Pianificare la protezione per un ambiente di accesso anonimo esterno (Windows SharePoint Services)

Contenuto dell'articolo:

• Proteggere i server back-end

• Configurare l'accesso anonimo

• Proteggere il sito Amministrazione centrale

• Disattivare i messaggi di posta elettronica in arrivo

• Elenco di controllo per una progettazione protetta

• Pianificare una protezione avanzata per i ruoli del server

• Pianificare configurazioni protette per le caratteristiche di Windows SharePoint Services

Le indicazioni sulla protezione per un ambiente basato su accesso anonimo esterno hanno lo scopo di consentire l'accesso anonimo al contenuto garantendo al contempo la protezione dei server back-end della farm dall'accesso utente diretto o da azioni dannose messe in atto tramite server Web front-end. In un ambiente in cui è possibile distribuire più farm per supportare la creazione, la gestione temporanea e la pubblicazione, le indicazioni si riferiscono alla farm pubblicata ovvero la farm accessibile in modo anonimo dagli utenti.

Sono disponibili diversi gli speciali consigli per un ambiente basato su accesso anonimo esterno. Alcuni consigli potrebbero tuttavia rivelarsi non attuabili per tutte le soluzioni.

Proteggere i server back-end

Per l'hosting di siti per l'utilizzo anonimo sono richiesti server con connessione a Internet. È possibile limitare l'esposizione al traffico Internet per proteggere i server back-end, inclusi i server applicazioni (di ricerca) e i server che ospitano database:

• Proteggere i server database   Inserire almeno un firewall tra i server Web front-end e i server che ospitano database. Alcuni ambienti impongono l'hosting dei server database in una rete interna, anziché direttamente in un ambiente Extranet.

• Proteggere il ruolo indice   Il componente di indicizzazione comunica attraverso un server Web front-end per eseguire la ricerca per indicizzazione del contenuto nei siti. Per proteggere questo canale di comunicazione, può essere opportuno configurare un server Web front-end dedicato che verrà utilizzato da uno o più server indice. La comunicazione relativa alla ricerca per indicizzazione viene così isolata in un server Web front-end non accessibile agli utenti. Configurare inoltre Internet Information Services (IIS) in modo da applicare restrizioni a SiteData.asmx (il servizio SOAP del crawler) e consentirvi l'accesso soltanto al server indice o ad altri crawler. L'implementazione di un server Web front-end dedicato alla ricerca per indicizzazione del contenuto consente inoltre di migliorare le prestazioni riducendo il carico nei server Web front-end principali e garantendo così una migliore esperienza utente.

Configurare l'accesso anonimo

Per rendere il contenuto disponibile per l'accesso anonimo, è necessario configurare le impostazioni seguenti:

• Configurare il sito o la raccolta siti per consentire l'accesso anonimo.

• Configurare almeno un'area dell'applicazione Web per consentire l'accesso anonimo.

Attivare l'accesso anonimo solo per le applicazioni Web che richiedono l'accesso non autenticato. Se si desidera utilizzare l'autenticazione per la personalizzazione, implementare l'autenticazione Forms utilizzando un provider di autenticazione del database semplice.

Proteggere il sito Amministrazione centrale

Poiché gli utenti esterni hanno accesso all'area di rete, è importante proteggere il sito Amministrazione centrale in modo da bloccare l'accesso esterno e proteggere l'accesso interno:

• Verificare che il sito Amministrazione centrale non sia ospitato in un server Web front-end.

• Bloccare l'accesso esterno al sito Amministrazione centrale. A tale scopo, è possibile inserire un firewall tra i server Web front-end e il server che ospita il sito Amministrazione centrale.

• Configurare il sito Amministrazione centrale utilizzando SSL (Secure Sockets Layer). In tal modo si garantisce la protezione delle comunicazioni tra la rete interna e il sito Amministrazione centrale.

Disattivare i messaggi di posta elettronica in arrivo

Non utilizzare l'integrazione della posta elettronica per i messaggi di posta elettronica in arrivo. In tal modo si protegge l'ambiente dai rischi associati ai messaggi di posta elettronica inviati da origini anonime tramite Internet. Se i messaggi di posta elettronica in arrivo non sono consentiti, configurare il sito Amministrazione centrale per attivare i messaggi di posta elettronica anonimi. Seppur disponibile, questa opzione non è particolarmente sicura.

Elenco di controllo per una progettazione protetta

Utilizzare questo elenco di controllo per la progettazione unitamente agli elenchi di controllo disponibili in Review the secure topology design checklists (Windows SharePoint Services).

Topologia

Architettura logica

Pianificare una protezione avanzata per i ruoli del server

Nella tabella seguente vengono forniti ulteriori consigli per la protezione avanzata di un ambiente basato su accesso anonimo esterno.

Pianificare configurazioni protette per le caratteristiche di Windows SharePoint Services

Non sono previste informazioni aggiuntive per questo ambiente.

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

• Pianificazione e architettura per Windows SharePoint Services 3.0, parte 2 (informazioni in lingua inglese)

• Pianificazione di un ambiente Extranet per Windows SharePoint Services (informazioni in lingua inglese)

• Protezione di Windows SharePoint Services (informazioni in lingua inglese)

Vedere l'elenco completo dei manuali disponibili visitando la pagina Web Manuali scaricabili per Windows SharePoint Services (informazioni in lingua inglese).