Condividi tramite

Pianificare la protezione per un team o un reparto interno (Windows SharePoint Services)

  • Articolo

Contenuto dell'articolo:

  • Elenco di controllo per una progettazione protetta

  • Pianificare una protezione avanzata per i ruoli del server

  • Pianificare configurazioni protette per le caratteristiche di Windows SharePoint Services

Le linee guida sulla protezione destinate a un reparto o a un team interno in un'organizzazione di grandi dimensioni riguardano in modo particolare le impostazioni e le configurazioni di protezione pratiche e presuppongono che i server non siano ospitati dal team IT principale nell'organizzazione.

Sebbene le linee guida per questo ambiente richiedano una certa competenza in campo IT, non è necessario che gli amministratori della farm siano specialisti IT dedicati. Se per implementare un'impostazione sono richiesti ruoli più specializzati, vengono segnalati esplicitamente.

Queste linee guida devono essere utilizzate insieme alle linee guida fornite in Pianificare configurazioni protette per le caratteristiche di Windows SharePoint Services.

Elenco di controllo per una progettazione protetta

Esaminare l'elenco di controllo seguente per verificare che i piani definiti soddisfino i criteri per la progettazione di una topologia del server protetta.

Topologia

[ ]

Per una distribuzione in un team o in un reparto con accesso esclusivamente interno, Microsoft Windows SharePoint Services 3.0 può essere installato in uno o due server.

[ ]

In una distribuzione di due o più server, il sito Amministrazione centrale deve essere ospitato su un server diverso dal server Web front-end, laddove possibile. Questo può essere realizzato solo se i ruoli del server applicazioni sono ospitati su un server diverso dal ruolo del server Web front-end.

Se ad esempio il server A ospita il server Web front-end e il server B ospita i ruoli del server database e applicazioni, la posizione più protetta per il sito Amministrazione centrale è il server B. Se tuttavia il server A ospita il server Web front-end e i ruoli del server applicazioni e il server B ospita solo il ruolo del database, l'unica opzione possibile è di ospitare il server Amministrazione centrale sul server A.

Architettura logica

[ ]

Almeno un'area in ogni applicazione Web utilizza l'autenticazione NTLM, necessaria per consentire all'account di ricerca di eseguire una ricerca per indicizzazione del contenuto all'interno dell'applicazione Web. L'account di ricerca non può utilizzare l'autenticazione Kerberos per eseguire una ricerca per indicizzazione del contenuto.

Per ulteriori informazioni, vedere Pianificare i metodi di autenticazione (Windows SharePoint Services).

[ ]

Quando si distribuiscono web part personalizzate, verificare che solo le web part attendibili vengano distribuite nelle applicazioni Web che ospitano contenuto riservato o protetto, in modo da proteggere il contenuto riservato da attacchi tramite script interni al dominio.

Pianificare una protezione avanzata per i ruoli del server

Le linee guida destinate all'ambiente di un team o di un reparto interno presuppongono che solo l'accesso interno sia consentito per i server, i siti e il contenuto e che l'ambiente di rete complessivo sia protetto da criteri sviluppati da un reparto IT. Di conseguenza, la protezione avanzata dei server per ruoli specifici non riveste la stessa importanza imposta da altri ambienti. Sono disponibili tuttavia diverse caratteristiche che richiedono servizi specifici o altre impostazioni che altrimenti potrebbero non essere configurate.

Nella tabella riportata di seguito vengono descritte le impostazioni di protezione avanzata consigliate per un reparto o team interno.

Caratteristica Impostazione

Integrazione della posta elettronica

Se l'integrazione della posta elettronica è attivata, il servizio SMTP è obbligatorio in un server Web front-end.

Pianificare configurazioni protette per le caratteristiche di Windows SharePoint Services

Nella tabella riportata di seguito vengono riportati consigli aggiuntivi per la protezione delle caratteristiche di Microsoft Windows SharePoint Services 3.0. Tali consigli sono destinati a un reparto o team interno.

Caratteristica o area Suggerimento

Autenticazione

Eseguire l'autenticazione nel sistema di gestione delle identità esistente. Se non si tratta del servizio directory Active Directory, utilizzare l'autenticazione Forms ASP.NET per connettersi al sistema di gestione delle identità. L'utilizzo dell'autenticazione Forms potrebbe richiedere assistenza dai ruoli seguenti:

  • Sviluppatore ASP.NET per sviluppare il provider di autenticazione.

  • Amministratore del sistema di gestione delle identità a cui ci si connette.

Sito Amministrazione centrale

  • Limitare l'accesso al sito Amministrazione centrale solo agli utenti appropriati.

  • Se si attiva il sito Amministrazione centrale per l'amministrazione remota, proteggerlo tramite SSL (Secure Sockets Layer).

  • Gli amministratori che eseguono le operazioni di distribuzione devono essere membri del gruppo Administrators locale nel server che ospita il sito Amministrazione centrale.

Servizio Amministrazione Windows SharePoint Services

In una distribuzione a server singolo il servizio Amministrazione Windows SharePoint Services è disattivato per impostazione predefinita per i motivi seguenti:

  • Questo servizio, utilizzato per l'esecuzione di attività di distribuzione avviate dal sito Amministrazione centrale, in genere non è necessario per una distribuzione di un solo server. Le attività di distribuzione tuttavia possono essere eseguite mediante lo strumento da riga di comando Stsadm.exe che non richiede l'utilizzo di tale servizio.

  • L'account utilizzato per il sito Amministrazione centrale viene condiviso con tutti gli altri processi. Di conseguenza, la disattivazione di questo servizio determina una configurazione più protetta.

Per una distribuzione a server singolo, è consigliabile:

  • Cambiare l'account della server farm dopo l'esecuzione del programma di installazione.

  • Avviare il servizio Amministrazione Windows SharePoint Services.

L'esecuzione di queste azioni consentirà di effettuare attività correlate alla distribuzione direttamente dal sito Amministrazione centrale.

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

Vedere l'elenco completo dei manuali disponibili visitando la pagina Web Manuali scaricabili per Windows SharePoint Services (informazioni in lingua inglese).