Планирование усиления безопасности (Windows SharePoint Services)

  • Статья

 

Применимо к: SharePoint Foundation 2010

Последнее изменение раздела: 2016-11-30

В этой статье описывается усиление безопасности веб-сервера, сервера приложений и ролей сервера базы данных в Microsoft SharePoint Foundation 2010, а также даются подробные инструкции по конкретным требованиям безопасности для портов, протоколов и служб в продуктах Продукты Microsoft SharePoint 2013.

Содержание:

Моментальные снимки безопасного сервера

В среде фермы серверов отдельные серверы играют определенные роли. Рекомендации по усилению безопасности для этих серверов зависят от ролей каждого из них. В данной статье представлены моментальные снимки безопасного сервера для двух категорий ролей сервера:

Моментальные снимки разделены на стандартные категории конфигурации. Характеристики каждой категории представляют оптимальное состояние усиленной безопасности для продуктов Продукты Microsoft SharePoint 2013. В этой статье не представлены указания по усилению безопасности для других программ в этой среде.

Роли веб-сервера и сервера приложений

В этом разделе описываются характеристики усиления безопасности для веб-серверов и серверов приложений. Некоторые инструкции применяются к определенным приложениям службы; в этих случаях соответствующие характеристики следует применять только на серверах, на которых работают службы, связанные с соответствующими приложениями службы.

Категория

Характеристика

Службы, указанные в оснастке служб консоли управления

Включите следующие службы:

  • Общий доступ к файлам и принтерам

  • Службу веб-публикации

Убедитесь, что эти службы не отключены:

  • Заявки для службы службы маркеров Windows

  • Администрирование SharePoint 2010

  • Служба таймера SharePoint 2010

  • Служба трассировки SharePoint 2010

  • Служба модуля записи VSS SharePoint 2010

Убедитесь, что эти службы не отключены на серверах, на которых размещены соответствующие роли:

  • Узел пользовательского кода SharePoint 2010

  • Служба поиска SharePoint Foundation версии 4

Порты и протоколы

  • TCP 80, TCP 443 (SSL)

  • Служба общего доступа к файлам и принтерам — одна из следующих, используемая ролями поиска:

    • Непосредственно размещенный протокол SMB (TCP/UDP 445) — рекомендуемый порт

    • Протокол NetBIOS через TCP/IP (NetBT) (порты TCP/UDP 137, 138, 139) — отключите этот порт, если он не используется

  • Порты, необходимые для связи веб-серверов и приложений службы (по умолчанию используется HTTP):

    • Привязка HTTP: 32843

    • Привязка HTTP: 32844

    • Привязка net.tcp: 32845 (только если сторонний производитель реализовал этот параметр для приложения службы)

  • Порт UDP 1434 и порт TCP 1433 — порты по умолчанию для взаимодействия с SQL Server. Если эти порты блокируются на компьютере SQL Server (рекомендуется) и на именованном экземпляре установлены базы данных, настройте псевдоним клиента SQL Server для подключения к этому именованному экземпляру.

  • Порт TCP/IP 32846 для службы пользовательского кода Microsoft SharePoint Foundation (для изолированных решений) — этот порт должен быть открыт для исходящих подключений на всех веб-серверах. Этот порт должен быть открыт для входящих подключений на веб-серверах и серверах приложений, на которых эта служба включена.

  • Убедитесь, что порты по-прежнему открыты для веб-приложений, доступных пользователям.

  • Заблокируйте внешний доступ к порту, используемому для сайта центра администрирования.

  • TCP/25 (SMTP для интеграции электронной почты)

Реестр

Нет дополнительных инструкций

Аудит и ведение журнала

Пре перемещении файлов журнала не забудьте обновить их расположение. Также обновите списки управления доступом (ACL).

Безопасность доступа к коду

Убедитесь, что для веб-приложения включен минимальный набор разрешений для обеспечения безопасности доступа к коду. Для элемента <trust> в файлах Web.config для каждого веб-приложения укажите WSS_Minimal (где минимальные значения по умолчанию WSS_Minimal указаны в файле 14\config\wss_minimaltrust.config или в собственном пользовательском файле политик, настроенном с минимальными параметрами).

Web.config

Следуйте этим рекомендациям для каждого файла Web.config, созданного после запуска программы установки:

  • Не разрешайте компиляцию или создание скриптов страниц базы данных с помощью элементов PageParserPaths.

  • Выберите значения <SafeMode> CallStack=""false"" и AllowPageLevelTrace=""false"".

  • Убедитесь, что границы веб-частей вокруг максимальных элементов управления в каждой зоне установлены на минимальном уровне.

  • Убедитесь, что в списке SafeControls выбран минимально необходимый для сайтов набор элементов управления.

  • Убедитесь, что в списке Workflow SafeTypes выбран минимально необходимый уровень типов SafeType.

  • Убедитесь, что включен параметр customErrors (<customErrors mode=""On""/>).

  • Продумайте необходимые настройки веб-прокси (<system.net>/<defaultProxy>).

  • Укажите максимальный размер файла Upload.aspx, который пользователи предположительно могут передать (по умолчанию — 2 ГБ). Загрузка файлов размером более 100 МБ может отразиться на производительности.

Роль сервера базы данных

Основная рекомендация для Продукты SharePoint 2010 состоит в защите взаимодействия внутри фермы путем блокирования портов по умолчанию, используемых для взаимодействия с Microsoft SQL Server, и установки для этого других портов. Дополнительные сведения о настройке портов для взаимодействия с SQL Server см. ниже в разделе Блокировка стандартных портов SQL Server.

Категория

Характеристика

Порты

  • Заблокируйте UDP-порт 1434.

  • Рассмотрите возможность блокировки TCP-порта 1433.

В этой статье не рассматривается обеспечение безопасности SQL Server. Подробнее об обеспечении безопасности SQL Server см. в статье, посвященной обеспечению безопасности SQL Server (https://go.microsoft.com/fwlink/?linkid=186828&clcid=0x419).

Инструкции для конкретных портов, протоколов и служб

Далее в этой статье более подробно описываются конкретные требования по усилению безопасности для продуктов Продукты SharePoint 2010.

Содержание:

Блокировка стандартных портов SQL Server

Работа конкретных портов, используемых для подключения к SQL Server, зависит от того, установлены ли базы данных на экземпляре SQL Server по умолчанию или на именованном экземпляре SQL Server. Экземпляр SQL Server по умолчанию прослушивает TCP-порт 1433 в ожидании запросов клиентов. Именованный экземпляр SQL Server прослушивает назначенный случайным образом порт. Кроме того, номер случайно выбранного порта при перезапуске именованного экземпляра может измениться (в зависимости от того, доступен ли ранее назначенный порт).

По умолчанию клиентские компьютеры, подключающиеся к SQL Server, сначала пытаются использовать TCP-порт 1433. При невозможности установить соединение клиентские компьютеры запрашивают службу разрешений SQL Server, прослушивающую UDP-порт 1434, чтобы определить, какой порт прослушивает экземпляр базы данных.

Выбранное по умолчанию поведение порта и обмена данными SQL Server несколько усложняет процесс усиления безопасности сервера. Во-первых, SQL Server использует хорошо известные порты, а служба разрешений SQL Server часто становится мишенью таких атак, как переполнение буфера и отказ в обслуживания, в том числе червя Slammer. Даже при установке исправлений SQL Server, призванных снизить уязвимость службы разрешений SQL Server, сохраняется опасность, связанная с известностью порта. Во-вторых, при установке базы данных на именованный экземпляр SQL Server соответствующие порты обмена данными присваиваются в случайном порядке и могут измениться. Из-за этого возможны перебои в процессе обмена данными между серверами в защищенной среде. Для обеспечения безопасности среды крайне важно иметь возможность управлять открытыми и блокируемыми TCP-портами.

Таким образом, в ферме серверов рекомендуется присваивать именованным экземплярам SQL Server статические номера портов и заблокировать UDP-порт 1434, чтобы предотвратить возможные атаки на службу разрешений SQL Server. Кроме того, следует рассмотреть возможность переназначения порта, используемого экземпляром по умолчанию, и блокировки TCP-порта 1433.

Существует несколько методов блокировки портов. Эти порты можно заблокировать с помощью брандмауэра. Однако лучше заблокировать эти порты непосредственно на сервере, на котором установлен SQL Server, особенно если нет уверенности в отсутствии других способов доступа к этому сегменту сети или есть подозрение, что к этому сегменту сети могут иметь доступ злоумышленники. Для этого можно использовать брандмауэр Windows на панели управления.

Настройка экземпляров базы данных SQL Server для прослушивания нестандартного порта

SQL Server обеспечивает возможность заново назначать порты, используемые экземпляром по умолчанию и любыми именованными экземплярами. В SQL Server 2005 и SQL Server 2008 порты назначаются с помощью диспетчера конфигурации SQL Server.

Настройка псевдонимов клиента SQL Server

В ферме серверов все интерфейсные веб-серверы и серверы приложений — это клиентские компьютеры SQL Server. При блокировке UDP-порта 1434 компьютера, на котором установлен SQL Server, или изменении порта по умолчанию для экземпляра по умолчанию необходимо настроить псевдонимы клиентов SQL Server на всех серверах, которые подключаются к компьютеру SQL Server.

Для подключения к экземпляру SQL Server 2005 или SQL Server 2008 следует установить компоненты клиента SQL Server на целевом компьютере и настроить псевдоним клиента SQL Server с помощью диспетчера конфигурации SQL Server. Для установки компонентов клиента SQL Server запустите программу установки и выберите установку только следующих клиентских компонентов:

  • Компоненты связи

  • Средства управления (в том числе диспетчер конфигурации SQL Server)

Сведения о конкретных действиях для блокировки стандартных портов SQL см. в разделе Подготовка сервера SQL Server к среде SharePoint (SharePoint Foundation 2010).

Взаимодействие с приложениями-службами

По умолчанию взаимодействие веб-серверов и приложений службы осуществляется с помощью протокола HTTP с привязкой к порту 32843. После публикации приложения-службы можно выбрать протокол HTTP или HTTPS со следующими привязками:

  • Привязка HTTP: порт 32843

  • Привязка HTTP: порт 32844

Кроме того, сторонние производители, создающие приложения-службы, могут реализовать третий вариант:

  • Привязка net.tcp: порт 32845

Пользователь может изменить протокол и привязку к порту для каждого приложения службы. На странице "Приложения службы" центра администрирования выберите приложение-службу и нажмите кнопку Опубликовать.

Взаимодействие приложений-служб и SQL Server осуществляется через стандартные порты SQL Server или порты, настроенные для взаимодействия с SQL Server.

Требования к службе общего доступа к файлам и принтерам

Ряд основных функций зависят от службы общего доступа к файлам и принтерам и соответствующих протоколов и портов. В частности, к ним относится следующее:

  • Запросы поиска   Служба общего доступа к файлам и принтерам необходима для выполнения всех запросов поиска.

  • Обход и индексация контента.   Для обхода серверы с компонентами обхода отправляют запросы через интерфейсный веб-сервер. Он напрямую обменивается данными с базой данных контента и отправляет результаты серверам с компонентами обхода. Для такого обмена данными необходима служба общего доступа к файлам и принтерам.

Служба общего доступа к файлам и принтерам использует именованные каналы. Они могут обмениваться данными с использованием непосредственно размещенного протокола SMB или протокола NetBT. В безопасной среде рекомендуется вместо NetBT использовать непосредственно размещенный протокол SMB. В рекомендациях по усилению безопасности, предложенных в этой статье, предполагается использование протокола SMB.

В следующей таблице перечислены требования к усилению безопасности, обусловленные зависимостью от службы общего доступа к файлам и принтерам.

Категория

Требования

Примечание

Службы

Общий доступ к файлам и принтерам

Необходимо использовать именованные каналы.

Протоколы

Именованные каналы, использующие непосредственно размещенный протокол SMB

NetBT отключен

Именованные каналы могут вместо непосредственно размещенного протокола SMB использовать протокол NetBT. Однако NetBT считается менее безопасным.

Порты

Любое из перечисленного ниже:

  • Непосредственно размещенный протокол SMB (TCP/UDP 445) — рекомендуется

  • NetBT (порты TCP/UDP 137, 138, 139)

Отключите протокол NetBT (порты 137, 138 и 139), если он не используется

Подробнее об отключении NetBT см. в статье 204279 базы знаний Майкрософт, посвященной непосредственному размещению SMB через TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x419).

Требования к службам для интеграции электронной почты

Для интеграции электронной почты необходимо использовать две службы:

Служба SMTP

Для интеграции электронной почты необходимо использовать службу SMTP по крайней мере на одном интерфейсном веб-сервере фермы. Служба SMTP необходима для получения входящей электронной почты. Для исходящей электронной почты можно использовать службу SMTP или направлять исходящую электронную почту через выделенный сервер электронной почты организации, например через компьютер, на котором запущен сервер Microsoft Exchange Server.

Служба управления каталогом Microsoft SharePoint

Приложение Продукты SharePoint 2010 содержит внутреннюю службу для создания групп рассылки электронной почты — службу управления каталогом Microsoft SharePoint. При настройке интеграции электронной почты можно включить службу управления каталогом и дать пользователям возможность создавать списки рассылки. Когда пользователи создают группу SharePoint и выбирают возможность создания списков рассылки, служба управления каталогом Microsoft SharePoint создает соответствующий список рассылки службы каталогов Active Directory в среде Active Directory.

В средах с повышенным уровнем безопасности рекомендуется ограничить доступ к службе управления каталогами Microsoft SharePoint, обеспечив безопасность файла SharePointEmailws.asmx, связанного с этой службой. Например, можно разрешить доступ к файлу только учетной записи фермы серверов.

Кроме того, для работы с этой службой необходимо иметь в среде Active Directory разрешения на создание объектов списка рассылки Active Directory. Для объектов Продукты SharePoint 2010 в службе Active Directory рекомендуется создать отдельную организационную единицу. Только этой единице предоставляется разрешение на запись в учетную запись, используемую службой управления каталогами Microsoft SharePoint.

Службы продуктов SharePoint 2010

Не отключайте службы, установленные продуктами Продукты SharePoint 2010 (перечислены выше)

Если в этой среде не разрешены службы, запускаемые в виде локальной системы, можно принять решение об отключении служб администрирования SharePoint 2010, только понимая последствия и умея с ними справляться. Это служба Win32, запускаемая как локальная система.

Эта служба используется службой таймера SharePoint 2010 для выполнения действий, требующих прав администратора сервера, таких как создание веб-сайтов IIS, развертывание кода, отключение и включение служб. После отключения этой службы на веб-сайте центра администрирования становится невозможным запуск задач, связанных с развертыванием. Для выполнения многосерверных развертываний для продуктов Продукты SharePoint 2010 и выполнения других задач, связанных с развертыванием, необходимо использовать командлет Start-SPAdminJob в Windows PowerShell (или средство командной строки Stsadm.exe для выполнения операции execadmsvcjobs).

Файл web.config

В пакете .NET Framework, и в частности в ASP.NET, для настройки приложений используются файлы конфигурации в формате XML. Определение параметров конфигурации в .NET Framework выполняется на основе файлов конфигурации. Это текстовые файлы XML. В одной системе обычно может использоваться несколько файлов конфигурации.

Настройки конфигурации .NET Framework в масштабе всей системы определяются в файле Machine.config. Он находится в папке %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. Настройки по умолчанию, определяемые в файле Machine.config, можно изменить таким образом, чтобы они влияли на поведение всех приложений в системе, использующих .NET Framework.

Настройки конфигурации ASP.NET отдельного приложения можно изменить, создав файл Web.config в корневой папке этого приложения. При этом настройки из файла Web.config заменяют настройки из файла Machine.config.

При расширении веб-приложения с помощью центра администрирования приложение Продукты SharePoint 2010 автоматически создает для веб-приложения файл Web.config.

Представленный ранее в этой статье снимок веб-сервера и сервера приложений содержит рекомендации по настройке файлов Web.config. Их необходимо применить к каждому из создаваемых файлов Web.config, включая файл Web.config сайта центра администрирования.

Подробнее о файлах конфигурации ASP.NET и редактировании файла Web.config см. в документе о конфигурации ASP.NET (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x419) (Возможно, на английском языке).