通过

  • 项目

在 SharePoint SharePoint 安全强化

Pav Cherny

内容

在 SharePoint 环境中安全依赖关系
启用网络访问保护
建立域隔离
服务器和工作站) 实现隔离
结论

SharePoint 安全强化需要地址的安全依赖关系和风险内和跨服务器场一个端到端的方法。 特别,最新的创新和 Windows Server 2008,如网络访问保护 (NAP) 使用网际协议安全 (IPSec) 强制,使用现成的可用技术可以帮助提高 SharePoint 安全。 还详细的 Microsoft 对 SharePoint 安全强化 Windows Server 2008 环境中的建议是难于查找。 在 Windows Server 2008 的资源中心 SharePoint 产品和技术不包括为安全指南。 鍙 ﹀ 的方式  安全强化的参考线 Windows SharePoint Services (WSS) 3.0Office SharePoint 服务器 (MOSS) 2007仍然基于 Microsoft 模式和实践,2003 年 6 月日期只能部分地更新了在 2006 年 1 月,这是仍长 Internet Information Services (IIS) 7.0,Windows Server 2008 的发布之前在任何情况下。

清楚地,修改的准则高度过期,而不只是因为我们多长时间后移动从 Windows 2000、 SQL Server 2000,IIS 5.0 和 Microsoft.NET Framework 1.1,但还因为处理安全强化的旧方法已证明不足时,再次。 它只是不够的作为一个独立的服务器岛安全 SharePoint 场像在真空中存在的 SharePoint 场。 实际情况不是一个安全的强化一个 SharePoint 场很重要,如果 Active Directory 目录林是不安全,如果 Intranet 环境间谍软件和 rootkit infested,或者用户无意或恶意违反,通过安全策略例如,从下载和安装文件共享软件可疑源中的步骤。

它可以通过使用 Windows Server 2008 技术解决这些问题的。 从最多到数据库服务器的客户端计算机实现一个高级别安全性在 SharePoint 环境端对端中的键。

在本文中,我将讨论在基于 Windows Server 2008 的 Intranet 环境中的 SharePoint 安全方面。 此讨论需要分析之外的一个单独的场限制常规 SharePoint 安全依赖关系,然后部署来缓解风险与相应的安全性和隔离规则的 IPsec 强制使用 NAP。 SharePoint 管理员,NAP 的一个明显的优点为它可以在停止非托管客户端计算机访问 SharePoint 资源和下载文档。 其他可能不明显,优点是您可以划分 Intranet 独立的逻辑网络,通过域和服务器隔离。 这种方式,可以保护的入站和出站的客户端到服务器和服务器端到服务器通信,也限制到所需的前端服务器通信。 假设最多 30%的公司的 SharePoint 网站驻留恶意部门场,不当的安全和 IT 部门的控件的不能被 overemphasized 限制客户端的通信的好处。 始终,随附材料包括工作表的分步指导的后面我在测试环境中的说明。

在 SharePoint 环境中安全依赖关系

考虑基于 SharePoint 的解决方案,超大存储在 SharePoint 网站通常矛盾的安全和在一个的企业中的工作效率要求中的数据量的复杂性很难确定如何以及在要开始使用 SharePoint 安全强化。 也许第一步是将停用我们 Intranet 的充分保护通过外围防火墙和病毒扫描程序的友好的环境保持长时间的概念。 不阻止恶意用户附加到客户端计算机的一个 PS2 或 USB 硬件 keylogger 防火墙和扫描仪) 没有所需的驱动程序。 它们也不会使零天 rootkit 转变僵尸的移动计算机,它们在旅馆或机场) 中或客户站点中连接到家庭,不当的安全环境时。 这可能听粗糙,但分类为 hostile 内部环境有助于识别关键的安全依赖关系内和跨 SharePoint 场中的条款。

看看哪些关键问题,我们可以一个简单的测试实验室发现如一个 图 1 中描述,并随工作表中列出"部署一个测试环境,使用多个 SharePoint 服务器场和网络策略服务器。 这个 SharePoint 环境不安全。 实际上,部署工作表将违反了几种安全最佳做法,并忽略重要的依赖项。 通常出现离开与其,假定在测试实验室中的没有安全要求。 当然,可能有完成更糟糕通过域控制器上安装 SharePoint 或授予安全帐户管理的权限但不是需要这些有意进行的配置错误。 从安全角度来看我的测试环境无效已足够。

fig01.gif

图 1 的不安全的测试环境的多个 SharePoint 场

对于初学者的方式来说我使用域管理员帐户登录到所有服务器和工作站上,并安装所有系统,它们已连接到 Internet 时。 这是危险的。 最好避免使用域管理员帐户登录到一个不安全的计算机。 同样,它是最佳做法来安装和修补程序之前要部署一个单独的、 安全临时环境中的计算机。 Windows 自动安装工具包 (AIK) 和 Windows 部署服务 (WDS) 提供一种很好的解决方案,但我没有利用这些技术的复杂性我测试实验室中。 因为我所需的快捷方式,我的 Active Directory 环境可能已受到 — 与它所有我 SharePoint 场。 它甚至在开始之前,游戏是通过 ! 一个 SharePoint 场永远不能比其 Active Directory 环境更安全。

域管理员帐户是确实非常敏感的帐户。 您还在敏感区域璁块棶 SharePoint 璧勬簮如 SharePoint 3.0 管理中心网站和 SharePoint 网站集鏃。 访问 SharePoint 网站意味着在前端服务器上当前用户的身份下运行的 ASP.NET 代码。 如果当前用户恰好是域管理员,该代码将具有管理权限运行。 因为它可以利用如与提取安全帐户和密码,2009 年 1 月列中的解释它们提升特权,您应该拒绝域管理员和本地服务器管理员对 SharePoint Web 应用程序的访问。 如果攻击者可以欺骗是 SharePoint 管理员部署一个恶意的组件或启用内联 ASP.NET 代码,攻击者可能还能够确定安全帐户密码,并随后访问中使用这些帐户的所有服务器场的所有站点。

在我的测试实验室中我忽略这些安全帐户的依赖项和管理风险,WSS 服务器场和人力资源场配置相同的安全帐户,使用域管理员帐户使用 SharePoint 3.0 管理中心中这两个服务器场。 共享服务器场之间的安全帐户是一个坏的主意尤其是当它们具有不同的安全要求时。 服务器场的共享其帐户取决于安全性的其他服务器场) 和可以因此永远不会达到比其他服务器场的更高的安全级别。

使用单独的安全帐户是一个重要的最佳做法,但安全性已遭到破坏服务器场仍可以为同一 Active Directory 环境中其他服务器场的攻击提供的途径。 渚嬪的方式  它会变成一个内部网络仿冒的平台的安全性已遭到破坏的 SharePoint 服务器很多工作。 攻击者可能会启用基本身份验证或恶意组件进入的已建立的 SharePoint 场,向用户发送"WWW 身份验证"标头截获返回的凭据以明文形式,如 图 2 所示。 因为用户信任其内部的 SharePoint 网站,很有可能它们将输入 hesitation 没有请求的凭据和攻击成功。

fig02.gif

图 2 的安全性已遭到破坏的 SharePoint 场可以攻击 其他服务器场。

当然,很难破坏正常维护的 SharePoint 服务器,但这不是该点。 点正防止不正确维护的系统上的安全缺口分配敏感的系统具有更高级别的安全性。 因此,至少为最敏感的 SharePoint 资源如个人身份的信息的 HR 服务器场必须考虑这些访问为相关性基本上意味着 SharePoint 场只能作为最安全的网站,该服务器场管理员、 网站集管理员,和网站用户可以访问其用户帐户的安全。

请不要忘记在您的访问和使用依赖项分析客户端计算机。 再次,我的测试环境设置一个较差的示例,因为任何用户可以使用任何工作站访问所有的资源,计算机未配备病毒扫描程序或最新的安全修补程序。 设想用户具有本地登录到 infested 间谍软件的客户端计算机或者攻击可以很容易地附加的一个硬件 keylogger 一个未锁定办公室中的计算机是服务器场或网站集管理员的权限。 一旦攻击者获得访问权限的管理员帐户和密码,在任何计算机上任何位置中的服务器场和网站集受到危害。 在客户端计算机上的文件共享软件还会带来安全的风险,为客户端计算机往往会存储在本地、 手动,或自动下载到临时文件的信息的 SharePoint 网站的内容。 因此,SharePoint 场永远不能比在用户用来访问该服务器场的资源的客户端计算机更安全。

当然,进一步漏洞中有我的测试环境。 我邀请您研究 SharePoint 安全的强化指南中,相关章节和您自己在继续此评审。 您应该如识别至少少量的额外的问题 SharePoint 3.0 管理中心网站搜索的角色是直接上承载服务的服务器上的没有防病毒解决方案的网站内容的前端服务器,WSS 服务器场和人力资源场共享一个公共的和未受保护数据库服务器,在测试环境中的所有计算机直接访问该数据库服务器,并且的网络通信进行以纯文本形式。 这都需要因此让我们来解决其中的一些安全问题。

启用网络访问保护

配置 vLANs 和访问控制的网络列表 (ACL) 路由器和保护基础结构服务器 (DNS 服务器、 DHCP 服务器,域控制器,等) 通过 Microsoft Forefront 安全部署 SharePoint 以及 Active Directory 权限管理服务 (AD RMS) 和有很多提高了诸如控制对计算机的物理访问的 SharePoint 环境,安全时可以采取的步骤。 物理访问控制和基本 TCP/IP 网络和路由器配置超出了本专栏的范围,AD RMS 已讨论了以前的专栏中这样的留下我们 NAP、 IPSec、 HTTP 通过安全套接字层 (SSL) 和 Forefront 安全作为下一个逻辑主题。 本专栏重点介绍 NAP 和 IPsec。 通过 SSL 和 Forefront 安全 HTTP 将解决将来的列中。

NAP 与 IPsec 提供了一个内部的 SharePoint 环境的至少三个主要优点:

  • 您可以强制系统运行状况策略,并自动纠正运行 Windows XP Service Pack 3 和 Windows Vista ; 客户端计算机上的符合性问题
  • 您可以实现一个附加的目录林中的整个 Active Directory ; 通过 IPsec 和 Windows 防火墙的网络安全层
  • 您可以建立加密的通信通道通过封装式安全措施负载 (ESP) SharePoint 服务器场中以及在服务器和客户端计算机之间。

奖金是能够管理网络通信通过组策略的集中和审核网络访问。 简而言之,使用 IPsec 的 NAP 是 SharePoint 的一个有效的端到端的安全策略的一个重要启用。

核心,NAP 与 IPsec 依赖于一个聪明的分发机制的 X.509 证书。 在客户端计算机上系统运行状况代理 (SHAs) 通知 NAP 代理语句的状况 (SoH) 的文档通过其符合性状态的 NAP 代理程序将在系统运行状况 (SSoH) 的语句中。 在客户端计算机反过来对 NAP 强制服务器 (NAP ES) 传递该 SSoH 上,它将在 SSoH 传递到 IPsec NAP 强制客户端 (NAP EC)。 这是在健康注册机构 (HRA) 从兼容计算机的证书颁发机构 (CA) 获取系统运行状况证书。 图 3 显示了 NAP 客户端如何获得运行状况证书。

fig03.gif

图 3 Exchange 状态信息和证书的 NAP 客户端/服务器通信

将以确定请求的计算机符合,在 NAP ES 传递在 SSoH RADIUS 消息中将网络策略服务器 (NPS)。 在 NPS 再次将该 SSoH 传递给反过来单个的 SoHs 提取该 SSoH 并将它们转发到相应的系统健康验证程序 (SHV) 在 NAP 管理服务器中。 SHV 分析 SoH 信息,并返回语句的运行状况响应 (SoHR),NPS 将合并的健康系统语句的响应 (SSoHR) NAP 系统然后传递回给该 SHAs 在客户端计算机上的。 通过 SoH 和 SoHRs,SHV 与它们相应的 SHA 对应进行通信。 渚嬪的方式  在从一个防病毒的 SHV SoHR 可以指示在相应的防病毒 SHA 从将在客户端计算机返回符合修正服务器下载最新版本的签名文件。

服务器侧 NAP 还比较该 SoHRs 配置的网络和运行状况策略,并发出客户端计算机是符合系统运行状况证书。 NAP 客户端接收该 NAP ES 中的证书,并将其存储在其计算机证书存储区中。 此证书是现在用于 Internet 密钥交换 (IKE) 协商以建立与受信任的通讯合作伙伴 IPsec 安全关联。 只要是即将过期,或者当一个 SHA 指示 NAP 代理运行状况状态更改时,NAP 客户端续订系统运行状况证书。 底线是兼容的计算机接收运行状况证书,不要不符合要求的计算机。 深层技术详细强烈建议该白皮书" 网络访问保护平台体系结构." 随工作表"网络访问保护配置"堪部署一个测试实验室中的基本 NAP 基础结构。

建立域隔离

即使在我 humble 小实验室使用一台服务器上的 NPS 和 HRA 角色,您可以立即看到 NAP 的好处。 只要在通过组策略设置客户端计算机上启用 NAP,NAP 强鼓励您可以安装最新的安全修补程序和病毒扫描程序。 NAP 客户端会通知您有关缺少安全的组件,并且网络状态包括一个通知,通知您的网络访问权限可能受限制直到计算机满足运行状况要求。 姝 ゆ 椂但是,不符合要求的计算机仍然可以访问到的所有服务器在网络中由于我们还没有配置 IPsec 策略。 不请求或要求对入站和出站连接进行身份验证的 IPSec 策略,NAP 基础结构真正不比一个运行状况证书分发机制更多。 我们需要实现 NAP 为有效的域隔离。

实现域隔离意味着划分到的受限制的段的内部网络、 边界和通过 IPSec 实施策略的安全网络。 目的是防止不符合要求的计算机访问内部网络中的任何服务器 — — 这些不符合要求的计算机必须能够访问变得符合并获取健康证书服务器的除外。 在 图 4 ,这涉及 NPS01 NAP 服务器。 边界段和安全段差是 IPsec 策略为边界段请求入站和出站连接的身份验证安全段禁止回退到明文并阻止不符合要求的计算机的入站连接要求身份验证时,因此允许回退到明文未遵守要求的计算机通讯。 可以使用随工作表"配置 IPsec 策略的状态强制"来实现此分段。

fig04.gif

图 4 边界,和为 NAPNAP 的安全网络中限制

图 4 中的域控制器是一种特殊情况。 可以请求或要求域成员与域控制器之间进行受 IPsec 保护的通讯,如果您的计算机运行 Windows Vista 或 Windows Server 2008 (请参阅随工作表"配置 IPSec 的域控制器通信"),但的 Windows Server 2003 和 Windows XP 不支持此配置。 如果您决定不使用 IPsec 的域控制器通信,DC01 将成为受限制的网络 ; 请求 IPsec 将域控制器移至边界段和要求 IPsec 使域控制器安全段的一个成员的一部分。 配置取决于您的具体情况和需要。 如果如有的可能建议使用 IPsec。

服务器和工作站) 实现隔离

NAP 建立 IPsec 实施和域隔离可作为安全强化向第一个重大里程碑。 所有客户端计算机现在必须满足合理的运行状况要求,才能访问内部的任何 SharePoint 资源。 下一步中,您可以重点分段 SharePoint 环境中实现一个很好的级别的通讯控制,端对端,包括的客户端计算机的通信的多层。 图 5 说明了可能的分段策略基于每个内部网络中的单个计算机的角色。

fig05.gif

图 5 的改进测试环境的多个 SharePoint 场

图 5 中,您会注意到,我的测试环境现在包含其他系统。 除了其他的事项我更改 WSS 和人力资源场的配置指定单独的安全帐户,移动到单独的 SQL 服务器的人力资源配置和内容数据库和部署 SharePoint 3.0 管理中心以及 SharePoint 搜索的角色在两个服务器场中不同的计算机。 签出各种中工作表在随附材料的说明了如何完成下列步骤操作。

保护层之间通信现在是一个简单的过程,感谢到我们 NAP 与 IPsec 准备工作。 通过组策略,您可以集中管理具有高级安全性来锁定客户端上的入站和出站通信和服务器限制性最强级别的 Windows 防火墙的所有规则。 建议禁用以防止应用冲突防火墙本地管理员组策略中的合并规则和连接安全规则在所有域成员上。 渚嬪的方式  您可以锁定 UDP 和 TCP 端口 1434年数据库服务器上,打开自定义默认 SQL Server 实例的 TCP 端口、 加密通信、 打开只在 Web 应用程序使用该的前端服务器的 TCP 端口并阻止访问任何服务器或客户端计算机在人力资源部门的所有非人力资源计算机。

引用

bluebullet.gif 网络访问保护网站
go.microsoft.com/fwlink/?LinkId=69752
bluebullet.gif SharePoint 产品和技术网站
microsoft.com/sharepoint
bluebullet.gif Windows SharePoint Services 技术中心
technet.microsoft.com/windowsserver/sharepoint
bluebullet.gif Windows SharePoint Services 开发中心
msdn2.microsoft.com/sharepoint
bluebullet.gif Microsoft SharePoint 产品和技术团队博客
blogs.msdn.com/sharepoint

一个有趣的问题是,是否还应阻止访问 nonsensitive 计算机敏感计算机例如,应保留人力资源客户端从 WSS 场中的非的 HR SharePoint 服务器的访问。 这是一个示例安全性和工作效率的要求相冲突的位置。 工作效率原因,我认为很难拒绝 HR 人员访问整个公司的 SharePoint 网站,如我 WSS 为场意味着 WSS 服务器场必须符合相同的安全标准,为人力资源服务器场中的网站。 因此在这两个服务器场,我必须移动 SharePoint 3.0 管理中心网站搜索在单独的计算机的角色和应用防火墙和连接安全规则。 当然,您还应指定专用的、 nonprivileged SharePoint 中这两个服务器场的管理帐户和应用进一步加强安全性的步骤。 Joel Oleson 过帐好在其上的安全的强化步骤的摘要列表 SharePoint 陆地日志. 强烈建议提供端到端的 SharePoint 安全强化坚如磐石基础的已启用 IPsec 的基础结构中的以下 Joel 的建议。

结论

SharePoint 场不在真空中存在。 它们包括客户端计算机、 基础结构的服务器和网络设备的环境中的存在。 这意味着如果您想获得更好的安全,通过 SharePoint 安全强化必须参加这些组件。 很难安全 SharePoint 服务器场的不安全的 Active Directory 环境中。 很难安全 SharePoint 服务器场,如果客户端计算机 infested 了间谍软件。 很难安全 SharePoint 服务器场,如果攻击者可以 highjack 用户帐户、 管理员帐户,或安全帐户的任意位置。

Windows Server 2008 技术提供转换的 Active Directory 通过网络访问保护具有目录林网际协议安全强制,具有高级瀹夊叏和 $ 组策略管理的 Windows 防火墙上的一个广泛的安全网络基础。 在 SharePoint 环境中利用这些技术是绝对值得。 您可以控制确保工作站、 服务器和域控制器之间通信安全 ; 可以强制系统运行状况标准 ; 可以实现域隔离 ; 并可以强制在内部 SharePoint 环境中的单独层。 安全组或组织单位的成员通过 Active Directory 将自动确定适用于包括客户端计算机、 数据库服务器、 前端的服务器和用于管理和其他用途的中间层服务器的每个域成员的策略设置。 您可以建立的每一层的常规策略和每个计算机类型和服务器角色的特定策略。 您可以防止用户通过阻止所有传入的连接,在客户端计算机上承载 SharePoint,并可以防止从宿主未经批准和安全 SharePoint 场可能提供在内部网络中其他服务器场的攻击途径的部门。

但不 overboard 有限制。 请注意,许多部门的业务流程依赖于 SharePoint 之外的数据中心的部署。 毕竟,SharePoint 是在企业中的一个关键业务的协作平台。

Pav Cherny 是 IT 专家和特殊化的协作和统一的通信的 Microsoft 技术的作者。 他的出版物包括白皮书、 产品手册和书籍主要介绍 IT 运营和系统管理。 Pav 公司总裁的 Biblioso 进行,专门的文档和本地化的托管服务的公司。