Поделиться через

Планирование безопасных конфигураций компонентов Office SharePoint Server

  • Статья

Содержание:

  • Рекомендации для функций Office SharePoint Server

В этой статье приведены рекомендации по повышению уровня безопасности настройки и управления функциями Microsoft Office SharePoint Server 2007. Обычно рекомендуемые настройки выполняются в центре администрирования, а не в сети, операционной системе, службах IIS или Microsoft .NET Framework. Рекомендации, приведенные в данной статье, применимы к следующим средам безопасности:

  • внутренняя среда группы или отдела;

  • внутренние ИТ-размещенные среды;

  • взаимодействие с внешними пользователями по защищенному каналу;

  • внешний анонимный доступ.

Дополнительные сведения об этих средах см. в разделе Выбор среды безопасности (Office SharePoint Server).

Рекомендации для функций Office SharePoint Server

В следующей таблице представлены рекомендации по безопасности для функций Office SharePoint Server 2007.

Функция или область Описание и рекомендация

Проверка подлинности

  • Не используйте автоматический вход в систему со стороны клиента при использовании сайта центра администрирования.

  • Разрешайте выполнять проверку подлинности пользователей только интерфейсным веб-серверам. Не разрешайте учетным записям или группам конечных пользователей проверять подлинность на основе сведений из баз данных серверов.

Авторизация

Назначайте разрешения группам, а не отдельным учетным записям.

Уровни разрешений

Назначайте пользователям минимальные разрешения, необходимые для решения конкретных задач.

Администрирование

Для защиты сайта центра администрирования используйте разрешения на доступ и разрешайте администраторам подключаться к этому сайту удаленно (вместо того, чтобы предоставлять доступ к центру администрирования только локальным компьютерам). В этом случае администраторам не требуется входить на локальный компьютер, на котором размещается центр администрирования. Настройка служб терминалов для доступа к компьютеру создает более высокие уровни риска, чем предоставление удаленного доступа к веб-сайту центра администрирования.

Интеграция электронной почты

  • Настройте Office SharePoint Server 2007 таким образом, чтобы принимать только те сообщения электронной почты, которые передаются через выделенный почтовый сервер, например, Microsoft Exchange Server, который фильтрует вирусы и нежелательную рекламную почту, а также выполняет проверку подлинности отправителей электронной почты.

  • При настройке параметров для рабочих процессов в службах Office SharePoint Server 2007 можно включить для участников, у которых отсутствуют разрешения на доступ к документу в сайте, возможность получения документа в форме вложения электронной почты. В безопасной среде не выбирайте параметр Разрешить внешним пользователям участвовать в рабочем процессе, отправив им копию документа. В службах Office SharePoint Server 2007 этот параметр по умолчанию отключен.

Хранение и безопасность веб-частей

  • Следите за тем, чтобы развертывать на ферме серверов только надежные программы. Все запускаемые приложения, XML-файлы и программы ASP.NET должны поступать из доверенного источника, даже если вы намереваетесь ужесточить меры безопасности после развертывания путем применения таких мощных инструментов, как разграничение доступа кода.

  • Убедитесь, что список SafeControl в файле Web.config содержит в точности те элементы управления и веб-части, которые необходимо разрешить.

  • Убедитесь, что пользовательские веб-части, безопасность которых планируется усилить с помощью стратегии глубокой обороны, установлены в каталоге bin веб-приложения (в котором включен режим частичного доверия) со особыми разрешениями для каждой сборки.

  • Рассмотрите возможность удаления веб-части редактора содержимого из списка SafeControl. Это исключит для пользователей возможность добавления кода JavaScript к страницам в качестве веб-части и использования сценариев JavaScript, размещаемых на внешних серверах.

  • Убедитесь, что уровни разрешения "Проектирование" и "Участие" назначаются в организации тем пользователям, которым они действительно необходимы. Пользователь с уровнем разрешений "Участие" может загружать страницы ASPX в библиотеку и добавлять веб-части. Пользователи с уровнем разрешений "Проектирование", которым разрешено добавлять веб-части, могут изменять страницы, включая начальную страницу сайта (Default.aspx).

Поиск

  • Учетная запись для доступа к содержимому по умолчанию не должна принадлежать к группе администраторов фермы; в противном случае служба поиска Office SharePoint Server будет индексировать неопубликованные версии документов.

  • Убедитесь, что в организации развернуты средства IFilters и средства разбиения текста по словам, одобренные ИТ-отделом.

  • По умолчанию, к файлу индекса поиска имеют доступ только члены группы администраторов фермы. Убедитесь, что этот файл недоступен пользователям, не принадлежащим этой группе.

Профили пользователей

Учетная запись для доступа к содержимому профиля пользователя и свойств служит для подключения к службе каталогов и импорта данных из нее. Если не указать учетные данные для этой учетной записи, вместо нее будет использоваться учетная запись для доступа к содержимому по умолчанию. Можно указать разные учетные записи для всех служб каталогов. Чтобы повысить безопасность в среде, следует использовать учетную запись с доступом на чтение службы каталогов. Не следует назначать доступ к службе каталогов через учетную запись для доступа к содержимому по умолчанию. Дополнительные сведения см. в разделе Планирование учетных записей администратора и служб (Office SharePoint Server).

Личные узлы

  • Пользователи с уровнем разрешений "Чтение" могут просматривать все личные сайты. По умолчанию все пользователи, прошедшие проверку подлинности, наделяются уровнем разрешений "Чтение". Чтобы повысить безопасность среды, уровнем разрешений "Чтение" следует наделять только необходимые группы. Уровень разрешений "Чтение" можно предоставить отдельным группам через раздел Группа сайта "Читатели" по умолчанию на странице "Параметры личных сайтов" в веб-сайте администрирования общих служб. Чтобы назначить действия, которые могут выполнять участники той или иной группы, на домашней странице "Администрирование общих служб" щелкните параметры Разрешения служб личной настройки, выберите группу, разрешения которой требуется изменить, а затем щелкните Изменить разрешения выбранных пользователей.

  • Для поставщика общих служб можно настроить доверие доверие другим поставщикам общих служб в среде. Такое доверие позволяет поставщику общих служб определять, к какому поставщику общих служб относится пользователь. Следовательно, когда пользователь создает личный сайт, доверенные поставщики общих служб могут определить поставщика общих служб для размещения личного сайта независимо от того, где находится пользователь при нажатии ссылки для создания личного сайта. Таким образом, пользователи могут иметь только один личный сайт в организации. Кроме того, когда пользователи добавляют ссылки на свой личный сайт, доверенные поставщики общих служб создают ссылку на основе контекста поставщика общих служб пользователя, а не на основе контекста поставщика общих служб, которого в тот момент просматривает пользователь. Доверенные поставщики общих служб также исключают возможность добавления ссылок на недостоверные расположения. Чтобы повысить безопасность в среде, необходимо обеспечить единообразие управления списками достоверных расположений личных сайтов для всех поставщиков общих служб. В идеале настройка списков для всех поставщиков общих служб должна быть одинаковой.

Самостоятельное создание сайтов

Можно использовать страницу "Управление средствами самостоятельного создания сайтов", чтобы разрешить пользователям создавать свои веб-сайты верхнего уровня и управлять ими автоматически. При включении самостоятельного создания сайтов в веб-приложении пользователи могут создавать свои веб-сайты верхнего уровня для определенного пути (по умолчанию путь /сайты). Если включить самостоятельное создание сайтов, для верхнего сайта корневого пути в веб-приложении появляется объявление, и пользователи с разрешениями на просмотр этого объявления могут перейти в новый сайт.

Возможность включения самостоятельного создания сайтов зависит от среды:

  • Среда интрасети   Включение самостоятельного создания сайтов в соответствии с бизнес-требованиями.

  • Среда безопасных взаимодействий   Включение самостоятельного создания сайтов только для пользователей или групп, которым требуется эта функция в бизнес-целях.

  • Среда с внешним анонимным доступом   Не следует включать самостоятельное создание сайтов для среды Интернет.

Каталог сайтов

Некоторые шаблоны сайтов включают каталог сайтов. Каталог сайтов — это веб-страница с утвержденными ссылками на сайты. Все пользователи могут отправить сайт для каталога сайтов на рассмотрение. Только администраторы каталогов сайтов могут утверждать и добавлять сайты в каталог сайтов.

  • Для безопасной интрасети не следует утверждать ссылки на сайты за пределами корпоративного брандмауэра.

  • По умолчанию любой пользователь с уровнем разрешений "Участие" может отправлять сайты на утверждение. Это не рекомендуется делать для больших сайтов интрасети и общедоступных сайтов. Для таких сайтов следует ограничивать количество пользователей, которые могут отправлять сайты, разрешая отправку только пользователям с уровнем разрешений "Участие" или администраторам каталогов сайтов.

Веб-часть RSS

По умолчанию веб-части RSS доступны только анонимные веб-каналы. Чтобы включить веб-каналы, пошедшие проверку подлинности (например, веб-каналы для содержимого прошедшего проверку подлинности сайта SharePoint), необходимо предоставить компьютерам веб-серверов доступ к соответствующим серверным компьютерам с помощью ограниченного делегирования в службе каталогов Active Directory.

Кэширование содержимого страниц с настраиваемым содержимым

Можно использовать кэширование выводимых данных для оптимизации производительности сайтов, которые отображают настраиваемое содержимое. По этому сценарию, чтобы настраиваемое содержимое обновлялось для пользователя, применяется подмена после кэширования. Следовательно, если вся страница или большая часть страницы включает настраиваемое содержимое, улучшение производительности не будет велико, если использовать кэширование выводимых данных.

Если планируется включить кэширование выводимых данных на страницах с настраиваемым содержимым, сайты, отображающие настраиваемое содержимое, должны поддерживать подмену после кэширования, если справедливы следующие условия:

  • Как анонимные, так и авторизованные пользователи имеют доступ к содержимому.

  • Решение включает сайты с элементами управления, которые отображают настраиваемое содержимое (для пользователей, прошедших проверку подлинности).

По этому сценарию все анонимные пользователи видят одинаковое содержимое. Содержимое, отображаемое для прошедших проверку подлинности пользователей, зависит от наличия настраиваемого содержимого и поддержки для этого содержимого подмены после кэширования:

  • Если подмена после кэширования поддерживается для настраиваемого содержимого, прошедшие проверку подлинности пользователи с одинаковыми разрешениями могут просматривать только свое настраиваемое содержимое.

  • Если подмена после кэширования не поддерживается для настраиваемого содержимого, пользователям с одинаковыми разрешениями также будет доступно одинаковое содержимое. Например, если настраиваемое содержимое сначала сохраняется в кэше для пользователя А, все последующие пользователи с теми же разрешениями будут видеть настраиваемое содержимое пользователя А вместо своего.

Развертывание контента

Если не используется функция развертывания контента, не следует разрешать для серверной фермы прием входящих заданий на развертывание контента от другой фермы. Параметром по умолчанию будет отклонение входящих заданий на развертывание контента.

Сервер InfoPath Forms Server

  • Если параметр включен, прокси-сервер веб-служб InfoPath Forms Services должен быть запущен под уникальной учетной записью пула приложений. Если прокси-сервер не используется, его следует отключить.

  • Просмотрите все шаблоны форм, содержащие код, перед их отправкой на серверный компьютер. Дополнительную информацию см. в разделе Развертывание шаблонов форм, одобренных администратором (Office SharePoint Server).

  • В рамках сценариев с работой только в веб-браузере следует использовать списки контроля доступа (ACL) в службах Office SharePoint Server 2007, чтобы предотвратить загрузку пользователями XSN.

  • Тщательно проанализируйте, следует ли разрешать пользователям шаблоны форм с поддержкой веб-браузера.

  • Тщательно проанализируйте, следует ли разрешать отображение в веб-браузере пользовательских шаблонов форм.

  • Используйте настраиваемые пороги для снижения количества атак типа "отказ в обслуживании". Сеансы пользователей прерываются на основе порогов, в том числе следующих:

    • максимальное число обратных передач, допустимых для одного состояния сеанса формы;

    • максимальное число действий, допустимых для одной обратной передачи;

    • максимальный размер состояния сеанса формы;

    • максимальное время активности сеанса формы.

  • В формах с поддержкой веб-браузера функции следует использовать с особой осторожностью. Следующие функции могут вызвать значительное увеличение размера XML формы, что в свою очередь повышает риск атак типа "отказ в обслуживании":

    • Цифровые подписи

    • Элемент управления "Вложенный файл"

    • Элемент управления для форматированного текста

    • Запросы на подключение к данным, которые могут возвращать большие наборы результатов

Подключение к данным InfoPath

  • Оставьте параметр Утверждение данных включенным в библиотеках подключения к данным, и удостоверьтесь, что только у доверенных пользователей есть права на утверждение содержимого.

  • Обеспечьте защиту сведений для проверки подлинности только на сервере с помощью атрибута AltDataSource в файле универсального подключения к данным (UDC) и путем наделения пользователей разрешением только на просмотр UDC-файла сервера или путем установки для параметра webAccessible значения "ложь" в библиотеке подключений, управляемой администратором (управление файлами подключений данных).

  • Просмотрите и проверьте использование междоменных подключений к данным: только надлежащие данные должны исходить и поступать в домен.

  • По умолчанию шаблонам форм пользователей, отображаемым в веб-браузере, недоступна проверка подлинности только на сервере. В безопасной среде следует ограничить использование проверки подлинности только на сервере, например, службы единого входа или специальной проверки подлинности с помощью имени пользователя и пароля.

  • В UDC-файлах не следует использовать специальные имена пользователей и пароли, за исключением случаев создания прототипов на тестовом серверном компьютере. Вместо этого следует использовать службу единого входа.

  • В строке подключения базы данных не следует использовать встроенные учетные данные SQL Server. Вместо этого следует использовать службу единого входа.

  • Используйте прокси-сервер веб-служб только для веб-службы, предназначенной для применения UserNameToken, чтобы проверить права доступа к данным или ограничить возвращаемый набор данных.

  • Используйте протокол SSL для подключения к источникам данным, для которых требуется обычная или краткая проверка подлинности, поскольку передача учетных данных по сети небезопасна.

  • Не следует производить проверку подлинности пользователей на основе данных, вводимых в форму пользователем. Вместо этого следует использовать более безопасный способ проверки подлинности.

Доступ к данным Служба вычислений Excel

Существует две модели доступа к данным, которые можно использовать для любой топологии серверной фермы Службы Excel в Microsoft Office SharePoint Server 2007: доверенная подсистема и ограниченное делегирование Kerberos.

  • Доверенная подсистема   Параметр по умолчанию для серверной фермы Windows, поскольку ему не требуется дополнительная настройка модели делегирования. Согласно модели доверенной подсистемы, интерфейсные веб-серверы и серверы приложений по управлением Служба вычислений Excel доверяют учетным записям связанных приложений Office SharePoint Server 2007 с помощью поставщика общих служб. В среде доверенной подсистемы при открытии файлов из служб Office SharePoint Server 2007 проверку разрешений для файлов можно выполнять по удостоверениям конечных пользователей, даже если проверка подлинности Kerberos не настроена. Если на серверах приложений Служба вычислений Excel открываются рабочие книги из общих папок UNC или веб-сайтов HTTP, учетную запись пользователя невозможно будет олицетворить, поэтому следует использовать учетную запись процесса.

  • Ограниченное делегирование Kerberos   Ограниченное делегирование Kerberos является предпочтительным параметром для развертывания Службы Excel. Ограниченное делегирование Kerberos представляет собой наиболее безопасную настройку для взаимодействия между интерфейсными веб-серверами и серверами приложений Служба вычислений Excel. Ограниченное делегирование Kerberos также является наиболее безопасной настройкой для доступа к источникам данных с серверов приложений. Для подключений к внешним данным встроенная проверка подлинности Windows будет действовать, только если внедрена модель делегирования.

Безопасные взаимодействия Служба вычислений Excel

Можно использовать протоколы IPsec или SSL для шифрования передач данных между серверами приложений Службы Excel, источниками данных, клиентскими компьютерами и интерфейсными веб-серверами. Чтобы включить шифрование передач данных между клиентскими компьютерами и интерфейсными веб-серверами, в веб-сайте администрирования общих служб на странице параметров служб Excel измените значение параметра Шифрование подключения с Не требуется на Требуется. Значение Не требуется является значением по умолчанию. Если изменить значение параметра Шифрование подключения на Требуется, сервер приложений Служба вычислений Excel будет допускать только передачи данных между клиентскими компьютерами и интерфейсными веб-серверами через SSL-подключения.

Если планируется включить шифрование передач данных, необходимо вручную настроить протокол IPsec или SSL. Можно включить шифрование подключений между клиентскими компьютерами и интерфейсными веб-серверами, разрешив при этом нешифрованные подключения между интерфейсными веб-серверами и серверами приложений Служба вычислений Excel.

Загрузка этой книги

Для упрощения чтения и печати эта тема включена в следующую загружаемую книгу:

См. полный список доступных книг на веб-сайте Загружаемые книги для Office SharePoint Server 2007.