Planejar proteção de segurança (SharePoint Server 2010)

  • Artigo

 

Aplica-se a: SharePoint Foundation 2010, SharePoint Server 2010

Tópico modificado em: 2016-11-30

Este artigo descreve a segurança reforçada das funções de servidor Web, servidor de aplicativos e servidor de banco de dados do Microsoft SharePoint Server 2010, além de fornece orientação detalhada sobre requisitos de proteção específicos para portas, protocolos e serviços do Produtos do Microsoft SharePoint 2010.

Neste artigo:

Instantâneos seguros do servidor

Em um ambiente de farm de servidores, servidores individuais desempenham funções específicas. As recomendações de segurança reforçada para esses servidores dependerão da função que cada um desempenha.

Os instantâneos são divididos em categorias de configuração comuns. As características definidas para cada categoria representam o estado ideal de proteção para o Produtos do Microsoft SharePoint 2010. Este artigo não inclui orientações de proteção para outro software no ambiente.

Funções de servidor Web e servidor de aplicativos

Esta seção identifica características de proteção para servidores Web e servidores de aplicativos. Algumas orientações se aplicam a aplicativos de serviço específicos. Nesses casos, as características correspondentes precisam ser aplicadas apenas aos servidores que estão executando os serviços associados aos aplicativos de serviço especificados.

Categoria

Característica

Serviços listados no snap-in MMC de serviços

Habilite os seguintes serviços:

  • Compartilhamento de Arquivo e Impressora

  • Serviço de Estado do ASP.NET (se estiver usando o InfoPath Forms Services ou o Microsoft Project Server 2010)

  • Serviço de Estado de Exibição (se estiver usando o InfoPath Forms Services)

  • Serviço de Publicação na World Wide Web

Certifique-se de que estes serviços não estejam desabilitados:

  • Declarações para Serviço de Token do Windows

  • Administração do SharePoint 2010

  • Timer do SharePoint 2010

  • Rastreamento do SharePoint 2010

  • Gravador VSS do SharePoint 2010

Certifique-se de que estes serviços não estejam desabilitados nos servidores que hospedam as funções correspondentes:

  • Host do código de usuário do SharePoint 2010

  • Pesquisa do SharePoint Foundation V4

  • Pesquisa do SharePoint Server 14

  • Os seguintes serviços são exigidos pelo aplicativo de serviço de Perfil de Usuário no servidor que importa perfis do repositório de diretórios:

    • Serviço do Forefront Identity Manager

    • Serviço de Sincronização do Forefront Identity Manager

Portas e protocolos

  • TCP 80, TCP 443 (SSL)

  • Portas personalizadas para rastreamento de pesquisa, se configuradas

  • Serviço de Compartilhamento de Arquivo e Impressora — um dos seguintes, usados por funções de pesquisa:

    • SMB diretamente hospedado (TCP/UDP 445) — esta é a porta recomendada

    • NetBios sobre TCP/IP (NetBT) (portas TCP/UDP 137, 138, 139) — desabilite esta porta se não usá-la

  • Portas necessárias para comunicação entre servidores Web e aplicativos de serviço (o padrão é HTTP):

    • Associação HTTP: 32843

    • Associação HTTP: 32844

    • Associação net.tcp: 32845 (somente se um terceiro tiver implementado essa opção para um aplicativo de serviço)

  • Portas necessárias para sincronização de perfis entre o Produtos do SharePoint 2010 e o Active Directory no servidor que executa o agente do Forefront Identity Management:

    • TCP/5725

    • TCP/UDP 389 (serviço LDAP)

    • TCP/UDP 88 (Kerberos)

    • TCP/UDP 53 (DNS)

    • UDP 464 (Alterar Senha do Kerberos)

    Para obter informações sobre como sincronizar perfis com outros repositório de diretórios, consulte Requisitos de proteção do serviço de Perfil do Usuário, mais adiante neste artigo.

  • Porta UDP 1434 e porta TCP 1433 — portas padrão para comunicação do SQL Server. Se essas portas forem bloqueadas no computador do SQL Server (recomendado) e os bancos de dados forem instalados em uma instância nomeada, configure um alias de cliente do SQL Server para conexão com a instância nomeada.

  • TCP/IP 32846 para o Serviço de Código de Usuário do Microsoft SharePoint Foundation (para soluções de área restrita) — Essa porta deve estar aberta para conexões de saída em todos os servidores Web. Ela deve estar aberta para conexões de entrada nos servidores Web ou de aplicativos onde o serviço está ativado.

  • Verifique se as portas permanecem abertas para os aplicativos Web que os usuários podem acessar.

  • Bloqueie o acesso externo à porta usada pelo site da Administração Central.

  • TCP/25 (SMTP para integração de email)

Registro

Sem orientações adicionais

Auditoria e log

Se os arquivos de log forem realocados, verifique se os locais foram atualizados de acordo. Atualize as ACLs (listas de controle de acesso) do diretório também.

Segurança de acesso a código

Verifique se você possui o conjunto mínimo de permissões de segurança de acesso a código habilitado para seu aplicativo Web. O elemento <trust> no Web.config para cada aplicativo Web deve ser definido como WSS_Minimal (onde WSS_Minimal tem seus padrões baixos conforme definido em 14\config\wss_minimaltrust.config) ou como seu próprio arquivo de políticas personalizado, minimamente definido.

Web.config

Siga estas recomendações para cada arquivo Web.config criado depois que você executar a Instalação:

  • Não permita a compilação ou a geração de scripts de páginas de bancos de dados por meio de elementos PageParserPaths.

  • Verifique se <SafeMode> CallStack=""false"" e se AllowPageLevelTrace=""false"".

  • Verifique se o limite da Web Part para o número máximo de controles por zona foi definido como baixo.

  • Verifique se a lista SafeControls foi definida como o conjunto mínimo de controles necessários aos seus sites.

  • Verifique se a sua lista SafeTypes do fluxo de trabalho foi definida como o nível mínimo de SafeTypes necessários.

  • Verifique se customErrors está ativado (<customErrors mode=""Ativado""/>).

  • Considere suas configurações de proxy da Web conforme necessário (<system.net>/<Proxypadrão>).

  • Defina o limite de Upload.aspx para o o maior tamanho razoavelmente esperado para os carregamentos feitos pelos usuários (o padrão é 2 GB). O desempenho pode ser afetado por carregamentos que excedem 100 MB.

Função de servidor de banco de dados

A principal recomendação para o Produtos do SharePoint 2010 é proteger a comunicação entre farms bloqueando as portas padrão usadas para a comunicação com o Microsoft SQL Server e estabelecendo portas personalizadas para essa comunicação. Para obter mais informações sobre como configurar portas para a comunicação do SQL Server, consulte Bloqueando as portas padrão do SQL Server, mais adiante neste artigo.

Categoria

Característica

Portas

  • Bloquear a porta UDP 1434.

  • Considerar o bloqueio da porta TCP 1433.

Este artigo não descreve como proteger o SQL Server. Para obter mais informações sobre como proteger o SQL Server, consulte Protegendo o SQL Server (https://go.microsoft.com/fwlink/?linkid=186828&clcid=0x416).

Orientação específica para portas, protocolos e serviços

O restante deste artigo descreve com mais detalhes os requisitos específicos de proteção para o Produtos do SharePoint 2010.

Nesta seção:

Bloqueando as portas padrão do SQL Server

As portas específicas usadas para conectar o SQL Server são afetadas pelo fato de os bancos de dados estarem instalados em uma instância padrão do SQL Server ou em uma instância nomeada do SQL Server. A instância padrão do SQL Server escuta solicitações do cliente na porta TCP 1433. Uma instância nomeada do SQL Server escuta em um número de porta atribuído aleatoriamente. Além disso, o número de porta de uma instância nomeada poderá ser atribuído novamente se a instância for reiniciada (dependendo da disponibilidade do número da porta atribuído anteriormente).

Por padrão, os computadores clientes que se conectam ao SQL Server primeiro se conectam usando a porta TCP 1433. Se essa comunicação não for bem-sucedida, os computadores clientes consultarão o Serviço de Resolução do SQL Server que está escutando na porta UDP 1434 para determinar a porta em que a instância do banco de dados está escutando.

O comportamento padrão de comunicação de porta do SQL Server introduz vários problemas que afetam a proteção do servidor. Primeiro, as portas usadas pelo SQL Server são muito conhecidas, e o serviço de resolução do SQL Server tem sido alvo de ataques de saturação de buffer e negação de serviço, incluindo o worm "Slammer". Mesmo que o SQL Server seja atualizado para atenuar os problemas de segurança do Serviço de Resolução do SQL Server, as portas bem conhecidas continuam sendo um alvo. Segundo, se os bancos de dados forem instalados em uma instância nomeada do SQL Server, a porta de comunicação correspondente será atribuída aleatoriamente e poderá ser alterada. Esse comportamento pode potencialmente impedir a comunicação de servidor a servidor em um ambiente protegido. A capacidade de controlar as portas TCP que serão abertas ou bloqueadas é essencial para proteger seu ambiente.

Consequentemente, a recomendação para um farm de servidores é atribuir números de porta estáticos a instâncias nomeadas do SQL Server e bloquear a porta UDP 1434 para impedir que possíveis invasores acessem o Serviço de Resolução do SQL Server. Além disso, convém reatribuir a porta usada pela instância padrão e bloquear a porta TCP 1433.

Existem diversos métodos que podem ser usados no bloqueio de portas. Você pode bloquear essas portas usando um firewall. No entanto, a menos que você possa garantir que não haja outras rotas no segmento de rede nem usuários mal-intencionados com acesso ao segmento de rede, a recomendação é bloqueá-las diretamente no servidor que hospeda o SQL Server. Isso pode ser feito usando o Firewall do Windows no Painel de Controle.

Configurando instâncias de banco de dados do SQL Server para que elas escutem em uma porta fora do padrão

O SQL Server oferece a capacidade de reatribuir as portas que são usadas pela instância padrão e instâncias nomeadas. No SQL Server 2005 e no SQL Server 2008, reatribua portas usando o Gerenciador de Configurações do SQL Server.

Configurando aliases de cliente do SQL Server

Em um farm de servidores, todos os servidores Web front-end e servidores de aplicativos são computadores clientes do SQL Server. Se você bloquear a porta UDP 1434 no computador com SQL Server ou alterar a porta padrão para a instância padrão, configure um alias de cliente do SQL Server em todos os servidores que se conectam ao computador com SQL Server.

Para se conectar a uma instância do SQL Server 2005 ou SQL Server 2008, instale os componentes de cliente do SQL Server no computador de destino e configure o alias de cliente do SQL Server usando o Gerenciador de Configurações do SQL Server. Para instalar os componentes de cliente do SQL Server, execute a Instalação e selecione somente os seguintes componentes de cliente para instalar:

  • Componentes de Conectividade

  • Ferramentas de gerenciamento (inclui Gerenciador de Configurações do SQL Server)

Para ver etapas específicas de proteção para bloquear portas SQL padrão, consulte Proteger o SQL Server para ambientes do SharePoint (SharePoint Server 2010).

Comunicação do aplicativo de serviço

Por padrão, a comunicação entre os servidores Web e os aplicativos de serviço de um farm ocorre usando HTTP com associação à porta 32843. Quando você publica um aplicativo de serviço, pode selecionar HTTP ou HTTPS com as seguintes associações:

  • Associação HTTP: porta 32843

  • Associação HTTPS: porta 32844

Além disso, terceiros que desenvolvem aplicativos de serviço podem implementar uma terceira opção:

  • Associação net.tcp: porta 32845

Você pode alterar a associação do protocolo e da porta para cada aplicativo de serviço. Na página Aplicativos de Serviço, na Administração Central, selecione o aplicativo de serviço e clique em Publicar.

A comunicação entre os aplicativos de serviço e o SQL Server ocorre nas portas padrão do SQL Server ou nas portas que você configura para a comunicação do SQL Server.

Requisitos do serviço Compartilhamento de Arquivo e Impressora

Diversos recursos fundamentais dependem do serviço Compartilhamento de Arquivo e Impressora e dos protocolos e portas correspondentes. Entre eles estão incluídos, mas sem limitação, o seguinte:

  • Consultas de pesquisa   Todas as consultas de pesquisa exigem o serviço de Compartilhamento de Arquivo e Impressora.

  • Rastreamento e indexação de conteúdo   Para rastrear conteúdo, servidores que incluem componentes de rastreamento enviam solicitações por meio do servidor Web front-end. O servidor Web front-end se comunica com os bancos de dados de conteúdo de forma direta e envia resultados de volta aos servidores que incluem componentes de rastreamento. A comunicação exige o serviço de Compartilhamento de Arquivo e Impressora.

  • Propagação de índice   se um aplicativo de serviço de Pesquisa for configurado com componentes de rastreamento e de consulta que estejam distribuídos em vários servidores, os servidores com os componentes de rastreamento copiarão os arquivos de índice de conteúdo para os servidores com componentes de consulta. Essa ação exige o serviço de Compartilhamento de Arquivo e Impressora e os protocolos e portas correspondentes.

O serviço de Compartilhamento de Arquivo e Impressora exige o uso de pipes nomeados. Pipes nomeados podem se comunicar usando os protocolos SMB diretamente hospedado ou NetBT. Para obter um ambiente seguro, é recomendado usar o protocolo SMB diretamente hospedado em vez do NetBT. As recomendações de proteção fornecidas neste artigo pressupõem que o SMB será usado.

A tabela a seguir descreve os requisitos de proteção introduzidos pela dependência do serviço Compartilhamento de Arquivo e Impressora.

Categoria

Requisitos

Observações

Serviços

Compartilhamento de Arquivo e Impressora

Requer o uso de pipes nomeados.

Protocolos

Pipes nomeados que usam SMB diretamente hospedado

Desabilitar o NetBT

Os pipes nomeados podem usar o NetBT em vez do SMB diretamente hospedado. No entanto, o NetBT não é tão seguro quanto o SMB diretamente hospedado.

Portas

Um dos seguintes:

  • SMB diretamente hospedado (TCP/UDP 445) — recomendado

  • NetBT (portas TCP/UDP 137, 138, 139)

Desabilite o NetBT (portas 137, 138 e 139) se não estiver sendo usado

Para obter mais informações sobre como desabilitar o NetBT, consulte o artigo 204279 da Base de Dados de Conhecimento da Microsoft, Hospedagem direta de SMB sobre TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x416).

Requisitos de proteção do serviço de Perfil do Usuário

O aplicativo de serviço de Perfil de Usuário usa o agente do Forefront Identity Management para sincronizar perfis entre o Produtos do SharePoint 2010 e o Active Directory ou um serviço de diretórios LDAP. Esse agente é instalado em todos os servidores em um farm do SharePoint, mas é necessário apenas no servidor configurado para sincronização com o repositório de diretórios.

O agente do Forefront Identity Management inclui os dois serviços a seguir, que devem permanecer habilitados no servidor configurado para rastrear o Active Directory ou outro repositório de diretórios:

  • Serviço do Forefront Identity Manager

  • Serviço de Sincronização do Forefront Identity Manager

Além disso, a porta TCP 5725 deve estar aberta no servidor que executa o agente do Forefront Identity Management e que está configurado para rastrear um repositório de diretórios.

Nos ambientes do Active Directory, as seguintes portas devem permanecer abertas para comunicação entre o servidor do Produtos do SharePoint 2010 que sincroniza com o repositório de armazenamento e o servidor que está executando o Active Directory:

  • TCP/UDP 389 (serviço LDAP)

  • TCP/UDP 88 (Kerberos)

  • TCP/UDP 53 (DNS)

  • UDP 464 (Alterar Senha do Kerberos)

Para obter mais informações sobre os requisitos de proteção do agente do Forefront Identity Management, incluindo os requisitos de porta de outros tipos de diretório, consulte Portas de Comunicação, Direitos e Permissões do Agente de Gerenciamento (https://go.microsoft.com/fwlink/?linkid=186832&clcid=0x416).

Conexões com servidores externos

Vários recursos do SharePoint Server 2010 podem ser configurados para acessar dados que residem em computadores de servidores fora do farm de servidores. Se você configurar o acesso aos dados que estão localizados em tais computadores externos, habilite a comunicação entre os computadores apropriados. Na maioria dos casos, as portas, protocolos e serviços usados dependem do recurso externo. Por exemplo:

  • Conexões com compartilhamentos de arquivos usam o serviço Compartilhamento de Arquivo e Impressora.

  • Conexões com bancos de dados externos do SQL Server usam portas padrão ou personalizadas para comunicação do SQL Server.

  • Em geral, conexões com bancos de dados Oracle normalmente usam OLE DB.

  • Conexões com serviços Web usam HTTP e HTTPS.

A tabela a seguir lista os recursos que podem ser configurados para acessar dados que residam em computadores do servidor fora do farm de servidores.

Recurso

Descrição

Rastreamento de conteúdo

É possível configurar regras para rastrear dados que residam em recursos externos, incluindo sites, compartilhamentos de arquivo, pastas públicas do Exchange e aplicativos de dados corporativos. Durante o rastreamento de fontes de dados externos, a função de rastreamento se comunica diretamente com esses recursos externos.

Para obter mais informações, consulte Planejar o rastreamento de conteúdo (Office SharePoint Server) [https://technet.microsoft.com/pt-br/library/cc262926(office.12).aspx ].

Conexões da Conectividade de Dados Corporativos

Os servidores Web e os servidores de aplicativos se comunicam diretamente com os computadores configurados para conexões de Conectividade de Dados Corporativos.

Para obter mais informações, consulte Planejar conexões de dados corporativos com o Catálogo de Dados Corporativos [https://technet.microsoft.com/pt-br/library/cc262899(office.12).aspx].

Recebendo pastas de trabalho do Microsoft Office Excel

Se as pastas de trabalho abertas no Aplicativo de Serviços do Excel se conectarem a alguma fonte de dados externa (por exemplo, Analysis Services e SQL Server), as portas TCP/IP apropriadas precisarão estar abertas para se conectarem a essas fontes de dados externos. Para obter mais informações, consulte Planejar conexões de dados externos para os Serviços do Excel [https://technet.microsoft.com/pt-br/library/cc262899(office.12).aspx].

Se caminhos UNC (convenção de nomenclatura universal) válidos estiverem configurados como locais confiáveis no Aplicativo de Serviços do Excel, a função do aplicativo dos Serviços de Cálculo do Excel usará os protocolos e portas usados pelo serviço de Compartilhamento de Arquivo e Impressora para receber pastas de trabalho do Office Excel por meio de um caminho UNC.

As pastas de trabalho armazenadas nos bancos de dados de conteúdo, ou carregadas ou baixadas de sites pelos usuários, não são afetadas por essa comunicação.

Requisitos de serviço para integração de email

A integração de email exige o uso de dois serviços:

Serviço SMTP

A integração de email requer o uso do serviço SMTP em pelo menos um dos servidores Web front-end no farm de servidores. O serviço SMTP é necessário para emails de entrada. Para emails de saída, você pode usar o serviço SMTP ou rotear emails de saída por um servidor de email dedicado na sua organização, por exemplo, o computador do Microsoft Exchange Server.

Serviço Microsoft SharePoint Directory Management

O Produtos do SharePoint 2010 inclui um serviço interno, o Serviço de Gerenciamento de Diretório do Microsoft SharePoint, para criar grupos de distribuição de email. Ao configurar a integração de email, você tem a opção de habilitar o recurso do Serviço de Gerenciamento de Diretório, que permite que os usuários criem listas de distribuição. Quando os usuários criam um grupo do SharePoint e selecionam a opção para criar uma lista de distribuição, o Serviço de Gerenciamento de Diretório do Microsoft SharePoint cria a lista de distribuição do Active Directory correspondente no ambiente do Active Directory.

Em ambientes com segurança reforçada, a recomendação é restringir o acesso ao Serviço de Gerenciamento de Diretório do Microsoft SharePoint protegendo o arquivo associado a esse serviço: SharePointEmailws.asmx. Por exemplo, você pode permitir acesso a esse arquivo apenas pela conta do farm de servidores.

Adicionalmente, esse serviço exige permissões no ambiente do Active Directory para criar objetos de lista de distribuição do Active Directory. A recomendação é configurar uma UO (Unidade Organizacional) separada no Active Directory para objetos do Produtos do SharePoint 2010. Somente essa UO deverá permitir acesso de gravação à conta usada pelo Serviço de Gerenciamento de Diretório do Microsoft SharePoint.

Requisitos de serviço para estado da sessão

Tanto o Project Server 2010 quanto o InfoPath Forms Services mantêm o estado da sessão. Se você estiver implantando esses recursos ou produtos no farm de servidores, não desabilite o Serviço de Estado do ASP.NET. Além disso, se estiver implantando o InfoPath Forms Services, não desabilite o serviço Exibir Estado.

Serviços dos Produtos do SharePoint 2010

Não desabilite os serviços que são instalados pelo Produtos do SharePoint 2010 (listados anteriormente no instantâneo).

Se o seu ambiente não permitir serviços que sejam executados como um sistema local, apenas convém desabilitar o serviço do SharePoint 2010 Administration se você souber quais serão as consequências e puder contorná-las. Esse é um serviço Win32 executado como um sistema local.

Esse serviço é usado pelo serviço de Timer do SharePoint 2010 para executar ações que necessitem de permissões administrativas no servidor, como a criação de sites do IIS (Serviços de Informações da Internet), a implantação de código e a parada e início de serviços. Se você desabilitar esse serviço, não poderá concluir as tarefas relacionadas à implantação do site da Administração Central. Use o Windows PowerShell para executar o cmdlet Start-SPAdminJob (ou use a ferramenta de linha de comando Stsadm.exe para executar a operação execadmsvcjobs) com o objetivo de fazer implantações de vários servidores para o Produtos do SharePoint 2010 e executar outras tarefas relacionadas à implantação.

Arquivo Web.config

O .NET Framework, e o ASP.NET em especial, usam os arquivos de configuração formatados em XML para configurar aplicativos. O .NET Framework depende de arquivos de configuração para definir as opções de configuração. Arquivos de configuração são arquivos XML em formato de texto. Vários arquivos de configuração podem existir, e normalmente existem, em um único sistema.

As configurações gerais do sistema para o .NET Framework estão definidas no arquivo Machine.config, que está localizado na pasta %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. As configurações padrão contidas no arquivo Machine.config podem ser modificadas para afetar o comportamento de aplicativos que usam o .NET Framework em todo o sistema.

Você poderá alterar a configuração do ASP.NET para um único aplicativo se criar um arquivo Web.config na pasta raiz do aplicativo. Quando isso é feito, as configurações do arquivo Web.config substituem as configurações do arquivo Machine.config.

Quando você estende um aplicativo Web usando a Administração Central, o Produtos do SharePoint 2010 cria automaticamente um arquivo Web.config para o aplicativo Web.

O instantâneo do servidor Web e do servidor de aplicativos apresentado anteriormente neste artigo lista as recomendações para configurar os arquivos Web.config. Essas recomendações se aplicam a cada arquivo Web.config criado, incluindo o arquivo Web.config para o site da Administração Central.

Para obter mais informações sobre os arquivos de configuração do ASP.NET e sobre a edição do arquivo Web.config, consulte Configuração do ASP.NET (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x416).