规划内部团队或部门环境的安全性 (Office SharePoint Server)

本文内容:

  • 安全设计清单

  • 为服务器角色规划安全强化

  • 规划 Office SharePoint Server 功能的安全配置

针对内部团队或部门的安全指南主要是为较大组织内的团队或部门推荐实用的安全配置和设置。本指南假定这些服务器不是由组织中的主要 IT 小组承载的。

虽然针对此环境的指南要求具备一些 IT 知识,但服务器场管理员不必是 IT 专家。如果实现某一设置需要更专业的人员,则会对这些人员作出说明。

应将本指南与规划 Office SharePoint Server 功能的安全配置中提供的指南结合使用。

安全设计清单

查看下列清单以确保您的规划满足安全服务器拓扑结构设计标准。

拓扑结构

[ ]

对于只具有内部访问权限的团队或部门部署,可以在一台服务器或两台服务器上安装 Microsoft Office SharePoint Server 2007。

[ ]

在两台服务器或更多台服务器的部署中,应在不同于前端 Web 服务器的其他服务器上承载管理中心网站(如果可能)。仅当在不同于前端 Web 服务器角色的其他服务器上承载应用程序服务器角色时,才能实现此目的。

例如,如果服务器 A 承载前端 Web 服务器角色,而服务器 B 承载数据库和应用程序服务器角色,则管理中心网站最安全的位置应在服务器 B 上。但是,如果服务器 A 承载前端 Web 服务器和应用程序服务器角色,而服务器 B 只承载数据库角色,则只能选择在服务器 A 上承载管理中心网站。

逻辑体系结构

[ ]

每个 Web 应用程序中至少要有一个区域使用 NTLM 身份验证。这是搜索帐户在 Web 应用程序中对内容进行爬网的必要条件。搜索帐户无法使用 Kerberos 身份验证对内容进行爬网。

有关详细信息,请参阅规划身份验证方法 (Office SharePoint Server)

[ ]

部署自定义 Web 部件时,确保在承载敏感内容或安全内容的 Web 应用程序中只部署可信赖的 Web 部件。这样可保护敏感内容免遭域内脚本攻击。

为服务器角色规划安全强化

针对内部团队或部门环境的指南假定只允许对服务器、网站和内容进行内部访问,并且整体网络环境将受 IT 部门制定的策略保护。因此,针对特定角色进行服务器安全强化的程度不必等同于针对其他环境进行强化的程度。但是,也有一些功能需要特定服务或其他设置,否则可能无法进行配置。

下表描述了为内部团队或部门推荐的安全强化设置。

功能 设置

电子邮件集成

如果启用电子邮件集成,则其中一台前端 Web 服务器上需要 SMTP 服务。

Microsoft Office Project Server 2007 和 Microsoft Office Forms Server 2007

Office Project Server 2007 和 Office Forms Server 2007 都将保持会话状态。如果要在您的服务器场中部署这些功能或产品,则不要禁用 ASP.NET 状态服务。此外,如果您要部署 InfoPath Forms Services,则不要禁用视图状态服务。

单一登录 (SSO)

SSO 依靠 Microsoft Single Sign-On Service。有关配置此功能的详细信息,请参阅规划单一登录

规划 Office SharePoint Server 功能的安全配置

下表介绍关于保护 Office SharePoint Server 2007 功能的其他建议。这些建议适用于内部团队或部门环境。

功能或区域 建议

身份验证

对现有的标识管理系统进行验证。如果该系统不是 Active Directory 目录服务,请使用 ASP.NET 表单身份验证来连接到您的标识管理系统。使用表单身份验证可能需要以下人员提供帮助:

  • 开发验证提供程序的 ASP.NET 开发人员。

  • 您要连接到的标识管理系统的管理员。

管理中心网站

  • 限制为只有适当用户才能访问管理中心网站。

  • 如果要启用管理中心网站进行远程管理,请使用安全套接字层 (SSL) 保护该管理中心网站。

  • 运行部署操作的管理员必须是承载管理中心网站的服务器上的本地 Administrators 组成员。

Windows SharePoint Services 管理服务

在单一服务器部署中,Windows SharePoint Services 管理服务默认情况下处于禁用状态,原因如下:

  • 此服务用于运行从管理中心网站启动的部署任务,单一服务器部署通常不需要此服务。但是,通过使用 Stsadm.exe 命令行工具可以运行部署任务,而该操作不需要使用此服务。

  • 用于管理中心网站的帐户由所有其他进程共享。因此,禁用此服务可使配置更安全。

为确保单一服务器部署的安全,建议:

  • 在运行安装程序之后更改服务器场帐户。

  • 启动 Windows SharePoint Services 管理服务。

通过执行这些操作,您可以直接从管理中心网站执行与部署相关的任务。

下载此书籍

本主题包含在以下可下载书籍内,以方便您阅读和打印:

有关可下载书籍的完整列表,请参阅 Office SharePoint Server 2007 的可下载书籍