SharePoint安全性:保護SharePoint部署的基礎知識
即使毫無經驗的管理員也可以在幾個小時內成功部署 Microsoft Office SharePoint Server 2007。盡管基本的部署確實能夠正常使用,但是它很可能未經過相應的配置以實現最佳安全性。SharePoint Server 2007 是一種很容易安裝、但很難正確安裝的應用程序。
使得安全性極具挑戰性的原因是 SharePoint 2007 試圖通過一款產品來滿足所有人的所有需要。SharePoint 2007 是一款 Web 應用程序,但您也可以將其當作協作工具、文檔服務器,甚至開發框架。SharePoint 的抽象和高度可定制的本質使得很難保護其安全。
正如您可能已經指出的那樣,沒有什么神奇的解決方案可以保護 SharePoint 的安全。每一個 SharePoint 部署都是獨特的,因此不可能有什么“萬能型”的解決方案。但是,有一些基本的方法適用于所有部署。
如果您曾經創建過 SharePoint 站點,您一定知道 SharePoint 采用了模塊化設計,它提供了一些構造塊,用于創建 SharePoint 站點、站點集合、列表、庫等等。談到安全性,您可以充分利用這種模塊化的本質。
具體的思路是重點保護 SharePoint 部署中各個組件的安全。SharePoint 的模塊化本質意味著您的部署通常需要許多單獨的 SharePoint 服務器。因此,如果您希望保護部署的安全,就必須保護這些單獨的服務器的安全。
SQL Server
SharePoint 列表和庫中包含的所有數據均存儲在基礎 SQL Server 數據庫中,后者還存儲了大部分 SharePoint 配置設置。很明顯,正確保護 SQL Server 的安全是至關重要的。
小型組織通常將 SQL Server 和 SharePoint 安裝在同一臺服務器上,以便降低服務器硬件的成本。但是,無論是從安全性還是從性能的角度來看,將 SQL Server 和 SharePoint 部署在一臺公用的機器上都不是一個好主意。
IT 安全中的一條最基本的概念是盡可能減少服務器的受攻擊面。如果 SQL 和 SharePoint 位于同一臺服務器上,該服務器的受攻擊面就會非常大。因此,我的第一條建議是在專用的機器上運行 SQL Server。如果專用的 SQL Server 超出了您組織的預算,可以考慮使用服務器虛擬化技術來隔離 SQL 和 SharePoint。
另一個好主意是禁用所有不使用的服務和組件。基本的 SharePoint 部署需要使用 SQL Server 的數據庫引擎、SQL Server 代理和 SQL Server 瀏覽器組件。更高級的安裝可能需要全文索引、分析或報告服務。
如何確定您要禁用哪些功能?Microsoft 提供了一個名為 SQL Server 外圍應用配置器(如圖 1 所示)的工具,可以幫助您完成此過程。此工具用于分析您的 SQL Server 實施并禁用任何未使用的功能。您應該在 SharePoint 正常運行后運行此工具。
若要訪問此工具,請從服務器的“開始”|“所有程序”|“Microsoft SQL Server 2005”|“配置工具”菜單中選擇“SQL Server 外圍應用配置器”選項。
.png)
圖 1 SQL Server 外圍應用配置器可幫助您找出可以禁用哪些組件和服務。
您還應該慎重考慮為 SQL Server 安全性選擇的身份驗證方法。盡管您可以選擇混合模式或 Windows 身份驗證模式,但是您應該盡可能將 SQL Server 配置為使用 Windows 身份驗證。Windows 模式比混合模式更安全,因為它在身份驗證過程中使用 Kerberos 安全協議。而且,由于 Windows 身份驗證使用域用戶帳戶,因此您在 Active Directory 中建立的任何密碼策略仍然生效。
服務帳戶
管理員在部署 SharePoint 2007 時犯的最大的安全錯誤之一是他們沒有正確配置服務帳戶。如果您曾經安裝過 SharePoint 2007,您肯定知道,在部署和配置過程中會多次要求您提供服務帳戶。
管理員經常會創建一個單獨的服務帳戶,然后在整個 SharePoint 安裝過程中使用該帳戶。盡管所獲得的 SharePoint 服務器能夠正常使用,但是此方法從安全角度來看是有風險的。
問題在于:只要您向 SharePoint 提供服務帳戶,都會向該帳戶授予執行當前任務的權限。SharePoint 僅僅向帳戶提供執行其工作所需的權限,而不會提供更多權限。但是如果您在整個部署過程中多次使用同一個服務帳戶,最終該帳戶就會擁有過多的權限,因為在您每次使用時,它都會獲得更多權限。以后就可能會有人利用這些過多的權限在 SharePoint 服務器上運行代碼,進而控制服務器。
對于如何規劃 SharePoint 所使用的帳戶結構,存在大量相互矛盾的信息,甚至很難確認哪些是推薦的最佳做法。毫無疑問,如果您執行基本的 SharePoint 部署,建議最少使用五個單獨的帳戶。
此外,還建議您單獨創建一個特殊的用戶帳戶,專門用于安裝 SharePoint 和 SQL Server。管理員的常見做法是在部署 SharePoint 時,使用自己的個人帳戶或域管理員帳戶進行登錄。從安全角度來看,使用現有帳戶可能是一個錯誤,因為該帳戶將被授予更多權限,以便完成安裝過程。
如果您決定使用專用的安裝帳戶,則必須使該帳戶成為每臺 SharePoint 服務器上的本地管理員組的成員。您還必須使該帳戶成為 SQL Server 登錄組的成員,從而使該帳戶能夠登錄您的 SQL Server 實例。
最后,您需要向該帳戶授予 SQL Server 上的“SQL Server 數據庫創建者”和“SQL Server 安全管理員”角色。這些角色使得該帳戶有權創建和修改數據庫以及管理 SQL Server 的安全性。這些特殊權限是建議使用專用的用戶帳戶的根源。
除了創建專用于 SharePoint 安裝過程的帳戶以外,您還必須創建其他一些服務帳戶:
數據庫訪問帳戶。這是 SharePoint 用來與 SQL Server 數據庫通信的帳戶。
SharePoint 搜索服務帳戶。SharePoint 搜索服務將使用此帳戶把內容索引文件寫入索引服務器,以及把索引信息復制到服務器場中存在的任何查詢服務器。
內容訪問帳戶。此帳戶用于在特定的共享服務提供程序內遍訪內容。在有些情況下,您可能需要創建多個內容訪問帳戶,以便分別遍訪多個內容源。
應用程序池服務帳戶。此帳戶由 IIS 內的工作進程使用。池內的 Web 應用程序必須能夠訪問 SharePoint 內容數據庫,并且“應用程序池標識”帳戶也利用了此進程。
SQL Server 服務帳戶。SQL Server 也需要一個服務帳戶,您應該為此目的使用一個專用的帳戶。
更加高級的 SharePoint 部署可能需要使用更多服務帳戶。本文末尾的“相關內容”部分中有一個鏈接指向一篇 TechNet 文章,該文章提供了您可能需要的其他服務帳戶的相關詳細信息。
命名約定
到現在為止,您可以看到,在開始部署 SharePoint 之前就需要創建大量帳戶。確保順利完成部署的一項技巧是在您創建服務帳戶之前先確定它們的命名約定。
您可以使用不同的方法來建立服務帳戶命名約定,但是應該遵循一些基本的規則。建議盡可能使用描述性的名稱,并花時間記錄所選的名稱及其目標用途。例如,您可以將 SharePoint 搜索帳戶命名為類似 SPT_Search 的形式。
不拼寫出 SharePoint,是由于存在一些舊的限制。Windows 允許用戶名的總長度超過 100 個字符,但是每個用戶名的長度不能超過 16 個字符。長用戶名偶爾會由于舊的硬件或軟件而導致意外的問題。盡管這種情況很少見,但確實存在,因此最好堅持使用短用戶名。
請注意,盡管我建議使用描述性的服務帳戶名稱,而且這種名稱確實會使管理員的工作更加輕松,但是這么做并非總是能提供最佳安全性。服務帳戶是黑客中意的目標,因為它們比普通用戶帳戶擁有更高的權限。它們經常使用靜態的、一成不變的密碼。對于這種情況,您可能需要考慮隱藏您的服務帳戶。如果您這么做,務必記錄服務帳戶的名稱和功能。
加密流量
在規劃 SharePoint 部署時,管理員花費大量時間來設計服務器的體系結構。有時候會忽略的一個要素是公鑰基礎結構 (PKI)。您需要在部署 SharePoint 之前準備好 PKI,這樣才能正確加密 SharePoint 流量。SharePoint 服務器與最終用戶之間的 HTTP 流量必須進行 SSL 加密(使用 HTTPS)。
同樣,SharePoint 服務器之間的流量也應該使用 IPSec 進行加密。這兩種加密均依賴于證書和基礎 PKI 結構。
這些最佳安全做法并不全面。但是,要盡可能保護 SharePoint 安裝的安全,它們是一個好的開頭。
文章來源:微軟TechNet中文網
【編輯推薦】
