Pianificare la protezione avanzata (SharePoint Server 2010)

 

Si applica a: SharePoint Foundation 2010, SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo viene descritta la protezione avanzata per i ruoli dei server Web, dei server applicazioni e dei server di database di Microsoft SharePoint Server 2010 e vengono fornite indicazioni dettagliate sui requisiti specifici di protezione avanzata per porte, protocolli e servizi in Prodotti Microsoft SharePoint 2013.

Contenuto dell'articolo:

• Secure server snapshots

• Specific port, protocol, and service guidance

Snapshot sicuri dei server

In un ambiente server farm i singoli server hanno ruoli specifici. I consigli relativi alla protezione avanzata per tali server dipendono dal ruolo di ogni server. Questo articolo contiene snapshot sicuri per due categorie di ruoli dei server:

• Web server and application server roles

• Database server role

Gli snapshot sono divisi in categorie di configurazione comuni. Le caratteristiche definite per ogni categoria rappresentano lo stato di protezione avanzata ottimale per Prodotti Microsoft SharePoint 2013. Questo articolo non include indicazioni sulla protezione avanzata per altri prodotti software presenti nell'ambiente.

Ruoli dei server Web e dei server applicazioni

In questa sezione sono identificate le caratteristiche di protezione avanzata per i server Web e i server applicazioni. Alcune indicazioni riguardano applicazioni di servizio specifiche; in questi casi è necessario applicare le caratteristiche corrispondenti solo ai server che eseguono i servizi associati alle applicazioni di servizio specificate.

Categoria	Caratteristica
Servizi elencati nello snap-in MMC Servizi	Attivare i servizi seguenti: Condivisione file e stampanti Servizio informazioni sullo stato di ASP.NET (se si utilizza InfoPath Forms Services o Microsoft Project Server 2010) Servizio dello stato di visualizzazione (se si utilizza InfoPath Forms Services) Servizio Pubblicazione sul Web Accertarsi che questi servizi non siano disattivati: Attestazioni per il servizio token Windows SharePoint 2010 Administration Timer di SharePoint 2010 Servizio di traccia di SharePoint 2010 SharePoint 2010 VSS Writer Accertarsi che questi servizi non siano disattivati nei server che ospitano i ruoli corrispondenti: Host codice utente di SharePoint 2010 Servizio di ricerca di Windows SharePoint Foundation V4 Servizio di ricerca di SharePoint Server 14 I servizi seguenti sono necessari per l'Applicazione servizio profili utente nel server che importa i profili dall'archivio directory: Servizio Forefront Identity Manager Servizio Forefront Identity Manager Synchronization
Porte e protocolli	TCP 80, TCP 443 (SSL) Porte personalizzate per la ricerca per indicizzazione, se configurate Servizio Condivisione file e stampanti. Uno dei protocolli seguenti, utilizzati dai ruoli di ricerca: SMB con hosting diretto (TCP/UDP 445). Porta consigliata NetBIOS su TCP/IP (NetBT) (porte TCP/UDP 137, 138, 139). Porta da disattivare se non utilizzata Porte necessarie per la comunicazione tra server Web e applicazioni di servizio (il valore predefinito è HTTP): Binding HTTP: 32843 Binding HTTPS: 32844 Binding net.tcp: 32845 (solo se questa opzione è stata implementata da terzi per un'applicazione di servizio) Porte necessarie per la sincronizzazione dei profili tra Prodotti SharePoint 2010 e Active Directory nel server che esegue l'agente Forefront Identity Management: TCP/5725 TCP/UDP 389 (servizio LDAP) TCP/UDP 88 (Kerberos) TCP/UDP 53 (DNS) UDP 464 (Kerberos: Modifica password) Per informazioni su come sincronizzare i profili con altri archivi directory, vedere User Profile service hardening requirements più avanti in questo articolo. Porta UDP 1434 e porta TCP 1433. Porte predefinite per la comunicazione con SQL Server. Se queste porte sono bloccate nel computer di SQL Server (impostazione consigliata) e i database sono installati in un'istanza denominata, configurare un alias per il client di SQL Server per la connessione all'istanza denominata. TCP/IP 32846 per il servizio codice utente di Microsoft SharePoint Foundation (per soluzioni sandbox). Questa porta deve essere aperta per le connessioni in uscita in tutti i server Web. Questa porta deve essere aperta per le connessioni in ingresso nei server Web o nei server applicazioni dove è attivato il servizio. Verificare che le porte rimangano aperte per le applicazioni Web accessibili all'utente. Bloccare l'accesso esterno alla porta utilizzata per il sito Amministrazione centrale. TCP/25 (SMTP per l'integrazione della posta elettronica)
Registro di sistema	Nessuna indicazione aggiuntiva
Controllo e registrazione	Se i file di registro vengono spostati, verificare che i percorsi corrispondenti vengano aggiornati. Aggiornare inoltre gli elenchi di controllo di accesso alle directory (ACL).
Sicurezza dall'accesso di codice	Verificare che sia attivato un insieme minimo di autorizzazioni per la sicurezza dall'accesso di codice per l'applicazione Web. L'elemento <trust> nel file Web.config per ogni applicazione Web deve essere impostato su WSS_Minimal, dove i valori bassi predefiniti di WSS_Minimal corrispondono a quelli definiti in 14\config\wss_minimaltrust.config oppure nel file dei criteri personalizzato dell'utente, impostato su valori minimi.
Web.config	Attenersi ai consigli seguenti per ogni file Web.config creato dopo l'esecuzione del programma di installazione: Non consentire la compilazione o la creazione di script di pagine di database tramite gli elementi PageParserPaths. Verificare che <SafeMode> CallStack=""false"" e AllowPageLevelTrace=""false"". Verificare che i limiti delle web part relativi al numero massimo di controlli per area siano impostati su valori bassi. Verificare che l'elenco SafeControls sia impostato sull'insieme minimo di controlli necessari per i siti. Verificare che l'elenco SafeTypes del flusso di lavoro sia impostato sul livello minimo di SafeTypes necessari. Verificare che customErrors sia attivato (<customErrors mode=""On""/>). Esaminare le impostazioni del proxy Web in base alla necessità (<sistema.net>/<Proxypredefinito>). Impostare il limite per Upload.aspx sulla dimensione più elevata che si può ragionevolmente prevedere che gli utenti carichino. Il valore predefinito è 2 GB. Le prestazioni possono essere influenzate negativamente da caricamenti superiori a 100 MB.

Ruolo del server di database

La raccomandazione principale per Prodotti SharePoint 2010 è di proteggere le comunicazioni tra farm bloccando le porte predefinite utilizzate per le comunicazioni con Microsoft SQL Server e definendo in sostituzione porte personalizzate per queste comunicazioni. Per ulteriori informazioni sulla configurazione delle porte per le comunicazioni con SQL Server, vedere Blocking the standard SQL Server ports più avanti in questo articolo.

Categoria	Caratteristica
Porte	Bloccare la porta UDP 1434. Valutare la possibilità di bloccare la porta TCP 1433.

In questo articolo non viene descritto come proteggere SQL Server. Per ulteriori informazioni sulla protezione di SQL Server, vedere Protezione di SQL Server (https://go.microsoft.com/fwlink/?linkid=186828&clcid=0x410).

Indicazioni specifiche su porte, protocolli e servizi

Nella parte rimanente di questo articolo vengono descritti più dettagliatamente i requisiti specifici di protezione avanzata per i Prodotti SharePoint 2010.

Contenuto della sezione:

• Blocking the standard SQL Server ports

• Service application communication

• File and Printer Sharing service requirements

• User Profile service hardening requirements

• Connections to external servers

• Service requirements for e-mail integration

• Service requirements for session state

• SharePoint 2010 Products services

• Web.config file

Blocco delle porte standard di SQL Server

Le porte specifiche utilizzate per la connessione a SQL Server cambiano a seconda che i database siano installati in un'istanza predefinita di SQL Server o in un'istanza denominata di SQL Server. L'istanza predefinita di SQL Server è in ascolto di richieste client sulla porta TCP 1433. Un'istanza denominata di SQL Server è in ascolto su un numero di porta assegnato in modo casuale. Il numero di porta per un'istanza denominata può essere inoltre riassegnato in caso di riavvio dell'istanza, a seconda della disponibilità del numero di porta assegnato in precedenza.

Per impostazione predefinita, i computer client che si connettono a SQL Server utilizzano inizialmente la porta TCP 1433 per la connessione. Se tale comunicazione ha esito negativo, i computer client eseguono una query nel Servizio di risoluzione di SQL Server in ascolto sulla porta UDP 1434 per determinare su quale porta è in ascolto l'istanza del database.

Il comportamento predefinito per la comunicazione tra le porte di SQL Server presenta alcuni problemi che influiscono sulla protezione avanzata del server. Le porte utilizzate da SQL Server, innanzitutto, sono porte molto note e il Servizio di risoluzione di SQL Server è stato oggetto di attacchi di sovraccarico del buffer e attacchi Denial of Service, incluso il virus worm "Slammer". Anche se si aggiorna SQL Server per ridurre i problemi di sicurezza nel Servizio di risoluzione di SQL Server, le porte note rimangono esposte ad attacchi. In secondo luogo, se i database sono installati in un'istanza denominata di SQL Server, la porta di comunicazione corrispondente viene assegnata in modo casuale e può cambiare. Questo comportamento potrebbe impedire la comunicazione tra server in un ambiente con protezione avanzata. La possibilità di controllare quali porte TCP debbano essere aperte o bloccate è essenziale per la protezione dell'ambiente.

Per una server farm è pertanto consigliabile assegnare numeri di porta statici alle istanze denominate di SQL Server e bloccare la porta UDP 1434 per impedire a potenziali utenti malintenzionati di accedere al Servizio di risoluzione di SQL Server. È inoltre consigliabile prendere in considerazione la riassegnazione della porta utilizzata dall'istanza predefinita e il blocco della porta TCP 1433.

Sono disponibili diversi metodi per il blocco delle porte. È possibile bloccare le porte utilizzando un firewall. Tuttavia, se non si ha la certezza che non siano disponibili altri percorsi di accesso al segmento di rete e che nessun utente malintenzionato disponga di accesso al segmento di rete, è consigliabile bloccare tali porte direttamente nel server che ospita SQL Server. A tale scopo, utilizzare Windows Firewall nel Pannello di controllo.

Configurazione delle istanze del database di SQL Server per l'ascolto su una porta non standard

In SQL Server è possibile riassegnare le porte utilizzate dall'istanza predefinita e da eventuali istanze denominate. In SQL Server 2005 e SQL Server 2008 le porte vengono riassegnate tramite Gestione configurazione SQL Server.

Configurazione degli alias per i client di SQL Server

In una server farm tutti i server Web front-end e i server applicazioni sono computer client di SQL Server. Se si blocca la porta UDP 1434 nel computer di SQL Server o si modifica la porta predefinita per l'istanza predefinita, è necessario configurare un alias per i client di SQL Server in tutti i server che si connettono al computer di SQL Server.

Per effettuare la connessione a un'istanza di SQL Server 2005 o SQL Server 2008, è necessario installare i componenti client di SQL Server nel computer di destinazione e quindi configurare l'alias per i client di SQL Server utilizzando Gestione configurazione SQL Server. Per installare i componenti client di SQL Server, eseguire il programma di installazione e quindi selezionare per l'installazione solo i componenti client seguenti:

• Componenti di connettività

• Strumenti di gestione (incluso Gestione configurazione SQL Server)

Per i passaggi per la protezione avanzata specifici per il blocco delle porte SQL standard, vedere Applicare a SQL Server la protezione avanzata per gli ambienti SharePoint (SharePoint Server 2010).

Comunicazione con le applicazioni di servizio

Per impostazione predefinita, la comunicazione tra server Web e applicazioni di servizio in una farm avviene tramite il protocollo HTTP con un binding alla porta 32843. Quando si pubblica un'applicazione di servizio, è possibile selezionare HTTP o HTTPS con i binding seguenti:

• Binding HTTP: porta 32843

• Binding HTTPS: porta 32844

Le terze parti che sviluppano applicazioni di servizio possono inoltre implementare una terza opzione:

• Binding net.tcp: porta 32845

È possibile modificare il binding tra protocollo e porta per ogni applicazione di servizio. Nella pagina Applicazioni di servizio di Amministrazione centrale selezionare l'applicazione di servizio e quindi fare clic su Pubblica.

La comunicazione tra le applicazioni di servizio e SQL Server avviene attraverso le porte standard di SQL Server o le porte configurate per la comunicazione con SQL Server.

Requisiti del servizio Condivisione file e stampanti

Alcune caratteristiche di base dipendono dal servizio Condivisione file e stampanti e dai protocolli e dalle porte corrispondenti, incluse tra le altre le caratteristiche seguenti:

• Query di ricerca   Tutte le query di ricerca necessitano del servizio Condivisione file e stampanti.

• Ricerca per indicizzazione e indicizzazione del contenuto   Per eseguire la ricerca per indicizzazione del contenuto, i server che contengono componenti di ricerca per indicizzazione inviano richieste mediante il server Web front-end. Il server Web front-end comunica direttamente con i database del contenuto e restituisce i risultati ai server che contengono componenti di ricerca per indicizzazione. Per tale comunicazione è necessario il servizio Condivisione file e stampanti.

• Propagazione degli indici   Se un'applicazione servizio di ricerca è configurata con componenti di ricerca per indicizzazione e componenti di query distribuiti su più server, i server con componenti di ricerca per indicizzazione copiano i file di indice del contenuto nei server con componenti di query. Per questa azione sono necessari il servizio Condivisione file e stampanti e i protocolli e le porte corrispondenti.

Per il servizio Condivisione file e stampanti sono necessarie le named pipe, che possono comunicare tramite protocollo SMB con hosting diretto o NetBT. Per la sicurezza dell'ambiente, è consigliabile utilizzare SMB con hosting diretto invece di NetBT. Nelle indicazioni relative alla protezione avanzata disponibili in questo articolo si presuppone che venga utilizzato il protocollo SMB.

Nella tabella seguente vengono illustrati i requisiti relativi alla protezione avanzata derivanti dalla dipendenza dal servizio Condivisione file e stampanti.

Categoria	Requisiti	Note
Servizi	Condivisione file e stampanti	Utilizzo obbligatorio di named pipe.
Protocolli	Named pipe che utilizzano SMB con hosting diretto Disattivare NetBT	Le named pipe possono utilizzare il protocollo NetBT invece del protocollo SMB con hosting diretto. Il protocollo NetBT, tuttavia, non è considerato sicuro quanto il protocollo SMB con hosting diretto.
Porte	Uno dei seguenti: SMB con hosting diretto (TCP/UDP 445). Consigliato NetBT (porte TCP/UDP 137, 138, 139)	Disattivare NetBT (porte 137, 138 e 139) se non utilizzato

Per ulteriori informazioni su come disattivare NetBT, vedere l'articolo 204279 della Microsoft Knowledge Base, Hosting diretto di SMB su TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x410).

Requisiti di protezione avanzata del servizio profili utente

L'applicazione servizio profili utente utilizza l'agente Forefront Identity Management per sincronizzare i profili tra Prodotti SharePoint 2010 e Active Directory o un servizio directory LDAP (Lightweight Directory Access Protocol). L'agente Forefront Identity Management è installato in tutti i server in una farm di SharePoint, ma è necessario solo nel server configurato per la sincronizzazione con l'archivio directory.

L'agente Forefront Identity Management include i due servizi seguenti, che devono restare attivati nel server configurato per la ricerca per indicizzazione di Active Directory o di un altro archivio directory:

• Servizio Forefront Identity Manager

• Servizio Forefront Identity Manager Synchronization

È inoltre necessario che la porta TCP 5725 sia aperta nel server che esegue l'agente Forefront Identity Management e che è configurato per la ricerca per indicizzazione di un archivio directory.

Negli ambienti Active Directory, devono rimanere aperte le porte seguenti per la comunicazione tra il server di Prodotti SharePoint 2010 che esegue la sincronizzazione con l'archivio directory e il server che esegue Active Directory:

• TCP/UDP 389 (servizio LDAP)

• TCP/UDP 88 (Kerberos)

• TCP/UDP 53 (DNS)

• UDP 464 (Kerberos: Modifica password)

Per ulteriori informazioni sui requisiti di protezione avanzata per l'agente Forefront Identity Management, inclusi i requisiti relativi alle porte per altri tipi di directory, vedere Porte di comunicazione, diritti e autorizzazioni dell'agente di gestione (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=186832&clcid=0x410).

Connessioni a server esterni

È possibile configurare varie caratteristiche di SharePoint Server 2010 per l'accesso a dati che risiedono in computer server all'esterno della server farm. Se si configura l'accesso a dati che si trovano in server esterni, assicurarsi di consentire le comunicazioni tra i computer appropriati. Nella maggior parte dei casi, le porte, i protocolli e i servizi utilizzati dipendono dalla risorsa esterna. Ad esempio:

• Per le connessioni a condivisioni file viene utilizzato il servizio Condivisione file e stampanti.

• Per le connessioni a database di SQL Server esterni si utilizzano le porte predefinite o personalizzate per la comunicazione con SQL Server.

• Per le connessioni a database Oracle si utilizza in genere OLE DB.

• Per le connessioni a servizi Web si utilizzano i protocolli HTTP e HTTPS.

Nella tabella seguente sono elencate le caratteristiche che è possibile configurare per l'accesso a dati memorizzati in computer server all'esterno della server farm.

Caratteristica	Descrizione
Ricerca per indicizzazione del contenuto	È possibile configurare regole di ricerca per indicizzazione per eseguire la ricerca per indicizzazione di dati che risiedono in risorse esterne, inclusi siti Web, condivisioni file, cartelle pubbliche di Exchange e applicazioni per dati business. Quando si esegue la ricerca per indicizzazione di origini dati esterne, il ruolo ricerca per indicizzazione comunica direttamente con tali risorse esterne. Per ulteriori informazioni, vedere Pianificare la ricerca per indicizzazione di contenuto (Office SharePoint Server) [https://technet.microsoft.com/it-it/library/cc262926.aspx].
Connessioni al servizio di integrazione applicativa dei dati	I server Web e i server applicazioni comunicano direttamente con i computer configurati per le connessioni al servizio di integrazione applicativa dei dati. Per ulteriori informazioni, vedere Pianificare le connessioni dei dati business al Catalogo dati business [https://technet.microsoft.com/it-it/library/cc263252.aspx].
Ricezione di cartelle di lavoro di Microsoft Office Excel	In presenza di cartelle di lavoro aperte nell'applicazione Excel Services che si connettono a origini dati esterne, ad esempio Analysis Services e SQL Server, è necessario aprire le porte TCP/IP appropriate per consentire la connessione a tali origini dati esterne. Per ulteriori informazioni, vedere Pianificare le connessioni a dati esterni per Excel Services [https://technet.microsoft.com/it-it/library/cc262899.aspx]. Se i percorsi UNC (Universal Naming Convention) sono configurati come percorsi attendibili nell'applicazione Excel Services, il ruolo applicazione Servizi di calcolo Excel utilizza i protocolli e le porte utilizzate dal servizio Condivisione file e stampanti per la ricezione delle cartelle di lavoro di Office Excel su un percorso UNC. Le cartelle di lavoro archiviate in database del contenuto oppure caricate o scaricate dai siti dagli utenti non sono interessate da queste comunicazioni.

Requisiti del servizio per l'integrazione della posta elettronica

Per l'integrazione della posta elettronica è necessario utilizzare i due servizi seguenti:

• SMTP service

• Microsoft SharePoint Directory Management service

Servizio SMTP

L'integrazione della posta elettronica richiede l'utilizzo del servizio SMTP (Simple Mail Transfer Protocol) in almeno uno dei server Web front-end della server farm. Il servizio SMTP è necessario per la posta in arrivo. Per la posta in uscita, è possibile utilizzare il servizio SMTP oppure instradare la posta in uscita attraverso un server di posta elettronica dedicato nell'organizzazione, ad esempio un computer che esegue Microsoft Exchange Server.

Servizio di gestione directory di Microsoft SharePoint

Prodotti SharePoint 2010 include un servizio interno, il Servizio di gestione directory di Microsoft SharePoint, per la creazione di gruppi di distribuzione della posta elettronica. Durante la configurazione dell'integrazione della posta elettronica è possibile attivare la caratteristica Servizio di gestione directory, che consente agli utenti di creare liste di distribuzione. Quando gli utenti creano un gruppo di SharePoint e quindi selezionano l'opzione per la creazione di una lista di distribuzione, il Servizio di gestione directory di Microsoft SharePoint crea la lista di distribuzione di Active Directory corrispondente nell'ambiente Active Directory.

Negli ambienti con protezione avanzata è consigliabile limitare l'accesso al Servizio di gestione directory di Microsoft SharePoint proteggendo il file associato a tale servizio, ovvero SharePointEmailws.asmx. Ad esempio, è possibile consentire l'accesso a questo file solo all'account della server farm.

Questo servizio necessita inoltre di autorizzazioni nell'ambiente Active Directory per creare oggetti lista di distribuzione di Active Directory. È consigliabile configurare un'unità organizzativa distinta in Active Directory per gli oggetti di Prodotti SharePoint 2010 e fare in modo che solo tale unità organizzativa consenta l'accesso in scrittura all'account utilizzato dal Servizio di gestione directory di Microsoft SharePoint.

Requisiti del servizio per lo stato della sessione

Sia Project Server 2010 che InfoPath Forms Services conservano lo stato della sessione. Se si distribuiscono queste caratteristiche o questi prodotti nella server farm, non disattivare il servizio informazioni sullo stato di ASP.NET. Se si distribuisce InfoPath Forms Services, è inoltre necessario non disattivare il servizio dello stato di visualizzazione.

Servizi di Prodotti SharePoint 2010

Non disattivare i servizi installati da Prodotti SharePoint 2010 (elencati in precedenza nello snapshot).

Se l'ambiente in uso non consente servizi eseguiti come sistema locale, si può prendere in considerazione la disattivazione del servizio SharePoint 2010 Administration solo se si è consapevoli delle conseguenze e si è in grado di gestirle. Si tratta di un servizio Win32 eseguito come sistema locale.

Questo servizio viene utilizzato dal servizio Timer di SharePoint 2010 per eseguire azioni che necessitano di autorizzazioni amministrative nel server, ad esempio la creazione di siti Web Internet Information Services (IIS), la distribuzione di codice e l'arresto e l'avvio di servizi. Se si disattiva questo servizio, non sarà possibile completare attività correlate alla distribuzione dal sito Amministrazione centrale. Sarà necessario utilizzare Windows PowerShell per eseguire il cmdlet Start-SPAdminJob oppure lo strumento da riga di comando Stsadm.exe per eseguire l'operazione execadmsvcjobs per completare distribuzioni multiserver per Prodotti SharePoint 2010 e per eseguire altre attività correlate alla distribuzione.

File Web.config

In .NET Framework e in particolare in ASP.NET vengono utilizzati file di configurazione in formato XML per la configurazione di applicazioni. I file di configurazione vengono utilizzati in .NET Framework per definire le opzioni di configurazione. Si tratta di file XML basati su testo. In genere, in un singolo sistema esistono più file di configurazione.

Le impostazioni di configurazione a livello di sistema per .NET Framework sono definite nel file Machine.config, che si trova nella cartella %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. Le impostazioni predefinite incluse nel file Machine.config possono essere modificate per influire sul comportamento di applicazioni che utilizzano .NET Framework nell'intero sistema.

Se si crea un file Web.config nella cartella radice dell'applicazione, è possibile modificare le impostazioni di configurazione di ASP.NET per una singola applicazione. Quando si esegue tale operazione, le impostazioni nel file Web.config sostituiscono le impostazioni incluse nel file Machine.config.

Quando si estende un'applicazione Web utilizzando Amministrazione centrale, Prodotti SharePoint 2010 crea automaticamente un file Web.config per l'applicazione Web.

Nello snapshot Server Web e server applicazioni presentato in precedenza in questo articolo sono disponibili consigli per la configurazione dei file Web.config, da applicare a ogni file Web.config creato, incluso il file Web.config per il sito Amministrazione centrale.

Per ulteriori informazioni sui file di configurazione di ASP.NET e sulla modifica di un file Web.config, vedere Configurazione ASP.NET (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x410).