Compartilhar via

Planejar a segurança para um ambiente de departamento ou equipe interna (Office SharePoint Server)

  • Artigo

Atualizado em: 2009-04-23

Neste artigo:

  • Lista de verificação de design seguro

  • Planejar configuração de segurança para funções de servidor

  • Planejar configurações de segurança para recursos do Office SharePoint Server

As diretrizes de segurança para uma equipe ou departamento internos concentram-se na recomendação de configurações práticas de segurança para uma equipe ou um departamento de uma organização maior. Supõe-se que os servidores não sejam hospedados pela equipe principal de TI da organização.

Embora as diretrizes para este ambiente exijam algum conhecimento em TI, não será necessário que administradores de farm sejam especialistas em TI dedicados. Se funções mais especializadas forem necessárias para a implementação de uma configuração, essas funções serão mencionadas.

Estas diretrizes devem ser usadas em conjunto com as diretrizes fornecidas em Planejar configurações de segurança para recursos do Office SharePoint Server.

Lista de verificação de design seguro

Examine a lista de verificação a seguir para assegurar que seus planos atendam aos critérios para um design de topologia de servidor seguro.

Topologia

[ ]

Para uma implantação de equipe ou departamento que tenha somente acesso interno, o Microsoft Office SharePoint Server 2007 pode ser instalado em um único servidor ou em dois servidores.

[ ]

Em uma implantação de dois ou mais servidores, o site da Administração Central deve ser hospedado em um servidor diferente do servidor Web front-end, se possível. Isso só poderá ser realizado se as funções de servidor de aplicativos estiverem hospedadas em um servidor diferente da função de servidor Web front-end.

Por exemplo, se o Servidor A hospedar a função de servidor Web front-end, e o Servidor B hospedar as funções de servidor de aplicativos e de banco de dados, o local mais seguro para o site da Administração Central será o Servidor B. No entanto, se o Servidor A hospedar as funções de servidor Web front-end e de servidor de aplicativos, e se o Servidor B hospedar somente a função de banco de dados, a única opção será hospedar o site da Administração Central no Servidor A.

Arquitetura lógica

[ ]

Pelo menos uma zona em cada aplicativo Web usa autenticação NTLM. Isso é obrigatório para que a conta de pesquisa rastreie conteúdo no aplicativo Web. A conta de pesquisa não pode usar autenticação Kerberos para rastrear conteúdo.

Para obter mais informações, consulte Planejar métodos de autenticação (Office SharePoint Server).

[ ]

Ao implantar Web Parts personalizadas, verifique se somente Web Parts confiáveis são implantadas em aplicativos Web que hospedam conteúdo confidencial ou de segurança. Isso protegerá o conteúdo confidencial contra ataques de script intradomínio.

Planejar configuração de segurança para funções de servidor

As diretrizes para um ambiente de equipe ou departamento interno supõem que somente o acesso interno será permitido para servidores, sites e conteúdo, e que o ambiente de rede geral estará protegido por diretivas desenvolvidas por um departamento de TI. Consequentemente, a proteção de servidores para funções específicas não será tão necessária quanto para outros ambientes. No entanto, existem diversos recursos que exigem serviços específicos ou outras configurações que podem não estar definidas.

A tabela a seguir descreve configurações de proteção recomendadas para uma equipe ou um departamento interno.

Recurso Configuração

Integração de email

Se a integração de email estiver habilitada, o serviço SMTP será necessário em um servidor Web front-end.

Microsoft Office Project Server 2007 e Microsoft Office Forms Server 2007

O Office Project Server 2007 e o Office Forms Server 2007 mantêm estados de sessão. Se você estiver implantando esses recursos ou produtos no farm de servidores, não desabilite o Serviço de Estado ASP.NET. Além disso, se estiver implantando o InfoPath Forms Services, não desabilite o serviço Estado de Exibição.

Logon único (SSO)

O SSO depende do serviço Logon Único da Microsoft. Para obter mais informações sobre como configurar esse recurso, consulte Planejar o logon único.

Planejar configurações de segurança para recursos do Office SharePoint Server

A tabela a seguir descreve recomendações adicionais para a proteção de recursos do Office SharePoint Server 2007. Essas recomendações são apropriadas para ambiente de equipe ou departamento interno.

Recurso ou área Recomendação

Autenticação

Autenticação no sistema de gerenciamento de identidade existente. Se esse não for o serviço de diretório Active Directory, use a autenticação de formulários ASP.NET para se conectar ao seu sistema de gerenciamento de identidade. O uso da autenticação de formulários pode exigir ajuda das seguintes funções:

  • Desenvolvedor ASP.NET para desenvolver o provedor de autenticação.

  • Administrador do sistema de gerenciamento de identidade ao qual você está se conectando.

Site da Administração Central

  • Restrinja o acesso ao site da Administração Central somente a usuários apropriados.

  • Se você estiver habilitando o site da Administração Central para administração remota, proteja-o usando o protocolo SSL.

  • Os administradores que executam operações de implantação devem ser membros do grupo de administradores locais no servidor que hospeda o site da Administração Central.

Serviço de Administração do Windows SharePoint Services

Em uma implantação de servidor único, o serviço de Administração do Windows SharePoint Services é desabilitado por padrão pelos seguintes motivos:

  • Esse serviço, usado para executar tarefas de implantação iniciadas no site da Administração Central, geralmente não é necessário para uma implantação de servidor único. No entanto, as tarefas de implantação podem ser executadas usando a ferramenta de linha de comando Stsadm.exe, que não exige o uso desse serviço.

  • A conta usada para o site da Administração Central é compartilhada com todos os outros processos. Consequentemente, a desabilitação desse serviço resultará em uma configuração mais segura.

Para uma implantação de servidor único segura, é recomendável:

  • Alterar a conta do farm de servidores após a execução da Instalação.

  • Iniciar o serviço de Administração do Windows SharePoint Services.

A execução dessas ações permitirá que você realize tarefas relacionadas a implantação diretamente no site da Administração Central.

Baixar este manual

Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:

Consulte a lista completa de manuais disponíveis na página de download de conteúdo do Office SharePoint Server 2007.