| |||||
| |||||
Služba Windows SharePoint Services využívá následující prvky, které mají vliv na zabezpečení obsahu webu:
Ověření uživatele služby Windows SharePoint Services je založeno na metodách ověřování Internetové informační služby (IIS). Ve službě Windows SharePoint Services lze použít následující způsoby ověřování uživatele:
Požadovanou metodu ověřování zvolíte při nastavení webového serveru. Metodu ověřování nelze změnit pomocí nástrojů pro správu služby Windows SharePoint Services. Ke změně metody ověřování je nutné použit nástroj pro správu Internetové informační služby.
Anonymní ověřování poskytuje přístup uživatelům, kteří nemají na počítači serveru účet systému Windows, například návštěvníkům webu. Služba IIS vytvoří pro webové služby anonymní účet, který má často název IUSR_název_počítače. Při přijetí anonymního požadavku služba IIS anonymní účet zosobní.
Ve službě IIS lze povolit nebo zakázat anonymní přístup pro určitý virtuální server a pomocí Centrální správy SharePoint lze povolit nebo zakázat anonymní přístup pro web na tomto virtuálním serveru. Před povolením anonymního přístupu pro web na virtuálním serveru je nutné jej povolit ve službě IIS.
Základní ověřování je protokol ověřování podporovaný většinou webových serverů a prohlížečů. Ačkoli jsou při základním ověřování přenášena uživatelská jména a hesla ve snadno dekódovatelném formátu prostého textu, má tato metoda v porovnání s bezpečnějšími metodami ověřování některé výhody. Tato metoda je funkční přes bránu firewall serveru proxy a zajišťuje, že je web přístupný pomocí téměř všech typů webových prohlížečů. Pokud základní ověřování použijete v kombinaci se zabezpečením SSL (Secure Sockets Layer), budou lépe chráněna uživatelská jména a hesla a informace o uživateli budou zabezpečeny lépe než při použití pouze základního ověřování.
Integrované ověřování systému Windows
Integrované ověřování systému Windows (označované také jako výzva a odpověď systému Windows NT) zašifruje uživatelská jména a hesla v transakcích mezi klientem a serverem, a proto je tato metoda bezpečnější než základní ověřování. Nevýhodou je, že tuto metodu nelze použít přes bránu firewall serveru proxy a některé webové prohlížeče, například Netscape Navigator, ji nepodporují. Můžete se rozhodnout používat tuto metodu ověřování spolu se základním ověřováním. Většina webových prohlížečů zvolí bezpečnější metodu. Pokud je například povoleno základní ověřování i integrované ověřování systému Windows, pokusí se aplikace Microsoft Internet Explorer nejprve použít integrované ověřování systému Windows.
Ověřování certifikátů (nazývané také zabezpečení SSL (Secure Sockets Layer)) poskytuje ochranu osobních dat při komunikaci, ověřování a integritu zpráv pro připojení pomocí protokolu TCP/IP. Pomocí protokolu SSL mohou klienti a servery komunikovat, aniž by docházelo k odposlouchávání, neoprávněným změnám nebo padělání zpráv. Při použití se službou Windows SharePoint Services pomáhá zabezpečení SSL zabezpečit přístup přes brány firewall a umožňuje bezpečnější vzdálenou správu služby Windows SharePoint Services. Lze také zadat, aby bylo zabezpečení SSL použito při otevření webu založeného na službě Windows SharePoint Services.
Skupina správců služby SharePoint
Chcete-li nainstalovat službu Windows SharePoint Services, musíte být členem místní skupiny správců v počítači serveru. V této skupině jsou uživatelům také udělena oprávnění potřebná k řízení nastavení na stránkách Centrální správy SharePoint a ke spuštění nástroje příkazového řádku Stsadm.exe. Kromě místní skupiny správců lze také zadat určitou skupinu domény, v níž je umožněn přístup pro správu služby Windows SharePoint Services. V dokumentaci k webu Microsoft SharePoint Products and Technologies je tato skupina domény označena jako skupina správců služby SharePoint. Chcete-li oddělit přístup pro správu služby Windows SharePoint Services od přístupu pro správu místního počítače serveru, přidejte uživatele do této skupiny a nikoli do místní skupiny správců.
Členové skupiny správců služby SharePoint nemají přístup k metabázi služby IIS, a proto nemohou u služby Windows SharePoint Services provádět následující akce:
Poznámka: Členové této skupiny mohou vytvářet weby nejvyšší úrovně a měnit nastavení virtuálního serveru.
Všechny další akce správy mohou členové skupiny správců služby SharePoint provádět pomocí Centrální správy SharePoint nebo modelu objektu pro službu Windows SharePoint Services.
Práva k zobrazení a správě všech webů vytvořených na serveru mají členové skupiny správců služby SharePoint i místní skupiny správců. To znamená, že správce serveru může číst dokumenty nebo položky seznamu, měnit nastavení průzkumu, odstranit web nebo provádět na webu akce, které může provádět správce serveru.
Služba Windows SharePoint Services obsahuje skupiny webu, pomocí kterých lze uživatelům a skupinám pro více webů přiřazovat určitá práva. Díky skupinám webu není nutné zvlášť řídit oprávnění k souborům a složkám nebo se zabývat tím, zda jsou místní skupiny synchronizovány se seznamem uživatelů webu. Skupiny webu slouží k udělování oprávnění k webu a nástroje služby Windows SharePoint Services pro správu slouží k přímému přidávání uživatelů.
Důsledkem toho je delegování správy uživatelů ze správce serveru na vlastníky a správce webu. Správci webu řídí přístup k webu a ve výchozím nastavení mají práva k přidání, odstranění nebo změně členství uživatelů ve skupinách webu. V rámci organizace to obvykle znamená, že správci webu vybírají uživatele ze seznamu uživatelů organizace a udělují jim přístup na různých úrovních. Pokud je například web určen ke sdílení dokumentů a informací určité pracovní skupiny, přidá správce webu na web členy této pracovní skupiny a přiřadí je ke skupině webu Přispěvatel, aby mohli přidávat dokumenty a aktualizovat seznamy.
V prostředí poskytovatele služeb Internetu nebo v prostředí extranetu může vlastník webu přidávat uživatele a vytvářet účty, například pomocí zvláštních seznamů uživatelů pro jednotlivé kolekce webu. Správce webu přidá uživatele na web a služba Windows SharePoint Services je automaticky přidá do adresářové služby Microsoft Active Directory.
Členové skupiny webu Správce pro web nejvyšší úrovně mohou řídit více možností než správci podřízeného webu. Správci webu nejvyšší úrovně mohou provádět akce, jako je zadání nastavení pro diskuse o dokumentech na webu nebo pro oznámení, zobrazení použití a dat kvóty a změna nastavení anonymního přístupu.
Poznámka: Vlastník a sekundární vlastník webu nejvyšší úrovně mohou být členy skupiny webu Správce pro vlastní web, ale jsou také v konfigurační databázi identifikováni zvlášť jako vlastníci kolekce webu. Tento příznak vlastníka lze změnit pouze pomocí stránky Spravovat vlastníky kolekcí webů v Centrální správě SharePoint nebo pomocí operace siteowner programu Stsadm.exe. Pokud odeberete vlastníka ze skupiny webu Správce pro daný web, zůstane příznak vlastníka pro daného vlastníka v databázi zachován a vlastník může nadále provádět úkoly správy kolekce webu.
Zabezpečení portu používaného pro přístup k Centrální správě SharePoint
Pokud k portu používanému pro přístup k Centrální správě SharePoint získá přístup uživatel se zlými úmysly, může ostatním uživatelům zablokovat přístup k webům, změnit obsah webu nebo dokonce zcela vyřadit webový server z provozu. Proto je důležité omezit přístup k portu používanému Centrální správou SharePoint. Chcete-li přístup omezit, doporučujeme použít následující možnosti:
Pokud chcete mít možnost spravovat službu Windows SharePoint Services prostřednictvím Internetu, použijte zabezpečení SSL k zajištění bezpečnější komunikace mezi klientským počítačem a serverem i přes Internet. Chcete-li použít zabezpečení SSL, je třeba je nejdříve nakonfigurovat v Internetové informační službě (IIS) a potom pomocí příkazového řádku konfigurovat službu Windows SharePoint Services.
Poznámka: Při použití zabezpečení SSL se adresa URL Centrální správy SharePoint změní z http:// na https://.
Pokud nepotřebujete zajistit přístup k Centrální správě SharePoint z Internetu, doporučujeme k blokování přístupu k portu používanému Centrální správou SharePoint nebo k omezení přístupu k portům pro určité domény použít nastavení brány firewall. Pomocí operace stsadm -o setadminport nastavte u všech serverů v serverové farmě stejné číslo portu a nakonfigurujte bránu firewall tak, aby daný port chránila na všech serverech. Lze také použít funkci omezení jmen a adres IP ve službě IIS a omezit přístup k určitým doménám. Při tomto postupu je nutné zadat omezení pro každý virtuální server, ke kterému chcete omezit přístup.
Pomocí skupiny správců služby SharePoint lze řídit, kteří uživatelé mají přístup k Centrální správě SharePoint. K portu používanému Centrální správou SharePoint mají přístup pouze určené skupiny domény a místní správci. Omezte přístup místních správců pouze na několik operátorů počítače.
Při použití integrovaného ověřování systému Windows nejsou hesla odesílána ve formátu prostého textu, jako je tomu v případě použití základního ověřování. Základní ověřování je méně bezpečné, protože používá formát prostého textu.
Povolením anonymního přístupu se zabezpečení serveru podstatně snižuje. Pokud mohou anonymní uživatelé získat přístup k serveru, mohou změnit nastavení nebo obsah a jejich akce nelze trasovat ke skutečnému uživatelskému účtu. Ve výchozím nastavení je pro port používaný Centrální správou SharePoint anonymní přístup zakázán.
Zabezpečení připojení k serveru Microsoft SQL Server
Pokud místo programu SQL Server Desktop Engine (pro systém Windows) 2000 (WMSDE) používáte pro databáze server SQL, můžete pro komunikaci mezi službou Windows SharePoint Services a databázovými servery se serverem SQL Server použít jednu z následujících dvou metod zabezpečení:
Poznámka: Pokud používáte server SQL na jiném databázovém serveru, než je server se službou Windows SharePoint Services, je nutné jako účet fondu aplikací služby IIS použít účet domény (nebo účet místního systému či síťové služby). Použijete-li místní účet, nelze získat přístup k počítači se serverem SQL Server. U virtuálního serveru pro správu musí mít účet fondu aplikací služby IIS také práva k vytváření databází na serveru SQL Server. Použijete-li místní systém nebo síťovou službu, je nutné databázovému serveru udělit oprávnění k účtu počítače pro počítač webového serveru. Účty fondu aplikací pro jiné virtuální servery nevyžadují práva k vytvoření databáze, protože databáze jsou vytvářeny virtuálním serverem pro správu.
Integrované ověřování systému Windows NT
Při použití integrovaného ověřování systému Windows NT se k databázím serveru SQL Server připojíte pomocí fondu aplikací a pověření aplikací Internetové informační služby (IIS). Pověření jsou spolu s jinými pracovními procesy služby IIS bezpečně uložena v metabázi služby IIS. Při připojení služby Windows SharePoint Services k databázím jsou spuštěny obvyklé procesy této služby a k připojení je použit proces služby IIS. Při implementaci v serverových farmách je nutné zajistit, aby byly změny pověření použity u všech serverů. Pokud například doména obsahuje zásady vyžadující časté obnovení hesla, je nutné změnit heslo ve službě IIS pro každý počítač serveru v serverové farmě.
Pro všechny implementované virtuální servery lze použít jeden proces nebo můžete jednotlivé virtuální servery izolovat pomocí vlastního fondu aplikací. Použití oddělených procesů je bezpečnější. Pokud například používáte vlastní skript pro jeden virtuální server, může být napsán tak, že jej lze použít k přístupu ke stránkám na jiném serveru, pokud tyto stránky sdílejí fond aplikací. Jestliže používají různé fondy aplikací, nelze skript použít k ověření databází na různých virtuálních serverech.
Ověřování serveru SQL Server používá k vytvoření připojení mezi službou Windows SharePoint Services a databázemi účet a heslo správce (často jde o výchozí účet správce systému) uložené v databázi serveru SQL Server. Stejné uživatelské jméno a heslo je použito u všech aktualizací databází bez ohledu na to, který server v serverové farmě nebo virtuální server na jednom serveru či v serverové farmě vyžaduje aktualizaci.
Důležité: Při použití ověřování serveru SQL Server je heslo pro účet správce odesláno prostřednictvím sítě a může být odhaleno uživatelem se zlými úmysly. Pro připojení mezi službou Windows SharePoint Services a databázemi serveru SQL Server proto doporučujeme použít integrované ověřování systému Windows NT. Při použití ověřování serveru SQL Server je zadané uživatelské jméno a heslo k dispozici všem členům skupiny STS_WPG, která může zahrnovat účty přidružené k jiným aplikacím na serveru.
Služba Windows SharePoint Services podporuje spojení přes brány firewall. V závislosti na použité konfiguraci je nutné zajistit, aby byla brána firewall otevřena pro standardní porty protokolu HTTP s čísly 80 a 443. Při použití brány firewall je nutné weby služby SharePoint nakonfigurovat pro použití základního ověřování, protože integrované ověřování systému Windows neumožňuje komunikaci přes bránu firewall.
Zobrazit vše
Skrýt vše