内部チームまたは部署環境のセキュリティを計画する (Windows SharePoint Services)
この記事の内容 :
セキュリティ保護された設計のチェックリスト
サーバー ロールのセキュリティ強化を計画する
Windows SharePoint Services 機能のためのセキュリティ保護された構成を計画する
内部チームまたは部署のセキュリティ ガイダンスでは、大規模な組織内のチームまたは部署にとって実用的なセキュリティの構成と設定を推奨することに重点が置かれます。このガイダンスは、組織内の主要 IT チームによってサーバーがホストされないことを前提にしています。
この環境のガイダンスを理解するには IT に関するある程度の知識が要求されますが、ファーム管理者が専任の IT 担当者である必要はありません。設定を実装するためにより特殊な役割が必要な場合は、それらの役割を明記します。
このガイダンスは、「Windows SharePoint Services 機能のためのセキュリティ保護された構成を計画する」で示されているガイダンスと併せて使用することが想定されています。
セキュリティ保護された設計のチェックリスト
以下のチェックリストを確認して、計画がセキュリティ保護されたサーバー トポロジのデザインの条件を満たしていることを確認してください。
トポロジ
[ ] |
内部アクセスのみのチーム展開や部門展開では、Windows SharePoint Services 3.0 を単一または 2 つのサーバーにインストールできます。 |
[ ] |
複数のサーバー展開では、可能であれば、サーバーの全体管理サイトをフロントエンド Web サーバー以外のサーバーでホストしてください。これを実行できるのは、アプリケーション サーバー ロールをフロントエンド Web サーバー ロール以外のサーバーでホストする場合だけです。 たとえば、サーバー A がフロントエンド Web サーバー ロールをホストし、サーバー B がデータベース サーバーとアプリケーション サーバー ロールをホストする場合、サーバーの全体管理サイトにとって最もセキュリティが保護された場所はサーバー B になります。ただし、サーバー A がフロントエンド Web サーバーとアプリケーション サーバー ロールをホストし、サーバー B がデータベース サーバー ロールだけをホストする場合、サーバーの全体管理サイトはサーバー A でホストする以外に方法がありません。 |
論理アーキテクチャ
[ ] |
Web アプリケーションごとに少なくとも 1 つの領域が NTLM 認証を使用します。これが必要なのは、検索アカウントが Web アプリケーション内のコンテンツをクロールするためです。検索アカウントが Kerberos 認証を使用してコンテンツをクロールすることはできません。 詳細については、「認証方法を計画する (Windows SharePoint Services)」を参照してください。 |
[ ] |
カスタム Web パーツを展開する際は、機密性の高いコンテンツまたはセキュリティ保護されるコンテンツをホストする Web アプリケーション内に、信頼できる Web パーツだけが展開されるようにします。これにより、ドメイン内のスクリプト攻撃から、機密性の高いコンテンツを保護します。 |
サーバー ロールのセキュリティ強化を計画する
内部チームまたは部署環境のセキュリティ ガイダンスは、サーバー、サイト、およびコンテンツに対して内部アクセスだけが許可されていること、および IT 部署が開発したポリシーによってネットワーク環境全体のセキュリティが保護されていることを前提にしています。したがって、特定の役割についてサーバーを強化することは、他の環境の場合と同様に必要ではありません。ただし、特定のサービスやその他の設定がなければ構成できない可能性のある機能がいくつかあります。
以下の表は、内部チームまたは部署で推奨される強化設定を示しています。
機能 | 設定 |
---|---|
電子メール統合 |
電子メール統合が有効になっている場合は、1 つのフロントエンド Web サーバーに SMTP サービスが必要です。 |
Windows SharePoint Services 機能のためのセキュリティ保護された構成を計画する
以下の表は、Windows SharePoint Services 3.0 の機能をセキュリティ保護するためのその他の推奨事項を示しています。これらの推奨事項は、社内チーム環境や社内部門環境に適しています。
機能または領域 | 推奨事項 |
---|---|
認証 |
既存の ID 管理システムに対して認証を行います。これが Active Directory ディレクトリ サービスでない場合は、ASP.NET フォーム認証を使用して ID 管理システムに接続します。フォーム認証を使用するには、以下の役割のサポートが必要になる場合があります。
|
サーバーの全体管理サイト |
|
Windows SharePoint Services Administration サービス |
単一サーバー展開の場合、Windows SharePoint Services Administration サービスは以下の理由により既定で無効になっています。
セキュリティ保護された単一サーバー展開での推奨事項を以下に示します。
これらの操作を行うと、展開関連の作業をサーバーの全体管理サイトから直接実行できるようになります。 |
このドキュメントをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。
入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 テクニカル ライブラリ」を参照してください。