Share via

内部チームまたは部署環境のセキュリティを計画する (Windows SharePoint Services)

  • [アーティクル]

この記事の内容 :

  • セキュリティ保護された設計のチェックリスト

  • サーバー ロールのセキュリティ強化を計画する

  • Windows SharePoint Services 機能のためのセキュリティ保護された構成を計画する

内部チームまたは部署のセキュリティ ガイダンスでは、大規模な組織内のチームまたは部署にとって実用的なセキュリティの構成と設定を推奨することに重点が置かれます。このガイダンスは、組織内の主要 IT チームによってサーバーがホストされないことを前提にしています。

この環境のガイダンスを理解するには IT に関するある程度の知識が要求されますが、ファーム管理者が専任の IT 担当者である必要はありません。設定を実装するためにより特殊な役割が必要な場合は、それらの役割を明記します。

このガイダンスは、「Windows SharePoint Services 機能のためのセキュリティ保護された構成を計画する」で示されているガイダンスと併せて使用することが想定されています。

セキュリティ保護された設計のチェックリスト

以下のチェックリストを確認して、計画がセキュリティ保護されたサーバー トポロジのデザインの条件を満たしていることを確認してください。

トポロジ

[ ]

内部アクセスのみのチーム展開や部門展開では、Windows SharePoint Services 3.0 を単一または 2 つのサーバーにインストールできます。

[ ]

複数のサーバー展開では、可能であれば、サーバーの全体管理サイトをフロントエンド Web サーバー以外のサーバーでホストしてください。これを実行できるのは、アプリケーション サーバー ロールをフロントエンド Web サーバー ロール以外のサーバーでホストする場合だけです。

たとえば、サーバー A がフロントエンド Web サーバー ロールをホストし、サーバー B がデータベース サーバーとアプリケーション サーバー ロールをホストする場合、サーバーの全体管理サイトにとって最もセキュリティが保護された場所はサーバー B になります。ただし、サーバー A がフロントエンド Web サーバーとアプリケーション サーバー ロールをホストし、サーバー B がデータベース サーバー ロールだけをホストする場合、サーバーの全体管理サイトはサーバー A でホストする以外に方法がありません。

論理アーキテクチャ

[ ]

Web アプリケーションごとに少なくとも 1 つの領域が NTLM 認証を使用します。これが必要なのは、検索アカウントが Web アプリケーション内のコンテンツをクロールするためです。検索アカウントが Kerberos 認証を使用してコンテンツをクロールすることはできません。

詳細については、「認証方法を計画する (Windows SharePoint Services)」を参照してください。

[ ]

カスタム Web パーツを展開する際は、機密性の高いコンテンツまたはセキュリティ保護されるコンテンツをホストする Web アプリケーション内に、信頼できる Web パーツだけが展開されるようにします。これにより、ドメイン内のスクリプト攻撃から、機密性の高いコンテンツを保護します。

サーバー ロールのセキュリティ強化を計画する

内部チームまたは部署環境のセキュリティ ガイダンスは、サーバー、サイト、およびコンテンツに対して内部アクセスだけが許可されていること、および IT 部署が開発したポリシーによってネットワーク環境全体のセキュリティが保護されていることを前提にしています。したがって、特定の役割についてサーバーを強化することは、他の環境の場合と同様に必要ではありません。ただし、特定のサービスやその他の設定がなければ構成できない可能性のある機能がいくつかあります。

以下の表は、内部チームまたは部署で推奨される強化設定を示しています。

機能 設定

電子メール統合

電子メール統合が有効になっている場合は、1 つのフロントエンド Web サーバーに SMTP サービスが必要です。

Windows SharePoint Services 機能のためのセキュリティ保護された構成を計画する

以下の表は、Windows SharePoint Services 3.0 の機能をセキュリティ保護するためのその他の推奨事項を示しています。これらの推奨事項は、社内チーム環境や社内部門環境に適しています。

機能または領域 推奨事項

認証

既存の ID 管理システムに対して認証を行います。これが Active Directory ディレクトリ サービスでない場合は、ASP.NET フォーム認証を使用して ID 管理システムに接続します。フォーム認証を使用するには、以下の役割のサポートが必要になる場合があります。

  • 認証プロバイダを開発する ASP.NET 開発者。

  • 接続先の ID 管理システムの管理者。

サーバーの全体管理サイト

  • サーバーの全体管理サイトへのアクセスは、適切なユーザーだけに制限します。

  • サーバーの全体管理サイトでリモート管理を有効にする場合は、SSL (Secure Sockets Layer) を使用してサーバーの全体管理サイトをセキュリティ保護します。

  • 展開操作を実行する管理者は、サーバーの全体管理サイトをホストするサーバーでローカルの Administrators グループのメンバである必要があります。

Windows SharePoint Services Administration サービス

単一サーバー展開の場合、Windows SharePoint Services Administration サービスは以下の理由により既定で無効になっています。

  • このサービスは、サーバーの全体管理サイトから開始する展開作業を実行する際に使用するもので、通常、単一サーバー展開では必要ありません。ただし、展開作業はこのサービスを使用する必要のない Stsadm.exe コマンド ライン ツールを使用して実行できます。

  • サーバーの全体管理サイトで使用されるアカウントは、その他のすべてのプロセスと共有されます。したがって、このサービスを無効にすると、より安全な構成になります。

セキュリティ保護された単一サーバー展開での推奨事項を以下に示します。

  • セットアップの実行後に、サーバー ファーム アカウントを変更します。

  • Windows SharePoint Services Administration サービスを起動します。

これらの操作を行うと、展開関連の作業をサーバーの全体管理サイトから直接実行できるようになります。

このドキュメントをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。

入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 テクニカル ライブラリ」を参照してください。