规划 Office SharePoint Server 功能的安全配置
本文内容
本文内容:
针对 Office SharePoint Server 功能的建议
本文针对以更为安全的方式配置和管理 Microsoft Office SharePoint Server 2007 功能给出了建议。通常在管理中心而非网络、操作系统、Internet Information Services (IIS) 或 Microsoft .NET Framework 中执行建议的配置。本文中的建议适用于以下安全环境:
内部团队或部门
内部 IT 承载
外部安全协作
外部匿名访问
有关这些环境的详细信息,请参阅选择安全环境 (Office SharePoint Server) 。
针对 Office SharePoint Server 功能的建议
下表描述适用于 Office SharePoint Server 2007 功能的安全建议。
身份验证
授权
将权限分配给组而非单个帐户。
权限级别
向用户分配完成其任务所需的最小权限。
管理
使用访问权限保护管理中心网站,并允许管理员远程连接到该网站(与只允许本地计算机使用管理中心网站相反)。这使得管理员不必从本地登录到承载管理中心的计算机。和允许远程访问管理中心网站相比,配置对计算机的终端服务访问所造成的安全风险更大一些。
电子邮件集成
配置 Office SharePoint Server 2007,以便只接受通过专用邮件服务器(如 Microsoft Exchange Server)中继的电子邮件,这是因为专用邮件服务器可以筛选出病毒和商业垃圾邮件,并验证邮件发送方的身份。
在配置工作流设置时,利用 Office SharePoint Server 2007 可以让无权访问网站上某个文档的参与者转而以电子邮件附件的形式接收该文档。在安全环境中,不要选中“是否通过向外部用户发送文档副本,允许其参与工作流”选项。在 Office SharePoint Server 2007 中,默认情况下不选中此选项。
Web 部件存储和安全性
确保只将受信任的代码部署到服务器场。部署的所有代码(XML 或 ASP.NET 代码)均应来自受信任的源,即使要在部署之后用诸如代码访问安全性之类的深层防御措施来加强安全性也是如此。
确保 Web.config 文件中的 SafeControl 列表包含要允许的那组控件和 Web 部件。
确保将计划以深层防御措施加强的自定义 Web 部件安装到 Web 应用程序的 bin 目录中(其中开启了部分信任),并对每个程序集指定特定权限。
考虑从 SafeControl 列表中移除内容编辑器 Web 部件。这样可防止用户将 JavaScript 作为 Web 部件添加到页面中,并防止使用外部服务器上托管的 JavaScript。
在网站中确保向组织中适当的人员授予“设计”和“参与讨论”权限级别。拥有“参与讨论”权限级别的用户可以将 Active Server Page Extension (ASPX) 页上载到库并添加 Web 部件。拥有“设计”权限级别的用户(允许其添加 Web 部件)可以修改页面,包括网站上的主页 (Default.aspx)。
搜索
默认内容访问帐户不能是 Farm Administrators 组的成员;否则,Office SharePoint Server 搜索服务会对尚未发布的文档版本创建索引。
确保您部署的其他 IFilter 和分词系统受您的 IT 团队信任。
默认情况下,只有 Farm Administrators 组的成员才能访问搜索索引文件。确保不属于该组的用户无法访问此文件。
用户配置文件
用户配置文件和属性内容访问帐户用于连接到目录服务并从中导入数据。如果没有为此帐户提供凭据,则改用默认内容访问帐户。您可以为每个目录服务指定不同的帐户。为了使环境更安全,请使用拥有目录服务读取权限的帐户。请勿向默认内容访问帐户授予目录服务的访问权限。有关详细信息,请参阅规划管理帐户和服务帐户 (Office SharePoint Server) 。
我的网站
拥有读取权限级别的用户能够查看所有“我的网站”。默认情况下,将为所有经过身份验证的用户授予“读取”权限级别。为了使环境更安全,请只向必要的组授予“读取”权限级别。您可以在共享服务管理网站的“我的网站设置”页上的“默认读者网站用户组”部分中向个别组授予“读取”权限级别。若要指定组成员可执行的操作,请在共享服务管理主页上,单击“个性化服务权限”设置,选择要更改其权限的组,然后单击“修改所选用户的权限”。
可以将共享服务提供程序 (SSP) 配置为信任环境中的其他 SSP。此信任允许 SSP 确定用户属于哪个 SSP。因此,当用户创建“我的网站”时,受信任的 SSP 可以确定哪个 SSP 应承载“我的网站”,而不管用户单击链接创建“我的网站”时正在何处浏览。这样可确保用户在组织中只有一个“我的网站”。同时,当用户向他们的个人网站中添加链接时,受信任的 SSP 将依据用户的 SSP(而不是用户当前浏览的 SSP)的上下文来创建链接。受信任的 SSP 还可确保不会将链接添加到不受信任的位置。为了使环境更安全,请确保统一管理所有 SSP 的“受信任的我的网站宿主位置”列表。理想情况下,请将所有 SSP 的这些列表配置为相同。
自助式网站创建
您可以使用“自助式网站管理”页面,允许用户自动创建和管理自己的首要网站。如果对 Web 应用程序启用自助式网站创建,则用户可以在特定路径(默认情况下为 /sites 路径)下创建自己的首要网站。启用了自助式网站创建后,将会向位于 Web 应用程序的根路径中的首要网站添加一个通知,并且具有该通知的查看权限的用户将能够链接到新网站。
是否应启用自助式网站创建取决于具体环境:
Intranet 环境 根据业务需求启用自助式网站创建。
安全协作环境 只为对此功能有业务需求的用户或组启用自助式网站创建。
外部匿名环境 不在 Internet 上启用自助式网站创建。
网站目录
某些网站模板包括网站目录。网站目录是一个包含已批准网站链接的网页。任何人都可以在网站目录中提交网站以供批准。只有网站目录管理员才能批准网站并将网站添加到网站目录。
RSS Web 部件
默认情况下,RSS Web 部件只能访问匿名源。若要允许经过验证的源(比如经过验证的 SharePoint 网站内容的源),您必须通过在 Active Directory 目录服务中使用约束委派,向 Web 服务器计算机授予访问相应服务器计算机的权限。
包含个性化内容的页面的内容缓存
您可以使用输出缓存来优化显示某些个性化内容的网站的性能。在此方案中,使用了缓存后替换来确保为用户刷新个性化内容。因此,如果整个页面或页面的大部分包括个性化内容,在使用输出缓存的情况下,性能不会大幅提升。
如果计划为包含个性化内容的页面启用输出缓存,在满足以下条件的情况下,请确保显示个性化内容的网站支持缓存后替换:
在此方案中,所有匿名用户看到的都是相同的内容。通过身份验证的用户看到的内容取决于是否显示个性化内容以及此内容是否支持缓存后替换。
内容部署
如果没有使用内容部署功能,请不要允许服务器场接受来自另一个场的传入内容部署作业。默认设置是拒绝传入内容部署作业。
InfoPath 表单服务器
如果启用,InfoPath Forms Services Web 服务代理应运行在唯一的应用程序池帐户下。如果未使用,请禁用该代理。
在上载到服务器计算机之前检查所有包含代码的表单模板。有关详细信息,请参阅部署管理员批准的表单模板 (Office SharePoint Server) 。
在只用于浏览器的方案中,请使用 Office SharePoint Server 2007 中的访问控制列表 (ACL) 来防止用户下载 XSN。
仔细考虑是否允许在浏览器中启用用户表单模板。
仔细考虑是否允许浏览器呈现用户表单模板。
使用可配置的阈值来缓解拒绝服务攻击。将根据阈值来终止用户会话,这些阈值包括:
每个表单会话状态允许的最大回发数。
每个回发允许的最大操作数。
表单会话状态的最大大小。
表单会话可处于活动状态的最长时间。
请小心使用启用了浏览器的表单中的功能。以下功能可能会导致表单 XML 的大小明显增加,从而可能增大拒绝服务攻击的风险:
数字签名
文件附件控件
RTF 控件
可能返回很大结果集的数据连接查询
InfoPath 数据连接
在数据连接库中保留“内容审批”为启用状态,并确保只有受信任的用户具有内容审批权限。
通过以下方式对只用于服务器的身份验证信息进行保护:使用通用数据连接 (UDC) 文件中的 AltDataSource 属性并仅为用户授予服务器 UDC 文件的“查看”权限,或者在管理员管理的连接库(管理数据连接文件)中将“webAccessible”设置为 false。
检查并监控跨域数据连接的使用,以确保只有适当的数据会移入或移出域。
默认情况下,浏览器中呈现的用户表单模板无法使用只用于服务器的身份验证。在安全的环境中,请限制只用于服务器的身份验证(比如单一登录 (SSO) 或显式用户名和密码身份验证)的使用。
除非用于在测试服务器计算机上建立原型,否则不要在 UDC 文件中使用显式用户名和密码。请改用 SSO。
不要在数据库连接字符串中使用嵌入的 SQL Server 凭据。请改用 SSO。
只将 Web 服务代理用于设计为使用提供的 UserNameToken 对数据访问进行授权或限制返回的数据集的 Web 服务。
在连接到需要基本身份验证或摘要式身份验证的数据源时,要求使用安全套接字层 (SSL) 连接,因为凭据在网络上是以不安全的方式传递的。
不要根据用户在表单中输入的数据对用户进行身份验证。请改为使用更安全的身份验证方法。
Excel Calculation Services 数据访问
可以为任何 Microsoft Office SharePoint Server 2007 中的 Excel Services 服务器场拓扑使用两种数据访问模型:受信任的子系统和受约束的 Kerberos 委派。
受信任的子系统 Windows 服务器场的默认设置,因为它没有额外的委派模型配置要求。在受信任的子系统模型中,运行 Excel Calculation Services 的前端 Web 服务器和应用程序服务器通过使用 SSP 信任关联 Office SharePoint Server 2007 应用程序的帐户。在受信任的子系统环境中,当从 Office SharePoint Server 2007 中打开文件时,可以依据最终用户身份对文件执行权限检查(即使未配置 Kerberos 身份验证)。如果 Excel Calculation Services 应用程序服务器从通用命名约定 (UNC) 共享文件夹或 HTTP 网站中打开工作簿,则无法模拟用户帐户,并且必须使用进程帐户。
受约束的 Kerberos 委派 受约束的 Kerberos 委派是用于部署 Excel Services 的首选配置。对于前端 Web 服务器和 Excel Calculation Services 应用程序服务器之间的通信,受约束的 Kerberos 委派是最安全的配置。从应用程序服务器中访问后端数据源时,受约束的 Kerberos 委派也是最安全的配置。对于外部数据连接,只有在实施了委派模型时,集成 Windows 身份验证才起作用。
Excel Calculation Services 安全通信
您可以使用 Internet 协议安全性 (IPsec) 或 SSL 对 Excel Services 应用程序服务器、数据源、客户端计算机和前端 Web 服务器之间的数据传输进行加密。若要要求在客户端计算机和前端 Web 服务器之间使用加密的数据传输,请在共享服务管理网站的“Excel Services 设置”页上,将“连接加密”设置从“可选”更改为“必需”。“可选”是默认设置。如果将“连接加密”设置更改为“必需”,Excel Calculation Services 应用程序服务器只允许通过 SSL 连接在客户端计算机和前端 Web 服务器之间进行数据传输。
如果决定需要加密的数据传输,您必须手动配置 IPsec 或 SSL。您可以要求在客户端计算机和前端 Web 服务器之间使用加密的连接,同时允许在前端 Web 服务器和 Excel Calculation Services 应用程序服务器之间使用不加密的连接。
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Office SharePoint Server 2007 的可下载书籍 。