Planejamento para administração de privilégios mínimos no SharePoint Server

APLICA-SE A: yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

O conceito de administração com privilégios mínimos consiste em atribuir aos usuários as permissões mínimas exigidas para que os mesmos finalizem as tarefas autorizadas. O objetivo da administração com privilégios mínimos é configurar e ajudar a manter o controle seguro de um ambiente. Como resultado a conta na qual um serviço está sendo executado terá acesso apenas aos recursos que são necessários.

Recomendamos que você faça a implantação SharePoint Server com a administração de privilégios mínimos mesmo que esta implantação possa resultar em maiores custos operacionais já que podem ser necessários recursos adicionais para manter este nível de administração. Além disso, solucionar problemas de segurança pode tornar-se algo mais complexo.

Introdução

As organizações implementam a administração com privilégios mínimos para atingir uma segurança melhor do que aquela que conseguiriam com as recomendações normais. Apenas uma pequena porcentagem das organizações exigem este nível elevado de segurança por causa dos custos de recurso de manter uma administração com privilégios mínimos. Entre as implantações que podem exigir este nível elevado de segurança estão as agências governamentais, organizações de segurança e organizações na indústria de serviços financeiros. A implementação de um ambiente com privilégios mínimos não deve ser confundida com as práticas recomendadas. Em um ambiente com privilégios mínimos, os administradores implementam as práticas recomendadas junto com níveis elevados de segurança.

Ambiente com privilégios mínimos para contas e serviços

Para planejar uma administração com privilégios mínimos, você deve considerar várias contas, funções e serviços. Alguns são aplicáveis ao SQL Server e outros são aplicáveis ao SharePoint Server. Como os administradores bloqueiam contas e serviços adicionais, os custos operacionais diários provavelmente aumentarão.

Funções do SQL Server

Em um ambiente SharePoint Server , várias contas podem receber as duas funções no nível do servidor a seguir do SQL Server. Em um ambiente com privilégios mínimos do SharePoint Server, recomendamos que você use conceda estes privilégios somente para a conta na qual o Serviço de Timer do Fluxo de Trabalho do Microsoft SharePoint Foundation estiver sendo executado. Normalmente, o serviço de timer é executado na conta do farm do servidor. Para operações do dia-a-dia, recomendamos que você remova as duas funções a seguir de nível do servidor SQL Server de todas as outras contas que são usadas para a administração do SharePoint:

  • Dbcreator - membros da função de servidor fixa dbcreator podem criar, alterar, remover ou restaurar qualquer banco de dados.

  • Securityadmin - Membros da função de servidor fixa securityadmin gerenciam logons e suas propriedades. Eles podem CONCEDER, NEGAR ou REVOGAR permissões no nível do servidor. Eles podem também CONCEDER, NEGAR e REVOGAR permissões no nível do banco de dados se os mesmos tiverem acesso ao banco de dados. Além disso, eles podem redefinir senhas para logons do SQL Server.

Observação

A capacidade de conceder acesso ao mecanismo de banco de dados e configurar permissões de usuário permite que o securityadmin atribua a maioria das permissões do servidor. Você deve tratar a função securityadmin como se fosse a função sysadmin.

Para saber mais sobre as funções no nível do servidor do SQL Server, confira Funções do Nível do Servidor.

Se você remover uma ou mais destas funções do SQL Server, você pode receber mensagens de erro "Inesperado" no web site Administração Central. Além disso, você pode receber a seguinte mensagem no arquivo de log do Serviço de Log Unificado (ULS):

System.Data.SqlClient.SqlException... <operation type> permissão negada no banco de dados <database>. Tabela <table>

Além da mensagem de erro que será exibida, você pode não ser capaz de realizar as seguintes tarefas:

  • Restaurar um backup de um farm porque você não pode escrever em um banco de dados

  • Provisionar uma instância de serviço ou aplicativo web

  • Configurar contas gerenciadas

  • Alterar contas gerenciadas para aplicativos web

  • Realizar qualquer ação em qualquer banco de dados, conta gerenciada ou serviço que exija o web site Administração Central

Em certas situações, os administradores de bancos de dados (DBAs) podem querer operar de forma independente em relação aos administradores do SharePoint Server criando e gerenciando todos os bancos de dados. Isso é normal em ambientes de TI onde os requisitos de segurança e as políticas da empresa exigem uma separação das funções de administrador. O administrador do farm fornece os requisitos do banco de dados SharePoint Server para o DBA que, por sua vez, cria os bancos de dados necessários e define os logons exigidos para o farm.

Por padrão, o DBA possui acesso total à instância do SQL Server, mas precisa de permissões adicionais para acessar o SharePoint Server. Os DBAs normalmente usam o Windows PowerShell 3.0 ao adicionar, criar, mover ou renomear os bancos de dados do SharePoint, então eles precisam ser um membro das seguintes contas:

  • A função de servidor fixa securityadmin na instância do SQL Server.

  • Db_owner função de servidor fixa em todos os bancos de dados no farm do SharePoint.

  • Grupo de administradores no computador no qual os cmdlets do PowerShell são executados.

Além disso, o DBA pode ter que ser um membro da função SharePoint_Shell_Access para acessar o banco de dados de conteúdo. Em algumas situações, o DBA pode querer adicionar Configurar a conta de usuário para a função db_owner.

Funções e serviços do SharePoint Server

Em geral, você deve remover a capacidade de criar novos bancos de dados das contas de serviço do SharePoint Server. Nenhuma conta de serviço do SharePoint Server deve ter a função sysadmin na instância do SQL Server e nenhuma conta de serviço do SharePoint Server deve ser um Administrador local no servidor que executa o SQL Server.

Para saber mais sobre contas do SharePoint Server, confira Permissões de conta e configurações de segurança no SharePoint Server 2016.

Para ver dados da conta no SharePoint Server 2013, confira Permissões de conta e configurações de segurança no SharePoint 2013.

A lista a seguir fornece informações sobre o bloqueio de outras funções e serviços do SharePoint Server:

  • SharePoint_Shell_Access role

    Ao remover esta função do SQL Server, você remove a capacidade de escrever entradas na configuração e no banco de dados de conteúdo e a capacidade de realizar qualquer tarefa usando o Microsoft PowerShell. Para mais informações sobre esta função, consulte Add-SPShellAdmin.

  • Serviço de temporizador do SharePoint (SPTimerV4)

    Recomendamos que você não limite as permissões padrões concedidas à conta na qual este serviço está sendo executado e que você nunca desative esta conta. Ao invés disso, use uma conta de usuário segura, para a qual a senha não é amplamente conhecida e deixe o serviço executando. Por padrão, este serviço é instalado quando você instala o SharePoint Server e mantém as informações de cache da configuração. Se você definir tipo de serviço como desativado você pode experimentar o seguinte comportamento:

    • Os trabalhos do temporizador não serão executados

    • As regras do analisador de Saúde não serão executadas

    • A manutenção e a configuração do farm ficarão desatualizadas

  • SharePoint Administration service (SPAdminV4)

    Este serviço realiza alterações automáticas que exigem permissão do administrador local no servidor. Quando este serviço não estiver sendo executado, você deve processar as alterações administrativas no nível do servidor manualmente. Recomendamos que você não limite as permissões padrões concedidas à conta na qual este serviço está sendo executado e que você nunca desative esta conta. Ao invés disso, use uma conta de usuário segura, para a qual a senha não é amplamente conhecida e deixe o serviço executando. Se você definir tipo de serviço como desativado você pode experimentar o seguinte comportamento:

    • Os trabalhos do temporizador administrativo não serão executados

    • Os arquivos de configuração web não serão atualizados

    • Os grupos locais e de segurança não serão atualizados

    • As chaves e valores de registro não serão escritos

    • Pode ser que os serviços não consigam iniciar ou reiniciar

    • O provisionamento de serviços pode não ser finalizado

  • SPUserCodeV4 Service

    Este serviço permite que um administrador de coleção de sites carregue soluções em área restrita para a galeria de Soluções. Se você não estiver soluções em área restrita, você pode desativar este serviço.

  • Declarações para o Serviço de Tokens do Windows (C2WTS)

    Por padrão, este serviço está desativado. O serviço C2WTS pode ser necessário para uma implantação com serviços do Excel, PerformancePoint Services ou serviços compartilhados do SharePoint que devem ser convertidos entre tokens de segurança do SharePoint e identidades baseadas no Windows. Por exemplo, você usa este serviço quando você configura a delegação restrita Kerberos para acessar as fontes de dados externas. Para informações sobre C2WTS, consulte Planejar a autenticação Kerberos no SharePoint Server.

Os recursos a seguir podem ter outros sintomas sob determinadas circunstâncias:

  • Backup and restore

    A capacidade de realizar uma restauração a partir de um pode falhar se você tiver removido as permissões do banco de dados.

  • Upgrade

    O processo de atualização inicia corretamente, mas depois falha se você não possuir as permissões adequadas para os bancos de dados. Se a sua organização já está em um ambiente com privilégios mínimos, a solução é ir para um ambiente de práticas recomendadas para finalizar a atualização e depois voltar para um ambiente com privilégios mínimos.

  • Atualizar

    A capacidade de aplicar uma atualização de software para um farm será possível para o esquema de banco de dados de configuração, mas falhará nos serviços e no banco de dados de conteúdo.

Fatores adicionais a serem considerados para um ambiente com privilégios mínimos

Além das considerações anteriores, você deve considerar também mais operações. A lista a seguir está incompleta. Selecione os itens de acordo com os seus critérios:

  • Configurar conta de usuário - Esta conta é usada para configurar cada servidor em um farm. A conta deve ser um membro do grupo de Administradores em cada servidor no farm do SharePoint Server. Para mais informações sobre esta conta, consulte Implantação inicial de contas de serviço e administrativas no SharePoint Server.

  • Synchronization account - Para o SharePoint Server Server, esta conta é usada para fazer conexão com o serviço de diretório. Recomendamos que você não limite as permissões padrão concedidas à conta em que esse serviço é executado e que nunca desative essa conta. Em vez disso, use uma conta de usuário segura, para a qual a senha não é amplamente conhecida, e deixe o serviço em execução. Essa conta também exige a permissão Replicar Alterações no Diretório no AD DS, o que permite que a conta leia objetos do AD DS e descubra objetos do AD DS que foram alterados no domínio. Conceder a permissão Replicar Alterações no Diretório não faz com que uma conta possa criar, alterar ou excluir objetos do AD DS.

  • Conta do pool de aplicativos do host de Meu Site - Esta é conta na qual o pool de aplicativos do Meu Site é executado. Para configurar esta conta, você deve ser um membro do grupo de Administradores do Farm. Você pode limitar os privilégios para esta conta.

  • Grupo interno de usuários - Ao remover o grupo de segurança interno de usuários ou alterar as permissões você pode sofrer consequências inesperadas. Recomendamos que você não limite os privilégios para quaisquer grupos ou contas internas.

  • Permissões de grupo - Por padrão o grupo do SharePoint WSS_ADMIN_WPG possui direito de leitura e escrita aos recursos locais. As localizações no sistema do arquivo WSS_ADMIN_WPG, %WINDIR%\System32\drivers\etc\Hosts e %WINDIR%\Tasks são necessários SharePoint Server para um funcionamento apropriado. Se outros serviços ou aplicativos estiverem sendo executados em um servidor, você pode ter que considerar como eles acessam as localizações das Tarefas ou Hosts. Para informações adicionais sobre configurações de conta para o SharePoint Server, consulte Permissões de conta e configurações de segurança no SharePoint Server 2016.

    Para saber mais sobre contas no SharePoint Server 2013, confira Permissões de conta e configurações de segurança no SharePoint Server 2013.

  • Alterar permissão de um serviço - Uma alteração na permissão de um serviço podem ter consequências inesperadas. Por exemplo, se a chave de registro a seguir, HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters, possuir o valor 0, o serviço do Host de Código de Usuário será desativado o que faria com que as soluções em área restrita parassem de funcionar.

Confira também

Outros recursos

Configuração de Privilégios Mínimos para o Gerenciador do Fluxo de Trabalho com SharePoint 2013