Planejar configuração de segurança para ambientes de extranet (Windows SharePoint Services)

Artigo
05/17/2012

Atualizado em: 2009-04-16

Neste artigo:

Topologia de rede
Relações de confiança de domínios
Comunicação com funções de farm de servidores
Comunicação com funções de servidor de infraestrutura
Comunicação do Active Directory entre domínios de rede

Este artigo fornece detalhes sobre os requisitos de proteção para um ambiente de extranet no qual um farm de servidores do Windows SharePoint Services 3.0 é colocado em uma rede de perímetro e há sites disponíveis a partir da Internet ou da rede corporativa.

Topologia de rede

As orientações de proteção deste artigo podem ser aplicadas para muitas configurações diferentes de extranet. A figura a seguir mostra um exemplo de implementação de uma topologia de rede de perímetro back-to-back que ilustra as funções de servidor e cliente em um ambiente de extranet.

Exemplo de proteção de segurança de ambiente de Extranet

O objetivo da figura é articular cada uma das possíveis funções e seu relacionamento com o ambiente geral. O site da Administração Central pode ser instalado em um servidor Web ou no servidor de Pesquisa (ilustrado). Os roteadores ilustrados podem ser trocados por firewalls.

Relações de confiança de domínios

O requisito de uma relação de confiança de domínio depende de como o farm de servidores é configurado. Esta seção aborda duas configurações possíveis.

O farm de servidores reside na rede de perímetro

A rede de perímetro requer sua própria infraestrutura e domínio de serviço de diretório do Active Directory. Geralmente, o domínio do perímetro e o domínio corporativo não são configurados para confiarem um no outro. No entanto, para autenticar usuários da intranet e funcionários remotos que estão usando suas credenciais de domínio (autenticação do Windows), você deve configurar uma relação de confiança unidirecional em que o domínio de perímetro confia no domínio corporativo. A autenticação de formulários e o SSO da Web não exigem uma relação de confiança de domínio.

Farm de servidores dividido entre a rede de perímetro e a rede corporativa

Se o farm de servidores estiver dividido entre a rede de perímetro e a rede corporativa com os servidores de banco de dados residindo na rede corporativa, uma relação de confiança de domínio será exigida se as contas do Windows forem usadas. Nesse cenário, a rede de perímetro deve confiar na rede corporativa. Se a autenticação SQL for usada, uma relação de confiança de domínio não será necessária. A tabela abaixo resume as diferenças entre essas duas abordagens.

	Autenticação do Windows	Autenticação do SQL
Descrição	As contas de domínio corporativas são usadas em todas as contas de serviço e administração do Windows SharePoint Services 3.0, inclusive contas de pool de aplicativos. É necessária uma relação de confiança unidirecional, na qual a rede de perímetro confia na rede corporativa.	As contas do Windows SharePoint Services 3.0 são configuradas da seguinte forma: A autenticação do SQL é usada para cada banco de dados criado. Todas as outras contas de administração e serviço são criadas como contas de domínio na rede de perímetro. Os servidores Web e os servidores de pesquisa são reunidos na rede de perímetro. Uma relação de confiança não é exigida, mas pode ser configurada para dar suporte à autenticação de clientes em um controlador de domínio interno. Observação: Se os servidores de pesquisa residirem no domínio corporativo, será exigido um relacionamento de confiança unidirecional, em que a rede de perímetro confia na rede corporativa.
Configuração	A configuração inclui: As contas de administração e serviço do Windows SharePoint Services 3.0 são criadas no domínio corporativo. Os servidores Web e os servidores de aplicativo são reunidos na rede de perímetro. É estabelecida uma relação de confiança, em que o domínio de perímetro confia no domínio corporativo.	A configuração inclui: Todas as contas de banco de dados devem ser criadas como contas de logon do SQL no SQL Server 2000 Enterprise Manager ou no SQL Server 2005 Management Studio. Essas contas precisam ser criadas antes da criação de bancos de dados do Windows SharePoint Services 3.0, incluindo o banco de dados de configuração e o banco de dados AdminContent do SharePoint. Você deve usar a ferramenta de linha de comando Psconfig para criar o banco de dados de configuração e o banco de dados AdminContent. Você não pode usar o Assistente de Configuração de Produtos e Tecnologias do SharePoint para criar esses bancos de dados. Além de usar os parâmetros -user e -password para especificar a conta do farm de servidores, você deve usar os parâmetros -dbuser e -dbpassword para especificar contas de autenticação do SQL. Você pode criar bancos de dados de conteúdo adicionais na Administração Central selecionando a opção Autenticação do SQL. No entanto, primeiro você deve criar as contas de logon do SQL no SQL Server 2000 Enterprise Manager ou no SQL Server 2005 Management Studio. Proteja todas as comunicações com os servidores de banco de dados usando SSL. Verifique se as portas usadas para comunicação com o SQL Server permanecem abertas entre a rede de perímetro e a rede corporativa
Informações adicionais	A relação de confiança unidirecional permite que servidores Web e servidores de aplicativos reunidos no domínio da extranet resolvam contas que estão no domínio corporativo.	As contas de logon do SQL são criptografadas no Registro dos servidores Web e dos servidores de aplicativos. A conta de farm de servidores não é usada para acessar o banco de dados de configuração e o banco de dados SharePoint_AdminContent. Em vez disso, são usadas as contas de logon do SQL correspondentes.

Descrição

As contas de domínio corporativas são usadas em todas as contas de serviço e administração do Windows SharePoint Services 3.0, inclusive contas de pool de aplicativos.

É necessária uma relação de confiança unidirecional, na qual a rede de perímetro confia na rede corporativa.

As contas do Windows SharePoint Services 3.0 são configuradas da seguinte forma:

A autenticação do SQL é usada para cada banco de dados criado.
Todas as outras contas de administração e serviço são criadas como contas de domínio na rede de perímetro.
Os servidores Web e os servidores de pesquisa são reunidos na rede de perímetro.

Uma relação de confiança não é exigida, mas pode ser configurada para dar suporte à autenticação de clientes em um controlador de domínio interno.

Observação:

Se os servidores de pesquisa residirem no domínio corporativo, será exigido um relacionamento de confiança unidirecional, em que a rede de perímetro confia na rede corporativa.

Configuração

A configuração inclui:

As contas de administração e serviço do Windows SharePoint Services 3.0 são criadas no domínio corporativo.
Os servidores Web e os servidores de aplicativo são reunidos na rede de perímetro.
É estabelecida uma relação de confiança, em que o domínio de perímetro confia no domínio corporativo.

A configuração inclui:

Todas as contas de banco de dados devem ser criadas como contas de logon do SQL no SQL Server 2000 Enterprise Manager ou no SQL Server 2005 Management Studio. Essas contas precisam ser criadas antes da criação de bancos de dados do Windows SharePoint Services 3.0, incluindo o banco de dados de configuração e o banco de dados AdminContent do SharePoint.
Você deve usar a ferramenta de linha de comando Psconfig para criar o banco de dados de configuração e o banco de dados AdminContent. Você não pode usar o Assistente de Configuração de Produtos e Tecnologias do SharePoint para criar esses bancos de dados. Além de usar os parâmetros -user e -password para especificar a conta do farm de servidores, você deve usar os parâmetros -dbuser e -dbpassword para especificar contas de autenticação do SQL.
Você pode criar bancos de dados de conteúdo adicionais na Administração Central selecionando a opção Autenticação do SQL. No entanto, primeiro você deve criar as contas de logon do SQL no SQL Server 2000 Enterprise Manager ou no SQL Server 2005 Management Studio.
Proteja todas as comunicações com os servidores de banco de dados usando SSL.
Verifique se as portas usadas para comunicação com o SQL Server permanecem abertas entre a rede de perímetro e a rede corporativa

Informações adicionais

A relação de confiança unidirecional permite que servidores Web e servidores de aplicativos reunidos no domínio da extranet resolvam contas que estão no domínio corporativo.

As contas de logon do SQL são criptografadas no Registro dos servidores Web e dos servidores de aplicativos.
A conta de farm de servidores não é usada para acessar o banco de dados de configuração e o banco de dados SharePoint_AdminContent. Em vez disso, são usadas as contas de logon do SQL correspondentes.

As informações da tabela acima pressupõem o seguinte:

Os servidores Web e de aplicativos residem na rede de perímetro.
Todas as contas são criadas com o mínimo de privilégios necessários, incluindo as seguintes recomendações:
- Contas separadas são criadas para todas as contas administrativas e de serviço.
- Nenhuma conta é membro do grupo Administradores de nenhum computador, inclusive do computador servidor que hospeda o SQL Server.

Para obter mais informações sobre as contas do Windows SharePoint Services 3.0, consulte Planejar contas administrativas e de serviço (Windows SharePoint Services).

Para obter mais informações sobre a criação de bancos de dados com a ferramenta de linha de comando Psconfig, consulte Referência de linha de comando do Assistente de Configuração de Produtos e Tecnologias do SharePoint (Windows SharePoint Services).

Comunicação com funções de farm de servidores

Ao configurar um ambiente de extranet, é importante compreender como as várias funções de servidor se comunicam dentro do farm de servidores.

Comunicação entre funções de servidor

A figura a seguir ilustra os canais de comunicação em um farm de servidores. A tabela após a figura descreve as portas e os protocolos que são representados na figura. As setas indicam qual função de servidor inicia a comunicação. Por exemplo, o servidor Web inicia a comunicação com o servidor de banco de dados. O servidor de banco de dados não inicia a comunicação com o servidor Web. É importante saber isso ao configurar a comunicação de entrada e saída em um roteador ou firewall.

Comunicação entre farms do Windows SharePoint Services

Texto explicativo	Portas e protocolos
1	Acesso do cliente (incluindo IRM (Information Rights Management) e consultas de pesquisa), uma ou mais destas opções: Porta TCP 80 Porta TCP/SSL 443 Portas personalizadas
2	Serviço de compartilhamento de arquivo e impressora — um dos seguintes: Bloqueio de mensagens de servidor diretamente hospedado (SMB) (TCP/UDP 445) — recomendado NetBIOS sobre TCP/IP (portas TCP/UDP 137, 138, 139) — desabilitar se não usado
3	Rastreamento de pesquisa — dependendo de como a autenticação está configurada, os sites do SharePoint podem ser estendidos com uma zona adicional ou site do IIS (Serviços de Informações da Internet) para garantir que o componente de indexação possa acessar o conteúdo. Essa configuração pode resultar em portas personalizadas. Porta TCP 80 Porta TCP/SSL 443 Portas personalizadas
4	Comunicação de banco de dados: Porta TCP/SSL 1433 (padrão) para instância padrão (personalizável) Porta aleatória TCP/SSL para instâncias nomeadas (personalizável)

A comunicação entre estações de trabalho do administrador e a Administração Central

O site da Administração Central pode ser instalado em qualquer servidor Web ou no servidor de pesquisa. Alterações de configuração feitas por meio do site da Administração Central são comunicadas ao banco de dados de configuração. Outras funções do servidor no farm escolhem alterações de configuração registradas no banco de dados de configuração durante seus ciclos de sondagem. Consequentemente, o site da Administração Central não apresenta novos requisitos de comunicação a outras funções de servidor no farm de servidores. No entanto, dependendo de qual servidor você usar para implantar o site da Administração Central, não se esqueça de habilitar o acesso das estações de trabalho do administrador.

A figura a seguir inclui a comunicação a partir da estação de trabalho de um administrador com o site da Administração Central e o banco de dados de configuração.

Exemplo de comunicação entre farms do WSS

A seguinte tabela descreve as portas e os protocolos que são exigidos para a comunicação com o site da Administração Central.

Texto explicativo	Portas e protocolos
1	Site da Administração Central — uma ou mais das seguintes opções: Porta TCP 80 Porta TCP/SSL 443 Portas personalizadas
4	Comunicação de banco de dados: Porta TCP/SSL 1433 (padrão) para instância padrão (personalizável) Porta aleatória TCP/SSL para instâncias nomeadas (personalizável)

Site da Administração Central — uma ou mais das seguintes opções:

Porta TCP 80
Porta TCP/SSL 443
Portas personalizadas

Comunicação de banco de dados:

Porta TCP/SSL 1433 (padrão) para instância padrão (personalizável)
Porta aleatória TCP/SSL para instâncias nomeadas (personalizável)

Comunicação com funções de servidor de infraestrutura

Ao configurar um ambiente de extranet, é importante compreender como as várias funções de servidor se comunicam dentro de servidores de infraestrutura.

Controlador de domínio do Active Directory

A tabela abaixo lista os requisitos de porta para conexões de entrada de cada função de servidor com um controlador de domínio do Active Directory.

Item	Servidor Web	PesquisaServidor	Servidor de Banco de Dados
TCP/UDP 445 (serviços de diretório)	X	X	X
TCP/UDP 88 (Autenticação Kerberos)	X	X	X
Portas LDAP/LDAPS 389/636 por padrão, personalizáveis	X

Os servidores Web exigem o uso de portas LDAP/LDAPS somente se a autenticação LDAP estiver configurada.

Servidor DNS

A tabela a seguir lista os requisitos de porta para conexões de entrada de cada função de servidor para um servidor DNS. Em vários ambientes de extranet, um computador servidor hospeda o controlador de domínio do Active Directory e o servidor DNS.

Item	Servidor Web	Servidor de Pesquisa	Servidor de Banco de Dados
DNS, TCP/UDP 53	X	X	X

Serviço SMTP

A integração de email requer o uso do serviço SMTP (Simple Mail Transport Protocol) usando a porta TCP 25 em pelo menos um dos servidores Web front-end do farm. O serviço SMTP é necessário para emails de entrada (conexões de entrada). Para emails de saída, você pode usar o serviço SMTP ou encaminhar emails de saída por um servidor de email dedicado de sua organização, como um computador que executa o Microsoft Exchange Server.

Item	Servidor Web	Servidor de Pesquisa	Servidor de Banco de Dados
Porta TCP 25	X

Comunicação do Active Directory entre domínios de rede

A comunicação do Active Directory entre domínios para dar suporte à autenticação com um controlador de domínio dentro da rede corporativa requer pelo menos uma relação de confiança unidirecional, em que a rede de perímetro confia na rede corporativa.

No exemplo ilustrado na primeira figura deste artigo, as seguintes portas são necessárias como conexões de entrada para que o Servidor ISA B forneça suporte a uma relação de confiança unidirecional:

TCP/UDP 135 (RPC)
TCP/UDP 389 por padrão, personalizável (LDAP)
TCP 636 por padrão, personalizável (LDAP SSL)
TCP 3268 (LDAP GC)
TCP 3269 (LDAP GC SSL)
TCP/UDP 53 (DNS)
TCP/UDP 88 (Kerberos)
TCP/UDP 445 (Serviços de Diretório)
TCP/UDP 749 (Kerberos-Adm)
Porta TCP 750 (Kerberos-IV)

Ao configurar o Servidor ISA B (ou um dispositivo alternativo entre a rede de perímetro e a rede corporativa), a relação de rede deve ser definida como roteada. Não defina a relação de rede como Conversão de Endereço de Rede (NAT).

Para obter mais informações sobre os requisitos de segurança reforçada referentes a relações de confiança, consulte os seguintes recursos:

Baixar este manual

Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:

Consulte a lista completa de manuais disponíveis na página de download de manuais do Windows SharePoint Services (em inglês).