Protezione di SharePoint: Nozioni fondamentali sulla distribuzione sicura di SharePoint
Brien Posey
Anche un amministratore inesperto può distribuire Microsoft Office SharePoint Server 2007 entro poche ore. È molto probabile, tuttavia, che durante la distribuzione di base sarebbe davvero funzionali, probabilmente non sarebbe essere configurato per una protezione ottimale. SharePoint Server 2007 è uno di tali applicazioni di facile da installare, ma difficile da eseguire in modo corretto.
Che cosa rende dunque impegnativo protezione è che SharePoint 2007 è un prodotto monolitico tenta di essere tutti elementi a tutti gli utenti. SharePoint 2007 è un'applicazione Web, ma è possibile anche pensare come strumento di collaborazione, un server del documento o un framework di sviluppo. La natura altamente personalizzabile e astratta di SharePoint è ciò che rende difficile da proteggere.
Come è stato probabilmente già intuito, non esiste soluzione magici alla protezione di SharePoint. Ogni distribuzione di SharePoint è univoco, quindi una soluzione OSFA non appena è pratica. Tuttavia, è un approccio di base per tutte le distribuzioni.
Se hai mai creato un sito di SharePoint, si sa di che SharePoint è stato progettato per essere modulare con blocchi predefiniti che è possibile utilizzare per creare siti SharePoint, raccolte di siti, elenchi, raccolte e così via. E quando si tratta di protezione, è possibile utilizzare questa natura modulare per il vantaggio.
L'idea è di concentrarsi sulla protezione di singoli componenti di distribuzione di SharePoint. La natura modulare di SharePoint, significa che la distribuzione richiede in genere molti server singolo di SharePoint. In questo modo, se si desidera la distribuzione sicura, è necessario configurare questi server singoli per essere sicuro.
SQL Server
Tutti i dati contengono in elenchi SharePoint e raccolte è memorizzato in un database di SQL Server sottostante, che memorizza inoltre la maggior parte delle impostazioni di configurazione di SharePoint. Chiaramente, correttamente la protezione di SQL Server è essenziale.
Le organizzazioni di piccole dimensioni spesso installare SQL Server e SharePoint sullo stesso server per ridurre i costi hardware del server. Ma la distribuzione di SQL Server e SharePoint su un computer comune è una pessima idea dal entrambi una protezione e un punto di vista delle prestazioni.
Uno dei principali concetti di sicurezza IT consiste nel ridurre al minimo superficie di attacco del server. Se SQL e SharePoint si trovano sullo stesso server, tale server verrà dispone di una superficie di attacco piuttosto elevato. In questo modo, il primo consiglia per eseguire SQL Server su un computer dedicato. Se un'istanza di SQL Server dedicato va oltre budget dell'organizzazione, è possibile utilizzare la virtualizzazione dei server per isolare SQL e SharePoint.
È inoltre buona norma disattivare eventuali componenti e i servizi inutilizzati. Una distribuzione di SharePoint di base utilizza il motore di database di SQL Server, Agente SQL Server e i componenti di SQL Server browser. Le installazioni più avanzate possono richiedere servizi di indicizzazione di testo completo, analisi o report.
Come si decide di farlo da disattivare? Microsoft fornisce uno strumento denominato lo strumento di configurazione area di superficie di SQL Server (visualizzata in Nella figura 1) che possono agevolare il processo. Questo strumento è progettato per analizzare l'implementazione di SQL Server e disattivare qualsiasi elemento che non sia in uso. Dopo aver ottenuto SharePoint in esecuzione, è consigliabile eseguire questa utilità.
Per accedere allo strumento, scegliere l'opzione di configurazione superficie di SQL Server dall'avvio del server | tutti i programmi | Microsoft SQL Server 2005 | dal menu Strumenti di configurazione.
.png)
Nella figura 1 Il può strumento di configurazione area superficie di SQL Server consentono di scoprire quali componenti e servizi è possibile disattivare.
È quindi necessario valutare attentamente anche il metodo di autenticazione selezionato per la protezione di SQL Server. Anche se è possibile scegliere la modalità mista o autenticazione di Windows, è necessario configurare SQL Server per l'utilizzo dell'autenticazione di Windows quando possibile. Modalità di Windows è più sicura rispetto alla modalità mista poiché utilizza il protocollo di protezione Kerberos durante il processo di autenticazione. Inoltre, l'autenticazione di Windows utilizza gli account utente di dominio, in modo che tutti i criteri password stabiliti all'interno di Active Directory rimangono valide.
Service Accounts
Uno dei principali errori di protezione effettuata dagli amministratori durante la distribuzione di SharePoint 2007 è che essi non configurare correttamente gli account di servizio. Se è stato mai installato SharePoint 2007, si è certi che sono presenti diversi punti durante la distribuzione e i processi di configurazione in cui viene richiesto di fornire un account di servizio.
Troppo spesso gli amministratori creare un account di servizio unico e utilizzano in tutto il processo di installazione di SharePoint. Anche se il server SharePoint risultante è funzionale, questo approccio è rischioso dal punto di vista della protezione.
Il problema è che ogni volta che si forniscono SharePoint con un account di servizio, del conto designato è concessi i diritti per eseguire attività in corso. SharePoint fornisce l'account con autorizzazioni sufficiente per eseguire il processo non è. Ma se si utilizza lo stesso account di servizio più volte nel corso del processo di distribuzione, si finisce con un account con autorizzazioni eccessive poiché riceve diritti aggiuntivi ogni volta che si utilizza. Quindi un utente potrebbe eseguire codice in un server di SharePoint che sfrutta questi diritti eccessivi e ottenere il controllo del server.
È disponibile una grande quantità di informazioni su come strutturare gli account che utilizza SharePoint contraddittorie. È più difficile verificare anche le procedure consigliate. Tuttavia, se si sta eseguendo una distribuzione di SharePoint di base, utilizzando una quantità minima di cinque account separati è consigliabile.
È consigliabile creare un account utente speciale esclusivamente allo scopo di installare SharePoint e SQL Server. È prassi comune per gli amministratori di accedere utilizzando il proprio account personale o l'account di amministratore di dominio durante la distribuzione di SharePoint. Utilizzando un account esistente può essere un errore di protezione potenziali, poiché tale account verrà concesse ulteriori diritti per completare il processo di installazione.
Se si decide di utilizzare un account dedicato per l'installazione, è necessario apportare all'account membro del gruppo Administrators locale su ciascun server SharePoint. È inoltre necessario rendere l'account di un membro del gruppo di account di accesso di SQL Server, sarà possibile registro account nell'istanza di SQL Server.
Infine, è necessario assegnare i ruoli di SQL Server Database Creator e amministratore di SQL Server Security in SQL Server l'account. Questi ruoli concedere all'account l'autorizzazione per creare e modificare database e gestire la protezione del SQL Server. Queste autorizzazioni speciali sono la base della raccomandazione per l'utilizzo di un account utente dedicato.
Oltre a creare un account specifico per il processo di installazione di SharePoint, è necessario creare alcuni altri account di servizio:
Account di accesso al database. Si tratta dell'account che SharePoint utilizzerà per comunicare con il database di SQL Server.
Account servizio di ricerca di SharePoint. Il servizio di ricerca di SharePoint utilizzerà questo account per la scrittura dei file di indice di contenuto per il server dell'indice e per replicare le informazioni sull'indice di qualsiasi server di query presenti nella farm.
Account di accesso al contenuto. Questo account viene utilizzato per eseguire la ricerca per indicizzazione del contenuto all'interno di un provider di servizi condivisi specifici. In alcuni casi, è necessario creare più account di accesso al contenuto in modo che più origini di contenuto possono essere sottoposti a ricerca per indicizzazione singolarmente.
Account di servizio pool di applicazioni. I processi di lavoro all'interno di IIS utilizzano questo account. Le applicazioni Web all'interno del pool devono disporre di un metodo di accesso ai database del contenuto SharePoint e l'account dell'identità del pool di applicazioni semplifica questo processo.
Account del servizio SQL Server. SQL Server richiede anche un account di servizio e per questo scopo è necessario utilizzare un account dedicato.
Più avanzate, SharePoint le distribuzioni richiedano l'utilizzo di account di servizio aggiuntive. La sezione contenuti correlati alla fine di questo articolo include un collegamento a un articolo di TechNet vengono fornite informazioni dettagliate su alcuni degli altri account di servizio che potrebbe essere necessario.
Convenzioni di denominazione
A questo punto è possibile visualizzare che sarà necessario creare numerosi account prima di iniziare anche distribuzione di SharePoint. Un trucco per garantire una distribuzione uniforme è stabilire una convenzione di denominazione per gli account di servizio prima di creare tali.
Esistono diversi approcci che utilizzabili nella creazione di un account di servizio convenzione di denominazione, ma esistono alcune regole di base da seguire. È consigliabile verificare i nomi descrittivi come è possibile e dedicare del tempo per documentare i nomi scelti e i relativi scopi designati. Ad esempio, è possibile chiamare l'account di ricerca SharePoint qualcosa di simile a SPT_Search.
Il motivo per cui ortografia non out SharePoint ha a che fare con alcune limitazioni legacy. Windows consente di nomi utente in eccesso di 100 caratteri, ma in una sola volta i nomi utente sono stati limitati a sedici caratteri. Problemi imprevisti occasionalmente ritagliare con più nomi utente a causa di software o hardware legacy. Sebbene sia raro, accaduto pertanto è preferibile utilizzare nomi più brevi.
Tenere presente che sebbene ho consigliato utilizzando i nomi degli account di servizio descrittivo e certamente rende vita più facile per gli amministratori, ciò pertanto non sempre fornisce una protezione ottimale. Gli account di servizio verificare buona destinazioni per i pirati informatici poiché dispone di autorizzazioni maggiori rispetto agli account utente normale. Inoltre spesso presentano le password statiche, invariate. Che la distinzione tra maiuscole e minuscole, è possibile che si desideri considerare camouflaging gli account di servizio. In caso contrario, assicurarsi di documentare le funzioni e nomi degli account di servizio.
Crittografia del traffico
Quando si tratta di una distribuzione di SharePoint di pianificazione, gli amministratori impiegano molto tempo per progettazione dell'architettura server. Un elemento che talvolta sottovalutato è infrastruttura a chiave pubblica (PKI) è necessario disporre di PKI prima di eseguire il deployment di SharePoint in modo corretto è possibile crittografare il traffico di SharePoint. Il traffico HTTP tra server SharePoint e gli utenti finali deve essere crittografata con SSL (tramite HTTPS).
Analogamente, il traffico tra i server SharePoint dovrà essere crittografato utilizzando IPSec. Entrambi i tipi di crittografia si basano sui certificati e su un'infrastruttura PKI sottostante.
Queste procedure consigliate di protezione sono non complete. Sono, tuttavia, un buon punto di partenza che è possibile utilizzare per garantire la massima sicurezza dell'installazione di SharePoint.
Brien Posey MVP, è un autore tecnico professionista con migliaia di articoli e decine di libri in suo credito. È possibile visitare il suo sito Web all'indirizzo * brienposey.com*.
Contenuto correlato
· Piano per gli account amministrativi e di servizi (Office SharePoint Server)