为服务器场中的服务器角色规划安全强化 (Office SharePoint Server)

本文内容：

• 关于安全强化

• 应用程序服务器建议

• 保护与 Microsoft SQL Server 数据库的通信

• 文件和打印机共享服务要求

• 单一登录强化要求

• Office Server Web 服务

• 与外部服务器的连接

• 电子邮件集成的服务要求

• 会话状态的服务要求

• Office SharePoint Server 服务

• 帐户和组

• Web.config 文件

• 保护快照附加信息

使用本文来规划服务器场安全性。本文中的任务适用于下列安全环境：

• 内部 IT 承载

• 外部安全协作

• 外部匿名访问

关于安全强化

在服务器场环境中，各服务器扮演着特定的角色。针对这些服务器的安全强化建议视各服务器扮演的角色而定。

服务器强化建议基于以下位于 Microsoft 模式和做法（该链接可能指向英文页面）(https://go.microsoft.com/fwlink/?linkid=73704&clcid=0x804)（该链接可能指向英文页面）上的安全指南中提供的建议：

• 保护 Web 服务器的安全(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x804)。

• 保护数据库服务器的安全（该链接可能指向英文页面）(https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x804)（该链接可能指向英文页面）

• 保护网络的安全(https://go.microsoft.com/fwlink/?linkid=73707&clcid=0x804)。

这些指南遵循一种系统性方法，以保护特定角色的服务器的安全，并保护支撑网络的安全。此外，还指明了应用设置以及安装和强化应用程序的顺序：首先应用修补程序和更新，然后强化网络设置和操作系统设置，最后执行特定于应用程序的强化。例如，保护 Web 服务器的安全(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x804) 建议您仅在修补和强化操作系统之后再安装和强化 Internet Information Services (IIS)。此外，该指南还指示仅在全面修补和强化 IIS 之后再安装 Microsoft .NET Framework。

下图详细说明了在保护 Web 服务器的安全(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x804) 中系统地指明的各类安全设置。

此外，这三个指南均各自包含一个安全快照和一个针对特定服务器角色或网络的建议安全设置列表。快照列表按上图所述安全设置的对应类别进行组织。

本文中提供的安全设计和强化指导基于这三个指南中公布的指导。此指导假定您将使用这些指南作为保护和强化服务器场的基准。

本文介绍与您的环境的建议快照有关的例外或附加信息。我们采用表格形式并按照与上述三个安全指南相同的类别和顺序详细说明了这些信息。采用这种形式的目的是便于您在使用这些指南时确定并应用特定建议。

部署 Office SharePoint 2007(https://go.microsoft.com/fwlink/?linkid=76139&clcid=0x804) 指南包含如何应用模式和做法安全指南中未涵盖的特定安全指导的说明。

服务器场中服务器之间通信的特性以及 Microsoft Office SharePoint Server 2007 提供的特定功能，是提出特定强化建议的主要原因。本文还介绍密钥信道和 Office SharePoint Server 2007 功能对安全要求的影响。

应用程序服务器建议

在 Office SharePoint Server 2007 中，应用程序服务器角色并不是在企业服务应用程序内打包的典型中间层应用程序服务器。因此，保护应用程序服务器的安全 (https://msdn2.microsoft.com/zh-cn/library/aa302433.aspx) 中的建议不适用于 Office SharePoint Server 2007 应用程序服务器。请改为使用保护 Web 服务器的安全(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x804) 中提供的指导来强化 Office SharePoint Server 2007 应用程序服务器：

• 将针对网络设置和操作系统设置的指导应用到服务器场中的所有应用程序服务器。此指导包含在以下类别中：修补程序和更新、服务、协议、帐户、文件和目录、共享、端口、注册表以及审核与日志记录。

• 仅在承载“管理中心”网站的应用程序服务器上应用针对强化 IIS 以及其他 Web 设置的指导。此指导包含以下类别：IIS、Machine.config、代码启用安全性、LocalIntranet_Zone 和 Internet_Zone。

除了使用保护 Web 服务器的安全(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x804) 中的安全快照之外，还应该应用在本文后面的保护快照附加信息一节中提供的建议。

保护与 Microsoft SQL Server 数据库的通信

保护数据库服务器的安全（该链接可能指向英文页面）(https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x804)（该链接可能指向英文页面）建议限制对以下两个默认 Microsoft SQL Server 通信端口的访问：TCP 端口 1433 和 UDP 端口 1434。对于安全的服务器场环境，建议采取以下操作：

• 完全阻止 UDP 端口 1434。

• 配置 SQL Server 命名实例，以便侦听非标准端口（除 TCP 端口 1433 或 UDP 端口 1434 之外的其他端口）。

• 为增强安全性，阻止 TCP 端口 1433 并将默认实例使用的端口重新分配到非标准端口。

• 在服务器场中的所有前端 Web 服务器和应用程序服务器上配置 SQL 客户端别名。在阻止 TCP 端口 1433 或 UDP 端口 1434 之后，与 SQL Server 计算机通信的所有计算机都需要 SQL 客户端别名。

这种方法为如何部署和运行 SQL Server 提供了更高级别的控制，其中包括能够确保只有授权的计算机才能与 SQL Server 计算机进行通信。

必须在安装 Office SharePoint Server 2007 之前完成创建 SQL 客户端别名的强化步骤。在您运行 Office SharePoint Server 2007 的安装程序并且系统提示您输入要连接的 SQL Server 计算机的名称时，需要输入 SQL 客户端的别名。

阻止标准的 SQL Server 端口

数据库是安装在 SQL Server 的默认实例还是安装在 SQL Server 的命名实例上，将对用于连接到 SQL Server 的特定端口产生影响。SQL Server 的默认实例在 TCP 端口 1433 上侦听客户端请求。SQL Server 的命名实例则在随机分配的端口号上进行侦听。此外，如果实例重新启动，还可以重新分配命名实例的端口号（具体情况取决于之前分配的端口号是否可用）。

默认情况下，连接到 SQL Server 的客户端计算机首先使用 TCP 端口 1433 进行连接。如果此通信不成功，客户端计算机会查询在 UDP 端口 1434 上进行侦听的 SQL Server 解析服务，以确定数据库实例正在侦听的端口。

SQL Server 的默认端口通信行为会引起几个影响服务器强化的问题。第一点，SQL Server 使用的是众所周知的端口，而且 SQL Server 解析服务已成为缓冲区溢出攻击和拒绝服务攻击（包括“Slammer”蠕虫病毒）的目标。即使 SQL Server 已安装修补程序以减轻 SQL Server 解析服务中的安全问题，众所周知的端口也仍是攻击目标。第二点，如果数据库安装在 SQL Server 的命名实例上，则会随机分配相应的通信端口，而且此端口可能会改变。在强化的环境中，此行为可能会阻止服务器之间的通信。为保护您的环境，对开放或阻止 TCP 端口的控制能力是必不可少的。

因此，对于服务器场，我们建议将静态端口号分配给 SQL Server 的命名实例，并阻止 UDP 端口 1434 以防止潜在的攻击者访问 SQL Server 解析服务。此外，还应考虑重新分配默认实例使用的端口并阻止 TCP 端口 1433。

可以使用多种方法来阻止端口。您可以使用防火墙来阻止这些端口。但是，除非您可以确保没有其他路由接入到网络段中，并且没有恶意的用户能够访问网络段，否则我们建议直接在承载 SQL Server 的服务器上阻止这些端口。可以使用“控制面板”中的“Windows 防火墙”来执行此操作。

配置 SQL Server 数据库实例以便在非标准端口上进行侦听

SQL Server 可让用户重新分配默认实例和任何命名实例所使用的端口。在 SQL Server 2000 中，可以使用 SQL Server 网络实用工具来重新分配端口。在 SQL Server 2005 中，可以使用 SQL Server 配置管理器来重新分配端口。

配置 SQL 客户端别名

在服务器场中，所有前端 Web 服务器和应用程序服务器都是 SQL Server 客户端计算机。如果阻止 SQL Server 计算机上的 UDP 端口 1434，或者更改默认实例的默认端口，则必须在连接到 SQL Server 计算机的所有服务器上配置 SQL 客户端别名。

若要连接到 SQL Server 2000 的实例，请在目标计算机上安装 SQL Server 客户端工具，然后配置 SQL 客户端别名。可以运行 SQL Server 的安装程序并选择“SQL Server 客户端工具”来安装这些工具。

若要连接到 SQL Server 2005 的实例，请在目标计算机上安装 SQL Server 客户端组件，然后使用 SQL Server 配置管理器来配置 SQL 客户端别名。若要安装 SQL Server 客户端组件，请运行安装程序并仅选择安装以下客户端组件：

• 连接组件

• 管理工具（包括 SQL Server 配置管理器）

SQL Server 客户端组件与 SQL Server 2000 一起使用，并可用于取代 SQL Server 客户端工具。

强化步骤

配置 SQL Server

配置 SQL Server 2000 实例以便在非默认端口上进行侦听

使用 SQL Server 网络实用工具来更改 SQL Server 2000 的实例所使用的 TCP 端口。

1. 在 SQL Server 计算机上，运行 SQL Server 网络实用工具。

2. 在“本服务器上的实例”菜单上，选择实例。确保选择了所需实例。默认情况下，默认实例在端口 1433 上进行侦听。将向 SQL Server 2000 的命名实例随机分配端口号，因此在运行 SQL Server 网络实用工具时，您可能不知道当前分配给命名实例的端口号。

3. 在 SQL Server 网络实用工具界面右侧的“启用的协议”窗格中，单击“TCP/IP”，再单击“属性”。

4. 在“网络协议默认值设置”对话框中，更改 TCP 端口号。避免使用任何众所周知的 TCP 端口。例如，选择较高范围中的端口号（如 40000）。不要选中“隐藏服务器”复选框。

5. 单击“确定”。

6. 在“SQL Server 网络实用工具”对话框中，单击“确定”。您将收到一条消息，指出所做更改在 SQL Server 服务重新启动之后才会生效。单击“确定”。

7. 重新启动 SQL Server 服务并确认您的 SQL Server 计算机正在所选端口上进行侦听。可以在重新启动 SQL Server 服务之后查看事件查看器日志以确认此信息。请查找类似于以下事件的信息事件：

   事件类型：信息

   事件源：MSSQLSERVER

   事件类别：(2)

   事件 ID：17055

   日期：2008-3-6

   时间：11:20:28 上午

   用户：N/A

   计算机：计算机名称

   描述:

   19013:

   SQL Server 正在侦听 10.1.2.3: 40000

配置 SQL Server 2005 实例以便在非默认端口上进行侦听

使用 SQL Server 配置管理器来更改 SQL Server 2005 的实例所使用的 TCP 端口。

1. 使用 SQL Server 配置管理器来更改 SQL Server 2005 的实例所使用的 TCP 端口。

2. 在 SQL Server 计算机上，打开 SQL Server 配置管理器。

3. 在左侧窗格中，展开“SQL Server 2005 网络配置”。

4. 在“SQL Server 2005 网络配置”之下，单击所配置实例的相应条目。默认实例列出为“MSSQLSERVER 的协议”。命名实例显示为“命名实例的协议”。

5. 在右侧窗格中，右键单击“TCP/IP”，再单击“属性”。

6. 单击“IP 地址”选项卡。对于分配给 SQL Server 计算机的每个 IP 地址，此选项卡上都有一个对应条目。默认情况下，SQL Server 在分配给计算机的所有 IP 地址上进行侦听。

7. 若要全局更改默认实例所侦听的端口，请执行以下操作：

   1. 对于除“IPAll”外的每个 IP，清除“TCP 动态端口”和“TCP 端口”的所有值。

   2. 对于“IPAll”，清除“TCP 动态端口”的值。在“TCP 端口”字段中，输入希望 SQL Server 的实例进行侦听的端口。例如，输入 40000。

8. 若要全局更改命名实例所侦听的端口，请执行以下操作：

   1. 对于包括“IPAll”在内的每个 IP，清除“TCP 动态端口”的所有值。此字段的值为 0 表示 SQL Server 将动态 TCP 端口用于 IP 地址。此值为空则表示 SQL Server 2005 不将动态 TCP 端口用于 IP 地址。

   2. 对于除“IPAll”外的每个 IP，清除“TCP 端口”的所有值。

   3. 对于“IPAll”，清除“TCP 动态端口”的值。在“TCP 端口”字段中，输入希望 SQL Server 的实例进行侦听的端口。例如，输入 40000。

9. 单击“确定”。您将收到一条消息，指出所做更改在 SQL Server 服务重新启动之后才会生效。单击“确定”。

10. 关闭 SQL Server 配置管理器。

11. 重新启动 SQL Server 服务并确认 SQL Server 计算机正在所选的端口上进行侦听。可以在重新启动 SQL Server 服务之后查看事件查看器日志以确认此信息。请查找类似于以下事件的信息事件：

    事件类型：信息

    事件源：MSSQL$MSSQLSERVER

    事件类别：(2)

    事件 ID：26022

    日期：2008-3-6

    时间：1:46:11 下午

    用户：N/A

    计算机：计算机名称

    描述:

    SQL Server 正在监听 [ 'any' <ipv4>50000]

配置 Windows 防火墙

配置 Windows 防火墙以阻止默认 SQL Server 侦听端口

1. 在“控制面板”中，打开“Windows 防火墙”。

2. 在“常规”选项卡上，单击“启用”。确保清除“不允许例外”复选框。

3. 在“例外”选项卡上，单击“添加端口”。

4. 在“添加端口”对话框上，输入端口的名称。例如，输入 UDP-1434。然后输入端口号。例如，输入 1434。

5. 选择适当的选项按钮：“UDP”或“TCP”。例如，若要阻止端口 1434，请单击“UDP”。若要阻止端口 1433，请单击“TCP”。

6. 单击“更改范围”，并确保此例外的范围设置为“任何计算机(包括 Internet 上的计算机)”。

7. 单击“确定”。

8. 在“例外”选项卡上，找到所创建的例外。若要阻止端口，请清除此例外的复选框。默认情况下，此复选框处于选中状态，表示开放端口。

配置 Windows 防火墙以开放手动分配的端口

1. 按照前面过程中的步骤 1 至步骤 7 为手动分配给 SQL 实例的端口创建例外。例如，为 TCP 端口 40000 创建例外。

2. 在“例外”选项卡上，找到所创建的例外。确保选中该例外的复选框。默认情况下，此复选框处于选中状态，表示开放端口。

   备注

   有关使用 Internet 协议安全性 (IPsec) 来保护与 SQL Server 计算机之间的通信的详细信息，请参阅 Microsoft 知识库文章 233256：如何使 IPSec 通讯能够通过防火墙(https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x804)。

配置 SQL 客户端别名

配置 SQL 客户端别名

如果阻止 SQL Server 计算机上的 UDP 端口 1434 或 TCP 端口 1433，则必须在服务器场中的所有其他计算机上创建 SQL 客户端别名。可以使用 SQL Server 客户端组件为连接到 SQL Server 2000 或 SQL Server 2005 的计算机创建 SQL 客户端别名。

1. 在目标计算机上运行 SQL Server 2005 的安装程序，并选择安装下列客户端组件：

   1. 连接组件

   2. 管理工具

2. 打开 SQL Server 配置管理器。

3. 在左侧窗格中，单击“SQL Native Client 配置”。

4. 在右侧窗格中，右键单击“别名”，再选择“新建别名”。

5. 在“别名”对话框中，输入别名的名称，再输入数据库实例的端口号。例如，输入 SharePoint_alias。

6. 在“端口号”字段中，输入数据库实例的端口号。例如，输入 40000。确保将协议设置为 TCP/IP。

7. 在“服务器”字段中，输入 SQL Server 计算机的名称。

8. 单击“应用”，再单击“确定”。

测试 SQL 客户端别名

使用 Microsoft SQL Server Management Studio（通过安装 SQL Server 客户端组件获得）来测试与 SQL Server 计算机的连接。

1. 打开 SQL Server Management Studio。

2. 当提示您输入服务器名称时，请输入所创建别名的名称，再单击“连接”。如果连接成功，则会用对应于远程数据库的对象填充 SQL Server Management Studio。

   备注

   若要通过 SQL Server Management Studio 检查与其他数据库实例的连接，请单击“连接”按钮并选择“数据库引擎”。

文件和打印机共享服务要求

有多项核心功能依赖文件和打印机共享服务以及相应的协议和端口。这些功能包括（但不限于）：

• 搜索查询   所有搜索查询都需要文件和打印机共享服务。

• 爬网和索引内容   为了对内容进行爬网，索引组件通过前端 Web 服务器发送请求。前端 Web 服务器直接与内容数据库通信，然后将结果发送回索引服务器。这种通信需要文件和打印机共享服务。

• 索引传播   如果查询角色与索引角色安装在不同的计算机上，索引服务器会将内容索引复制到查询服务器。此操作需要文件和打印机共享服务和相应的协议和端口。

文件和打印机共享服务需要使用命名管道。命名管道可以使用直接承载 SMB 协议或 NBT 协议进行通信。为了确保环境的安全，建议使用直接承载 SMB 而不使用 NBT。本文中提供的强化建议假定使用的是 SMB。

下表说明因依赖文件和打印机共享服务而引起的强化要求。

类别	要求	注释
服务	文件和打印机共享	需要使用命名管道。
协议	使用直接承载 SMB 的命名管道 禁用 NBT	命名管道可以使用 NBT 来取代直接承载 SMB。但是，NBT 的安全性不如直接承载 SMB。
端口	TCP/UDP 端口 445	由直接承载 SMB 使用。

有关禁用 NBT 的详细信息，请参阅 Microsoft 知识库文章 204279：TCP/IP 上的 SMB 的直接宿主连接(https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x804)。

单一登录强化要求

Office SharePoint Server 2007 中的单一登录 (SSO) 功能用于连接到位于服务器场外部的数据源。默认情况下，Office SharePoint Server 2007 服务器场上未启用 SSO 功能。除非需要此功能来连接到外部数据源，否则不要配置 SSO。由于 SSO 功能需要用户身份验证，因此该功能在外部匿名访问环境中无法工作。

SSO 依赖于 Microsoft Single Sign-on Service 和相应的协议和端口。必须在以下服务器上启用此服务：

• 所有前端 Web 服务器

• 指定的加密密钥服务器（一个通常由应用程序服务器承载的角色）

• Excel Calculation Services 角色

此外，如果在查询服务器上安装了自定义安全修整程序，并且此安全修整程序需要访问 SSO 数据，则 Microsoft Single Sign-on Service 还必须运行于此服务器角色上。

SSO 功能对服务器场提出了若干安全强化要求。Single Sign-on Service 使用远程过程调用 (RPC)。RPC 使用端口 135。它还使用 1024–65535/TCP 范围内一个动态分配的端口。这称为动态 RPC。可以使用 Windows 注册表项来限制所分配动态 RPC 端口的范围。您可以将动态 RPC 端口的范围限制为一个更小的数字，而不是使用所有高数字的端口 (1024–65535)。这称为静态 RPC。

有关限制 RPC 所使用端口的详细信息，请参阅以下资源：

• 防火墙分段网络中的 Active Directory（该链接可能指向英文页面）(https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x804)（该链接可能指向英文页面）。

• Microsoft 知识库文章 154596：如何配置与防火墙一起使用的 RPC 动态端口分配(https://go.microsoft.com/fwlink/?linkid=76145&clcid=0x804)。

• Microsoft 知识库文章 300083：如何限制 Windows 2000 和 Windows XP 上的 TCP/IP 端口(https://go.microsoft.com/fwlink/?linkid=76148&clcid=0x804)。

下表列出了 SSO 提出的强化要求。这些要求适用于服务器场内的所有服务器。

类别	要求	注释
服务	Single Sign-on Service	要求使用 RPC 协议。
协议	RPC	配置静态 RPC 以限制动态 RPC 使用的端口范围。
端口	TCP 端口 135 以及您为动态 RPC 配置的端口范围

尽管这些强化要求是在操作系统中配置的，但配置这些要求时的顺序对于 SSO 的成功部署至关重要。在 Office SharePoint Server 2007 中配置 SSO 功能之前，可以随时配置协议和端口的要求。但是，在场中的服务器上启用单一登录服务的顺序会对 SSO 的配置产生影响。

您在其上启用服务的第一台服务器将成为服务器场的加密密钥服务器。此服务器存储加密密钥。建议将此角色承载于其中一台应用程序服务器上。还必须在服务器场中的每台前端 Web 服务器上启用单一登录服务。这些计算机将凭据转发到加密密钥服务器。

若要在 Office SharePoint Server 2007 中成功配置 SSO 功能，除了启用单一登录服务外，还必须在“管理中心”网站中进行配置。因此，不要在安装 Office SharePoint Server 2007 之前启用单一登录服务。有关配置 SSO 的详细信息，请参阅文章规划单一登录。

Office Server Web 服务

Office SharePoint Server 2007 使用 Office Services Web 服务作为 Web 服务器和应用程序服务器之间的信道。此服务使用以下端口：

• TCP 56737

• TCP/SSL 56738

与外部服务器的连接

可以配置 Office SharePoint Server 2007 的若干功能，以便访问位于服务器场外部的服务器计算机上的数据。如果配置对外部服务器计算机上的数据的访问，请确保启用相应计算机之间的通信。大多数情况下，所使用的端口、协议和服务取决于外部资源。例如：

• 与文件共享的连接使用文件和打印机共享服务。

• 与外部 SQL Server 数据库的连接使用默认端口或自定义端口进行 SQL Server 通信。

• 与 Oracle 的连接通常使用 OLE DB。

• 与 Web 服务的连接同时使用 HTTP 和 HTTPS。

下表列出了一些功能，可对这些功能进行配置，以便访问位于服务器场外部的服务器计算机上的数据。

功能	说明
内容爬网	您可以配置爬网规则，以便对位于外部资源（包括网站、文件共享、Exchange 公共文件夹和业务数据应用程序）上的数据进行爬网。在对外部数据源进行爬网时，索引角色直接与这些外部资源通信。 有关详细信息，请参阅规划内容爬网 (Office SharePoint Server)。
业务数据目录连接	Web 服务器和应用程序服务器与为业务数据目录连接配置的计算机直接通信。 有关详细信息，请参阅规划业务数据与业务数据目录的连接。
接收 Microsoft Office Excel 工作簿	如果在 Excel Services 上打开的工作簿连接到任何外部数据源（例如，Analysis Services 和 SQL Server），则需要开放适当的 TCP/IP 端口，用于连接到这些外部数据源。有关详细信息，请参阅规划 Excel Services 的外部数据连接。 如果将通用命名约定 (UNC) 路径配置为 Excel Services 中的受信任位置，则 Excel Calculation Services 应用程序角色使用文件和打印机共享服务所使用的协议和端口，通过 UNC 路径接收 Office Excel 工作簿。 存储在内容数据库中的工作簿或者用户在网站中上载或下载的工作簿不受此通信影响。

电子邮件集成的服务要求

电子邮件集成需要使用以下两种服务：

• 简单邮件传输协议 (SMTP) 服务

• Microsoft SharePoint 目录管理服务

SMTP 服务

电子邮件集成需要在服务器场中的至少一台前端 Web 服务器上使用 SMTP 服务。传入电子邮件需要使用 SMTP 服务。对于传出电子邮件，既可以使用 SMTP 服务，也可以通过组织中的专用电子邮件服务器（例如 Microsoft Exchange Server 计算机）传送传出电子邮件。

Microsoft SharePoint 目录管理服务

Office SharePoint Server 2007 包含一项内部服务（Microsoft SharePoint 目录管理服务）以用于创建电子邮件通讯组。当您配置电子邮件集成时，可以选择启用目录管理服务功能，使用户能够创建通讯组列表。当用户创建 SharePoint 组并且选择用于创建通讯组列表的选项时，Microsoft SharePoint 目录管理服务会在 Active Directory 环境中创建相应的 Active Directory 目录服务通讯组列表。

在安全经过强化的环境中，建议通过保护与此服务关联的文件（即 SharePointEmailws.asmx），限制对 Microsoft SharePoint 目录管理服务的访问。例如，只允许服务器场帐户访问此文件。

此外，该服务需要 Active Directory 环境中的权限以创建 Active Directory 通讯组列表对象。建议在 Active Directory 中为 SharePoint 对象设置单独的组织单位。只有该组织单位才能允许对 Microsoft SharePoint 目录管理服务所使用的帐户进行写访问。

会话状态的服务要求

Microsoft Office Project Server 2007 和 Microsoft Office Forms Server 2007 都保留会话状态。如果在服务器场内部署这些功能或产品，请不要禁用 ASP.NET 状态服务。此外，如果您要部署 InfoPath Forms Services，则不要禁用视图状态服务。

Office SharePoint Server 服务

不要禁用 Office SharePoint Server 2007 所安装的服务。

下列服务安装在所有前端 Web 服务器和应用程序服务器上，并按字母顺序显示在 Microsoft 管理控制台 (MMC) 的“服务”管理单元中：

• Office SharePoint Server 搜索

• Windows SharePoint Services 管理

• Windows SharePoint Services 搜索

• Windows SharePoint Services 定时

• Windows SharePoint Services 跟踪

• Windows SharePoint Services VSS 编写器

如果您的环境不允许以本地系统方式运行的服务，则可以考虑禁用 Windows SharePoint Services 管理服务，但前提是您知道这样做的后果并且可以应对这些后果。此服务是一个以本地系统方式运行的 Win32 服务。

此服务由 Windows SharePoint Services 定时服务用来执行需要服务器上管理权限的操作，例如创建 IIS 网站、部署代码以及停止和启动服务。如果您禁用此服务，则无法通过“管理中心”网站运行与部署相关的任务。您将需要使用 Stsadm.exe 命令行工具并运行 execadminsvcjobs 命令，来完成 Windows SharePoint Services 3.0 的多服务器部署以及运行与部署相关的其他任务。

帐户和组

模式和做法安全指南中的安全快照提供了保护帐户和组的建议。

有关规划帐户的建议，请参阅规划管理帐户和服务帐户 (Office SharePoint Server)。

有关规划管理角色和用户角色的建议，请参阅规划安全角色 (Office SharePoint Server)。

Web.config 文件

.NET Framework（特别是 ASP.NET）使用 XML 格式的配置文件来配置应用程序。.NET Framework 依赖配置文件来定义配置选项。配置文件是基于文本的 XML 文件。多个配置文件可以并且通常存在于一个系统上。

.NET Framework 的系统范围配置设置在 Machine.config 文件中定义。Machine.config 文件位于 %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\ 文件夹中。可以修改 Machine.config 文件中包含的默认设置，以影响在整个系统上使用 .NET Framework 的应用程序的行为。有关配置 Machine.config 文件的建议，请参阅保护 Web 服务器的安全(https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x804)。

如果在单个应用程序的根文件夹中创建 Web.config 文件，则可以更改该应用程序的 ASP.NET 配置设置。执行此操作时，Web.config 文件中的设置会覆盖 Machine.config 文件中的设置。

使用管理中心扩展 Web 应用程序时，Office SharePoint Server 2007 会自动为该 Web 应用程序创建一个 Web.config 文件。

本文后面的保护快照附加信息一节列出了有关配置 Web.config 文件的建议。这些建议应该应用于所创建的每个 Web.config 文件，包括为“管理中心”网站创建的 Web.config 文件。

有关 ASP.NET 配置文件和编辑 Web.config 文件的详细信息，请参阅 ASP.NET 配置（该链接可能指向英文页面）(https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x804)（该链接可能指向英文页面）。

保护快照附加信息

本节列出了模式和做法安全指南中 Office SharePoint Server 2007 环境的建议快照的附加信息。我们采用表格形式并按照与模式和做法安全指南相同的类别和顺序详细说明了这些信息。

采用这种格式的目的是便于您在使用模式和做法安全指南时确定并应用特定建议。除了几处注明的例外之外，这些强化建议都应在运行 Office SharePoint Server 2007 的安装程序之前加以应用。

有关服务器场中特定服务器角色之间的通信的详细信息，请参阅为 Extranet 环境规划安全强化。

保护网络快照附加信息

下表说明有关保护网络附加信息的建议。

组成部分	典型例外
全部	无更多建议

保护 Web 服务器快照附加信息

下表说明有关保护 Web 服务器附加信息的建议。

组成部分	特征
服务	启用： 文件和打印机共享 Office SharePoint Server 搜索 Single Sign-on Service（仅在使用 SSO 时启用） ASP.NET 状态服务（如果使用 InfoPath 表单服务器或 Project Server） 视图状态服务（如果使用 InfoPath 表单服务器） World Wide Web 发布服务 确保在运行安装程序之后仍然启用以下服务： Office SharePoint Server 搜索 Windows SharePoint Services 管理 Windows SharePoint Services 搜索 Windows SharePoint Services 定时 Windows SharePoint Services 跟踪 Windows SharePoint Services VSS 编写器
协议	启用： SMB SMTP（如果使用集成的电子邮件） RPC（仅在使用 SSO 时启用） 禁用： NBT
帐户	如果在电子邮件集成过程中启用了 Microsoft 目录管理服务，请配置 Active Directory 环境，以允许对 Microsoft 目录管理服务所使用的帐户（服务器场帐户）进行写访问。 有关配置帐户的其他指导信息，请参阅规划管理帐户和服务帐户 (Office SharePoint Server)，以了解 Office SharePoint Server 2007 帐户要求和建议。
文件和目录	如果启用了电子邮件集成，并启用了目录管理服务功能，请通过保护与此服务关联的文件 (SharePointEmailws.asmx) 来限制对 Microsoft SharePoint 目录管理服务的访问。例如，只允许服务器场帐户访问此文件。
共享	无更多建议
端口	开放 TCP/UDP 端口 445。 开放 TCP 端口 135 以及配置静态 RPC 时所指定范围内的端口（仅在使用 SSO 时开放）。 为 Office Server Web 服务开放 TCP 端口 56737 和 56738。 如果已阻止 SQL Server 计算机上的 UDP 端口 1434，并已在命名实例上安装数据库，请配置 SQL 客户端别名以连接到命名实例。 如果已阻止 SQL Server 计算机上的 TCP 端口 1433，并已在默认实例上安装数据库，请配置 SQL 客户端别名以连接到命名实例。 确保端口对于可供用户访问的 Web 应用程序保持开放状态。 阻止从外部访问用于“管理中心”网站的端口。
注册表	如果使用 SSO，请编辑注册表以配置静态 RPC。
审核和日志记录	如果已重定位日志文件，请确保更新日志文件位置以保持匹配。
IIS	请参阅下面的 IIS 指导信息。
网站和虚拟目录	无更多建议
脚本映射	无更多建议
ISAPI 筛选器	无更多建议
IIS 元数据库	无更多建议
.NET Framework	请参阅下面的 .NET Framework 指导信息。
Machine.config：HttpForbiddenHandler	无更多建议
Machine.config：Remoting	无更多建议
Machine.config：Trace	无更多建议
Machine.config：compilation	无更多建议
Machine.config：customErrors	无更多建议
Machine.config：sessionState	无更多建议
代码启用安全性	确保为 Web 应用程序启用一组最低的代码访问安全性权限。（每个 Web 应用程序的 Web.config 中的 <trust> 元素应设置为 WSS_Minimal（其中 WSS_Minimal 具有其最低的默认值，在 12\config\wss_minimaltrust.config 中定义），或设置为以最低程度设置的您自己的自定义策略文件。）
LocalIntranet_Zone	无更多建议
Internet_Zone	无更多建议
Web.config	对在运行安装程序之后创建的每个 Web.config 文件应用以下建议： 不允许通过 PageParserPaths 元素编译数据库页面或为其编写脚本。 确保 <SafeMode> CallStack=""false"" 和 AllowPageLevelTrace=""false""。 确保将大约为每个区域最大控件数的 Web 部件限制设置为较低值。 确保将 SafeControls 列表设置为网站所需的最小控件集合。 确保将工作流 SafeTypes 列表设置为所需 SafeTypes 的最低级别。 确保启用 customErrors (<customErrors mode=""On""/>)。 根据需要考虑 Web 代理设置 (<system.net>/<defaultProxy>)。 将 upload.aspx 限制设置为合理预期用户要上载的最大大小（默认为 2 GB）。上载大小超过 100 MB 时可能会影响性能。

保护数据库服务器快照附加信息

下表说明有关保护数据库服务器附加信息的建议。

组成部分	典型例外
服务	无更多建议
协议	无更多建议
帐户	定期手动移除未使用的帐户。
文件和目录	无更多建议
共享	无更多建议
端口	阻止 UDP 端口 1434。 考虑阻止 TCP 端口 1433。
注册表	无更多建议
审核和日志记录	无更多建议
SQL Server 设置	请参阅下面的 SQL Server 设置指导信息。
SQL Server 安全性	无更多建议
SQL Server 登录、用户和角色	无更多建议
SQL Server 数据库对象	无更多建议

下载此书籍

本主题包含在以下可下载书籍内，以方便您阅读和打印：

• Office SharePoint Server 2007 的规划和体系结构 - 第 2 部分（该链接可能指向英文页面）

• 规划 Office SharePoint Server 的 Extranet 环境（该链接可能指向英文页面）

有关可下载书籍的完整列表，请参阅 Office SharePoint Server 2007 的可下载书籍