規劃伺服器陣列中伺服器角色的安全性強化 (Office SharePoint Server)

本文內容：

• 關於安全性強化

• 應用程式伺服器建議

• 與 Microsoft SQL Server 資料庫的安全通訊

• 檔案及印表機共用服務需求

• 單一登入強化需求

• Office Server Web 服務

• 外部伺服器連線

• 電子郵件整合的服務需求

• 工作階段狀態的服務需求

• Office SharePoint Server 服務

• 帳戶和群組

• Web.config 檔案

• 安全快照新增

使用本文可規劃伺服器陣列安全性。本文中的工作適合下列安全性環境：

• 架設內部 IT

• 外部安全共同作業

• 外部匿名存取

關於安全性強化

在伺服器陣列環境中，個別伺服器會扮演特定角色。對這些伺服器的安全性強化建議會視各自扮演的角色而定。

伺服器強化建議建立於下列安全性指南所提供的建議之上，Microsoft 模式和實例 (英文) (https://go.microsoft.com/fwlink/?linkid=73704&clcid=0x404) 中會提供這些安全性指南：

• 保護網頁伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x404)

• 保護資料庫伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x404)

• 保護網路 (英文) (https://go.microsoft.com/fwlink/?linkid=73707&clcid=0x404)

這些指南遵循有條理的方法來保護特定角色的伺服器，以及保護支援網路。另外也指定套用設定以及安裝與強化應用程式的順序：從套用修補程式和更新開始，然後強化網路設定與作業系統設定，再緊接著應用程式特有的強化。例如，保護網頁伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x404) 建議您只有在修補及強化作業系統之後，才可安裝及強化網際網路資訊服務 (IIS)。此外，此指南也指定只有在 IIS 完整修補並強化之後，才可安裝 Microsoft .NET Framework。

下圖詳細說明保護網頁伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x404) 中有條理指定的安全性設定類別。

此外，這三個指南每個都包含針對特定伺服器角色或網路的安全快照與安全性設定建議清單。快照清單的組織方式是依據對應至上圖所述之安全性設定的類別。

本文提供的安全性設計與強化指導係以這三個指南中發佈的指導為基礎。此指導假設您將使用這些指南作為保護及強化伺服器陣列的基準。

本文說明針對您環境建議之快照的例外或新增。這些資訊會使用這三個安全性指南所述的相同類別與順序以表格格式詳細說明。此格式可讓您在使用指南時，輕鬆識別並套用特定建議。

部署 Office SharePoint 2007 (https://go.microsoft.com/fwlink/?linkid=76139&clcid=0x404) 指南包含套用模式和實例安全性指南中未涵蓋之特定安全性指導的指示。

伺服器陣列內伺服器對伺服器通訊的本質，以及 Microsoft Office SharePoint Server 2007 提供的特定功能，是需要特定強化建議的主要原因。本文也說明主要通訊通道與 Office SharePoint Server 2007 功能如何影響這些安全性需求。

應用程式伺服器建議

在 Office SharePoint Server 2007 中，應用程式伺服器角色不是封裝在 Enterprise Services 應用程式內的一般中間層應用式伺服器。因此，保護應用程式伺服器 (英文) (hhttps://msdn.microsoft.com/zh-tw/library/aa302433(zh-tw).aspx 中的建議不適用於 Office SharePoint Server 2007 應用程式伺服器。請改用保護網頁伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x404) 中提供的指導來強化 Office SharePoint Server 2007 應用程式伺服器：

• 將網路與作業系統設定的指導套用至伺服器陣列中的所有應用程式伺服器。此指導會包含在下列類別中：修補程式和更新、服務、通訊協定、帳戶、檔案和目錄、共用、連接埠、登錄，以及稽核與記錄。

• 僅在架設管理中心網站的應用程式伺服器上套用強化 IIS 及其他 Web 設定的指導。此指導會包含在下列類別中：IIS、Machine.config、程式碼存取安全性、LocalIntranet_Zone 及 Internet_Zone。

除了使用保護網頁伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x404) 中的安全快照，請另外套用本文稍後＜ 安全快照新增＞一節所提供的建議。

與 Microsoft SQL Server 資料庫的安全通訊

保護資料庫伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x404) 建議將存取權限制在兩個預設 Microsoft SQL Server 通訊連接埠：TCP 連接埠 1433 和 UDP 連接埠 1434。為了保護伺服器陣列環境，建議：

• 完全封鎖 UDP 連接埠 1434。

• 將 SQL Server 的具名執行個體設定為在非標準的連接埠上接聽 (TCP 連接埠 1433 或 UDP 連接埠 1434 以外的連接埠)。

• 若要取得額外安全性，請封鎖 TCP 連接埠 1433 並將預設執行個體使用的連接埠重新指定給非標準的連接埠。

• 在伺服器陣列中所有前端網頁伺服器和應用程式伺服器上，設定 SQL 用戶端別名。在您封鎖 TCP 連接埠 1433 或 UDP 連接埠 1434 之後，必須在與 SQL Server 電腦通訊的所有電腦上使用 SQL 用戶端別名。

此方法對 SQL Server 部署與執行方式提供更高的控制程度，包含可確保只有經過授權的電腦能夠與 SQL Server 電腦通訊。

您必須先完成建立 SQL 用戶端別名的強化步驟，才可安裝 Office SharePoint Server 2007。當您執行 Office SharePoint Server 2007 的安裝程式，並提示您輸入要連線的 SQL Server 電腦名稱時，將會需要輸入 SQL 用戶端別名的名稱。

封鎖標準 SQL Server 連接埠

在 SQL Server 的預設執行個體或 SQL Server 的具名執行個體上安裝資料庫，會影響連線至 SQL Server 所使用的特定連接埠。SQL Server 的預設執行個體會接聽 TCP 連接埠 1433 上的用戶端要求。SQL Server 的具名執行個體會在隨機指定的連接埠號碼上接聽。此外，如果重新啟動具名執行個體，則可重新指定執行個體的連接埠號碼 (視先前指定的連接埠號碼是否可用而定)。

連線至 SQL Server 的用戶端電腦預設會先使用 TCP 連接埠 1433 進行連線。如果此通訊失敗，用戶端電腦便會查詢在 UDP 連接埠 1434 上接聽的 SQL Server 解析服務，以決定資料庫執行個體接聽所在的連接埠。

SQL Server 的預設連接埠通訊行為，會造成數個影響伺服器強化的問題。首先，SQL Server 使用的連接埠是廣為宣揚的連接埠，且 SQL Server 解析服務一直是緩衝區溢位攻擊和拒絕服務攻擊的目標，包括 Slammer 蠕蟲病毒。即使 SQL Server 已經過修補，減輕 SQL Server 解析服務中的安全性問題，廣為宣揚的連接埠仍是目標。其次，如果資料庫是安裝在 SQL Server 的具名執行個體上，對應的通訊連接埠會隨機重新指定，且可以變更。此行為可能會導致伺服器對伺服器通訊無法在強化的環境中進行。若要保護環境，您必須能夠控制要開啟或封鎖哪些 TCP 連接埠。

因此，對於伺服器陣列的建議是指定靜態的連接埠號碼給 SQL Server 的具名執行個體，並封鎖 UDP 連接埠 1434，以避免潛在攻擊者存取 SQL Server 解析服務。此外，請考慮重新指定預設執行個體所使用的連接埠，並同時封鎖 TCP 連接埠 1433。

可用來封鎖連接埠的方法有幾種。您可以使用防火牆來封鎖這些連接埠。但是，除非您可以確定網路區段中沒有其他路由，且沒有惡意使用者擁有網路區段的存取權，否則建議在架設 SQL Server 的伺服器上直接封鎖這些連接埠。使用 [控制台] 中的 [Windows 防火牆] 可完成此作業。

將 SQL Server 資料庫執行個體設定為在非標準的連接埠上接聽

SQL Server 可讓您重新指定預設執行個體和任何具名執行個體所使用的連接埠。在 SQL Server 2000 中，請使用 SQL Server 網路公用程式來重新指定連接埠。在 SQL Server 2005 中，請使用 SQL Server 組態管理員來重新指定連接埠。

設定 SQL 用戶端別名

在伺服器陣列中，所有前端網頁伺服器與應用程式伺服器都是 SQL Server 用戶端電腦。如果封鎖 SQL Server 電腦上的 UDP 連接埠 1434，或是變更預設執行個體的預設連接埠，則必須在連線至 SQL Server 電腦的所有伺服器上設定 SQL 用戶端別名。

若要連線至 SQL Server 2000 的執行個體，請在目標電腦上安裝 SQL Server 用戶端工具，然後設定 SQL 用戶端別名。執行 SQL Server 的安裝程式並選取 [SQL Server 用戶端工具] 即可安裝這些工具。

若要連線至 SQL Server 2005 的執行個體，請在目標電腦上安裝 SQL Server 用戶端元件，然後使用 SQL Server 組態管理員設定 SQL 用戶端別名。若要安裝 SQL Server 用戶端元件，請執行安裝程式，然後僅選取下列用戶端元件進行安裝：

• 連接元件

• 管理工具 (包含 SQL Server 組態管理員)

SQL Server 用戶端元件可搭配 SQL Server 2000 使用，且可用來取代 SQL Server 用戶端工具。

強化步驟

設定 SQL Server

將 SQL Server 2000 執行個體設定為在非預設連接埠上接聽

使用 SQL Server 網路公用程式可變更 SQL Server 2000 的執行個體所使用的 TCP 連接埠。

1. 在 SQL Server 電腦上，執行 SQL Server 網路公用程式。

2. 在 [此伺服器上的執行個體] 功能表上，選取執行個體。確定您已選取預定的執行個體。根據預設，預設執行個體會在連接埠 1433 上接聽。SQL Server 2000 的具名執行個體會指定隨機的連接埠號碼，因此在執行 SQL Server 網路公用程式時，您可能不知道目前指定給具名執行個體的連接埠號碼。

3. 在 SQL Server 網路公用程式介面右側的 [啟用的通訊協定]**** 窗格中，按一下 [TCP/IP]，然後按一下 [內容]****。

4. 在 [網路通訊協定預設值設定] 對話方塊中，變更 TCP 連接埠號碼。避免使用任何知名 TCP 連接埠。例如，選取較高範圍的連接埠號碼，例如 40000。請勿選取 [隱藏伺服器]**** 核取方塊。

5. 按一下 [確定]。

6. 在 [SQL Server 網路公用程式]**** 對話方塊中，按一下 [確定]。您將會收到訊息，指出在 SQL Server 服務重新啟動之前，變更不會生效。按一下 [確定]****。

7. 重新啟動 SQL Server 服務，並確認您的 SQL Server 電腦正在您選取的連接埠上接聽。您可以在重新啟動 SQL Server 服務之後查看事件檢視器記錄檔，以便確認此點。請尋找類似下列事件的資訊事件：

   事件類型：資訊

   事件來源：MSSQLSERVER

   事件類別：(2)

   事件識別碼：17055

   日期：3/6/2008

   時間：上午 11:20:28

   使用者：N/A

   電腦：電腦名稱

   描述：

   19013:

   SQL Server 正在 10.1.2.3: 40000 上接聽

將 SQL Server 2005 執行個體設定為在非預設連接埠上接聽

使用 SQL Server 組態管理員可變更 SQL Server 2005 的執行個體所使用的 TCP 連接埠。

1. 使用 SQL Server 組態管理員可變更 SQL Server 2005 的執行個體所使用的 TCP 連接埠。

2. 在 SQL Server 電腦上，開啟 SQL Server 組態管理員。

3. 展開左窗格中的 [SQL Server 2005 網路組態]。

4. 在 [SQL Server 2005 網路組態]**** 下，按一下您設定之執行個體的對應項目。預設執行個體會列為 [MSSQLSERVER 的通訊協定]。具名執行個體將顯示為 [named_instance 的通訊協定]****。

5. 在右窗格的 [TCP/IP] 上按一下滑鼠右鍵，然後按一下 [內容]****。

6. 按一下 [IP 位址] 索引標籤。每個指定給 SQL Server 電腦的 IP 位址在此索引標籤上都有對應的項目。SQL Server 預設會在指定給電腦的所有 IP 位址上接聽。

7. 若要全域變更預設執行個體接聽所在的連接埠，請執行下列操作：

   1. 針對 [IPAll]**** 以外的每個 IP，清除 [TCP 動態連接埠] 及 [TCP 連接埠]**** 的所有值。

   2. 針對 [IPAll]，清除 [TCP 動態連接埠]**** 的值。在 [TCP 連接埠] 欄位中，輸入您要 SQL Server 執行個體接聽所在的連接埠。例如，輸入 40000。

8. 若要全域變更具名執行個體接聽所在的連接埠，請執行下列操作：

   1. 針對包括 [IPAll]**** 在內的每個 IP，清除 [TCP 動態連接埠] 的所有值。此欄位的 0 值指出 SQL Server 的 IP 位址使用 TCP 動態連接埠。此值若是空白的項目，則表示 SQL Server 2005 的 IP 位址不會使用 TCP 動態連接埠。

   2. 針對除了 [IPAll]**** 以外的每個 IP，清除 [TCP 連接埠] 的所有值。

   3. 針對 [IPAll]，清除 [TCP 動態連接埠] 的值。在 [TCP 連接埠] 欄位中，輸入您要 SQL Server 執行個體接聽所在的連接埠。例如，輸入 40000。

9. 按一下 [確定]。您將會收到訊息，指出在 SQL Server 服務重新啟動之前，變更不會生效。按一下 [確定]****。

10. 關閉 [SQL Server 組態管理員]。

11. 重新啟動 SQL Server 服務，並確認 SQL Server 電腦正在您選取的連接埠上接聽。您可以在重新啟動 SQL Server 服務之後查看事件檢視器記錄檔，以便確認此點。請尋找類似下列事件的資訊事件：

    事件類型：資訊

    事件來源：MSSQL$MSSQLSERVER

    事件類別：(2)

    事件識別碼：26022

    日期：3/6/2008

    時間：下午 1:46:11

    使用者：N/A

    電腦：電腦名稱

    描述：

    伺服器正在 [ 'any' <ipv4>50000] 上接聽

設定 Windows 防火牆

將 Windows 防火牆設定為封鎖預設 SQL Server 接聽連接埠

1. 在 [控制台] 中，開啟 [Windows 防火牆]****。

2. 在 [一般] 索引標籤上，按一下 [開啟]****。確定已清除 [不允許例外] 核取方塊。

3. 在 [例外]**** 索引標籤上，按一下 [新增連接埠]。

4. 在 [新增連接埠]**** 對話方塊上，輸入連接埠的名稱。例如，輸入 UDP-1434。然後輸入連接埠號碼。例如，輸入 1434。

5. 選取適當的選項按鈕：[UDP] 或 [TCP]。例如，若要封鎖連接埠 1434，請按一下 [UDP]。若要封鎖連接埠 1433，請按一下 [TCP]。

6. 按一下 [變更領域] 並確定此例外的領域設為 [任何電腦 (包括在網際網路上的)]****。

7. 按一下 [確定]。

8. 在 [例外]**** 索引標籤上，找到您建立的例外。若要封鎖連接埠，請清除此例外的核取方塊。預設會選取此核取方塊，表示連接埠是開啟的。

將 Windows 防火牆設定為開啟手動指定的連接埠

1. 遵循前一程序中的步驟 1 到 7，為您手動指定給 SQL 執行個體的連接埠建立例外。例如，為 TCP 連接埠 40000 建立例外。

2. 在 [例外] 索引標籤上，找到您建立的例外。確定已核取例外的核取方塊。預設會選取此核取方塊，表示連接埠是開啟的。

   注意

   如需使用網際網路通訊協定安全性 (IPsec) 來保護與 SQL Server 電腦通訊的詳細資訊，請參閱 Microsoft 知識庫文章 233256：如何透過防火牆來啟用 IPSec 流量 (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x404) (機器翻譯)。

設定 SQL 用戶端別名

設定 SQL 用戶端別名

如果您在 SQL Server 電腦上封鎖 UDP 連接埠 1434 或 TCP 連接埠 1433，則必須在伺服器陣列中的所有其他電腦上建立 SQL 用戶端別名。您可以使用 SQL Server 用戶端元件，為連線至 SQL Server 2000 或 SQL Server 2005 的電腦建立 SQL 用戶端別名。

1. 在目標電腦上執行 SQL Server 2005 的安裝程式，並選取下列用戶端元件進行安裝：

   1. 連接元件

   2. 管理工具

2. 開啟 [SQL Server 組態管理員]。

3. 按一下左窗格中的 [SQL Native Client 組態]。

4. 在右窗格的 [別名]**** 上按一下滑鼠右鍵，然後選取 [新增別名]。

5. 在 [別名]**** 對話方塊中，輸入別名的名稱，然後輸入資料庫執行個體的連接埠號碼。例如，輸入 SharePoint*_alias*。

6. 在 [連接埠號碼] 欄位中，輸入資料庫執行個體的連接埠號碼。例如，輸入 40000。請確定通訊協定設為 TCP/IP。

7. 在 [伺服器]**** 欄位中，輸入 SQL Server 電腦的名稱。

8. 按一下 [套用]，然後按一下 [確定]****。

測試 SQL 用戶端別名

請使用 Microsoft SQL Server Management Studio 來測試 SQL Server 電腦的連線，此程式可透過安裝 SQL Server 用戶端元件來取得。

1. 開啟 [SQL Server Management Studio]。

2. 提示您輸入伺服器名稱時，請輸入您建立的別名名稱，然後按一下 [連接]。如果連線成功，SQL Server Management Studio 會填入對應遠端資料庫的物件。

   注意

   若要從 SQL Server Management Studio 內檢查與其他資料庫執行個體的連線，請按一下 [連接] 按鈕，再選取 [Database Engine]。

檔案及印表機共用服務需求

有數種核心功能依賴檔案及印表機共用服務和對應的通訊協定及連接埠。這些包括但不限於下列各項：

• 搜尋查詢   所有搜尋查詢都需要檔案及印表機共用服務。

• 內容編目及索引   為了編目內容，索引元件會透過前端網頁伺服器傳送要求。前端網頁伺服器會直接與內容資料庫通訊，並將結果傳回索引伺服器。此項通訊需要檔案及印表機共用服務。

• 索引傳播   如果查詢角色安裝在與索引角色不同的伺服器上，索引伺服器會將內容索引複製到查詢伺服器。此動作需要檔案及印表機共用服務和對應的通訊協定及連接埠。

檔案及印表機共用服務需要使用具名管道。具名管道可以使用直接架設的 SMB 或 NBT 通訊協定來通訊。對於安全的環境，建議使用直接架設的 SMB，而不要使用 NBT。本文所提供的強化建議假設使用 SMB。

下表說明因為依賴檔案及印表機共用服務而造成的強化需求。

類別	需求	附註
服務	檔案及印表機共用	需要使用具名管道。
通訊協定	使用直接架設 SMB 的具名管道 停用 NBT	具名管道可以使用 NBT 來取代直接架設的 SMB。但是，一般認為 NBT 不如直接架設的 SMB 安全。
連接埠	TCP/UDP 連接埠 445	供直接架設的 SMB 使用。

如需停用 NBT 的詳細資訊，請參閱 Microsoft 知識庫文章 204279：直接主控的 SMB over TCP / IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x404) (機器翻譯)。

單一登入強化需求

Office SharePoint Server 2007 中的單一登入 (SSO) 功能是用來連接位於伺服器陣列外的資料來源。預設不會在 Office SharePoint Server 2007 伺服器陣列上啟用 SSO 功能。除非您需要使用此功能來連接外部資料來源，否則請勿設定 SSO。因為 SSO 功能需要使用者驗證，所以此功能無法在外部匿名存取環境中運作。

SSO 是根據 Microsoft Single Sign-On 服務和對應的通訊協定及連接埠。在下列伺服器上必須啟用此項服務：

• 所有前端網頁伺服器

• 指定的加密金鑰伺服器 (通常由應用程式伺服器主控的角色)

• Excel Calculation Services 角色

此外，如果查詢伺服器上安裝了自訂安全性修剪器，且此安全性修剪器需要存取 SSO 資料，則 Microsoft Single Sign-On 服務也必須在此伺服器角色上執行。

SSO 功能對伺服器陣列造成數種強化需求。單一登入服務使用遠端程序呼叫 (RPC)。RPC 使用連接埠 135。它也使用範圍 1024–65535/TCP 中動態指定的連接埠。這稱為動態 RPC。若要限制動態 RPC 連接埠指定的範圍，可使用 Windows 登錄機碼。您可以將動態 RPC 連接埠的範圍限制到非常小的數字，而不要使用所有的高編號連接埠 (1024–65535)。這稱為靜態 RPC。

如需限制 RPC 所用連接埠的詳細資訊，請參閱下列資源：

• 防火牆分隔之網路中的 Active Directory (英文) (https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x404) 。

• Microsoft 知識庫文章 154596：如何設定 RPC 動態連接埠配置以使用防火牆 (https://go.microsoft.com/fwlink/?linkid=76145&clcid=0x404)。

• Microsoft 知識庫文章 300083：如何限制 Windows 2000 和 Windows XP 上的 TCP / IP 連接埠 (https://go.microsoft.com/fwlink/?linkid=76148&clcid=0x404) (機器翻譯)。

下表列出 SSO 所造成的強化需求。這些需求適用於伺服器陣列內的所有伺服器。

類別	需求	附註
服務	單一登入服務	需要使用 RPC 通訊協定。
通訊協定	RPC	設定靜態 RPC 以限制動態 RPC 使用的連接埠範圍。
連接埠	TCP 連接埠 135 加上您為動態 RPC 所設定的連接埠範圍

雖然在作業系統中設定了這些強化需求，但是需求的設定順序對於成功部署 SSO 極為重要。通訊協定及連接埠的需求可以在 Office SharePoint Server 2007 中設定 SSO 功能之前隨時設定。但是，單一登入服務在伺服器陣列中的伺服器上啟用的順序會影響 SSO 的設定。

第一個啟用服務的伺服器會成為伺服器陣列的加密金鑰伺服器。此伺服器會儲存加密金鑰。建議在其中一部應用程式伺服器上主控此角色。伺服器陣列的每部前端網頁伺服器上也必須啟用單一登入服務。這些電腦會將認證轉寄給加密金鑰伺服器。

要在 Office SharePoint Server 2007 中成功設定 SSO 功能，除了啟用單一登入服務之外，還需要在管理中心網站中進行設定。因此，在安裝 Office SharePoint Server 2007 之前，請勿啟用單一登入服務。如需設定 SSO 的詳細資訊，請參閱＜規劃單一登入＞。

Office Server Web 服務

Office SharePoint Server 2007 使用 Office Services Web 服務作為網頁伺服器與應用程式伺服器之間的通訊通道。此服務使用下列連接埠：

• TCP 56737

• TCP/SSL 56738

外部伺服器連線

Office SharePoint Server 2007 中有數項功能，可設定為存取位於伺服器陣列外之伺服器電腦上的資料。如果您設定存取外部伺服器電腦上的資料，請確定啟用適當電腦之間的通訊。在大多數情況下，使用的連接埠、通訊協定及服務會視外部資源而定。例如：

• 檔案共用的連線會使用檔案及印表機共用服務。

• 外部 SQL Server 資料庫的連線會使用預設或自訂的連接埠來進行 SQL Server 通訊。

• Oracle 的連線一般使用 OLE DB。

• Web 服務的連線使用 HTTP 和 HTTPS。

下表列出的功能可用來存取位於伺服器陣列外之伺服器電腦中的資料。

功能	描述
內容編目	您可以將編目規則設定為對位於外部資源上的資料進行編目，這些外部資源包含網站、檔案共用、Exchange 公用資料夾及商務資料應用程式。在編目外部資料來源時，索引角色會直接與這些外部資源通訊。 如需詳細資訊，請參閱＜規劃編目內容 (Office SharePoint Server)＞。
商務資料目錄連線	網頁伺服器及應用程式伺服器會直接與設定商務資料目錄連線的電腦通訊。 如需詳細資訊，請參閱＜規劃商務資料與商務資料目錄的連線＞。
接收 Microsoft Office Excel 活頁簿	如果 Excel Services 上開啟的活頁簿連接至任何外部資料來源 (例如 Analysis Services 和 SQL Server)，則需要開啟適當的 TCP/IP 連接埠，才能連接至這些外部資料來源。如需詳細資訊，請參閱＜規劃 Excel Services 的外部資料連線＞。 如果通用命名慣例 (UNC) 路徑在 Excel Services 中設定為信任的位置，Excel Calculation Services 應用程式角色便會使用「檔案及印表機共用」服務所使用的通訊協定及連接埠，透過 UNC 路徑接收 Office Excel 活頁簿。 儲存在內容資料庫內的活頁簿，或使用者從網站上載或下載的活頁簿，都不會受到這個通訊的影響。

電子郵件整合的服務需求

電子郵件整合需要使用兩項服務：

• 簡易郵件傳送通訊協定 (SMTP) 服務

• Microsoft SharePoint 目錄管理服務

SMTP 服務

電子郵件整合需要在伺服器陣列中至少一部前端網頁伺服器上使用 SMTP 服務。內送電子郵件需要 SMTP 服務。若是外寄電子郵件，您可以使用 SMTP 服務，或是透過組織內專用電子郵件伺服器傳送外寄電子郵件，例如 Microsoft Exchange Server 電腦。

Microsoft SharePoint 目錄管理服務

Office SharePoint Server 2007 包含內部服務 Microsoft SharePoint 目錄管理服務，以建立電子郵件通訊群組。當您設定電子郵件整合時，可以選擇啟用目錄管理服務功能，允許使用者建立通訊群組清單。當使用者建立 SharePoint 群組並選擇建立通訊群組清單時，Microsoft SharePoint 目錄管理服務會在 Active Directory 環境中建立對應的 Active Directory 目錄服務通訊群組清單。

在強化安全性的環境中，建議透過保護與 Microsoft SharePoint 目錄管理服務相關的檔案 (亦即 SharePointEmailws.asmx)，來限制此服務的存取權。例如，只允許伺服器陣列帳戶存取這個檔案。

此外，這項服務還需要在 Active Directory 環境中擁有建立 Active Directory 通訊群組清單物件的權限。建議在 Active Directory 中為 SharePoint 物件設定不同的組織單位。只有這個組織單位應允許對 Microsoft SharePoint 目錄管理服務使用的帳戶進行寫入存取。

工作階段狀態的服務需求

Microsoft Office Project Server 2007 和 Microsoft Office Forms Server 2007 都會維護工作階段狀態。如果您在伺服器陣列內部署這些功能或產品，請勿停用 ASP.NET 狀態服務。此外，如果您要部署 InfoPath Forms Services，請勿停用「檢視狀態」服務。

Office SharePoint Server 服務

請勿停用 Office SharePoint Server 2007 安裝的服務。

下列服務安裝在所有前端網頁伺服器與應用程式伺服器上，並出現在 Microsoft Management Console (MMC) 服務嵌入式管理單元 (依字母順序列出)：

• Office SharePoint Server 搜尋

• Windows SharePoint Services 管理

• Windows SharePoint Services 搜尋

• Windows SharePoint Services 計時器

• Windows SharePoint Services 追蹤

• Windows SharePoint Services VSS 編寫器

如果您的環境不允許以本機系統身分執行的服務，只有在瞭解結果且可解決這些結果時，才可以考慮停用 Windows SharePoint Services 管理服務。此服務是以本機系統身分執行的 Win32 服務。

Windows SharePoint Services 計時器服務使用此服務在伺服器上執行需要系統管理權限的動作，例如建立 IIS 網站、部署程式碼，以及停止和啟動服務。如果您停用此服務，則無法從管理中心網站執行與部署相關的工作。您將需要使用 Stsadm.exe 命令列工具並執行 execadminsvcjobs 命令，完成 Windows SharePoint Services 3.0 的多重伺服器部署，以及執行其他與部署相關的工作。

帳戶和群組

模式和實例安全性指南中的安全快照提供保護帳戶和群組的建議。

如需規劃帳戶的建議，請參閱＜規劃管理者帳戶和服務帳戶 (Office SharePoint Server)＞。

如需規劃管理及使用者角色的建議，請參閱＜規劃安全性角色 (Office SharePoint Server)＞。

Web.config 檔案

.NET Framework 使用 XML 格式的設定檔來設定應用程式，尤其是 ASP.NET。.NET Framework 根據設定檔來定義設定選項。設定檔是文字格式的 XML 檔。單一系統上可以且通常會存在多個設定檔。

.NET Framework 的全系統組態設定會在 Machine.config 檔案中定義。Machine.config 檔案位於 %SystemRoot%\Microsoft .NET\Framework\%VersionNumber%\CONFIG\ 資料夾中。Machine.config 檔案中包含的預設設定可加以修改，以影響在整個系統上使用 .NET Framework 的應用程式行為。如需設定 Machine.config 檔案的建議，請參閱保護網頁伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x404) 。

如果在應用程式的根資料夾中建立 Web.config 檔案，則可以變更單一應用程式的 ASP.NET 組態設定。執行此動作時，Web.config 檔案中的設定會覆寫 Machine.config 檔案中的設定。

當您使用管理中心擴充 Web 應用程式時，Office SharePoint Server 2007 會自動為 Web 應用程式建立一個 Web.config 檔案。

本文稍後的＜安全快照新增＞小節列出設定 Web.config 檔案的建議。這些建議適用於每個建立的 Web.config 檔案，包含管理中心網站的 Web.config 檔案。

如需 ASP.NET 設定檔及編輯 Web.config 檔案的詳細資訊，請參閱 ASP.NET 設定 (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x404)。

安全快照新增

本節列出模式和實例安全性指南中，針對 Office SharePoint Server 2007 環境建議的快照新增。這些資訊會使用模式和實例安全性指南所述的相同類別與順序以表格格式詳細說明。

此格式可讓您在使用模式和實例安全性指南時，輕鬆識別並套用特定建議。這些強化建議要在執行 Office SharePoint Server 2007 的安裝程式之前套用，只有一些註明的例外除外。

如需伺服器陣列中特定伺服器角色之間通訊的詳細資訊，請參閱＜規劃外部網路環境的安全性堅固＞。

保護網路快照新增

下表說明保護網路新增的建議。

元件	特性例外
全部	沒有其他建議

保護網頁伺服器快照新增

下表說明保護網頁伺服器新增的建議。

元件	特性
服務	啟用： 檔案及印表機共用 Office SharePoint Server 搜尋 單一登入服務 (僅限使用 SSO 時) ASP.NET 狀態服務 (如果使用 InfoPath Forms Server 或 Project Server) 檢視狀態服務 (如果使用 InfoPath Forms Server) World Wide Web Publishing 服務 確定這些服務在執行安裝程式之後仍然啟用： Office SharePoint Server 搜尋 Windows SharePoint Services 管理 Windows SharePoint Services 搜尋 Windows SharePoint Services 計時器 Windows SharePoint Services 追蹤 Windows SharePoint Services VSS 編寫器
通訊協定	啟用： SMB SMTP (如果使用整合式電子郵件) RPC (僅限使用 SSO 時) 停用： NBT
帳戶	如果在電子郵件整合時啟用 Microsoft 目錄管理服務，請將您的 Active Directory 環境設定為允許對 Microsoft 目錄管理服務使用的帳戶 (伺服器陣列帳戶) 進行寫入存取。 如需設定帳戶的其他指導，請參閱＜規劃管理者帳戶和服務帳戶 (Office SharePoint Server)＞以取得 Office SharePoint Server 2007 帳戶需求和建議。
檔案和目錄	如果啟用電子郵件整合且開啟目錄管理服務功能，請透過保護與 Microsoft SharePoint 目錄管理服務相關的檔案 (SharePointEmailws.asmx)，來限制此服務的存取權。例如，只允許伺服器陣列帳戶存取這個檔案。
共用	沒有其他建議
連接埠	開啟 TCP/UDP 連接埠 445。 開啟 TCP 連接埠 135 以及您在設定靜態 RPC 時指定範圍中的連接埠 (僅限使用 SSO 時)。 開啟 Office Server Web 服務的 TCP 連接埠 56737 與 56738。 如果在 SQL Server 電腦上封鎖 UDP 連接埠 1434，且資料庫安裝在具名執行個體上，請設定 SQL 用戶端別名以便連接至具名執行個體。 如果在 SQL Server 電腦上封鎖 TCP 連接埠 1433，且資料庫安裝在預設執行個體上，請設定 SQL 用戶端別名以便連接至具名執行個體。 確定連接埠仍然開啟供使用者可存取的 Web 應用程式使用。 封鎖管理中心網站所用連接埠的外部存取。
登錄	如果使用 SSO，請編輯登錄來設定靜態 RPC。
稽核與記錄	如果重新放置記錄檔，請確定更新記錄檔位置以便符合。
IIS	請參閱以下的 IIS 指導。
網站與虛擬目錄	沒有其他建議
指令碼對應	沒有其他建議
ISAPI 篩選器	沒有其他建議
IIS Metabase	沒有其他建議
.NET Framework	請參閱以以下的 .NET Framework 指導。
Machine.config：HttpForbiddenHandler	沒有其他建議
Machine.config：Remoting	沒有其他建議
Machine.config：Trace	沒有其他建議
Machine.config：compilation	沒有其他建議
Machine.config：customErrors	沒有其他建議
Machine.config：sessionState	沒有其他建議
程式碼存取安全性	確定您為 Web 應用程式啟用了最小的程式碼存取安全性權限集合 (每個 Web 應用程式之 Web.config 中的 <trust> 元素應設為 WSS_Minimal (其中 WSS_Minimal 的最小預設值會在 12\config\wss_minimaltrust.config 中定義) 或您自己的自訂原則檔，視何者設定最小而定)。
LocalIntranet_Zone	沒有其他建議
Internet_Zone	沒有其他建議
Web.config	將下列建議套用至在執行安裝程式之後建立的每個 Web.config 檔案： 不允許透過 PageParserPaths 元素，編譯資料庫頁面或以指令碼編寫資料庫頁面。 確定 <SafeMode> CallStack=""false"" 且 AllowPageLevelTrace=""false""。 確定每個區域的最大控制項網頁組件限制設為低。 確定 SafeControls 清單設為您網站所需的最小控制項集合。 確定您的 Workflow SafeTypes 清單設為所需的最低 SafeTypes 層級。 確定已開啟 customErrors (<customErrors mode=""On""/>)。 視需要考慮 Web proxy 設定 (<system.net>/<defaultProxy>)。 將 upload.aspx 限制設為您合理預期使用者上載的最大大小 (預設值為 2 GB)。上載大小若大於 100 MB 則會影響效能。

保護資料庫伺服器快照新增

下表說明保護資料庫伺服器新增的建議。

元件	特性例外
服務	沒有其他建議
通訊協定	沒有其他建議
帳戶	定期手動移除未使用的帳戶。
檔案和目錄	沒有其他建議
共用	沒有其他建議
連接埠	封鎖 UDP 連接埠 1434。 考慮封鎖 TCP 連接埠 1433。
登錄	沒有其他建議
稽核與記錄	沒有其他建議
SQL Server 設定	請參閱以下的 SQL Server 設定指導。
SQL Server 安全性	沒有其他建議
SQL Server 登入、使用者和角色	沒有其他建議
SQL Server 資料庫物件	沒有其他建議

下載本書

本主題隨附於下列可下載的叢書中，以便於閱讀與列印：

• Office SharePoint Server 2007 規劃與架構 (第 2 部分)

• 規劃 Office SharePoint Server 的外部網路環境 (英文)

請參閱 Office SharePoint Server 2007 可下載的內容 (英文) 上提供的完整叢書清單