Planifier une administration avec des privilèges minimum dans SharePoint Server

S’APPLIQUE À :  yes-img-13 2013  yes-img-16 2016  yes-img-19 2019  yes-img-se Subscription Edition  no-img-sop SharePoint in Microsoft 365

Le principe de l’administration de privilèges minimum consiste à attribuer aux utilisateurs les autorisations minimales nécessaires pour leur permettre d’effectuer des tâches autorisées. L’objectif est de configurer et de maintenir un contrôle sécurisé de l’environnement. Avec ce type d’administration, chaque compte avec lequel un service est exécuté peut uniquement accéder aux ressources qui lui sont absolument nécessaires.

Nous vous recommandons de déployer SharePoint Server à l'aide d'une administration avec des privilèges minimum, même si la mise en œuvre de ce type d'administration peut entraîner une augmentation des coûts opérationnels en raison des ressources supplémentaires qui peuvent être nécessaires à son maintien. De plus, la résolution des problèmes de sécurité peut également être rendue plus complexe.

Introduction

Les entreprises mettent en œuvre l’administration de privilèges minimum pour disposer d’un meilleur niveau de sécurité que celui généralement recommandé. Seul un faible pourcentage d’entreprises exigent ce niveau de sécurité accru, en raison du coût en ressources nécessaires au maintien de l’administration de privilèges minimum. Ce niveau accru de sécurité est par exemple nécessaire pour les déploiements effectués par les agences gouvernementales, les organisations de sécurité et les organisations du secteur financier. La mise en place d’un environnement basé sur les privilèges minimum ne doit pas être confondue avec l’application des meilleures pratiques. Dans ce type d’environnement, les administrateurs mettent en œuvre les meilleures pratiques en plus de niveaux de sécurité supplémentaires.

Environnement basé sur les privilèges minimum pour les comptes et les services

Pour planifier l'administration de privilèges minimum, vous devez prendre en compte plusieurs comptes, rôles et services. Certains s'appliquent à SQL Server et d'autres à SharePoint Server. À mesure que les administrateurs verrouillent des comptes et des services supplémentaires, les coûts d'exploitation quotidiens tendent à augmenter.

Rôles SQL Server

Dans un environnement SharePoint Server, plusieurs comptes peuvent recevoir les deux rôles SQL Server de niveau serveur répertoriés ci-après. Dans un environnement SharePoint Server basé sur les privilèges minimum, nous vous recommandons de n'accorder ces privilèges qu'au compte avec lequel le service Minuteur de flux de travail Microsoft SharePoint Foundation est exécuté. En règle générale, le service Minuteur est exécuté avec le compte de la batterie de serveurs. Pour les opérations quotidiennes, nous vous recommandons de retirer les deux rôles SQL Server de niveau serveur répertoriés ci-après de tous les autres comptes utilisés pour l'administration de SharePoint :

  • Dbcreator : les membres du rôle serveur fixe dbcreator peuvent créer, modifier, supprimer et restaurer les bases de données.

  • Securityadmin : les membres du rôle serveur fixe securityadmin gèrent les connexions et leurs propriétés. Ils peuvent accorder (GRANT), refuser (DENY) et révoquer (REVOKE) des autorisations de niveau serveur. Ils peuvent également accorder, refuser et révoquer des autorisations au niveau de la base de données s'ils ont accès à une base de données. En outre, ils peuvent réinitialiser les mots de passe pour les connexions à SQL Server.

Notes

La possibilité d’accorder l’accès au moteur de base de données et de configurer les autorisations des utilisateurs permet aux administrateurs ayant le rôle securityadmin d’attribuer la plupart des autorisations de serveur. Le rôle securityadmin doit être vu comme équivalent au rôle sysadmin.

Pour plus d'informations sur les rôles SQL Server de niveau serveur, voir Rôles de niveau serveur.

Si vous supprimez un ou plusieurs de ces rôles SQL Server, vous pouvez recevoir des messages de type « erreur inattendue » sur le site web Administration centrale. En outre, vous pouvez recevoir le message suivant dans le fichier journal ULS (Unified Logging Service) :

System.Data.SqlClient.SqlException... <operation type> autorisation refusée dans la base de données <database> . Table <table>

En plus de l’affichage d’un message d’erreur, vous pouvez vous retrouver dans l’incapacité d’effectuer les tâches suivantes :

  • Restaurer la sauvegarde d'une batterie de serveurs, car vous ne pouvez pas écrire dans une base de données

  • Mettre en service une instance de service ou une application web

  • Configurer les comptes gérés

  • Modifier les comptes gérés pour des applications web

  • Effectuer quelque action que ce soit sur une base de données, un compte géré ou un service faisant appel au site web Administration centrale

Dans certaines situations, les administrateurs de base de données peuvent vouloir opérer indépendamment des administrateurs SharePoint Server, et créer et gérer toutes les bases de données. C'est couramment le cas dans les environnements informatiques où les exigences en matière de sécurité et les politiques d'entreprise requièrent une séparation des rôles d'administrateur. L'administrateur de la batterie de serveurs indique les besoins relatifs à la base de données SharePoint Server à l'administrateur de base de données, qui crée ensuite les bases de données nécessaires et configure les connexions pour la batterie de serveurs.

Par défaut, l'administrateur de base de données dispose d'un accès complet à l'instance SQL Server, mais il a besoin d'autorisations supplémentaires pour accéder à SharePoint Server. Les administrateurs de base de données utilisent généralement Windows PowerShell 3.0 pour ajouter, créer, déplacer ou renommer les bases de données SharePoint et doivent donc être membres des comptes suivants :

  • Rôle serveur fixe Securityadmin sur l’instance SQL Server.

  • Rôle de base de données fixe db_owner sur toutes les bases de données de la batterie de serveurs SharePoint.

  • Groupe Administrateurs sur l'ordinateur sur lequel ils exécutent les applets de commande PowerShell.

En outre, il se peut que l'administrateur de base de données doive être membre du rôle SharePoint_Shell_Access pour accéder à la base de données de contenu SharePoint. Dans certains cas, il peut être conseillé pour l'administrateur de base de données d'ajouter le compte d'utilisateur d'installation au rôle db_owner.

Services et rôles SharePoint Server

De manière générale, vous devez supprimer l'autorisation de créer des bases de données aux comptes de service SharePoint Server. Aucun compte de service SharePoint Server ne doit avoir le rôle sysadmin sur l’instance SQL Server et aucun compte de service SharePoint Server ne doit être un administrateur local sur le serveur qui exécute SQL Server.

Pour plus d’informations sur les comptes SharePoint Server, reportez-vous à l’article Autorisations de compte et paramètres de sécurité dans SharePoint Server 2016.

Pour en savoir plus sur les comptes dans SharePoint Server 2013, consultez l'article Autorisations de compte et paramètres de sécurité dans SharePoint 2013.

La liste suivante fournit des informations sur le verrouillage des autres rôles et services SharePoint Server :

  • Rôle SharePoint_Shell_Access

    La suppression de ce rôle SQL Server enlève la possibilité d'écrire des entrées dans la base de données de configuration et de contenu, ainsi que la capacité à effectuer des tâches à l'aide de Microsoft PowerShell. Pour plus d'informations sur ce rôle, voir Add-SPShellAdmin.

  • Service du minuteur SharePoint (SPTimerV4)

    Nous vous recommandons de ne pas limiter les autorisations par défaut accordées au compte avec lequel ce service fonctionne et de ne jamais désactiver ce compte. Au lieu de cela, utilisez un compte d'utilisateur sécurisé, dont le mot de passe est peu diffusé, et laissez le service activé. Par défaut, ce service est installé lorsque vous installez SharePoint Server et il conserve les informations de cache de configuration. Si vous désactivez ce type de service, vous pouvez rencontrer les problèmes suivants :

    • Les travaux du minuteur ne seront pas exécutés

    • Les règles de l'analyseur d'intégrité ne seront pas exécutées.

    • La configuration de la batterie de serveurs et de la maintenance ne sera plus à jour.

  • Service d'administration SharePoint (SPAdminV4)

    Ce service effectue des changements automatiques requérant des droits d’administrateur local sur le serveur. Lorsque le service ne fonctionne pas, vous devez effectuer manuellement les modifications administratives de niveau serveur. Nous vous recommandons de ne pas limiter les autorisations par défaut accordées au compte avec lequel ce service fonctionne et de ne jamais désactiver ce compte. Au lieu de cela, utilisez un compte d’utilisateur sécurisé, dont le mot de passe est peu diffusé, et laissez le service activé. Si vous désactivez ce type de service, vous pouvez rencontrer les problèmes suivants :

    • Les travaux du minuteur d'administration ne seront pas exécutés.

    • Les fichiers de configuration web ne seront pas mis à jour.

    • Les groupes de sécurité et les groupes locaux ne seront pas mis à jour.

    • Les valeurs et les clés de Registre ne seront pas écrites.

    • Il peut être impossible de démarrer ou de redémarrer certains services.

    • La mise en service des services peut ne pas réussir à se terminer.

  • Service SPUserCodeV4

    Ce service permet à un administrateur de collection de sites de télécharger les solutions en mode bac à sable (sandbox) dans la galerie de solutions. Si vous n’utilisez pas les solutions en mode bac à sable, vous pouvez désactiver ce service.

  • Service d'émission de jetons Revendications vers Windows (C2WTS)

    Par défaut, ce service est désactivé. Le service C2WTS peut être requis pour un déploiement avec des services partagés Excel Services, PerformancePoint Services ou SharePoint qui doivent être traduits entre les jetons de sécurité SharePoint et les identités basées sur Windows. Par exemple, vous utilisez ce service pour configurer une délégation Kerberos contrainte afin d'accéder à des sources de données externes. Pour plus d'informations sur C2WTS, voir Planifier l'authentification Kerberos dans SharePoint Server.

Les fonctionnalités suivantes peuvent présenter des symptômes supplémentaires dans certaines circonstances :

  • Sauvegarde et restauration

    Les restaurations à partir d’une sauvegarde peuvent échouer si vous avez supprimé les autorisations d’accès aux bases de données.

  • Mise à niveau

    Le processus de mise à niveau démarre correctement, mais échoue si vous ne disposez pas des autorisations d’accès aux bases de données appropriées. Si votre entreprise utilise déjà un environnement basé sur les privilèges minimum, la solution consiste à passer à un environnement basé sur les meilleures pratiques pour terminer la mise à niveau, puis à revenir à l’environnement basé sur les privilèges minimum.

  • Mise à jour

    L’application d’une mise à jour logicielle à une batterie de serveurs réussira pour le schéma de la base de données de configuration, mais échouera pour la base de données de contenu et les services.

Éléments supplémentaires à prendre en compte dans le cas d’un environnement basé sur les privilèges minimum

Outre les considérations précédentes, vous devrez prendre en compte d’autres opérations. La liste suivante est incomplète. Sélectionnez les éléments à utiliser en fonction de vos besoins :

  • Compte d'utilisateur d'installation : ce compte est utilisé pour configurer chaque serveur d'une batterie. Il doit être membre du groupe Administrateurs sur chaque serveur de la batterie SharePoint Server. Pour plus d'informations sur ce compte, voir Comptes d'administration et de service de déploiement initial dans SharePoint Server.

  • Synchronization account - Pour SharePoint Server Server, ce compte sert à se connecter au service d'annuaire. Nous vous recommandons de ne pas limiter les autorisations par défaut accordées au compte avec lequel ce service fonctionne et de ne jamais désactiver ce compte. Utilisez plutôt un compte d'utilisateur sécurisé, dont le mot de passe est peu diffusé, et laissez le service activé. Ce compte requiert également l'autorisation Répliquer les changements de répertoire sur AD DS, qui permet au compte de lire les objets AD DS et de repérer les objets AD DS modifiés dans le domaine. Cette autorisation ne permet pas à un compte de créer, modifier ou supprimer des objets AD DS.

  • Compte de pool d'applications d'hôte de sites Mon site : il s'agit du compte avec lequel le pool d'applications de Site Mon site est exécuté. Pour configurer ce compte, vous devez être membre du groupe Administrateurs de batterie. Vous pouvez limiter les privilèges de ce compte.

  • Groupe d'utilisateurs prédéfini : la suppression du groupe d'utilisateurs de sécurité prédéfini ou la modification des autorisations peuvent avoir des conséquences imprévues. Nous vous recommandons de ne pas limiter les privilèges des comptes ou des groupes prédéfinis.

  • Autorisations de groupes : par défaut, le groupe SharePoint WSS_ADMIN_WPG a accès en lecture et en écriture aux ressources locales. Les emplacements de systèmes de fichiers WSS_ADMIN_WPG %WINDIR%\System32\drivers\etc\Hosts et %WINDIR%\Tasks sont nécessaires au bon fonctionnement de SharePoint Server. Si d'autres services ou applications sont exécutés sur un serveur, vous devrez peut-être tenir compte de la façon dont ils accèdent à l'emplacement des dossiers Tâches ou Hôtes. Pour plus d'informations sur les paramètres de compte pour SharePoint Server, voir Autorisations de compte et paramètres de sécurité dans SharePoint Server 2016.

    Pour plus d’informations sur les comptes dans SharePoint Server 2013, reportez-vous à l’article Autorisations de compte et paramètres de sécurité dans SharePoint Server 2013.

  • Modifier les autorisations d'un service : modifier une autorisation pour un service peut avoir des conséquences imprévues. Par exemple, si la clé de Registre HKLM\SYSTEM\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters a la valeur 0, le service User Code Host sera désactivé, ce qui entraînera l'arrêt du fonctionnement des solutions en mode bac à sable.

Voir aussi

Autres ressources

Configuration de privilèges minimum pour le gestionnaire de workflow avec SharePoint 2013