Freigeben über


Planen der Verstärkung der Sicherheit für Serverrollen in einer Serverfarm (Windows SharePoint Services)

  • Informationen zur Verstärkung der Sicherheit

  • Empfehlungen für Anwendungsserver

  • Sichere Kommunikation mit der Microsoft SQL Server-Datenbank

  • Dienstanforderungen für die Datei- und Druckerfreigabe

  • Dienstanforderungen für die E-Mail-Integration

  • Windows SharePoint Services-Dienste

  • Konten und Gruppen

  • Web.config (Datei)

  • Sichere Snapshotergänzungen

Verwenden Sie diesen Artikel zum Planen der Serverfarmsicherheit. Die Aufgaben im Artikel sind für die folgenden Sicherheitsumgebungen geeignet:

  • Intern gehostete IT-Umgebung

  • Sichere Zusammenarbeit mit externen Benutzern

  • Externer anonymer Zugriff

Informationen zur Verstärkung der Sicherheit

In einer Serverfarmumgebung spielen die einzelnen Server bestimmte Rollen. Die Empfehlungen für die Verstärkung der Sicherheit dieser Server hängen von der jeweiligen Rolle ab.

Die Empfehlungen für die Verstärkung der Serversicherheit gelten zusätzlich zu den Empfehlungen in den folgenden Sicherheitshandbüchern, die in Microsoft-Muster und -Methoden (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73704&clcid=0x407) bereitgestellt werden:

Diese Handbücher folgen einem methodischen Ansatz für das Schützen von Servern für bestimmte Rollen und für das Schützen des unterstützenden Netzwerks. Die Reihenfolge der Anwendung der Einstellungen und der Installation der Anwendungen sowie der Verstärkung ihrer Sicherheit wird ebenfalls vorgegeben, vom Anwenden von Patches und Updates über die Verstärkung der Sicherheit der Netzwerk- und Betriebssystemeinstellungen zur anwendungsspezifischen Verstärkung der Sicherheit. Beispielsweise wird in Schützen des Webserver (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x407) empfohlen, die Internetinformationsdienste (Internet Information Services, IIS) erst nach dem Anwenden von Patches auf das Betriebssystem und der Verstärkung der Sicherheit des Betriebssystems zu installieren und ihre Sicherheit zu verstärken. Außerdem sieht das Handbuch vor, dass Microsoft .NET Framework erst installiert wird, wenn sämtliche Patches auf die Internetinformationsdienste angewendet wurden und die Sicherheit der Internetinformationsdienste verstärkt wurde.

Die Kategorien der in Schützen des Webservers (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x407) methodisch vorgegebenen Sicherheitseinstellungen werden in der folgenden Abbildung im Detail gezeigt.

Kategorien von Sicherheitseinstellungen

Außerdem enthält jedes der drei Handbücher einen sicheren Snapshot und eine Liste der empfohlenen Sicherheitseinstellungen für die jeweilige Serverrolle oder für das Netzwerk. Die Snapshotlisten sind nach Kategorien organisiert, die den in der vorhergehenden Abbildung gezeigten Sicherheitseinstellungen entsprechen.

Der Sicherheitsentwurf und die Verstärkungsanleitung in diesem Artikel basieren auf den in diesen drei Handbüchern veröffentlichten Anleitungen. Bei diesen Anleitungen wird angenommen, dass Sie die Handbücher als Basis für das Sichern und für das Verstärken der Sicherheit der Serverfarm verwenden.

In diesem Artikel werden die Erwartungen oder Ergänzungen zu den für Ihre Umgebung empfohlenen Snapshots beschrieben. Diese werden im Tabellenformat mit den gleichen Kategorien und in der gleichen Reihenfolge wie in den drei Sicherheitshandbüchern aufgelistet. Dieses Format soll das Identifizieren und Anwenden bestimmter Empfehlungen beim Verwenden der Handbücher erleichtern.

Das Handbuch Bereitstellung für Windows SharePoint Services 3.0-Technologien (https://go.microsoft.com/fwlink/?linkid=76140&clcid=0x407) enthält Anweisungen zum Anwenden bestimmter Sicherheitsrichtlinien, die in den Sicherheitshandbüchern zu Mustern und Methoden nicht behandelt werden.

Die Art der Kommunikation zwischen den Servern in einer Serverfarm und die spezifischen von Windows SharePoint Services 3.0 bereitgestellten Features sind die Hauptgründe für bestimmte Empfehlungen für die Verstärkung der Sicherheit. Außerdem wird in diesem Artikel beschrieben, wie sich wichtige Kommunikationskanäle und Windows SharePoint Services 3.0-Features auf die Sicherheitsanforderungen auswirken.

Empfehlungen für Anwendungsserver

In Windows SharePoint Services 3.0 sind Anwendungsserverrollen nicht typische Middle-Tier-Anwendungsserver, die in den Enterprise Services-Anwendungen gepackt sind. Daher gelten die Empfehlungen in Schützen des Anwendungsservers (in englischer Sprache) (https://msdn.microsoft.com/de-de/library/aa302433.aspx) nicht für Windows SharePoint Services 3.0-Anwendungsserver. Folgen Sie stattdessen der Anleitung in Schützen des Webservers (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x407), um die Sicherheit von Windows SharePoint Services 3.0-Anwendungsservern zu verstärken:

  • Wenden Sie die Anleitung für Netzwerk- und Betriebssystemeinstellungen auf alle Anwendungsserver in der Serverfarm an. Diese Anleitung bezieht sich auf die folgenden Kategorien: Patches und Updates, Dienste, Protokolle, Konten, Dateien und Verzeichnisse, Freigaben, Ports, Registrierung sowie Überwachung und Protokollierung.

  • Wenden Sie die Anleitung für die Verstärkung der Sicherheit der Internetinformationsdienste und für andere Webeinstellungen nur auf dem Anwendungsserver an, auf dem die Website für die Zentraladministration gehostet wird. Diese Anleitung bezieht sich auf die folgenden Kategorien: IIS, Machine.config, Codezugriffssicherheit, LocalIntranet_Zone und Internet_Zone.

Wenden Sie zusätzlich zum Verwenden des sicheren Snapshots in Schützen des Webserver (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x407) auch die Empfehlungen aus dem Abschnitt Sichere Snapshotergänzungen weiter unten in diesem Artikel an.

Sichere Kommunikation mit der Microsoft SQL Server-Datenbank

Schützen des Datenbankservers (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x407) empfiehlt, den Zugriff auf zwei standardmäßige Microsoft SQL Server-Kommunikationsports einzuschränken: TCP-Port 1433 und UDP-Port 1434. Die Empfehlung für sichere Farmumgebungen lautet:

  • Blockieren Sie UDP-Port 1434 vollständig.

  • Konfigurieren Sie benannte SQL Server-Instanzen zum Abhören eines Nichtstandardports (eines anderen Ports als TCP-Port 1433 oder UDP-Port 1434).

  • Erhöhen Sie die Sicherheit, indem Sie TCP-Port 1433 blockieren und den von der Standardinstanz verwendeten Port einem Nichtstandardport zuweisen.

  • Konfigurieren Sie SQL-Clientaliase auf allen Front-End-Webservern und Anwendungsservern in der Serverfarm. Wenn Sie TCP-Port 1433 oder UDP-Port 1434 blockiert haben, sind SQL-Clientaliase auf allen Computern notwendig, die mit dem SQL Server-Computer kommunizieren.

Dieser Ansatz bietet ein viel höheres Maß an Kontrolle darüber, wie SQL Server bereitgestellt und ausgeführt wird. So kann beispielsweise sichergestellt werden, dass nur autorisierte Computer mit dem SQL Server-Computer kommunizieren können.

Die Schritte zur Verstärkung der Sicherheit beim Erstellen eines SQL-Clientalias müssen vor dem Installieren von Windows SharePoint Services 3.0 abgeschlossen sein. Wenn Sie das Setup für Windows SharePoint Services 3.0 ausführen und Sie zum Eingeben des Namens des SQL Server-Computers, mit dem eine Verbindung hergestellt werden soll, aufgefordert werden, müssen Sie den Namen des SQL-Clientalias eingeben.

Blockieren der standardmäßigen SQL Server-Ports

Die spezifischen Ports, die zum Herstellen einer Verbindung mit SQL Server verwendet werden, hängen davon ab, ob die Datenbanken in einer Standardinstanz von SQL Server oder in einer benannten Instanz von SQL Server installiert sind. Die Standardinstanz von SQL Server hört Clientanforderungen auf TCP-Port 1433 ab. Eine benannte Instanz von SQL Server hört eine zufällig zugewiesene Portnummer ab. Außerdem kann die Portnummer für eine benannte Instanz neu zugewiesen werden, wenn die Instanz neu gestartet wird (abhängig von der Verfügbarkeit der vorher zugewiesenen Portnummer).

Standardmäßig wird auf Clientcomputern, die eine Verbindung mit SQL Server herstellen, zuerst eine Verbindung mithilfe von TCP-Port 1433 hergestellt. Wenn diese Kommunikation nicht erfolgreich ist, fragen die Clientcomputer den UDP-Port 1434 abhörenden SQL Server-Auflösungsdienst ab, um den von der Datenbankinstanz abgehörten Port zu ermitteln.

Das Standardport-Kommunikationsverhalten von SQL Server führt zu verschiedenen Problemen, die sich auf die Verstärkung der Serversicherheit auswirken. Erstens handelt es sich bei den von SQL Server verwendeten Ports um allgemein veröffentlichte Ports, und der SQL Server-Auflösungsdienst ist Ziel von Pufferüberlaufangriffen und Denial-of-Service-Angriffen, beispielsweise durch den Wurmvirus "Slammer". Auch wenn SQL Server gepatcht wird, um die Sicherheitsprobleme im SQL Server-Auflösungsdienst zu mindern, bleiben die allgemein veröffentlichten Ports ein Ziel. Zweitens wird, wenn Datenbanken in einer benannten Instanz von SQL Server installiert werden, der entsprechende Kommunikationsport zufällig zugewiesen und kann geändert werden. Dieses Verhalten kann möglicherweise in einer Umgebung mit verstärkter Sicherheit die Kommunikation zwischen Servern verhindern. Die Möglichkeit, zu steuern, welche TCP-Ports geöffnet sind oder blockiert werden, ist unerlässlich für den Schutz der Umgebung.

Daher sieht die Empfehlung für eine Serverfarm vor, benannten Instanzen von SQL Server statische Portnummern zuzuweisen und UDP-Port 1434 zu blockieren, um potenzielle Angreifer am Zugreifen auf den SQL Server-Auflösungsdienst zu hindern. Ziehen Sie es außerdem in Betracht, den von der Standardinstanz verwendeten Port neu zuzuweisen und TCP-Port 1433 ebenfalls zu blockieren.

Es gibt verschiedene Methoden, die Sie zum Blockieren von Ports verwenden können. Sie können die Ports mithilfe einer Firewall blockieren. Wenn Sie jedoch nicht sicher sind, dass keine weiteren Routen in das Netzwerksegment vorhanden sind und dass keine böswilligen Benutzer mit Zugriff auf das Netzwerksegment vorhanden sind, sollten Sie diese Ports direkt auf dem Server blockieren, auf dem SQL Server gehostet wird. Hierzu können Sie die Windows-Firewall in der Systemsteuerung verwenden.

Konfigurieren von SQL Server-Datenbankinstanzen zum Abhören eines Nichtstandardports

Sie können in SQL Server die von der Standardinstanz und von benannten Instanzen verwendeten Ports neu zuweisen. In SQL Server 2000 weisen Sie Ports mithilfe der SQL Server-Netzwerkkonfiguration neu zu. In SQL Server 2005 verwenden Sie zum Zuweisen von Ports den SQL Server-Konfigurations-Manager.

Konfigurieren von SQL-Clientaliasen

In einer Serverfarm sind alle Front-End-Webserver und Anwendungsserver SQL Server-Clientcomputer. Wenn Sie UDP-Port 1434 auf dem SQL Server-Computer blockieren oder den Standardport für die Standardinstanz ändern, müssen Sie auf allen Servern, die eine Verbindung mit dem SQL Server-Computer herstellen, einen SQL-Clientalias konfigurieren.

Zum Herstellen einer Verbindung mit einer Instanz von SQL Server 2000 installieren Sie die SQL Server-Clienttools auf dem Zielcomputer und konfigurieren dann den SQL-Clientalias. Sie installieren die Tools, indem Sie das Setup für SQL Server ausführen und SQL Server-Clienttools auswählen.

Zum Herstellen einer Verbindung mit einer Instanz von SQL Server 2005 installieren Sie die SQL Server-Clientkomponenten auf dem Zielcomputer und konfigurieren dann den SQL-Clientalias mithilfe des SQL Server-Konfigurations-Managers. Zum Installieren der SQL Server-Clientkomponenten führen Sie das Setup aus, und wählen Sie nur die folgenden Clientkomponenten für die Installation aus:

  • Konnektivitätskomponenten

  • Verwaltungstools (einschließlich SQL Server-Konfigurations-Manager)

Die SQL Server-Clientkomponenten können mit SQL Server 2000 verwendet werden und können anstelle der SQL Server-Clienttools verwendet werden.

Schritte zum Verstärken der Sicherheit

Konfigurieren von SQL Server

Konfigurieren einer SQL Server 2000-Instanz zum Abhören eines Nichtstandardports

Verwenden Sie die SQL Server-Netzwerkkonfiguration, um den von einer Instanz von SQL Server 2000 verwendeten TCP-Port zu ändern.

  1. Führen Sie auf dem SQL Server-Computer die SQL Server-Netzwerkkonfiguration aus.

  2. Wählen Sie im Menü Instanz(en) auf diesem Server die Instanz aus. Stellen Sie sicher, dass Sie die gewünschte Instanz ausgewählt haben. Standardmäßig hört die Standardinstanz Port 1433 ab. Benannten Instanzen von SQL Server 2000 wird eine zufällige Portnummer zugewiesen, sodass Sie die einer benannten Instanz zurzeit zugewiesene Portnummer beim Ausführen der SQL Server-Netzwerkkonfiguration möglicherweise nicht kennen.

  3. Klicken Sie im Bereich Aktivierte Protokolle auf der rechten Seite der Oberfläche der SQL Server-Netzwerkkonfiguration auf TCP/IP, und klicken Sie dann auf Eigenschaften.

  4. Ändern Sie im Dialogfeld Standardwert für das Netzwerkprotokoll einrichten die TCP-Portnummer. Vermeiden Sie die Verwendung eines der allgemein bekannten TCP-Ports. Wählen Sie beispielsweise eine Portnummer aus einem höheren Bereich aus, beispielsweise 40000. Aktivieren Sie nicht das Kontrollkästchen Server ausblenden.

  5. Klicken Sie auf OK.

  6. Klicken Sie im Dialogfeld SQL Server-Netzwerkkonfiguration auf OK. Es wird eine Meldung angezeigt, aus der hervorgeht, dass die Änderung erst wirksam wird, wenn der SQL Server-Dienst neu gestartet wird. Klicken Sie auf OK.

  7. Starten Sie den SQL Server-Dienst neu, und vergewissern Sie sich, dass der SQL Server-Computer den ausgewählten Port abhört. Sie können dies überprüfen, indem Sie nach dem Neustarten des SQL Server-Diensts das Protokoll der Ereignisanzeige anzeigen. Suchen Sie nach einem Informationsereignis, das ähnlich wie das folgende Ereignis aussieht:

    Ereignistyp:Information

    Ereignisquelle:MSSQLSERVER

    Ereigniskategorie:(2)

    Ereigniskennung:17055

    Datum:06.03.2008

    Uhrzeit:11:20:00 Uhr

    Benutzer:n/v

    Computer:Computername

    Beschreibung:

    19013:

    SQL Server überwacht 10.1.2.3: 40000

Konfigurieren einer SQL Server 2005-Instanz zum Abhören eines Nichtstandardports

Verwenden Sie den SQL Server-Konfigurations-Manager, um den von einer Instanz von SQL Server 2005 verwendeten TCP-Port zu ändern.

  1. Verwenden Sie den SQL Server-Konfigurations-Manager, um den von einer Instanz von SQL Server 2005 verwendeten TCP-Port zu ändern.

  2. Öffnen Sie auf dem SQL Server-Computer den SQL Server-Konfigurations-Manager.

  3. Erweitern Sie im linken Bereich die Option SQL Server 2005-Netzwerkkonfiguration.

  4. Klicken Sie unter SQL Server 2005-Netzwerkkonfiguration auf den entsprechenden Eintrag für die zu konfigurierende Instanz. Die Standardinstanz wird aufgelistet als Protokolle für MSSQLSERVER. Benannte Instanzen werden angezeigt als Protokolle für benannte Instanz.

  5. Klicken Sie im rechten Bereich auf TCP/IP, und klicken Sie auf Eigenschaften.

  6. Klicken Sie auf die Registerkarte IP-Adressen. Für jede dem SQL Server-Computer zugewiesene IP-Adresse befindet sich auf dieser Registerkarte ein entsprechender Eintrag. Standardmäßig hört SQL Server alle dem Computer zugewiesenen IP-Adressen ab.

  7. Führen Sie die folgenden Aktionen aus, um den von der Standardinstanz abgehörten Port global zu ändern:

    1. Löschen Sie für jede IP außer IPAll alle Werte für Dynamische TCP-Ports und TCP-Port.

    2. Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie in das Feld TCP-Port den Port ein, der von der Instanz von SQL Server abgehört werden soll. Geben Sie beispielsweise 40000 ein.

  8. Führen Sie die folgenden Aktionen aus, um den von einer benannten Instanz abgehörten Port global zu ändern:

    1. Löschen Sie für jede IP, einschließlich IPAll, alle Werte für Dynamische TCP-Ports. Der Wert 0 in diesem Feld gibt an, dass SQL Server für die IP-Adresse einen dynamischen TCP-Port verwendet. Ein leerer Eintrag für diesen Wert bedeutet, dass SQL Server 2005 keinen dynamischen TCP-Port für die IP-Adresse verwendet.

    2. Löschen Sie für jede IP außer IPAll alle Werte für TCP-Port.

    3. Löschen Sie für IPAll den Wert für Dynamische TCP-Ports. Geben Sie in das Feld TCP-Port den Port ein, der von der Instanz von SQL Server abgehört werden soll. Geben Sie beispielsweise 40000 ein.

  9. Klicken Sie auf OK. Es wird eine Meldung angezeigt, aus der hervorgeht, dass die Änderung erst wirksam wird, wenn der SQL Server-Dienst neu gestartet wird. Klicken Sie auf OK.

  10. Schließen Sie den SQL Server-Konfigurations-Manager.

  11. Starten Sie den SQL Server-Dienst neu, und vergewissern Sie sich, dass der SQL Server-Computer den ausgewählten Port abhört. Sie können dies überprüfen, indem Sie nach dem Neustarten des SQL Server-Diensts das Protokoll der Ereignisanzeige anzeigen. Suchen Sie nach einem Informationsereignis, das ähnlich wie das folgende Ereignis aussieht:

    Ereignistyp:Information

    Ereignisquelle:MSSQL$MSSQLSERVER

    Ereigniskategorie:(2)

    Ereigniskennung:26022

    Datum:06.03.2008

    Uhrzeit:13:46:11 Uhr

    Benutzer:n/v

    Computer:Computername

    Beschreibung:

    Der Server überwacht [ 'any' <ipv4>50000]

Konfigurieren der Windows-Firewall

Konfigurieren der Windows-Firewall zum Blockieren der standardmäßig von SQL Server überwachten Ports

  1. Öffnen Sie in der Systemsteuerung die Windows-Firewall.

  2. Klicken Sie auf der Registerkarte Allgemein auf Ein. Stellen Sie sicher, dass das Kontrollkästchen Keine Ausnahmen zulassen deaktiviert ist.

  3. Klicken Sie auf der Registerkarte Ausnahmen auf Port hinzufügen.

  4. Geben Sie in das Dialogfeld Port hinzufügen einen Namen für den Port ein. Geben Sie beispielsweise UDP-1434 ein. Geben Sie dann die Portnummer ein. Geben Sie beispielsweise 1434 ein.

  5. Wählen Sie das entsprechende Optionsfeld aus: UDP oder TCP. Zum Blockieren von Port 1434 beispielsweise klicken Sie auf UDP. Zum Blockieren von Port 1433 klicken Sie auf TCP.

  6. Klicken Sie auf Bereich ändern, und stellen Sie sicher, dass der Bereich für diese Ausnahme auf Alle Computer (einschließlich der im Internet) festgelegt ist.

  7. Klicken Sie auf OK.

  8. Suchen Sie auf der Registerkarte Ausnahmen die erstellte Ausnahme. Zum Blockieren des Ports deaktivieren Sie das Kontrollkästchen für diese Ausnahme. Standardmäßig ist das Kontrollkästchen aktiviert, das heißt, der Port ist geöffnet.

Konfigurieren der Windows-Firewall zum Öffnen manuell zugewiesener Ports

  1. Folgen Sie den Schritten 1 - 7 im vorherigen Verfahren, um eine Ausnahme für den Port zu erstellen, den Sie manuell einer SQL-Instanz zugewiesen haben. Erstellen Sie beispielsweise eine Ausnahme für TCP-Port 40000.

  2. Suchen Sie auf der Registerkarte Ausnahmen die erstellte Ausnahme. Stellen Sie sicher, dass das Kontrollkästchen für die Ausnahme aktiviert ist. Standardmäßig ist das Kontrollkästchen aktiviert, das heißt, der Port ist geöffnet.

    Hinweis

    Weitere Informationen zum Verwenden von Internetprotokollsicherheit (IPsec) zum Schützen der Kommunikation zum und vom SQL Server-Computer finden Sie im Microsoft Knowledge Base-Artikel 233256: Aktivieren von IPSec-Verkehr über eine Firewall (möglicherweise maschinelle Übersetzung) (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x407).

Konfigurieren eines SQL-Clientalias

Konfigurieren eines SQL-Clientalias

Wenn Sie UDP-Port 1434 oder TCP-Port 1433 auf dem SQL Server-Computer blockieren, müssen Sie auf allen anderen Computern in der Serverfarm einen SQL-Clientalias erstellen. Sie können SQL Server-Clientkomponenten verwenden, um einen SQL-Clientalias für Computer zu erstellen, die eine Verbindung mit SQL Server 2000 oder SQL Server 2005 herstellen.

  1. Führen Sie das Setup für SQL Server 2005 auf dem Zielcomputer aus, und wählen Sie die folgenden Clientkomponenten für die Installation aus:

    1. Konnektivitätskomponenten

    2. Verwaltungstools

  2. Öffnen Sie den SQL Server-Konfigurations-Manager.

  3. Klicken Sie im linken Bereich auf SQL Native Client-Konfiguration.

  4. Klicken Sie im rechten Bereich auf Aliase, und wählen Sie Neuer Alias aus.

  5. Geben Sie in das Dialogfeld Alias einen Namen für den Alias ein, und geben Sie dann die Portnummer für die Datenbankinstanz ein. Geben Sie beispielsweise SharePoint-Alias ein.

  6. Geben Sie in das Feld Portnummer die Portnummer für die Datenbankinstanz ein. Geben Sie beispielsweise 40000 ein. Stellen Sie sicher, dass das Protokoll auf TCP/IP festgelegt ist.

  7. Geben Sie in das Feld Server den Namen des SQL Server-Computers ein.

  8. Klicken Sie auf Anwenden, und klicken Sie dann auf OK.

Testen des SQL-Clientalias

Testen Sie die Konnektivität mit dem SQL Server-Computer mithilfe des Programms Microsoft SQL Server Management Studio, das nach dem Installieren der SQL Server-Clientkomponenten verfügbar ist.

  1. Öffnen Sie SQL Server Management Studio.

  2. Wenn Sie zum Eingeben eines Servernamens aufgefordert werden, geben Sie den Namen des erstellten Alias ein, und klicken Sie dann auf Verbinden. Wenn die Verbindung erfolgreich hergestellt wurde, wird SQL Server Management Studio mit Objekten aufgefüllt, die der Remotedatenbank entsprechen.

    Hinweis

    Zum Überprüfen der Konnektivität mit weiteren Datenbankinstanzen über SQL Server Management Studio klicken Sie auf die Schaltfläche Verbinden, und wählen Sie Datenbankmodul aus.

Dienstanforderungen für die Datei- und Druckerfreigabe

Verschiedene Kernfeatures hängen vom Datei- und Druckerfreigabedienst und den entsprechenden Protokollen und Ports ab. Dazu gehören beispielsweise die Folgenden:

  • Suchabfragen Der Datei- und Druckerfreigabedienst ist für alle Suchabfragen erforderlich.

  • Crawlen und Indizieren von Inhalten Zum Crawlen von Inhalten sendet die Indexkomponente Anforderungen über den Front-End-Webserver. Der Front-End-Webserver kommuniziert direkt mit Inhaltsdatenbanken und sendet Ergebnisse zurück an den Indexserver. Für diese Kommunikation ist der Datei- und Druckerfreigabedienst erforderlich.

Für den Datei- und Druckerfreigabedienst ist die Verwendung von Named Pipes erforderlich. Named Pipes können mithilfe von direkt gehosteten SMB- oder NBT-Protokollen kommunizieren. Für eine sichere Umgebung wird direkt gehostetes SMB anstelle von NBT empfohlen. In den Empfehlungen für die Verstärkung der Sicherheit in diesem Artikel wird angenommen, dass SMB verwendet wird.

In der folgenden Tabelle werden die Anforderungen für die Verstärkung der Sicherheit beschrieben, die durch die Abhängigkeit vom Datei- und Druckerfreigabedienst entstehen.

Kategorie Anforderung Hinweise

Dienste

Datei- und Druckerfreigabe

Erfordert die Verwendung von Named Pipes.

Protokolle

Named Pipes mit direkt gehostetem SMB

Deaktivieren von NBT

Named Pipes können NBT anstelle von direkt gehostetem SMB verwenden. NBT gilt jedoch nicht als so sicher wie direkt gehostetes SMB.

Ports

TCP-/UDP-Port 445

Verwendet von direkt gehostetem SMB.

Weitere Informationen zum Deaktivieren von NBT finden Sie im Microsoft Knowledge Base-Artikel 204279: Direktes Hosting von SMB über TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x407).

Dienstanforderungen für die E-Mail-Integration

Für die E-Mail-Integration ist die Verwendung von zwei Diensten erforderlich:

  • SMTP-Dienst (Simple Mail Transfer-Protokoll)

  • Microsoft SharePoint-Verzeichnisverwaltungsdienst

SMTP-Dienst

Für die E-Mail-Integration muss der SMTP-Dienst auf mindestens einem der Front-End-Webserver in der Serverfarm verwendet werden. Der SMTP-Dienst ist für eingehende E-Mail erforderlich. Für ausgehende E-Mail können Sie den SMTP-Dienst verwenden oder ausgehende E-Mail über einen dedizierten E-Mail-Server in der Organisation leiten, beispielsweise über einen Microsoft Exchange Server-Computer.

Microsoft SharePoint-Verzeichnisverwaltungsdienst

Windows SharePoint Services 3.0 enthält einen internen Dienst zum Erstellen von E-Mail-Verteilergruppen, den Microsoft SharePoint-Verzeichnisverwaltungsdienst.

Beim Konfigurieren der E-Mail-Integration haben Sie die Option, das Feature Verzeichnisverwaltungsdienst zu aktivieren, um Benutzern das Erstellen von Verteilerlisten zu ermöglichen. Wenn Benutzer eine SharePoint-Gruppe erstellen und die Option zum Erstellen einer Verteilerliste auswählen, wird vom Microsoft SharePoint-Verzeichnisverwaltungsdienst in der Active Directory-Umgebung die entsprechende Verteilerliste des Active Directory-Verzeichnisdiensts erstellt.

In Umgebungen mit verstärkter Sicherheit wird empfohlen, den Zugriff auf den Microsoft SharePoint-Verzeichnisverwaltungsdienst durch Schützen der diesem Dienst zugeordneten Datei (SharePointEmailws.asmx) einzuschränken. Lassen Sie beispielsweise den Zugriff auf diese Datei nur für das Serverfarmkonto zu.

Darüber hinaus sind für diesen Dienst Berechtigungen in der Active Directory-Umgebung erforderlich, um Active Directory-Verteilerlistenobjekte zu erstellen. Es wird empfohlen, eine separate Organisationseinheit für SharePoint-Objekte in Active Directory einzurichten. Nur diese Organisationseinheit sollte Schreibzugriff auf das vom Microsoft SharePoint-Verzeichnisverwaltungsdienst verwendete Konto gewähren.

Windows SharePoint Services-Dienste

Deaktivieren Sie nicht Dienste, die von Windows SharePoint Services 3.0 installiert wurden. Die folgenden Dienste werden auf allen Front-End-Webservern und Anwendungsservern installiert und werden im MMC-Snap-In (Microsoft Management Console) Dienste angezeigt (in alphabetischer Reihenfolge):

  • Windows SharePoint Services-Verwaltung

  • Windows SharePoint Services-Suche

  • Windows SharePoint Services-Timer

  • Windows SharePoint Services-Ablaufverfolgung

  • Windows SharePoint Services VSS Writer

Wenn als lokales System ausgeführte Dienste in der Umgebung nicht zulässig sind, können Sie das Deaktivieren des Windows SharePoint Services-Verwaltungsdiensts in Betracht ziehen. Sie müssen jedoch die Konsequenzen kennen und sie umgehen können. Dieser Dienst ist ein Win32-Dienst, der als lokales System ausgeführt wird.

Dieser Dienst wird vom Windows SharePoint Services-Timerdienst zum Ausführen von Aktionen verwendet, für die Administratorrechte auf dem Server erforderlich sind, beispielsweise Erstellen von IIS-Websites, Bereitstellen von Code und Beenden und Starten von Diensten. Wenn Sie diesen Dienst deaktivieren, können Sie keine Aufgaben im Zusammenhang mit der Bereitstellung über die Website für die Zentraladministration ausführen. Sie müssen das Befehlszeilentool Stsadm.exe verwenden und den Befehl execadminsvcjobs ausführen, um Bereitstellungen auf mehreren Servern für Windows SharePoint Services 3.0 abzuschließen und andere Aufgaben im Zusammenhang mit der Bereitstellung auszuführen.

Konten und Gruppen

Die sicheren Snapshots in den Sicherheitshandbüchern zu Mustern und Methoden enthalten Empfehlungen für das Schützen von Konten und Gruppen.

Empfehlungen zum Planen von Konten finden Sie unter Planen von Administrator- und Dienstkonten (Windows SharePoint Services).

Empfehlungen zum Planen von Administrator- und Benutzerrollen finden Sie unter Planen von Sicherheitsrollen (Windows SharePoint Services).

Web.config (Datei)

In .NET Framework und insbesondere ASP.NET werden zum Konfigurieren von Anwendungen Konfigurationsdateien im XML-Format verwendet. In .NET Framework werden Konfigurationsdateien zum Definieren von Konfigurationsoptionen verwendet. Die Konfigurationsdateien sind textbasierte XML-Dateien. Auf einem einzigen System können sich mehrere Konfigurationsdateien befinden, und normalerweise ist dies auch der Fall.

Systemweite Konfigurationseinstellungen für .NET Framework werden in der Datei Machine.config definiert. Die Datei Machine.config befindet sich im Ordner %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. Die Standardeinstellungen in der Datei Machine.config können geändert werden, um das Verhalten von Anwendungen auf dem gesamten System zu beeinflussen, die .NET Framework verwenden. Empfehlungen zum Konfigurieren der Datei Machine.config finden Sie unter Schützen des Webservers (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x407).

Sie können die ASP.NET-Konfigurationseinstellungen für eine einzelne Anwendung ändern, indem Sie eine Datei Web.config im Stammordner der Anwendung erstellen. Wenn Sie dies tun, werden durch die Einstellungen in der Datei Web.config die Einstellungen in der Datei Machine.config außer Kraft gesetzt.

Beim Erweitern einer Webanwendung mithilfe der Zentraladministration wird von Windows SharePoint Services 3.0 automatisch eine Datei web.config für die Webanwendung erstellt.

Im Abschnitt Sichere Snapshotergänzungen weiter unten in diesem Artikel werden Empfehlungen für das Konfigurieren der Datei Web.config aufgelistet. Diese Empfehlungen sollten auf jede erstellte Datei Web.config angewendet werden, einschließlich der Datei Web.config für die Website für die Zentraladministration.

Weitere Informationen zu ASP.NET-Konfigurationsdateien und zum Bearbeiten der Datei Web.config finden Sie unter ASP.NET-Konfiguration (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x407).

Sichere Snapshotergänzungen

In diesem Abschnitt werden die Ergänzungen zu Snapshots in den Sicherheitshandbüchern zu Mustern und Methoden aufgelistet, die für Windows SharePoint Services 3.0-Umgebungen empfohlen werden. Diese werden im Tabellenformat mit den gleichen Kategorien und in der gleichen Reihenfolge wie in den drei Sicherheitshandbüchern zu Mustern und Methoden aufgelistet.

Dieses Format soll das Identifizieren und Anwenden bestimmter Empfehlungen beim Verwenden der Sicherheitshandbücher zu Mustern und Methoden erleichtern. Abgesehen von einigen wenigen genannten Ausnahmen sollten diese Empfehlungen für die Verstärkung der Sicherheit vor dem Ausführen des Setups für Windows SharePoint Services 3.0 angewendet werden.

Weitere Informationen zur Kommunikation zwischen bestimmten Serverrollen in einer Serverfarm finden Sie unter Planen des Verstärkens der Sicherheit für Extranetumgebungen (Windows SharePoint Services).

Schützen der Snapshotergänzungen für Netzwerke

In der folgenden Tabelle werden Empfehlungen für das Schützen der Netzwerkergänzungen beschrieben.

Komponente Charakteristische Ausnahme

Alle

Keine zusätzlichen Empfehlungen

Schützen der Snapshotergänzungen für Webserver

In der folgenden Tabelle werden Empfehlungen für das Schützen der Webserverergänzungen beschrieben.

Komponente Merkmal

Dienste

Aktivieren:

  • Datei- und Druckerfreigabe

  • WWW-Publishingdienst

Stellen Sie sicher, dass diese Dienste nach dem Ausführen des Setups aktiviert bleiben:

  • Windows SharePoint Services-Verwaltung

  • Windows SharePoint Services-Suche

  • Windows SharePoint Services-Timer

  • Windows SharePoint Services-Ablaufverfolgung

  • Windows SharePoint Services VSS Writer

Protokolle

Aktivieren:

  • SMB

  • SMTP (bei Verwendung von integrierter E-Mail)

Deaktivieren:

  • NBT

Konten

  • Wenn der Microsoft Directory-Verwaltungsdienst als Teil einer E-Mail-Integration aktiviert ist, konfigurieren Sie die Active Directory-Umgebung so, dass der Schreibzugriff auf das vom Microsoft-Verzeichnisverwaltungsdienst verwendete Konto (das Serverfarmkonto) zulässig ist.

  • Weitere Anleitungen zum Konfigurieren von Konten finden Sie unter Planen von Administrator- und Dienstkonten (Windows SharePoint Services) in den Anforderungen und Empfehlungen für Windows SharePoint Services 3.0-Konten.

Dateien und Verzeichnisse

Wenn die E-Mail-Integration aktiviert ist und das Feature Verzeichnisverwaltungsdienst aktiviert ist, schränken Sie den Zugriff auf den Microsoft SharePoint-Verzeichnisverwaltungsdienst ein, indem Sie die diesem Dienst zugeordnete Datei schützen: SharePointEmailws.asmx. Gewähren Sie beispielsweise nur dem Serverfarmkonto Zugriff auf diese Datei.

Freigaben

Keine zusätzlichen Empfehlungen

Ports

  • Öffnen Sie TCP-/UDP-Port 445.

  • Wenn UDP-Port 1434 auf dem SQL Server-Computer blockiert ist und Datenbanken in einer benannten Instanz installiert sind, konfigurieren Sie einen SQL-Clientalias zum Herstellen der Verbindung mit der benannten Instanz.

  • Wenn TCP-Port 1433 auf dem SQL Server-Computer blockiert ist und Datenbanken in der Standardinstanz installiert sind, konfigurieren Sie einen SQL-Clientalias zum Herstellen der Verbindung mit der benannten Instanz.

  • Stellen Sie sicher, dass Ports für Webanwendungen, auf die Benutzer zugreifen können, geöffnet bleiben.

  • Blockieren Sie den externen Zugriff auf den Port, der für die Website für die Zentraladministration verwendet wird.

Registrierung

Wenn Sie SSO verwenden, bearbeiten Sie die Registrierung, um statische Remoteprozeduraufrufe (Remote Procedure Call, RPC) zu konfigurieren.

Überwachung und Protokollierung

Wenn Protokolldateien verschoben werden, stellen Sie sicher, dass die Speicherorte der Protokolldateien entsprechend aktualisiert werden.

IIS

Siehe Anleitung für die Internetinformationsdienste weiter unten.

Websites und virtuelle Verzeichnisse

Keine zusätzlichen Empfehlungen

Skriptzuordnungen

Keine zusätzlichen Empfehlungen

ISAPI-Filter

Keine zusätzlichen Empfehlungen

IIS-Metabasis

Keine zusätzlichen Empfehlungen

.NET Framework

Siehe Anleitung für .NET Framework weiter unten.

Machine.config: HttpForbiddenHandler

Keine zusätzlichen Empfehlungen

Machine.config: Remoting

Keine zusätzlichen Empfehlungen

Machine.config: Trace

Keine zusätzlichen Empfehlungen

Machine.config: compilation

Keine zusätzlichen Empfehlungen

Machine.config: customErrors

Keine zusätzlichen Empfehlungen

Machine.config: sessionState

Keine zusätzlichen Empfehlungen

Codezugriffssicherheit

Stellen Sie sicher, dass für die Webanwendung ein Mindestsatz Sicherheitsberechtigungen für den Codezugriff aktiviert ist. (Das Element <trust> in der Datei Web.config für jede Webanwendung sollte auf WSS_Minimal (für WSS_Minimal gelten die in 12\config\wss_minimaltrust.config definierten niedrigen Standardwerte) oder auf eine eigene benutzerdefinierte Richtliniendatei mit minimalen Einstellungen) festgelegt sein.

LocalIntranet_Zone

Keine zusätzlichen Empfehlungen

Internet_Zone

Keine zusätzlichen Empfehlungen

Web.config

Wenden Sie die folgenden Empfehlungen auf jede Datei Web.config an, die nach dem Ausführen des Setups erstellt wird:

  • Lassen Sie Kompilierung oder Skripting von Datenbankseiten über die PageParserPaths-Elemente nicht zu.

  • Stellen Sie sicher, dass Folgendes festgelegt ist: <SafeMode> CallStack=""false"" und AllowPageLevelTrace=""false""

  • Stellen Sie sicher, dass die Webpartlimits für maximale Steuerelemente pro Zone niedrig festgelegt sind.

  • Stellen Sie sicher, dass die Liste SafeControls auf die mindestens für die Websites benötigten Steuerelemente festgelegt ist.

  • Stellen Sie sicher, dass die Liste Workflow SafeTypes auf die mindestens benötigen SafeTypes festgelegt ist.

  • Stellen Sie sicher, dass customErrors aktiviert ist (<customErrors mode=""On""/>).

  • Berücksichtigen Sie gegebenenfalls die Webproxyeinstellungen (<system.net>/<defaultProxy>).

  • Legen Sie das Limit upload.aspx auf die höchste Größe fest, die aller Wahrscheinlichkeit nach von Benutzern hochgeladen wird (der Standardwert ist 2 GB). Durch Uploads mit einer Größe von mehr als 100 MB kann die Leistung beeinträchtigt werden.

Schützen der Snapshotergänzungen für Datenbankserver

In der folgenden Tabelle werden Empfehlungen für das Schützen der Datenbankserverergänzungen beschrieben.

Komponente Charakteristische Ausnahme

Dienste

Keine zusätzlichen Empfehlungen

Protokolle

Keine zusätzlichen Empfehlungen

Konten

Entfernen Sie nicht verwendete Konten regelmäßig manuell.

Dateien und Verzeichnisse

Keine zusätzlichen Empfehlungen

Freigaben

Keine zusätzlichen Empfehlungen

Ports

  • Blockieren Sie UDP-Port 1434.

  • Ziehen Sie das Blockieren von TCP-Port 1433 in Betracht.

Registrierung

Keine zusätzlichen Empfehlungen

Überwachung und Protokollierung

Keine zusätzlichen Empfehlungen

SQL Server-Einstellungen

Siehe Anleitung für SQL Server-Einstellungen weiter unten.

SQL Server-Sicherheit

Keine zusätzlichen Empfehlungen

SQL Server-Anmeldungen, Benutzer und Rollen

Keine zusätzlichen Empfehlungen

SQL Server-Datenbankobjekte

Keine zusätzlichen Empfehlungen

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services.