Планирование безопасности для внутренней среды группы или отдела (Office SharePoint Server)
Содержание:
Контрольный список проекта системы безопасности
Планирование усиления безопасности для ролей сервера
Планирование настроек безопасности компонентов Office SharePoint Server
Руководящие принципы обеспечения безопасности во внутренней среде группы или отдела опираются на практические рекомендации по конфигурациям и параметрам системы безопасности для группы или отдела в более крупной организации. В данном руководстве предполагается, что серверы не обслуживаются основной ИТ-группой организации.
Несмотря на то что для планирования в такой среде требуются определенные знания в области ИТ, администраторы фермы не обязательно должны быть ИТ-специалистами. Если для реализации той или иной настройки требуются более специализированные роли, об этом упоминается отдельно.
Данное руководство следует использовать совместно с рекомендациями, изложенными в разделе Планирование безопасных конфигураций компонентов Office SharePoint Server.
Контрольный список безопасного проекта
Ознакомьтесь со представленным ниже контрольным списком, чтобы убедиться в соответствии планов критериям безопасного проекта серверной топологии.
Топология
[ ] |
При выполнении развертывания для группы или отдела исключительно с внутренним доступом службы Microsoft Office SharePoint Server 2007 можно установить на одном или двух серверах. |
[ ] |
При развертывании на двух и более серверах сайт центра администрирования по возможности должен размещаться на сервере, отличном от роли интерфейсного веб-сервера. Этого можно добиться только в том случае, если роли сервера приложений расположены на сервере, отличном от роли интерфейсного веб-сервера. Например, если на сервере A размещена роль интерфейсного веб-сервера, а на сервере B — роли сервера баз данных и приложений, то безопасней всего будет разместить сайт центра администрирования на сервере B. Однако если на сервере A размещены роли интерфейсного веб-сервера и сервера приложений, а на сервере B только роль сервера баз данных, то единственным вариантом будет размещение сайта центра администрирования на сервере A. |
Логическая архитектура
[ ] |
По меньшей мере, в одной зоне в каждом веб-приложении должна использоваться проверка подлинности NTLM. Этот способ проверки подлинности требуется учетной записи службы поиска для обхода контента в веб-приложении.Проверка подлинности Kerberos не может использоваться учетной записью службы поиска для обхода контента. Дополнительные сведения см. на в разделе Планирование способов проверки подлинности (Office SharePoint Server). |
[ ] |
При развертывании настраиваемых веб-частей необходимо обеспечить, чтобы только доверенные веб-части развертывались в веб-приложениях с конфиденциальным или защищаемым содержимым. Это позволит защитить конфиденциальное содержимое от атак с использованием внутридоменных сценариев. |
Планирование мер по усилению безопасности для ролей сервера
Рекомендации по созданию внутренней среды группы или отдела предполагают, что для серверов, сайтов и содержимого допускается только внутренний доступ и что общая сетевая среда защищена политиками, разработанными ИТ-отделом. Поэтому усиление защиты серверов для определенных ролей не требуется в той же мере, в которой это необходимо для других сред. Однако для некоторых функций данной среды необходимы определенные службы или другие параметры, которые невозможно задать иным образом.
В следующей таблице описаны рекомендуемые параметры для усиления безопасности для внутренней группы или отдела.
| Возможность | Параметр |
|---|---|
Интеграция электронной почты |
При включении интеграции электронной почты на интерфейсном веб-сервере требуется служба SMTP. |
Microsoft Office Project Server 2007 и Microsoft Office Forms Server 2007 |
Как Office Project Server 2007, так и Office Forms Server 2007 сохраняют состояние сеанса. При развертывании этих средств или продуктов в ферме серверов не отключайте службу состояний ASP.NET. Кроме того, при развертывании InfoPath Forms Services не отключайте службу просмотра состояний. |
Единый вход (SSO) |
SSO опирается на службу единого входа Microsoft. Дополнительные сведения о настройке единого входа см. в разделе Планирование единого входа. |
Планирование безопасных конфигураций компонентов Office SharePoint Server
В следующей таблице приведены дополнительные рекомендации по обеспечению безопасности функций Office SharePoint Server 2007. Эти рекомендации относятся к внутренней среде группы или отдела.
| Функция или область | Рекомендации |
|---|---|
Проверка подлинности |
Используйте проверку подлинности на основе существующей системы управления удостоверениями. Если не используется служба каталогов Active Directory, следует использовать проверку подлинности с помощью форм ASP.NET для подключения к системе управления удостоверениями. Для использования проверки подлинности с помощью форм может потребоваться поддержка со стороны следующих ролей:
|
Сайт центра администрирования |
|
Служба администрирования Windows SharePoint Services |
При развертывании в среде одного сервера служба администрирования Windows SharePoint Services по умолчанию отключена по перечисленным ниже причинам.
При развертывании в среде из одного сервера рекомендуется выполнить следующие действия.
Выполнение этих действий позволит запускать операции, связанные с развертыванием, непосредственно с сайта центра администрирования. |
Загрузить эту книгу
Этот раздел включен в следующую загружаемую книгу для удобства чтения и печати:
Полный список доступных книг приведен в разделе Загружаемые материалы для Office SharePoint Server 2007.