Plan security hardening for SharePoint Server
APLICA-SE A:
2013 2019 Subscription Edition 
SharePoint no Microsoft 365
Instantâneos seguros do servidor
Em um ambiente de farm de servidores, servidores individuais têm funções específicas. As recomendações de endurecimento de segurança para esses servidores dependem da função que cada servidor desempenha. Este artigo contém instantâneos seguros para duas categorias de funções de servidor:
Servidores do SharePoint
Os instantâneos são divididos em categorias de configuração comuns. As características definidas para cada categoria representam o estado de endurecimento ideal para o SharePoint Server. Este artigo não inclui orientações de proteção para outro software no ambiente.
Além dos servidores de proteção para funções específicas, é importante proteger o farm do SharePoint posicionando um firewall entre os servidores do farm e as solicitações externas. A orientação deste artigo pode ser usada para configurar um firewall.
Servidores do SharePoint
Esta seção identifica características de endurecimento para servidores do SharePoint. Algumas das diretrizes se aplicam a aplicativos de serviço específicos; Nesses casos, as características correspondentes precisam ser aplicadas somente nos servidores que estão executando os serviços associados aos aplicativos de serviço especificados.
| Categoria | Característica |
|---|---|
| Serviços listados no snap-in MMC de serviços |
Habilite os seguintes serviços: ASP.NET Serviço de Estado (se você estiver usando InfoPath Forms Services ou Project Server 2016) Exibir serviço de estado (se você estiver usando InfoPath Forms Services) Serviço de Publicação na World Wide Web Certifique-se de que estes serviços não estejam desabilitados: Declarações para Serviço de Token do Windows Administração do SharePoint Serviço de timer do SharePoint Serviço de rastreamento do SharePoint Gravador VSS do SharePoint Certifique-se de que estes serviços não estejam desabilitados nos servidores que hospedam as funções correspondentes: Serviço de cache do AppFabric Host do código de usuário do SharePoint Controlador do host de pesquisa do SharePoint Pesquisa do SharePoint Server Portas e protocolos |
| TCP 80, TCP 443 (SSL) Portas personalizadas para rastreamento de pesquisa, se configurado (como para rastrear um compartilhamento de arquivo ou site em uma porta não padrão) Portas usadas pelo componente do índice de pesquisa – TCP 16500-16519 (apenas dentro do farm) Portas exigidas para o serviço de cache do AppFabric – TCP 22233-22236 Portas exigidas para comunicação com o Windows Communication Foundation – TCP 808 Portas necessárias para comunicação entre servidores do SharePoint e aplicativos de serviço (o padrão é HTTP): Associação HTTP: TCP 32843 Associação HTTPS: TCP 32844 Associação net.tcp: TCP 32845 (somente se um terceiro tiver implementado essa opção para um aplicativo de serviço) Se o ambiente de rede do computador usar Windows Server 2012, Windows Server 2008, Windows Server 2008 R2, Windows 7 ou Windows Vista juntamente com versões do Windows anteriores a Windows Server 2012 e Windows Vista, você deverá habilitar a conectividade em ambos os intervalos de portas a seguir: Intervalo de portas altas de 49152 a 65535 Intervalo de porta baixa de 1025 a 5000 Portas padrão para comunicação SQL Server — TCP 1433, UDP 1434. Se essas portas estiverem bloqueadas no SQL Server computador e bancos de dados forem instalados em uma instância nomeada, configure um alias do cliente SQL Server para se conectar à instância nomeada. Serviço de Código de Usuário do Microsoft SharePoint Foundation (para soluções de área restrita) – TCP 32846. Essa porta deve estar aberta para conexões de saída em todos os servidores front-end e front-end com cache distribuído. Essa porta deve estar aberta para conexões de entrada no Front-end e no Front-end com servidores de Cache Distribuído em que esse serviço está ativado. Verifique se as portas permanecem abertas para os aplicativos Web que os usuários podem acessar. Bloqueie o acesso externo à porta usada para o site da Administração Central. SMTP para integração de email – TCP 25 ou uma porta TCP personalizada se você tiver configurado o email de saída para usar uma porta não padrão. |
|
| Registro |
Sem orientações adicionais |
| Auditoria e log |
Se os arquivos de log forem realocados, verifique se os locais foram atualizados de acordo. Atualize as ACLs (listas de controle de acesso) do diretório também. |
| Web.config |
Siga estas recomendações para cada arquivo Web.config criado depois que você executar a Instalação: Não permita a compilação ou a geração de scripts de páginas de bancos de dados por meio de elementos PageParserPaths. Verifique <SafeMode> CallStack="false" e AllowPageLevelTrace="false". Verifique se o limite do Web Part para o número máximo de controles por zona está definido como baixo. Verifique se a lista SafeControls foi definida como o conjunto mínimo de controles necessários aos seus sites. Verifique se a sua lista SafeTypes do fluxo de trabalho foi definida como o nível mínimo de SafeTypes necessários. Verifique se customErrors está ativado (<customErrors mode="On"/>). Considere suas configurações de proxy da Web conforme necessário (<system.net>/<defaultProxy>). Defina o limite upload.aspx para o tamanho mais alto que você razoavelmente espera que os usuários carreguem. O desempenho pode ser afetado por carregamentos que excedem 100 MB. |
Função de servidor de banco de dados
Observação
Com a adição ao recurso MinRole no SharePoint Server 2016, o conceito de funções foi alterado. Para obter informações sobre funções, consulte Planejamento para uma implantação do servidor MinRole no SharePoint Server 2016.
A principal recomendação para o SharePoint Server é proteger a comunicação entre farms bloqueando as portas padrão usadas para SQL Server comunicação e estabelecendo portas personalizadas para essa comunicação. Para obter mais informações sobre como configurar portas para SQL Server comunicação, consulte Bloquear as portas de SQL Server padrão, posteriormente neste artigo.
| Categoria | Característica |
|---|---|
| Portas |
Bloquear UDP 1434. Considerar o bloqueio de TCP 1433. |
Este artigo não descreve como proteger SQL Server. Para obter mais informações sobre como proteger SQL Server, consulte Proteção de SQL Server (https://go.microsoft.com/fwlink/p/?LinkId=186828).
Orientação específica para portas, protocolos e serviços
O restante deste artigo descreve com mais detalhes os requisitos de endurecimento específicos para o SharePoint Server.
Nesta seção:
Bloqueando as portas padrão do SQL Server
As portas específicas usadas para se conectar a SQL Server são afetadas por se os bancos de dados são instalados em uma instância padrão de SQL Server ou uma instância nomeada de SQL Server. A instância padrão de SQL Server escuta solicitações de cliente no TCP 1433. Uma instância nomeada de SQL Server escuta em um número de porta atribuído aleatoriamente. Além disso, o número da porta de uma instância nomeada poderá ser reatribuído se a instância for reiniciada (dependendo da disponibilidade do número da porta atribuído anteriormente).
Por padrão, os computadores cliente que se conectam ao SQL Server primeiro se conectam usando o TCP 1433. Se essa comunicação não tiver êxito, os computadores cliente consultarão o Serviço de Resolução SQL Server que está ouvindo no UDP 1434 para determinar a porta na qual a instância do banco de dados está escutando.
O comportamento padrão de comunicação de porta de SQL Server apresenta vários problemas que afetam o endurecimento do servidor. Primeiro, as portas usadas pelo SQL Server são portas bem divulgadas e o Serviço de Resolução SQL Server tem sido alvo de ataques de sobrecarga de buffer e ataques de negação de serviço, incluindo o vírus worm "Slammer". Mesmo que SQL Server seja atualizado para mitigar problemas de segurança no Serviço de Resolução SQL Server, as portas bem divulgadas continuarão sendo um destino. Em segundo lugar, se os bancos de dados estiverem instalados em uma instância nomeada de SQL Server, a porta de comunicação correspondente será atribuída aleatoriamente e poderá ser alterada. Esse comportamento pode potencialmente impedir a comunicação de servidor a servidor em um ambiente protegido. A capacidade de controlar as portas TCP que serão abertas ou bloqueadas é essencial para proteger seu ambiente.
Observação
Recomendamos usar as portas SQL padrão, mas verifique se o firewall está configurado para permitir apenas a comunicação com os servidores que precisam de acesso ao SQL Server. Os servidores que não precisam de acesso ao SQL Server devem ser impedidos de se conectar ao SQL Server pela porta TCP 1433 e pela porta UDP 1444.
Existem diversos métodos que podem ser usados no bloqueio de portas. Você pode bloquear essas portas usando um firewall. No entanto, a menos que você possa ter certeza de que não há outras rotas para o segmento de rede e que não há usuários mal-intencionados que tenham acesso ao segmento de rede, a recomendação é bloquear essas portas diretamente no servidor que hospeda SQL Server. Isso pode ser feito usando o Firewall do Windows no Painel de Controle.
Configurar SQL Server instâncias de banco de dados para ouvir em uma porta não padrão
O SQL Server oferece a capacidade de reatribuir as portas usadas pela instância padrão e qualquer instância nomeada. Em SQL Server, você reatribua portas usando SQL Server Configuration Manager.
Configurando aliases do cliente SQL Server
Em um farm de servidores, todos os servidores Web front-end e servidores de aplicativo são SQL Server computadores cliente. Se você bloquear o UDP 1434 no computador SQL Server ou alterar a porta padrão para a instância padrão, você deverá configurar um alias do cliente SQL Server em todos os servidores que se conectam ao computador SQL Server. Nesse cenário, o alias do cliente SQL Server especifica a porta TCP na qual a instância nomeada está escutando.
Para se conectar a uma instância de SQL Server, instale SQL Server componentes do cliente no computador de destino e configure o alias do cliente SQL Server usando SQL Server Configuration Manager. Para instalar SQL Server componentes do cliente, execute Configuração e selecione apenas os seguintes componentes cliente para instalar:
Componentes de Conectividade
Ferramentas de Gerenciamento (inclui SQL Server Configuration Manager)
Para obter etapas de endurecimento específicas para bloquear as portas de SQL Server padrão, consulte Configurar SQL Server segurança para o SharePoint Server.
Comunicação do aplicativo de serviço
Por padrão, a comunicação entre servidores do SharePoint e aplicativos de serviço em um farm ocorre usando HTTP com uma associação ao TCP 32843. Quando você publica um aplicativo de serviço, pode selecionar HTTP ou HTTPS com as seguintes associações:
Associação HTTP: TCP 32843
Associação HTTPS: TCP 32844
Além disso, terceiros que desenvolvem aplicativos de serviço podem implementar uma terceira opção:
- Associação net.tcp: TCP 32845
Você pode alterar a associação do protocolo e da porta para cada aplicativo de serviço. Na página Aplicativos de Serviço, na Administração Central, selecione o aplicativo de serviço e clique em Publicar.
As associações HTTP/HTTPS/net.tcp também podem ser exibidas e alteradas usando os cmdlets Get-SPServiceHostConfig e Set-SPServiceHostConfig Microsoft PowerShell.
A comunicação entre aplicativos de serviço e SQL Server ocorre nas portas de SQL Server padrão ou nas portas configuradas para SQL Server comunicação.
Conexões com servidores externos
Vários recursos do SharePoint Server podem ser configurados para acessar dados que residem em computadores de servidor fora do farm de servidores. Se você configurar o acesso aos dados que estão localizados em tais computadores externos, habilite a comunicação entre os computadores apropriados. Na maioria dos casos, as portas, protocolos e serviços usados dependem do recurso externo. Por exemplo:
Conexões com compartilhamentos de arquivos usam o serviço Compartilhamento de Arquivo e Impressora.
Conexões com bancos de dados SQL Server externos usam as portas padrão ou personalizadas para comunicação com o SQL Server.
Em geral, conexões com bancos de dados Oracle normalmente usam OLE DB.
Conexões com serviços Web usam HTTP e HTTPS.
A tabela a seguir lista os recursos que podem ser configurados para acessar dados que residam em computadores do servidor fora do farm de servidores.
| Recurso | Descrição |
|---|---|
| Rastreamento de conteúdo |
É possível configurar regras para rastrear dados que residam em recursos externos, incluindo sites, compartilhamentos de arquivo, pastas públicas do Exchange e aplicativos de dados corporativos. Durante o rastreamento de fontes de dados externos, a função de rastreamento se comunica diretamente com esses recursos externos. Para obter mais informações, consulte Gerenciar rastreamento no SharePoint Server. |
| Conexões da Conectividade de Dados Corporativos |
Os servidores Web e os servidores de aplicativos se comunicam diretamente com os computadores configurados para conexões de Conectividade de Dados Corporativos. |
Requisitos de serviço para integração de email
A integração de email exige o uso de dois serviços:
Serviço SMTP
A integração de email requer o uso do serviço SMTP em pelo menos um dos servidores Web front-end no farm de servidores. O serviço SMTP é necessário para emails de entrada. Para emails de saída, você pode usar o serviço SMTP ou rotear emails de saída por um servidor de email dedicado na sua organização, por exemplo, o computador do Microsoft Exchange Server.
Serviço Microsoft SharePoint Directory Management
O SharePoint Server inclui um serviço interno, o Microsoft SharePoint Directory Management Service, para criar grupos de distribuição de email. Ao configurar a integração de email, você tem a opção de habilitar o recurso do Serviço de Gerenciamento de Diretório, que permite que os usuários criem listas de distribuição. Quando os usuários criam um grupo do SharePoint e selecionam a opção para criar uma lista de distribuição, o Serviço de Gerenciamento de Diretório do Microsoft SharePoint cria a lista de distribuição do Active Directory correspondente no ambiente do Active Directory.
Em ambientes com segurança reforçada, a recomendação é restringir o acesso ao Serviço de Gerenciamento de Diretório do Microsoft SharePoint protegendo o arquivo associado a esse serviço: SharePointEmailws.asmx. Por exemplo, você pode permitir acesso a esse arquivo apenas pela conta do farm de servidores.
Adicionalmente, esse serviço exige permissões no ambiente do Active Directory para criar objetos de lista de distribuição do Active Directory. A recomendação é configurar uma OU (unidade organizacional) separada em objetos do Active Directory para SharePoint Server. Somente essa UO deverá permitir acesso de gravação à conta usada pelo Serviço de Gerenciamento de Diretório do Microsoft SharePoint.
Requisitos de serviço para estado da sessão
Tanto Project Server 2016 quanto InfoPath Forms Services mantêm o estado da sessão. Se você estiver implantando esses recursos ou produtos no farm de servidores, não desabilite o Serviço de Estado do ASP.NET. Além disso, se você estiver implantando InfoPath Forms Services, não desabilite o serviço Exibir Estado.
Serviços de Produtos do SharePoint Server
Não desabilite os serviços instalados pelo SharePoint Server (listados no instantâneo anteriormente).
Se seu ambiente não permitir serviços que são executados como um sistema local, considere desabilitar o serviço de administração do SharePoint apenas se estiver ciente das consequências e puder contorná-las. Este é um serviço Win32 executado como um sistema local.
Esse serviço é usado pelo serviço de timer do SharePoint para executar ações que exigem permissões administrativas no servidor, como a criar sites de IIS (Serviços de Informações da Internet), implantar códigos e interromper e iniciar serviços. Se desabilitar esse serviço, não será possível concluir as tarefas relacionadas à implantação do site da Administração Central. Você deve usar o Microsoft PowerShell para executar o cmdlet Start-SPAdminJob (ou usar o Stsadm.exe ferramenta de linha de comando para executar a operação execadmsvcjobs ) para concluir implantações de vários servidores para o SharePoint Server e executar outras tarefas relacionadas à implantação.
Arquivo Web.config
O .NET Framework, e o ASP.NET em especial, usam os arquivos de configuração formatados em XML para configurar aplicativos. O .NET Framework depende de arquivos de configuração para definir as opções de configuração. Arquivos de configuração são arquivos XML em formato de texto. Vários arquivos de configuração podem existir, e normalmente existem, em um único sistema.
As configurações em todo o sistema para o .NET Framework são definidas no arquivo Machine.config. O arquivo Machine.config está localizado na pasta %SystemRoot%\Microsoft.NET\Framework%VersionNumber%\CONFIG\. As configurações padrão contidas no arquivo Machine.config podem ser modificadas para afetar o comportamento dos aplicativos que usam o .NET Framework em todo o sistema.
Você poderá alterar a configuração do ASP.NET para um único aplicativo se criar um arquivo Web.config na pasta raiz do aplicativo. Quando isso é feito, as configurações do arquivo Web.config substituem as configurações do arquivo Machine.config.
Quando você estende um aplicativo Web usando a Administração Central, o SharePoint Server cria automaticamente um arquivo Web.config para o aplicativo Web.
O instantâneo do servidor Web e do servidor de aplicativos apresentado anteriormente neste artigo lista as recomendações para configurar os arquivos Web.config. Essas recomendações se aplicam a cada arquivo Web.config criado, incluindo o arquivo Web.config para o site da Administração Central.
Para obter mais informações sobre ASP.NET arquivos de configuração e editar um arquivo Web.config, consulte ASP.NET Configuration (https://go.microsoft.com/fwlink/p/?LinkID=73257).