione SQL Server. Per installare i componenti client di SQL Server, eseguire il programma di installazione e quindi selezionare solo i componenti client seguenti per l'installazione:

  • Componenti di connettività

  • Strumenti di gestione (include Gestione configurazione SQL Server)

Per la procedura di sicurezza avanzata specifica per il blocco delle porte SQL standard, vedere Applicare la sicurezza avanzata a SQL Server per gli ambienti SharePoint (SharePoint Foundation 2010).

Comunicazioni tra applicazioni di servizio

Per impostazione predefinita, per le comunicazioni tra server Web e applicazioni di servizio all'interno di una farm viene utilizzato il protocollo HTTP con un binding alla porta 32843. Quando si pubblica un'applicazione di servizio, è possibile selezionare il protocollo HTTP o HTTPS con i binding seguenti:

  • Binding HTTP: porta 32843

  • Binding HTTPS: porta 32844

Le terze parti che sviluppano applicazioni di servizio possono inoltre implementare una terza opzione:

  • Binding net.tcp: porta 32845

È possibile modificare il protocollo e il binding della porta per ogni applicazione di servizio. Nella pagina Applicazioni di servizio in Amministrazione centrale selezionare l'applicazione di servizio e quindi fare clic su Pubblica.

Per le comunicazioni tra applicazioni di servizio e SQL Server vengono utilizzate le porte SQL Server standard o le porte configurate per le comunicazioni SQL Server.

Requisiti del servizio Condivisione file e stampanti

Alcune caratteristiche di base dipendono dal servizio Condivisione file e stampanti e dai protocolli e dalle porte corrispondenti, incluse tra le altre le caratteristiche seguenti:

  • Query di ricerca   Tutte le query di ricerca necessitano del servizio Condivisione file e stampanti.

  • Ricerca per indicizzazione e indicizzazione del contenuto   Per eseguire la ricerca per indicizzazione di contenuto, i server che includono i componenti di ricerca per indicizzazione inviano richieste tramite il server Web front-end, che comunica direttamente con i database del contenuto e restituisce i risultati ai server che includono i componenti di ricerca per indicizzazione. Per tale comunicazione è necessario il servizio Condivisione file e stampanti.

Per il servizio Condivisione file e stampanti sono necessarie le named pipe, che possono comunicare tramite protocolli SMB con hosting diretto o NetBT. Per un ambiente protetto, è consigliabile utilizzare SMB con hosting diretto anziché NetBT. Nelle indicazioni relative alla sicurezza avanzata disponibili in questo articolo si presuppone che venga utilizzato il protocollo SMB.

Nella tabella seguente vengono illustrati i requisiti relativi alla sicurezza avanzata derivanti dalla dipendenza dal servizio Condivisione file e stampanti.

Categoria

Requisiti

Nota

Servizi

Condivisione file e stampanti

Utilizzo obbligatorio delle named pipe.

Protocolli

Named pipe che utilizzano SMB con hosting diretto

Disattivare NetBT

Le named pipe possono utilizzare il protocollo NetBT invece del protocollo SMB con hosting diretto, ma il protocollo NetBT non è considerato sicuro quanto il protocollo SMB cono hosting diretto.

Porte

Una delle seguenti:

  • SMB con hosting diretto (TCP/UDP 445). Scelta consigliata

  • NetBT (porte TCP/UDP 137, 138, 139)

Disattivare NetBT (porte 137, 138 e 139) se non viene utilizzato

Per ulteriori informazioni sulla disattivazione del protocollo NetBT, vedere l'articolo 204279 della Microsoft Knowledge Base Hosting diretto di SMB su TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x410).

Requisiti del servizio per l'integrazione della posta elettronica

Per l'integrazione della posta elettronica è necessario utilizzare i due servizi seguenti:

Servizio SMTP

Per l'integrazione della posta elettronica è necessario utilizzare il servizio SMTP (Simple Mail Transfer Protocol) in almeno uno dei server Web front-end della server farm. Il servizio SMTP è necessario per la posta in arrivo. Per la posta in uscita, è possibile utilizzare il servizio SMTP oppure instradare la posta in uscita attraverso un server di posta elettronica dedicato nell'organizzazione, ad esempio un computer che esegue Microsoft Exchange Server.

Servizio di gestione directory di Microsoft SharePoint

Prodotti SharePoint 2010 include un servizio interno, il Servizio di gestione directory di Microsoft SharePoint, per la creazione di gruppi di distribuzione di posta elettronica. Durante la configurazione dell'integrazione della posta elettronica è possibile attivare la caratteristica Servizio di gestione directory, che consente agli utenti di creare liste di distribuzione. Quando gli utenti creano un gruppo di SharePoint e quindi selezionano l'opzione per la creazione di una lista di distribuzione, il Servizio di gestione directory di Microsoft SharePoint crea la lista di distribuzione di Active Directory corrispondente nell'ambiente Active Directory.

Negli ambienti con sicurezza avanzata è consigliabile limitare l'accesso al Servizio di gestione directory di Microsoft SharePoint, proteggendo il file associato a tale servizio, ovvero SharePointEmailws.asmx. Ad esempio, è possibile consentire l'accesso a questo file solo all'account della server farm.

Questo servizio necessita inoltre di autorizzazioni nell'ambiente Active Directory per creare oggetti lista di distribuzione di Active Directory. È consigliabile configurare un'unità organizzativa distinta in Active Directory per oggetti di Prodotti SharePoint 2010. Solo tale unità organizzativa dovrà consentire l'accesso in scrittura all'account utilizzato dal Servizio di gestione directory di Microsoft SharePoint.

Servizi dei prodotti SharePoint 2010

Non disattivare i servizi installati da Prodotti SharePoint 2010 (elencati in precedenza nello snapshot).

Se l'ambiente in uso non consente servizi eseguiti come sistema locale, è possibile valutare la disattivazione del servizio Amministrazione di SharePoint 2010 solo se si è consapevoli delle conseguenze e si è in grado di gestirle. Si tratta di un servizio Win32 eseguito come sistema locale.

Questo servizio viene utilizzato dal servizio Timer di SharePoint 2010 per eseguire azioni che necessitano di autorizzazioni amministrative nel server, ad esempio la creazione di siti Web Internet Information Services (IIS), la distribuzione di codice e l'interruzione e l'avvio di servizi. Se si disattiva questo servizio, non sarà possibile completare attività correlate alla distribuzione dal sito Amministrazione centrale. Sarà necessario utilizzare Windows PowerShell per eseguire il cmdlet Start-SPAdminJob oppure lo strumento da riga di comando Stsadm.exe per eseguire l'operazione execadmsvcjobs per completare distribuzioni multiserver per Prodotti SharePoint 2010 e per eseguire altre attività correlate alla distribuzione.

File Web.config

In .NET Framework e in particolare in ASP.NET vengono utilizzati file di configurazione in formato XML per la configurazione di applicazioni. I file di configurazione vengono utilizzati in .NET Framework per definire le opzioni di configurazione e sono file XML basati su testo. In genere, in un singolo sistema esistono più file di configurazione.

Le impostazioni di configurazione a livello di sistema per .NET Framework sono definite nel file Machine.config, che si trova nella cartella %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. Le impostazioni predefinite incluse nel file Machine.config possono essere modificate per influire sul comportamento di applicazioni che utilizzano .NET Framework nell'intero sistema.

Se si crea un file Web.config nella cartella radice dell'applicazione, è possibile modificare le impostazioni di configurazione di ASP.NET per una singola applicazione. Quando si esegue tale operazione, le impostazioni nel file Web.config sostituiscono le impostazioni incluse nel file Machine.config.

Quando si estende un'applicazione Web utilizzando Amministrazione centrale, i Prodotti SharePoint 2010 creano automaticamente un file Web.config per l'applicazione Web.

Nello snapshot del server Web e del server applicazioni presentata in precedenza in questo articolo sono elencati consigli utili per la configurazione dei file Web.config. Tali consigli presuppongono l'applicazione in ogni file Web.config creato, incluso il file Web.config per il sito Amministrazione centrale.

Per ulteriori informazioni sui file di configurazione di ASP.NET e sulla modifica di un file Web.config, vedere Configurazione ASP.NET (https://go.microsoft.com/fwlink/?linkid=73257\&clcid=0x410).