Планирование усиления безопасности (SharePoint Server 2010)
Применимо к: SharePoint Foundation 2010, SharePoint Server 2010
Последнее изменение раздела: 2016-11-30
В этой статье описывается усиление безопасности веб-сервера, сервера приложений и ролей сервера базы данных в Microsoft SharePoint Server 2010, а также даются подробные инструкции по конкретным требованиям безопасности для портов, протоколов и служб в продуктах Продукты Microsoft SharePoint 2013.
Содержание:
Безопасные моментальные снимки сервера
В среде фермы серверов отдельные серверы играют определенные роли. Рекомендации по усилению безопасности для этих серверов зависят от ролей каждого из них. Эта статья содержит безопасные снимки для двух категорий ролей сервера.
Моментальные снимки разделены на несколько категорий конфигурации. Признаки, определенные для каждой из категорий, определяют оптимальное состояние безопасности для продуктов Продукты Microsoft SharePoint 2013. Эта статья не содержит рекомендаций по обеспечению безопасности для другого программного обеспечения в среде.
Роли веб-сервера и сервера приложений
В этом разделе описываются характеристики усиления безопасности для веб-серверов и серверов приложений. Некоторые инструкции применяются к определенным приложениям службы; в этих случаях соответствующие характеристики следует применять только на серверах, на которых работают службы, связанные с соответствующими приложениями службы.
Категория |
Характеристика |
Службы, указанные в оснастке служб консоли управления |
Включите следующие службы:
Убедитесь, что эти службы не отключены:
Убедитесь, что эти службы не отключены на серверах, на которых размещены соответствующие роли:
|
Порты и протоколы |
|
Реестр |
Нет дополнительных инструкций |
Аудит и ведение журнала |
Пре перемещении файлов журнала не забудьте обновить их расположение. Также обновите списки управления доступом (ACL). |
Безопасность доступа к коду |
Убедитесь, что для веб-приложения включен минимальный набор разрешений для обеспечения безопасности доступа к коду. Для элемента <trust> в файлах Web.config для каждого веб-приложения укажите WSS_Minimal (где минимальные значения по умолчанию WSS_Minimal указаны в файле 14\config\wss_minimaltrust.config или в собственном пользовательском файле политик, настроенном с минимальными параметрами). |
Web.config |
Следуйте этим рекомендациям для каждого файла Web.config, созданного после запуска программы установки:
|
Роль сервера базы данных
Основная рекомендация для продуктов Продукты SharePoint 2010 состоит в защите взаимодействия внутри фермы путем блокирования портов по умолчанию, используемых для взаимодействия с Microsoft SQL Server, и установки для этого других портов. Дополнительные сведения о настройке портов для взаимодействия с SQL Server см. ниже в разделе Блокировка стандартных портов SQL Server.
Категория |
Характеристика |
Порты |
|
В этой статье не описывается обеспечение безопасности SQL Server. Дополнительные сведения об обеспечении безопасности SQL Server см. в статье, посвященной обеспечению безопасности сервера SQL (https://go.microsoft.com/fwlink/?linkid=186828&clcid=0x419).
Инструкции для конкретных портов, протоколов и служб
Далее в этой статье более подробно описываются конкретные требования по усилению безопасности для продуктов Продукты SharePoint 2010.
Содержание:
Блокировка стандартных портов SQL Server
Работа конкретных портов, используемых для подключения к SQL Server, зависит от того, установлены ли базы данных на экземпляре SQL Server по умолчанию или на именованном экземпляре SQL Server. Экземпляр SQL Server по умолчанию прослушивает TCP-порт 1433 в ожидании запросов клиентов. Именованный экземпляр SQL Server прослушивает назначенный случайным образом порт. Кроме того, номер случайно выбранного порта при перезапуске именованного экземпляра может измениться (в зависимости от того, доступен ли ранее назначенный порт).
По умолчанию клиентские компьютеры, подключающиеся к SQL Server, сначала пытаются использовать TCP-порт 1433. При невозможности установить соединение клиентские компьютеры запрашивают службу разрешений SQL Server, прослушивающую UDP-порт 1434, чтобы определить, какой порт прослушивает экземпляр базы данных.
Выбранное по умолчанию поведение порта и обмена данными SQL Server несколько усложняет процесс усиления безопасности сервера. Во-первых, SQL Server использует хорошо известные порты, а служба разрешений SQL Server часто становится мишенью таких атак, как переполнение буфера и отказ в обслуживания, в том числе червя Slammer. Даже при установке исправлений SQL Server, призванных снизить уязвимость службы разрешений SQL Server, сохраняется опасность, связанная с известностью порта. Во-вторых, при установке базы данных на именованный экземпляр SQL Server соответствующие порты обмена данными присваиваются в случайном порядке и могут измениться. Из-за этого возможны перебои в процессе обмена данными между серверами в защищенной среде. Для обеспечения безопасности среды крайне важно иметь возможность управлять открытыми и блокируемыми TCP-портами.
Таким образом, в ферме серверов рекомендуется присваивать именованным экземплярам SQL Server статические номера портов и заблокировать UDP-порт 1434, чтобы предотвратить возможные атаки на службу разрешений SQL Server. Кроме того, следует рассмотреть возможность переназначения порта, используемого экземпляром по умолчанию, и блокировки TCP-порта 1433.
Существует несколько методов блокировки портов. Эти порты можно заблокировать с помощью брандмауэра. Однако лучше заблокировать эти порты непосредственно на сервере, на котором установлен SQL Server, особенно если нет уверенности в отсутствии других способов доступа к этому сегменту сети или есть подозрение, что к этому сегменту сети могут иметь доступ злоумышленники. Для этого можно использовать брандмауэр Windows на панели управления.
Настройка экземпляров базы данных SQL Server для прослушивания нестандартного порта
SQL Server обеспечивает возможность заново назначать порты, используемые экземпляром по умолчанию и любыми именованными экземплярами. В SQL Server 2005 и SQL Server 2008 порты назначаются с помощью диспетчера конфигурации SQL Server.
Настройка псевдонимов клиента SQL Server
В ферме серверов все интерфейсные веб-серверы и серверы приложений — это клиентские компьютеры SQL Server. При блокировке UDP-порта 1434 компьютера, на котором установлен SQL Server, или изменении порта по умолчанию для экземпляра по умолчанию необходимо настроить псевдонимы клиентов SQL Server на всех серверах, которые подключаются к компьютеру SQL Server.
Для подключения к экземпляру SQL Server 2005 или SQL Server 2008 следует установить компоненты клиента SQL Server на целевом компьютере и настроить псевдоним клиента SQL Server с помощью диспетчера конфигурации SQL Server. Для установки компонентов клиента SQL Server запустите программу установки и выберите установку только следующих клиентских компонентов:
Компоненты связи
Средства управления (в том числе диспетчер конфигурации SQL Server)
Сведения о конкретных действиях для блокировки стандартных портов SQL см. в разделе Подготовка сервера SQL Server к среде SharePoint (SharePoint Server 2010).
Взаимодействие с приложениями-службами
По умолчанию взаимодействие веб-серверов и приложений службы осуществляется с помощью протокола HTTP с привязкой к порту 32843. После публикации приложения-службы можно выбрать протокол HTTP или HTTPS со следующими привязками:
Привязка HTTP: порт 32843
Привязка HTTPS: порт 32844
Кроме того, сторонние производители, создающие приложения-службы, могут реализовать третий вариант:
- Привязка net.tcp: порт 32845
Пользователь может изменить протокол и привязку к порту для каждого приложения службы. На странице "Приложения-службы" центра администрирования выберите приложение-службу и нажмите кнопку Опубликовать.
Взаимодействие приложений-служб и SQL Server осуществляется через стандартные порты SQL Server или порты, настроенные для взаимодействия с SQL Server.
Требования к службе общего доступа к файлам и принтерам
Ряд основных функций зависят от службы общего доступа к файлам и принтерам и соответствующих протоколов и портов. В частности, к ним относится следующее:
Запросы поиска Служба общего доступа к файлам и принтерам необходима для выполнения всех запросов поиска.
Обход и индексация контента Для обхода серверы с компонентами обхода отправляют запросы через интерфейсный веб-сервер. Он напрямую обменивается данными с базой данных контента и отправляет результаты серверам с компонентами обхода. Для такого обмена данными необходима служба общего доступа к файлам и принтерам.
Распространение индекса Если приложение-служба поиска настраивается с компонентами обхода и запроса, которые распределяются на нескольких серверах, то серверы с компонентами обхода копируют файлы индекса контента на серверы с компонентами запроса. Для этого действия требуется служба общего доступа к файлам и принтерам и соответствующие протоколы и порты.
Служба общего доступа к файлам и принтерам использует именованные каналы. Они могут обмениваться данными с использованием непосредственно размещенного протокола SMB или протокола NetBT. В безопасной среде рекомендуется вместо NetBT использовать непосредственно размещенный протокол SMB. В рекомендациях по усилению безопасности, предложенных в этой статье, предполагается использование протокола SMB.
В следующей таблице перечислены требования к усилению безопасности, обусловленные зависимостью от службы общего доступа к файлам и принтерам.
Категория |
Требования |
Примечание |
Службы |
Общий доступ к файлам и принтерам |
Необходимо использовать именованные каналы. |
Протоколы |
Именованные каналы, использующие непосредственно размещенный протокол SMB Отключение NetBT |
Именованные каналы могут вместо непосредственно размещенного протокола SMB использовать протокол NetBT, который в то же время считается менее безопасным. |
Порты |
Любое из нижеперечисленного:
|
Отключите протокол NetBT (порты 137, 138 и 139), если он не используется |
Дополнительные сведения об отключении NetBT см. в статье 204279 из базы знаний Майкрософт, посвященной непосредственному размещению SMB через TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x419).
Требования безопасности службы профиля пользователя
Приложение-служба профиля пользователя использует агент управления удостоверениями Forefront для синхронизации профилей между продуктами Продукты SharePoint 2010 и Active Directory или службой каталогов LDAP. Агент управления удостоверениями Forefront устанавливается на все серверы фермы SharePoint, но требуется только на сервере, который настроен для синхронизации с хранилищем каталогов.
Агент управления удостоверениями Forefront содержит следующие службы, которые должны быть включены на сервере, настроенном на обход Active Directory или другого хранилища каталогов:
Служба диспетчера удостоверений Forefront
Служба синхронизации диспетчера удостоверений Forefront
Кроме того, необходимо открыть TCP-порт 5725 на сервере с запущенным агентом управления удостоверениями Forefront, который настроен на обход хранилища.
В средах Active Directory для взаимодействия сервера Продукты SharePoint 2010, синхронизированного с хранилищем, и сервера Active Directory необходимо открыть следующие порты:
TCP/UDP 389 (служба LDAP)
TCP/UDP-порт 88 (проверка подлинности Kerberos)
TCP/UDP-порт 53 (DNS)
UDP 464 (протокол смены пароля Kerberos)
Дополнительные сведения о требованиях к обеспечению безопасности для агента управления удостоверениями Forefront (в т. ч. требования к портам для других типов каталога) см. в статье, описывающей порты, права и разрешения агента управления при взаимодействии (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=186832&clcid=0x419) (Возможно, на английском языке).
Подключения к внешним серверам
Некоторые компоненты SharePoint Server 2010 можно настроить для доступа к данным, которые находятся на компьютерах вне фермы серверов. В этом случае, требуется установить соединение между соответствующими компьютерами. В большинстве случаев, используемые порты, протоколы и службы зависят от внешних ресурсов. Например:
Подключения к общим ресурсам используют службу общего доступа к файлам и принтерам.
Подключения к внешним базам данных SQL Server используют порты по умолчанию или настраиваемые портов для связи с сервером SQL Server.
Подключения к базам данных Oracle обычно используют OLE DB.
Подключения к веб-службам используют и HTTP, и HTTPS.
В следующей таблице перечислены компоненты, которые можно настроить для доступа к данным, которые находятся на компьютерах вне фермы серверов.
Возможность |
Описание |
Обход контента |
Можно настроить правила для обхода данных, которые находятся на внешних ресурсах, включая веб-сайты, совместные файлы, общие папки Exchange и приложения бизнес-данных. При обходе внешних источников данных роль обхода подключается к этим ресурсам напрямую. Дополнительные сведения см. в статье, посвященной планированию обхода контента (Office SharePoint Server) по адресу https://technet.microsoft.com/ru-ru/library/cc262926.aspx. |
Подключения к бизнес-данным |
Веб-серверы и серверы приложений напрямую связываются с компьютерами, настроенными для подключений к бизнес-данным. Дополнительные сведения см. в статье, посвященной планированию подключений к бизнес-данным в каталоге бизнес-данных по адресу https://technet.microsoft.com/ru-ru/library/cc262899.aspx. |
Получение книг Microsoft Office Excel |
Если книги, открытые в службах Excel, подключены к внешним источникам данных (например, к службам аналитики и SQL Server), то для подключения этих внешних источников данных должны быть открыты порты TCP/IP. Дополнительные сведения см. в разделе, посвященном планированию внешних подключений к данным для служб Excel по адресу https://technet.microsoft.com/ru-ru/library/cc262899.aspx. Если как надежные расположения в приложении служб Excel настроены UNC-пути, то роль приложений службы вычислений Excel для получения книг по UNC-пути использует протоколы и порты, занятые службой общего доступа к файлам и принтерам. На книги, сохраненные в базе данных контента, отправленные или загруженные с сайтов пользователями, эти подключения не влияют. |
Требования к службам для интеграции электронной почты
Для интеграции электронной почты необходимо использовать две службы:
Служба SMTP
Для интеграции электронной почты необходимо использовать службу SMTP по крайней мере на одном интерфейсном веб-сервере фермы. Служба SMTP необходима для получения входящей электронной почты. Для исходящей электронной почты можно использовать службу SMTP или направлять исходящую электронную почту через выделенный сервер электронной почты организации, например через компьютер Microsoft Exchange Server.
Служба управления каталогом Microsoft SharePoint
Приложение Продукты SharePoint 2010 содержит внутреннюю службу для создания групп рассылки электронной почты — службу управления каталогом Microsoft SharePoint. При настройке интеграции электронной почты можно включить службу управления каталогом и дать пользователям возможность создавать списки рассылки. Когда пользователи создают группу SharePoint и выбирают возможность создания списков рассылки, служба управления каталогом Microsoft SharePoint создает соответствующий список рассылки Active Directory в среде Active Directory.
В средах с повышенным уровнем безопасности рекомендуется ограничить доступ к службе управления каталогами Microsoft SharePoint, обеспечив безопасность файла SharePointEmailws.asmx, связанного с этой службой. Например, можно разрешить доступ к файлу только учетной записи фермы серверов.
Кроме того, для работы с этой службой необходимо иметь в среде Active Directory разрешения на создание объектов списка рассылки Active Directory. Для объектов Продукты SharePoint 2010 в службе Active Directory рекомендуется создать отдельную организационную единицу. Только этой единице предоставляется разрешение на запись в учетную запись, используемую службой управления каталогами Microsoft SharePoint.
Требования к службам состояния сеанса
Как Project Server 2010, так и InfoPath Forms Services поддерживают состояние сеанса. При развертывании этих компонентов или продуктов в ферме серверов не отключайте службу состояния ASP.NET. Также, при развертывании InfoPath Forms Services не отключайте службу просмотра состояния.
Службы продуктов SharePoint 2010
Не отключайте службы, установленные продуктами Продукты SharePoint 2010 (указаны в предыдущем моментальном снимке).
Если в этой среде не разрешены службы, запускаемые в виде локальной системы, то решение об отключении служб администрирования SharePoint 2010 можно принять только с полным пониманием последствий и умением справляться с ними. Эта служба Win32 запускается как локальная система.
Эта служба используется службой таймера SharePoint 2010 для выполнения действий, требующих разрешений администратора сервера, например на создание веб-сайтов IIS, развертывание кода, отключение и включение служб. После отключения этой службы на веб-сайте центра администрирования становится невозможным выполнение задач, связанных с развертыванием. Для завершения многосерверных развертываний для продуктов Продукты SharePoint 2010, запуска командлета Start-SPAdminJob и выполнения других задач, связанных с развертыванием, необходимо использовать средство Windows PowerShell. Для выполнения команды execadmsvcjobs следует применить средство командной строки Stsadm.exe.
Файл web.config
В пакете .NET Framework, и в частности в ASP.NET, для настройки приложений используются файлы конфигурации в формате XML. Определение параметров конфигурации в .NET Framework выполняется на основе файлов конфигурации. Это текстовые файлы XML. В одной системе обычно может использоваться несколько файлов конфигурации.
Настройки конфигурации .NET Framework в масштабе всей системы определяются в файле Machine.config. Он находится в папке %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. Настройки по умолчанию, определяемые в файле Machine.config, можно изменить таким образом, чтобы они влияли на поведение всех приложений в системе, использующих .NET Framework
Настройки конфигурации ASP.NET отдельного приложения можно изменить, создав файл Web.config в корневой папке этого приложения. При этом настройки из файла Web.config заменяют настройки из файла Machine.config.
При расширении веб-приложения с помощью центра администрирования приложение Продукты SharePoint 2010 автоматически создает для веб-приложения файл Web.config.
В разделе, посвященном моментальному снимку веб-сервера и сервера приложений были перечислены рекомендации по настройке файлов Web.config. Эти рекомендации необходимо применить к каждому из создаваемых файлов Web.config, включая файл Web.config сайта центра администрирования.
Подробнее о файлах конфигурации ASP.NET и редактировании файла Web.config см. в статье, посвященной конфигурации ASP.NET (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x419) (Возможно, на английском языке).