| |||||
| |||||
Program Microsoft Windows SharePoint Services zawiera lub wykorzystuje następujące elementy, które oddziałują i mają wpływ na zabezpieczenia zawartości witryn sieci Web:
Uwierzytelnianie użytkownika w programie Windows SharePoint Services jest oparte na metodach uwierzytelniania Internetowych usług informacyjnych (IIS). Programu Windows SharePoint Services można używać z następującymi rodzajami uwierzytelniania użytkownika:
Metoda uwierzytelniania jest wybierana podczas konfigurowania serwera sieci Web. Metody uwierzytelniania nie można zmienić za pomocą narzędzi administracyjnych programu Windows SharePoint Services; w tym celu trzeba użyć narzędzi administracyjnych Internetowych usług informacyjnych na komputerze serwera.
Uwierzytelnianie anonimowe umożliwia dostęp użytkownikom, którzy nie mają kont na komputerze z systemem Windows, np. osobom odwiedzającym witrynę sieci Web. Program IIS tworzy konto anonimowe dla usług sieci Web, które często nosi nazwę IUSR_nazwa komputera. Program IIS po otrzymaniu żądania anonimowego personifikuje konto anonimowe.
Można zezwolić lub uniemożliwić anonimowy dostęp w programie IIS do określonego serwera wirtualnego i zezwolić lub uniemożliwić anonimowy dostęp do witryny na serwerze wirtualnym za pomocą administracji centralnej programu SharePoint. Anonimowy dostęp musi być włączony w programie IIS przed włączeniem go dla witryny sieci Web na danym serwerze wirtualnym.
Uwierzytelnianie podstawowe jest protokołem uwierzytelniania obsługiwanym przez większość serwerów i przeglądarek sieci Web. Chociaż uwierzytelnianie podstawowe przesyła nazwy użytkowników i hasła w postaci łatwo dekodowanego czystego tekstu, ma pewną przewagę nad bardziej bezpiecznymi metodami uwierzytelniania, ponieważ działa poprzez zaporę serwera proxy i zapewnia, że witryna sieci Web jest dostępna dla prawie wszystkich przeglądarek sieci Web. Łącząc uwierzytelnianie podstawowe z zabezpieczeniami SSL, można chronić nazwy użytkowników i hasła oraz lepiej zabezpieczać informacje o użytkownikach.
Zintegrowane uwierzytelnianie systemu Windows
Zintegrowane uwierzytelnianie systemu Windows (znane też jako Wezwanie/Odpowiedź systemu Windows NT) szyfruje nazwy i hasła w wielu interakcjach transmisji miedzy klientem a serwerem, co czyni tę metodę bardziej bezpieczną niż uwierzytelnianie podstawowe. Wadą tej metody jest brak możliwości działania poprzez zaporę serwera proxy, a ponadto nie obsługują jej niektóre przeglądarki sieci Web, np. program Netscape Navigator. Możliwe jest używanie tej metody razem z uwierzytelnianiem podstawowym. Większość przeglądarek sieci Web wybiera tę najbardziej bezpieczną opcję. Na przykład jeśli jest włączone zarówno uwierzytelnianie podstawowe jak i zintegrowane uwierzytelnianie systemu Windows, program Microsoft Internet Explorer najpierw próbuje wykorzystać metodę zintegrowanego uwierzytelniania systemu Windows.
Uwierzytelnianie certyfikatów (SSL)
Uwierzytelnianie certyfikatów (znane też jako zabezpieczenia SSL) udostępnia komunikacyjną prywatność, uwierzytelnianie i integralność komunikatów dla połączenia TCP/IP. Używanie protokołu SSL, podczas komunikowania się klientów i serwerów, zapobiega podsłuchiwaniu, penetracji lub fałszowaniu wiadomości. W programie Windows SharePoint Services protokół SSL daje bezpieczny dostęp poprzez zapory i umożliwia bardziej bezpieczną zdalną administrację programem Windows SharePoint Services. Można tez określać, że zabezpieczenia SSL mają być używane po otworzeniu witryny sieci Web opartej na programie Windows SharePoint Services.
Grupa administratorów programu SharePoint
Aby zainstalować program Windows SharePoint Services, użytkownik musi być członkiem lokalnej grupy administratorów na komputerze serwera. Grupa ta daje też użytkownikom uprawnienia potrzebne do kontrolowania ustawień na stronach administracji centralnej programu SharePoint i możliwość uruchamiania narzędzia wiersza polecenia Stsadm.exe. Można też wskazać, że dostęp administracyjny do programu Windows SharePoint Services, oprócz lokalnej grupy administratorów, ma mieć określona grupa domen. Dokumentacja Pomocy dla programu Microsoft SharePoint Products and Technologies odwołuje się do tej grupy domen jak do grupy administratorów programu SharePoint. Można dodawać użytkowników do tej grupy zamiast do lokalnej grupy administratorów, aby oddzielić dostęp administracyjny do programu Windows SharePoint Services od dostępu administracyjnego do lokalnego komputera serwera.
Członkowie grupy administratorów programu SharePoint nie mają dostępu do metabazy usług IIS i nie mogą wykonywać następujących akcji w programie Windows SharePoint Services:
Uwaga Członkowie tej grupy mogą tworzyć najwyższego poziomu witryny sieci Web i zmieniać ustawienia serwera wirtualnego.
Członkowie grupy administratorów programu SharePoint mogą wykonywać dowolne inne akcje administracyjne za pomocą administracji centralnej programu SharePoint lub modelu obiektowego dla programu Windows SharePoint Services.
Członkowie zarówno grupy administratorów programu SharePoint, jak i lokalnej grupy administratorów, mają uprawnienia do wyświetlania i zarządzania wszystkimi witrynami utworzonymi na ich serwerach. Oznacza to, że administrator serwera może czytać dokumenty lub elementy list, zmieniać ustawienia ankiet, usuwać witryny lub wykonywać w nich dowolne czynności wykonywane przez administratora witryny.
Program Windows SharePoint Services zawiera grupy lokacji służące do przydzielania określonych uprawnień użytkownikom i grupom międzylokacyjnym. Dzięki grupom lokacji użytkownik nie musi kontrolować oddzielnie uprawnień do pliku i folderu ani martwić się utrzymywaniem synchronizacji grup lokalnych z listą użytkowników sieci Web. Można używać grup lokacji do dawania użytkownikom uprawnień w witrynie sieci Web i używać narzędzi administracji programu Windows SharePoint Services do dodawania użytkowników bezpośrednio.
W wyniku zarządzanie użytkownikami jest delegowane od administratorów serwera do właścicieli i administratorów witryny. Administratorzy witryny kontrolują dostęp do witryny i domyślnie mają prawo dodawać, usuwać lub zmieniać członkostwo użytkowników w grupie lokacji. W firmie oznacza to zwykle, że administratorzy witryny wybierają użytkowników z listy użytkowników w firmie i gwarantują im zróżnicowany poziom dostępu. Na przykład jeśli witryna sieci Web została przeznaczona dla członków szczególnej grupy roboczej, udostępniających dokumenty i informacje, administrator witryny dodaje członków grupy roboczej do witryny i przypisuje ich do grupy współpracowników lokacji, aby mogli dodawać dokumenty i aktualizować listy.
W środowisku usługodawcy internetowego lub ekstranetu właściciel witryny może dodawać użytkowników i tworzyć konta, np. za pomocą oddzielnych list użytkowników dla każdego zbioru witryn. Administrator witryny dodaje użytkowników do witryny sieci Web, a program Windows SharePoint Services automatycznie dodaje użytkowników do usługi katalogowej Active Directory firmy Microsoft.
Członkowie grupy administratorów lokacji dla witryny sieci Web najwyższego poziomu mogą kontrolować więcej opcji niż administratorzy podwitryny. Administratorzy witryny sieci Web najwyższego poziomu mogą wykonywać takie czynności, jak określanie ustawień dla dyskusji o dokumencie w sieci Web lub alerty, wyświetlanie wykorzystania witryny i przydziału danych, i zmienianie ustawienia anonimowego dostępu.
Uwaga Właściciel lub właściciel pomocniczy witryny sieci Web najwyższego poziomu mogą być członkami grupy administratorów lokacji dla swojej witryny, ale są też identyfikowani oddzielnie w bazie danych konfiguracji jako właściciele zbioru witryn. Flaga właściciela może być zmieniona tylko za pomocą strony zarządzania właścicielami zbioru witryn w administracji centralnej programu SharePoint lub za pomocą operacji siteowner w programie Stsadm.exe. Po usunięciu właściciela z grupy administratorów lokacji w danej witrynie, właściciel zachowuje flagę właściciela w bazie danych i może nadal wykonywać zadania administracyjne dla zbioru witryn.
Zabezpieczanie portu używanego do dostępu do administracji centralnej programu SharePoint
Złośliwy użytkownik uzyskujący dostęp do portu używanego do administracji centralnej programu SharePoint, może zablokować dostęp do witryny innym użytkownikom, modyfikować zawartość witryny lub nawet całkowicie wyłączyć serwer sieci Web. Dlatego tak istotne jest, aby ograniczyć dostęp do portu używanego przez administrację centralną programu SharePoint. W tym celu zaleca się stosowanie następujących działań:
Aby zarządzać programem Windows SharePoint Services przez Internet, należy używać protokołu SSL, który zapewnia bezpieczniejszą komunikację między komputerem klienckim i serwerem, nawet przez Internet. Aby używać protokołu SSL, należy najpierw skonfigurować protokół SSL w Internetowych usługach informacyjnych (IIS), a następnie skonfigurować program Windows SharePoint Services przy użyciu wiersza polecenia.
Uwaga W przypadku używania protokołu SSL adres URL dla administracji centralnej programu SharePoint zmienia się z http:// na https://.
Jeśli nie jest konieczne udostępnianie administracji centralnej programu SharePoint z Internetu, zaleca się używanie ustawień zapory do blokowania portu używanego przez administrację centralną programu SharePoint lub ograniczanie dostępu do tego portu do określonych domen. Należy użyć operacji stsadm -o setadminport do ustawienia dla każdego serwera w farmie serwerów tego samego numeru portu oraz skonfigurować zaporę chroniącą ten port na wszystkich serwerach. Alternatywnym rozwiązaniem jest użycie w usługach IIS funkcji ograniczającej adresy IP i nazwy w celu ograniczenia dostępu do określonych domen. W tym celu należy określić te ograniczenia dla każdego wybranego serwera wirtualnego.
Należy wykorzystywać grupę administratorów programu SharePoint do kontrolowania użytkowników, którzy mogą mieć dostęp do administracji centralnej programu SharePoint. Tylko określona grupa domen i lokalni administratorzy mogą mieć dostęp do portu używanego przez administrację centralną programu SharePoint. Dostęp lokalnych administratorów należy ograniczyć tylko do kilku operatorów komputerów.
Używanie zintegrowanego uwierzytelniania systemu Windows pozwala uniknąć wysyłania haseł w postaci czystego tekstu, jako to ma miejsce w przypadku uwierzytelniania podstawowego. Uwierzytelnianie podstawowe jest mniej bezpieczne, ponieważ posługuje się czystym tekstem.
Zezwalanie na anonimowy dostęp obniża bezpieczeństwo serwera. Jeśli anonimowi użytkownicy mogą uzyskać dostęp do serwera, to mogą zmieniać ustawienia lub zawartość, a ich działań nie można śledzić do rzeczywistego konta użytkownika. Domyślnie dostęp anonimowy jest wyłączony w przypadku portu używanego przez administrację centralną programu SharePoint.
Zabezpieczanie połączeń programu SQL Server
Jeśli do obsługi baz danych zamiast programu Microsoft SQL Server Desktop Engine (Windows) 2000 (WMSDE) jest używany program SQL Server, możliwe są następujące dwie metody zabezpieczeń współdziałania programu Windows SharePoint Services z serwerami baz danych uruchamiającymi program SQL Server:
Uwaga Jeśli serwer SQL jest używany na oddzielnym serwerze bazy danych z serwerem uruchamiającym program Windows SharePoint Services, należy używać konta domeny (albo konta systemu lokalnego lub usługi sieciowej) jako konta puli aplikacji usług IIS. Używając konta lokalnego, nie można uzyskać dostępu do komputera z uruchomionym programem SQL Server. Na potrzeby administracji serwerem wirtualnym konto puli aplikacji usług IIS musi mieć też uprawnienia do tworzenia baz danych na serwerze SQL. Jeśli jest używany system lokalny lub usługa sieciowa, należy przyznać uprawnienia serwera bazy danych dla konta na komputerze serwera sieci Web. Konta puli aplikacji dla innych serwerów wirtualnych nie wymagają uprawnień do tworzenia baz danych; tworzenie baz danych opiera się na administracji serwerem wirtualnym.
Zintegrowane uwierzytelnianie systemu Windows NT — informacje
W przypadku zintegrowanego uwierzytelniania systemu Windows NT do połączenia z bazami danych programu SQL Server są używane poświadczenia aplikacji Internetowych usług informacyjnych (IIS) i pula aplikacji. Poświadczenia są bezpiecznie przechowywane w metabazie usług IIS z innymi procesami roboczymi usług IIS. Podczas połączenia z bazami danych program Windows SharePoint Services uruchamia swoje zwykłe procesy, a do połączenia używa procesu usług IIS. Wdrażając farmę serwerów, należy się upewnić, że zmiany poświadczeń zostały upowszechnione na wszystkich serwerach. Jeśli domena stosuje zasady wymagające np. częstego resetowania haseł, należy zmienić hasło w usługach IIS dla każdego serwera w farmie.
Możliwy jest jeden proces dla wszystkich serwerów wirtualnych we wdrożeniu lub wydzielenie każdego serwera wirtualnego z własną pulą aplikacji. Używanie odrębnych procesów jest bezpieczniejsze. Na przykład można napisać niestandardowy skrypt uruchomiany na jednym serwerze wirtualnym, który mógłby uzyskać dostęp do stron na innym serwerze wirtualnym, gdyby te serwery dzieliły pulę aplikacji. Gdyby serwery miały oddzielne pule aplikacji, skrypt nie mógłby służyć uwierzytelnianiu do bazy danych przez serwery wirtualne.
Uwierzytelnianie programu SQL Server — informacje
Uwierzytelnianie programu SQL Server używa konta i hasła administratora (często domyślnego konta) przechowywanego w bazie danych SQL Server, aby łączyć program Windows SharePoint Services i bazy danych. Ta sama nazwa użytkownika i hasło są używane do wszystkich aktualizacji baz danych, bez względu na to, czy aktualizacji zażąda serwer w farmie serwerów, czy serwer wirtualny na jednym serwerze lub w farmie serwerów.
Ważne W przypadku uwierzytelniania programu SQL Server hasło dla konta administratora jest przesyłane przez sieć i może zostać wykryte przez złośliwych użytkowników. Na potrzeby połączeń między programem Windows SharePoint Services i bazami danych programu SQL Server zaleca się używanie zintegrowanego uwierzytelniania systemu Windows NT. Należy też zauważyć, że w przypadku uwierzytelniania programu SQL Server określona nazwa i hasło użytkownika są dostępne dla wszystkich członków grupy STS_WPG, która może zawierać konta skojarzone z innymi aplikacjami na serwerze.
Program Windows SharePoint Services obsługuje połączenia przez zapory. W zależności od konfiguracji, należy się upewnić, że zapora jest otwarta dla standardowych portów protokołu HTTP 80 i 443. Używając zapory, należy skonfigurować witryny programu SharePoint za pomocą uwierzytelniania podstawowego, ponieważ zintegrowane uwierzytelnianie systemu Windows nie może przechodzić przez zaporę.
Pokaż wszystko
Ukryj wszystko