Seguridad reforzada para funciones de servidor en una granja de servidores (Office SharePoint Server)

En este artículo:

• Seguridad reforzada

• Recomendaciones para el servidor de aplicaciones

• Comunicación segura con la base de datos de Microsoft SQL Server

• Requisitos del servicio Compartir archivos e impresoras

• Requisitos de seguridad reforzada del inicio de sesión único

• Servicios web de Office Server

• Conexiones con servidores externos

• Requisitos de servicios para la integración del correo electrónico

• Requisitos de servicios para el estado de sesión

• Servicios de Office SharePoint Server

• Cuentas y grupos

• Archivo Web.config

• Adiciones de instantáneas seguras

Use este artículo para planear la seguridad de la granja de servidores. Las tareas del artículo son adecuadas para los siguientes entornos de seguridad:

• Entorno hospedado de TI interno

• Colaboración externa segura

• Acceso anónimo externo

Seguridad reforzada

En un entorno de granja de servidores, los servidores individuales desempeñan funciones específicas. Las recomendaciones para reforzar la seguridad de estos servidores dependen de la función que desempeña cada uno.

Las recomendaciones para reforzar la seguridad de los servidores se agregan a las recomendaciones proporcionadas en las siguientes guías de seguridad, que se ofrecen en la página de modelos y prácticas de Microsoft (en inglés) (https://go.microsoft.com/fwlink/?linkid=73704&clcid=0xC0A) (en inglés):

• Protección de un servidor web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0xC0A) (en inglés)

• Protección de un servidor de base de datos (en inglés) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0xC0A) (en inglés)

• Protección de una red (en inglés) (https://go.microsoft.com/fwlink/?linkid=73707&clcid=0xC0A) (en inglés)

En estas guías se sigue un enfoque metódico para proteger los servidores para funciones específicas y para proteger la red de respaldo. Se recomienda además un orden determinado para aplicar configuraciones, instalar las aplicaciones y reforzar la seguridad de dichas aplicaciones; el primer paso es aplicar las revisiones y actualizaciones y, a continuación, reforzar la seguridad de la configuración de red y del sistema operativo; por último, se debe reforzar la seguridad de aplicaciones específicas. Por ejemplo, en la página acerca de la protección del servidor web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0xC0A) (en inglés), se recomienda instalar y reforzar la seguridad de Internet Information Services (IIS) sólo después de aplicar la revisión y reforzar la seguridad del sistema operativo. Además, en esta guía se recomienda la instalación de Microsoft .NET Framework sólo una vez que IIS esté completamente revisado y su seguridad reforzada.

Las categorías de la configuración de seguridad que se recomiendan metódicamente en la página acerca de la protección del servidor web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0xC0A) (en inglés) se detallan en la siguiente ilustración.

Además, en cada una de las tres guías se incluyen una instantánea segura y una lista de configuraciones de seguridad recomendadas para la función de servidor específica o para la red. Las listas de instantáneas se organizan por categorías que corresponden a las configuraciones de seguridad descritas en la ilustración anterior.

El diseño de seguridad y la orientación sobre seguridad reforzada proporcionados en este artículo se basan en la orientación publicada en estas tres guías. En esta orientación se da por supuesto que usará estas guías como base para proteger y reforzar la seguridad de su granja de servidores.

En este artículo se describen las excepciones o adiciones a las instantáneas que se recomiendan para su entorno. Están detalladas en formato de tabla mediante el uso de las mismas categorías y el mismo orden que las tres guías de seguridad. Este formato está destinado a facilitar la identificación y la aplicación de recomendaciones específicas mientras usa las guías.

La guía para la implementación de Office SharePoint 2007 (https://go.microsoft.com/fwlink/?linkid=76139&clcid=0xC0A) incluye instrucciones para aplicar pautas de seguridad específicas no incluidas en las guías de seguridad de modelos y prácticas.

La naturaleza de la comunicación entre servidores en una granja de servidores y las características específicas proporcionadas por Microsoft Office SharePoint Server 2007 son las razones principales de las recomendaciones específicas de seguridad reforzada. En este artículo también se describe cómo los canales de comunicación clave y las características de Office SharePoint Server 2007 afectan a los requisitos de seguridad..

Recomendaciones para el servidor de aplicaciones

En Office SharePoint Server 2007, las funciones de servidor de aplicaciones no se corresponden con los típicos servidores de aplicaciones de nivel intermedio empaquetados dentro de aplicaciones de Enterprise Services. Por lo tanto, las recomendaciones de la página en que se describe cómo proteger el servidor de aplicaciones (en inglés) (https://msdn.microsoft.com/es-es/library/aa302433.aspx) (en inglés) no se aplican a los servidores de aplicaciones de Office SharePoint Server 2007. En su lugar, use la orientación proporcionada en la página acerca de cómo proteger el servidor web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0xC0A) (en inglés) para reforzar la seguridad de los servidores de aplicaciones de Office SharePoint Server 2007:

• Aplique la orientación para la configuración de red y de sistema operativo a todos los servidores de aplicaciones de la granja de servidores. Esta orientación está contenida en las siguientes categorías: revisiones y actualizaciones, servicios, protocolos, cuentas, archivos y directorios, recursos compartidos, puertos, registro, auditorías e inicio de sesión.

• Aplique la orientación para reforzar la seguridad de IIS y otras configuraciones de Web sólo en el servidor de aplicaciones que hospeda el sitio web de Administración central. Esta orientación incluye las siguientes categorías: IIS, Machine.config, seguridad de acceso del código, LocalIntranet_Zone e Internet_Zone.

Además de usar la instantánea segura de la página que trata acerca de la protección del servidor web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0xC0A) (en inglés), aplique también las recomendaciones incluidas en la sección Adiciones de instantáneas seguras más adelante en este artículo.

Comunicación segura con la base de datos de Microsoft SQL Server

En la página que trata acerca de la protección del servidor de base de datos (en inglés) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0xC0A) (en inglés), se recomienda restringir el acceso a dos puertos de comunicaciones de Microsoft SQL Server predeterminados: puerto TCP 1433 y puerto UDP 1434. Para entornos de granjas de servidores seguros, se recomienda:

• Bloquear por completo el puerto UDP 1434.

• Configurar instancias con nombre de SQL Server para escuchar en un puerto no estándar (distinto del puerto TCP 1433 o del puerto UDP 1434).

• Para una mayor seguridad, bloquee el puerto TCP 1433 y reasigne el puerto usado por la instancia predeterminada a un puerto no estándar.

• Configure los alias de cliente SQL en todos los servidores cliente web y servidores de aplicaciones de la granja de servidores. Una vez que los puertos TCP 1433 o UDP 1434 estén bloqueados, los alias de cliente SQL son necesarios en todos los equipos que se comunican con el equipo con SQL Server.

Este método proporciona un mayor control sobre la implementación y ejecución de SQL Server, incluida la posibilidad de garantizar que sólo los equipos autorizados puedan comunicarse con el equipo con SQL Server.

Los pasos de seguridad reforzada para crear alias de cliente SQL deben completarse antes de instalar Office SharePoint Server 2007. Cuando se ejecuta el programa de instalación de Office SharePoint Server 2007 y se le pide que escriba el nombre del equipo con SQL Server al que quiere conectarse, deberá escribir el nombre del alias del cliente SQL.

Bloqueo de los puertos estándar de SQL Server

Los puertos específicos usados para conectarse a SQL Server se ven afectados en función de si las bases de datos se instalan en una instancia predeterminada de SQL Server o en una instancia con nombre de SQL Server. La instancia predeterminada de SQL Server escucha solicitudes de cliente en el puerto TCP 1433. Una instancia con nombre de SQL Server escucha un número de puerto asignado aleatoriamente. Además, el número de puerto para una instancia con nombre se puede reasignar si la instancia se reinicia (en función de si el número de puerto asignado previamente está disponible).

De forma predeterminada, los equipos cliente que se conectan a SQL Server se conectan primero con el puerto TCP 1433. Si esta comunicación no establece correctamente, los equipos cliente consultan el servicio de resolución de SQL Server a la escucha en el puerto UDP 1434 para determinar en qué puertos está escuchando la instancia de base de datos.

El comportamiento predeterminado de comunicación con puertos de SQL Server presenta varios problemas que afectan a la seguridad reforzada del servidor. En primer lugar, los puertos usados por SQL Server son puertos muy conocidos y el servicio de resolución de SQL Server ha sido objeto de ataques de desbordamiento del búfer y por denegación de servicio, incluido el gusano "Slammer". Incluso a pesar de que SQL Server está revisado para minimizar los problemas de seguridad en el servicio de resolución de SQL Server, los puertos conocidos siguen siendo un objetivo. En segundo lugar, si las bases de datos están instaladas en una instancia con nombre de SQL Server, el puerto de comunicaciones correspondiente se asigna de forma aleatoria y puede cambiar. Este comportamiento puede impedir la comunicación entre servidores en un entorno con seguridad reforzada. La posibilidad de controlar qué puertos TCP están abiertos o bloqueados es fundamental para proteger su entorno.

Por lo tanto, la recomendación para una granja de servidores es asignar números de puerto estáticos a instancias con nombre de SQL Server y bloquear el puerto UDP 1434 para evitar que los posibles atacantes tengan acceso al servicio de resolución de SQL Server. Además, considere la posibilidad de reasignar el puerto usado por la instancia predeterminada y bloquear el puerto TCP 1433.

Existen varios métodos que puede usar para bloquear puertos. Puede bloquear estos puertos mediante un firewall. Sin embargo, a menos que esté seguro de que no hay otras rutas al segmento de red y de que no hay usuarios malintencionados con acceso al segmento de red, se recomienda bloquear estos puertos directamente en el servidor que hospeda SQL Server. Esto se puede conseguir mediante el Firewall de Windows en el Panel de control.

Configuración de las instancias de base de datos de SQL Server para escuchar en un puerto no estándar

SQL Server proporciona la capacidad de reasignar los puertos usados por la instancia predeterminada y cualquier instancia con nombre. En SQL Server 2000, puede reasignar los puertos mediante la Herramienta de red de SQL Server. En SQL Server 2005, puede reasignar los puertos mediante el Administrador de configuración de SQL Server.

Configuración de alias de cliente SQL

En una granja de servidores, todos los servidores cliente web y los servidores de aplicaciones son equipos cliente de SQL Server. Si bloquea el puerto UDP 1434 en el equipo con SQL Server o cambia el puerto predeterminado por la instancia predeterminada, deberá configurar un alias de cliente SQL en todos los servidores que se conecten al equipo SQL Server.

Para conectar con una instancia de SQL Server 2000, debe instalar las herramientas del cliente de SQL Server en el equipo de destino y, a continuación, configurar los alias de cliente SQL, que se instalan mediante la ejecución del programa de instalación de SQL Server y la selección de Herramientas de cliente de SQL Server.

Para conectar con una instancia de SQL Server 2005, debe instalar los componentes del cliente de SQL Server en el equipo de destino y, a continuación, configurar el alias del cliente SQL mediante el Administrador de configuración de SQL Server. Para instalar los componentes del cliente de SQL Server, ejecute el programa de instalación y seleccione sólo los siguientes elementos para su instalación:

• Componentes de conectividad

• Herramientas de administración (incluye el Administrador de configuración de SQL Server)

Los componentes del cliente de SQL Server funcionan con SQL Server 2000 y pueden usarse en lugar de las herramientas de cliente de SQL Server.

Pasos para reforzar la seguridad

Configuración de SQL Server

Configuración de una instancia de SQL Server 2000 para escuchar en un puerto no predeterminado

Use la Herramienta de red de SQL Server para cambiar el puerto TCP usado por una instancia de SQL Server 2000.

1. En el equipo SQL Server, ejecute la Herramienta de red de SQL Server.

2. En el menú Instancias en este servidor, seleccione la instancia. Asegúrese de que ha seleccionado la instancia deseada. De forma predeterminada, la instancia predeterminada escucha en el puerto 1433. Las instancias con nombre de SQL Server 2000 reciben un número de puerto aleatorio, así que puede que no sepa cuál es el número de puerto asignado actualmente a una instancia con nombre cuando ejecute la Herramienta de red de SQL Server.

3. En el panel Protocolos habilitados, en la parte derecha de la interfaz de la Herramienta de red de SQL Server, haga clic en TCP/IP y, a continuación, haga clic en Propiedades.

4. En el cuadro de diálogo Configurar el valor predeterminado del protocolo de red, cambie el número de puerto TCP. Evite usar cualquiera de los puertos TCP conocidos. Por ejemplo, seleccione un número de puerto de un rango más alto, como 40000. No seleccione la casilla Ocultar servidor.

5. Haga clic en Aceptar.

6. En el cuadro de diálogo Herramienta de red de SQL Server, haga clic en Aceptar. Recibirá un mensaje que le indicará que el cambio no tendrá lugar hasta que el servicio SQL Server se reinicie. Haga clic en Aceptar.

7. Reinicie el servicio SQL Server y confirme que su equipo SQL Server está escuchando en el puerto que seleccionó. Puede confirmar esto mirando en el registro del visor de eventos después de reiniciar el servicio SQL Server. Busque un evento informativo similar al siguiente:

   Evento Type:Information

   Evento Source:MSSQLSERVER

   Categoría de evento:(2)

   Identificador de evento:17055

   Fecha:6/3/2008

   Hora:11:20:28 a.m.

   Usuario:N/D

   Equipo:nombre_de_equipo

   Descripción:

   19013:

   SQL Server a la escucha en 10.1.2.3: 40000

Configuración de una instancia de SQL Server 2005 para escuchar en un puerto no predeterminado

Use el Administrador de configuración de SQL Server para cambiar el puerto TCP usado por una instancia de SQL Server 2005.

1. Use el Administrador de configuración de SQL Server para cambiar el puerto TCP usado por una instancia de SQL Server 2005.

2. En el equipo SQL Server, abra el Administrador de configuración de SQL Server.

3. En el panel izquierdo, expanda Configuración de red de SQL Server 2005.

4. Debajo de Configuración de red de SQL Server 2005, haga clic en la entrada correspondiente para la instancia que está configurando. La instancia predeterminada aparece como Protocolos para MSSQLSERVER. Las instancias con nombre aparecerán como Protocolos para instancia_con_nombre.

5. En el panel derecho, haga clic con el botón secundario en TCP/IP y seleccione Propiedades.

6. Haga clic en la ficha Direcciones IP. Por cada dirección IP asignada al equipo SQL Server, hay una entrada correspondiente en esta ficha. De forma predeterminada, SQL Server escucha en todas las direcciones IP asignadas al equipo.

7. Para cambiar globalmente el puerto en el que escucha la instancia predeterminada, haga lo siguiente:

   1. Para cada IP, excepto IPAll, borre los valores tanto de Puertos dinámicos TCP como de Puerto TCP.

   2. Para IPAll, borre el valor de Puertos dinámicos TCP. En el campo Puerto TCP, escriba el puerto en el que desee que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.

8. Para cambiar globalmente el puerto en el que escucha la instancia con nombre, haga lo siguiente:

   1. Para cada IP que incluye IPAll, borre todos los valores de Puertos dinámicos TCP. Un valor de 0 para este campo indica que SQL Server usa un puerto TCP dinámico para la dirección IP. Una entrada en blanco significa que SQL Server 2005 no usará un puerto TCP dinámico para la dirección IP.

   2. Para cada IP, excepto IPAll, borre todos los valores de Puerto TCP.

   3. Para IPAll, borre el valor de Puertos dinámicos TCP. En el campo Puerto TCP, escriba el puerto en el que desee que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.

9. Haga clic en Aceptar. Recibirá un mensaje que le indicará que el cambio no tendrá lugar hasta que SQL Server se reinicie. Haga clic en Aceptar.

10. Cierre el Administrador de configuración de SQL Server.

11. Reinicie el servicio SQL Server y confirme que el equipo SQL Server está escuchando en el puerto que seleccionó. Puede confirmarlo mirando en el registro del visor de eventos después de reiniciar el servicio SQL Server. Busque un evento informativo similar al siguiente:

    Evento Type:Information

    Evento Source:MSSQL$MSSQLSERVER

    Categoría de evento:(2)

    Identificador de evento:26022

    Fecha:6/3/2008

    Hora:1:46:11 PM

    Usuario:N/D

    Equipo:nombre_de_equipo

    Descripción:

    El servidor está escuchando en [ 'cualquier' <ipv4>50000]

Configuración del Firewall de Windows

Configuración del Firewall de Windows para bloquear los puertos de escucha predeterminados de SQL Server

1. En el Panel de control, abra Firewall de Windows

2. En la ficha General, haga clic en Activado. Asegúrese de que la casilla No permitir excepciones esté desactivada.

3. En la ficha Excepciones, haga clic en Agregar puerto.

4. En el cuadro de diálogo Agregar un puerto, escriba un nombre para el puerto. Por ejemplo, escriba UDP-1434. A continuación, escriba el número de puerto. Por ejemplo, escriba 1434.

5. Seleccione el botón de opción apropiado: UDP o TCP. Por ejemplo, para bloquear el puerto 1434, haga clic en UDP. Para bloquear el puerto 1433, haga clic en TCP.

6. Haga clic en Cambiar ámbito y asegúrese de que el ámbito para esta excepción se establezca en Cualquier equipo (incluyendo los que están en Internet).

7. Haga clic en Aceptar.

8. En la ficha Excepciones, busque la excepción que ha creado. Para bloquear el puerto, desactive la casilla para dicha excepción. De forma predeterminada, esta casilla está seleccionada, lo que significa que el puerto está abierto.

Configuración del Firewall de Windows para abrir manualmente los puertos asignados

1. Siga los pasos 1 a 7 del procedimiento anterior para crear una excepción para el puerto que ha asignado manualmente a la instancia de SQL. Por ejemplo, cree una excepción para el puerto TCP 40000.

2. En la ficha Excepciones, localice la excepción que ha creado. Asegúrese de que la casilla de la excepción esté marcada. De forma predeterminada, esta casilla está seleccionada, lo que significa que el puerto está abierto.

   Nota

   Para obtener más información acerca de cómo usar el protocolo de seguridad de Internet (IPsec) para proteger la comunicación entrante y saliente del equipo con SQL Server, vea el artículo 233256 de Microsoft Knowledge Base acerca de cómo habilitar el tráfico de IPSec en un firewall (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0xC0A).

Configuración de un alias de cliente SQL

Configuración de un alias de cliente SQL

Si bloquea el puerto UDP 1434 o el puerto TCP 1433 en el equipo con SQL Server, debe crear un alias de cliente SQL en los demás equipos de la granja de servidores. Puede usar componentes de cliente de SQL Server para crear alias de cliente SQL para los equipos que se conectan a SQL Server 2000 o SQL Server 2005.

1. Ejecute la instalación de SQL Server 2005 en el equipo de destino y seleccione los siguientes componentes de cliente para su instalación:

   1. Componentes de conectividad

   2. Herramientas de administración

2. Abra el Administrador de configuración de SQL Server.

3. En el panel de la izquierda, haga clic en Configuración de SQL Native Client.

4. En el panel de la derecha, haga clic con el botón secundario en Alias y seleccione Nuevo alias.

5. En el cuadro de diálogo Alias, escriba un nombre para el alias y, a continuación, escriba el número de puerto para la instancia de base de datos. Por ejemplo, escriba SharePoint*_alias*.

6. En el campo Nº de puerto, escriba el número de puerto para la instancia de base de datos. Por ejemplo, escriba 40000. Asegúrese de que el protocolo esté establecido en TCP/IP.

7. En el campo Servidor, escriba el nombre del equipo con SQL Server.

8. Haga clic en Aplicar y, a continuación, en Aceptar.

Prueba del alias del cliente SQL

Pruebe la conectividad al equipo con SQL Server mediante Microsoft SQL Server Management Studio, que está disponible si instala los componentes del cliente de SQL Server.

1. Abra SQL Server Management Studio.

2. Cuando se le pida que escriba un nombre de servidor, escriba el nombre del alias que acaba de crear y, a continuación, haga clic en Conectar. Si la conexión tiene éxito, SQL Server Management Studio se rellena con objetos correspondientes a la base de datos remota.

   Nota

   Para comprobar la conectividad a instancias de base de datos adicionales desde SQL Server Management Studio, haga clic en el botón Conectar y seleccione Motor de base de datos.

Requisitos del servicio Compartir archivos e impresoras

Varias características principales dependen del servicio Compartir archivos e impresoras y los protocolos y puertos correspondientes. Estos incluyen pero no se limitan a los siguientes:

• Consultas de búsqueda   Todas las consultas de búsqueda requieren el servicio Compartir archivos e impresoras.

• Rastreo e indización de contenido   Para rastrear contenido, el componente de indización envía solicitudes a través del servidor cliente web. El servidor cliente web se comunica directamente con las bases de datos de contenido y envía los resultados de vuelta al servidor de índices. Esta comunicación requiere el servicio Compartir archivos e impresoras.

• Propagación de índices Si la función Consulta y la función Índice se encuentran instaladas en servidores diferentes, el servidor de índices copia los índices de contenido en los servidores de consultas. Esta acción requiere el servicio Compartir archivos e impresoras, y los protocolos y puertos correspondientes.

El servicio Compartir archivos e impresoras requiere el uso de canalizaciones con nombre. Las canalizaciones con nombre se comunican mediante protocolos NBT o SMB hospedados directamente. Para disponer de un entorno seguro, se recomienda usar SMB hospedado directamente en lugar de NBT. En las recomendaciones para reforzar la seguridad proporcionadas en este artículo se da por supuesto que se usará SMB.

En la tabla siguiente se describen los requisitos para reforzar la seguridad especificados por la dependencia en el servicio Compartir archivos e impresoras.

Categoría	Requisito	Notas
Servicios	Compartir archivos e impresoras	Requiere el uso de canalizaciones con nombre.
Protocolos	Canalizaciones con nombre que usan SMB hospedado directamente Deshabilitar NBT	Las canalizaciones con nombre pueden usar NBT en lugar de SMB hospedado directamente. Sin embargo, se considera que NBT es menos seguro que SMB hospedado directamente.
Puertos	Puerto TCP/UDP 445	Usado por SMB hospedado directamente.

Para obtener más información acerca de cómo deshabilitar NBT, vea el artículo 204279 de Microsoft Knowledge Base acerca de la asignación directa de hosts de SMB a través de TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0xC0A).

Requisitos de seguridad reforzada del inicio de sesión único

La característica Inicio de sesión único (SSO) de Office SharePoint Server 2007 se usa para la conexión a orígenes de datos que residen fuera de la granja de servidores. De manera predeterminada, la característica SSO no se encuentra habilitada en una granja de servidores de Office SharePoint Server 2007. No configure SSO a menos que necesite esta característica para conectarse a orígenes de datos externos. Dado que la característica SSO requiere la autenticación de usuario, no funciona en un entorno de acceso anónimo externo.

SSO usa el servicio de inicio de sesión único de Microsoft y los protocolos y puertos correspondientes. Este servicio debe estar habilitado en:

• Todos los servidores cliente web

• El servidor de clave de cifrado designado (una función que suele estar hospedada en un servidor de aplicaciones)

• La función Excel Calculation Services

Además, si se instala en el servidor de consultas un optimizador de seguridad personalizado que requiere acceso a los datos de SSO, el servicio de inicio de sesión único de Microsoft debe ejecutarse también en esta función de servidor.

La característica SSO incorpora varios requisitos de seguridad reforzada para la granja de servidores. El servicio de inicio de sesión único usa la llamada a procedimiento remoto (RPC), que usa el puerto 135. Además, usa un puerto asignado dinámicamente en el intervalo 1024–65535/TCP que se conoce como puerto RPC dinámico. Se puede usar una clave del Registro de Windows para limitar el intervalo de puertos RPC dinámicos asignados. En lugar de usar todos los puertos de numeración alta (1024–65535), se puede limitar el intervalo de puertos RPC dinámicos a un número muy inferior, lo que se conoce como RPC estática.

Para obtener más información acerca de cómo limitar los puertos que usa la RPC, vea los siguientes recursos:

• Active Directory en redes segmentados por firewalls (en inglés) (https://go.microsoft.com/fwlink/?linkid=76147&clcid=0xC0A) (en inglés).

• Artículo 154596 de Microsoft Knowledge Base acerca de cómo configurar la asignación dinámica de puertos RPC para trabajar con firewalls (https://go.microsoft.com/fwlink/?linkid=76145&clcid=0xC0A).

• Artículo 300083 de Microsoft Knowledge Base acerca de cómo restringir el puerto TCP/IP en Windows 2000 y Windows XP (https://go.microsoft.com/fwlink/?linkid=76148&clcid=0xC0A).

En la tabla siguiente se enumeran los requisitos de seguridad reforzada que incorpora SSO. Estos requisitos se aplican a todos los servidores de la granja de servidores.

Categoría	Requisito	Notas
Servicios	Servicio de inicio de sesión único	Requiere el uso del protocolo RPC.
Protocolos	RPC	Configure la RPC estática para limitar el intervalo de puertos que usa la RPC dinámica.
Puertos	Puerto TCP 135 más el intervalo de puertos que se configure para la RPC dinámica

Aunque estos requisitos de seguridad reforzada se configuran en el sistema operativo, el orden en que se configuran es crítico para la correcta implementación de SSO. Los requisitos de los protocolos y puertos se pueden configurar en cualquier momento antes de configurar la característica SSO en Office SharePoint Server 2007. Sin embargo, el orden en que se habilita el servicio de inicio de sesión único en los servidores de la granja de servidores afecta a la configuración de SSO.

El primer servidor en el que se habilita el servicio se convierte en el servidor de clave de cifrado de la granja de servidores. Este servidor almacena la clave de cifrado. Recomendamos hospedar esta función en uno de los servidores de aplicaciones. El servicio de inicio de sesión único debe estar habilitado también en cada servidor cliente web de la granja de servidores. Estos equipos reenvían las credenciales al servidor de clave de cifrado.

Para que la característica SSO se configure correctamente en Office SharePoint Server 2007, además de habilitar el servicio de inicio de sesión único, es necesario realizar algunos pasos de configuración en el sitio de Administración central. Por lo tanto, no habilite el servicio de inicio de sesión único antes de instalar Office SharePoint Server 2007. Para obtener más información acerca de cómo configurar SSO, vea el artículo Planeación del inicio de sesión único (SSO).

Servicios web de Office Server

Office SharePoint Server 2007 usa el servicio web de Office Server como canal de comunicación entre los servidores web y los servidores de aplicaciones. Este servicio usa los puertos siguientes:

• TCP 56737

• TCP/SSL 56738

Conexiones a servidores externos

Se pueden configurar varias características de Office SharePoint Server 2007 para tener acceso a datos que residen en equipos servidor fuera de la granja de servidores. Si configura el acceso a datos en equipos servidor externos, asegúrese de habilitar la comunicación entre los equipos adecuados. En la mayoría de los casos, los puertos, protocolos y servicios que se usan dependen del recurso externo. Por ejemplo:

• Las conexiones a recursos compartidos de archivos usan el servicio Compartir archivos e impresoras.

• Las conexiones a bases de datos de SQL Server externas usan los puertos predeterminados o personalizados para la comunicación con SQL Server.

• Las conexiones a Oracle suelen usar bases de datos OLE.

• Las conexiones a servicios web usan tanto HTTP como HTTPS.

En la siguiente tabla se muestran las características que se pueden configurar para tener acceso a datos que residen en equipos servidor fuera de la granja de servidores.

Característica	Descripción
Rastreo de contenido	Se pueden configurar reglas de rastreo para rastrear datos que residan en recursos externos, incluidos sitios web, recursos compartidos de archivos, carpetas públicas de Exchange y aplicaciones de datos profesionales. Cuando rastrea fuentes de datos externas, la función de índice se comunica directamente con dichos recursos externos. Para obtener más información, vea Planeación del rastreo de contenido (Office SharePoint Server).
Conexiones al Catálogo de datos profesionales	Los servidores web y los servidores de aplicaciones se comunican directamente con los equipos que están configurados para conexiones con el Catálogo de datos profesionales. Para obtener más información, vea Planeación de conexiones de datos profesionales con el Catálogo de datos profesionales.
Recepción de libros de Microsoft Office Excel	Si los libros abiertos en Excel Services se conectan a algún origen de datos externos (por ejemplo, Analysis Services y SQL Server), los puertos TCP/IP adecuados deben estar abiertos para conectarse a dichos orígenes. Para obtener más información, vea Planeación de conexiones de datos externos para Excel Services. Si las rutas UNC (convención de nomenclatura universal) están configuradas como ubicaciones de confianza en Excel Services, la función de aplicación Excel Calculation Services emplea los protocolos y los puertos usados por el servicio Compartir archivos e impresoras para recibir libros de Office Excel a través de una ruta UNC. Esta comunicación no afecta a los libros almacenados en bases de datos de contenido o que los usuarios cargan o descargan de sitios.

Requisitos de servicios para la integración del correo electrónico

La integración del correo electrónico requiere el uso de dos servicios:

• Servicio SMTP (Protocolo simple de transferencia de correo)

• Servicio de administración de directorios de Microsoft SharePoint

Servicio SMTP

La integración del correo electrónico requiere el uso del servicio SMTP al menos en uno de los servidores cliente web de la granja de servidores. El servicio SMTP es obligatorio para el correo electrónico entrante. Para el correo electrónico saliente, se puede usar el servicio SMTP o enrutarlo a través de un servidor de correo electrónico dedicado de la organización, como un equipo con Microsoft Exchange Server.

Servicio de administración de directorios de Microsoft SharePoint

Office SharePoint Server 2007 incluye un servicio interno, el Servicio de administración de directorios de Microsoft SharePoint, para crear grupos de distribución de correo electrónico. Cuando se configura la integración con el correo electrónico, existe la opción de habilitar la característica Servicio de administración de directorios, que permite a los usuarios crear listas de distribución. Cuando los usuarios crean un grupo de SharePoint y seleccionan la opción de crear una lista de distribución, el Servicio de administración de directorios de Microsoft SharePoint crea la lista de distribución del servicio de directorio de Active Directory correspondiente en el entorno de Active Directory.

En entornos con seguridad reforzada, se recomienda restringir el acceso al Servicio de administración de directorios de Microsoft SharePoint mediante la protección del archivo asociado con este servicio: SharePointEmailws.asmx. Por ejemplo, permita el acceso a este archivo solamente a la cuenta de la granja de servidores.

Además, este servicio requiere permisos en el entorno Active Directory para crear objetos de lista de distribución de Active Directory. Se recomienda configurar una unidad organizativa independiente en Active Directory para los objetos de SharePoint. Sólo esta unidad organizativa puede permitir el acceso de escritura a la cuenta usada por el Servicio de administración de directorios de Microsoft SharePoint.

Requisitos de servicios para el estado de sesión

Tanto Microsoft Office Project Server 2007 como Microsoft Office Forms Server 2007 mantienen el estado de sesión. Si va a implementar estas características o productos en la granja de servidores, no deshabilite el servicio de estado de ASP.NET. Además, si va a implementar InfoPath Forms Services, no deshabilite el servicio de estado de vista.

Servicios de Office SharePoint Server

No deshabilite los servicios instalados por Office SharePoint Server 2007.

Los servicios siguientes se instalan en todos los servidores cliente web y servidores de aplicaciones, y aparecen en el complemento de servicios de Microsoft Management Console (MMC) (por orden alfabético):

• Office SharePoint Server Search

• Administración de Windows SharePoint Services

• Búsqueda de Windows SharePoint Services

• Temporizador de Windows SharePoint Services

• Seguimiento de Windows SharePoint Services

• Escritor de VSS de Windows SharePoint Services

Si su entorno no permite servicios que se ejecutan como sistema local, puede deshabilitar el Servicio de administración de Windows SharePoint Services sólo si es consciente de las consecuencias y puede evitarlas. Este servicio es un servicio Win32 que se ejecuta como sistema local.

Este servicio es usado por el servicio de temporizador de Windows SharePoint Services para realizar acciones que requieren privilegios de administrador en el servidor, como crear sitios web IIS, implementar código y detener o iniciar servicios. Si deshabilita este servicio, no podrá ejecutar tareas relacionadas con la implementación desde el sitio de Administración central. Deberá usar la herramienta de línea de comandos Stsadm.exe y ejecutar el comando execadminsvcjobs para completar implementaciones de varios servidores para Windows SharePoint Services 3.0 y para ejecutar otras tareas relacionadas con la implementación.

Cuentas y grupos

Las instantáneas seguras de las guías de seguridad de modelos y prácticas proporcionan recomendaciones para proteger cuentas y grupos.

Para obtener recomendaciones acerca de cómo planear cuentas, vea Planeación de cuentas administrativas y de servicio (Office SharePoint Server).

Para obtener recomendaciones acerca de cómo planear las funciones de usuario y de administrador, vea Planeación de funciones de seguridad (Office SharePoint Server).

Archivo Web.config

.NET Framework, y ASP.NET en particular, usan archivos de configuración con formato XML para configurar las aplicaciones. Para definir las opciones de configuración, .NET Framework emplea archivos de configuración, que son archivos XML basados en texto. En un mismo sistema pueden existir varios archivos de configuración, lo que ocurre a menudo.

En .NET Framework, los parámetros de configuración de todo el sistema están definidos en el archivo Machine.config. Este archivo se encuentra en la carpeta %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. La configuración predeterminada que se encuentra en el archivo Machine.config se puede modificar para que afecte al comportamiento de las aplicaciones que usan .NET Framework en todo el sistema. Para obtener recomendaciones acerca de cómo configurar archivos Machine.config, vea la página en que se describe cómo proteger el servidor web (en inglés) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0xC0A) (en inglés).

Puede cambiar los parámetros de configuración de ASP.NET para una única aplicación si crea un archivo Web.config en la carpeta raíz de la aplicación. Al hacerlo, la configuración del archivo Web.config sobrescribe la configuración del archivo Machine.config.

Cuando extiende una aplicación web mediante el uso de la Administración central, Office SharePoint Server 2007 crea automáticamente un archivo Web.config para la aplicación web.

La sección Adiciones de instantáneas seguras más adelante en este artículo incluye recomendaciones para configurar los archivos Web.config. Estas recomendaciones se deben aplicar a cada archivo Web.config que se cree, incluido el archivo Web.config para el sitio de Administración central.

Para obtener más información acerca de los archivos de configuración de ASP.NET y la modificación de un archivo Web.config, vea la página de configuración de ASP.NET (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0xC0A).

Adiciones de instantáneas seguras

En esta sección se muestran las adiciones para instantáneas de las guías de seguridad de modelos y prácticas que se recomiendan para entornos de Office SharePoint Server 2007. Se detallan en formato de tabla con las mismas categorías y el mismo orden que en las guías de seguridad de modelos y prácticas.

El objetivo de este formato es facilitar la identificación y la implementación de recomendaciones específicas mientras usa las guías de seguridad de modelos y prácticas. Salvo en contadas excepciones, estas recomendaciones para reforzar la seguridad se deben aplicar antes de ejecutar el programa de instalación de Office SharePoint Server 2007.

Para obtener más información acerca de la comunicación entre funciones de servidor específicas en una granja de servidores, vea Seguridad reforzada para entornos en la extranet

Protección de las adiciones de instantánea de red

En la siguiente tabla se describen las recomendaciones para proteger sus adiciones de red.

Componente	Excepción de característica
Todo	No hay recomendaciones adicionales

Protección de las adiciones de instantáneas de servidor web

En la siguiente tabla se describen las recomendaciones para proteger sus adiciones de servidor web.

Componente	Característica
Servicios	Habilite: Compartir archivos e impresoras Office SharePoint Server Search Servicio de inicio de sesión único (sólo si se usa SSO) Servicio de estado de ASP.NET (si se usa InfoPath Forms Server o Project Server) Servicio de estado de vista (si se usa InfoPath Forms Server) Servicio de publicación World Wide Web Asegúrese de que estos servicios permanecen habilitados tras ejecutar el programa de instalación: Office SharePoint Server Search Administración de Windows SharePoint Services Búsqueda de Windows SharePoint Services Temporizador de Windows SharePoint Services Seguimiento de Windows SharePoint Services Escritor de VSS de Windows SharePoint Services
Protocolos	Habilite: SMB SMTP (si se usa correo electrónico integrado) RPC (sólo si se usa SSO) Deshabilite: NBT
Cuentas	Si el Servicio de administración de directorios de Microsoft está habilitado como parte de la integración de correo electrónico, configure su entorno Active Directory para permitir el acceso de escritura a la cuenta usada por el Servicio de administración de directorios de Microsoft (la cuenta de la granja de servidores). Para obtener orientación adicional acerca de cómo configurar cuentas, vea Planeación de cuentas administrativas y de servicio (Office SharePoint Server) para leer las recomendaciones y los requisitos de cuentas de Office SharePoint Server 2007.
Archivos y directorios	Si la integración de correo electrónico está habilitada y la característica Servicio de administración de directorios está activada, restrinja el acceso al Servicio de administración de directorios de Microsoft SharePoint mediante la protección del archivo asociado con este servicio: SharePointEmailws.asmx. Por ejemplo, permita el acceso a este archivo sólo a la cuenta de la granja de servidores.
Recursos compartidos	No hay recomendaciones adicionales
Puertos	Abra el puerto TCP/UDP 445. Abra el puerto TCP 135, además de los puertos comprendidos en el intervalo especificado al configurar la RPC estática (sólo si se usa SSO). Abra los puertos TCP 56737 y 56738 para los servicios web de Office Server. Si el puerto UDP 1434 está bloqueado en el equipo con SQL Server y hay bases de datos instaladas en una instancia con nombre, configure un alias de cliente SQL para establecer la conexión con la instancia con nombre. Si el puerto TCP 1433 está bloqueado en el equipo con SQL Server y hay bases de datos instaladas en la instancia predeterminada, configure un alias de cliente SQL para establecer la conexión con la instancia con nombre. Asegúrese de que los puertos permanecen abiertos para las aplicaciones web a las que los usuarios pueden tener acceso. Bloque el acceso externo al puerto usado por el sitio de Administración central.
Registro	Si usa SSO, edite el Registro para configurar una RPC estática.
Auditoría y registro	Si los archivos de registro se reubican, asegúrese de que sus ubicaciones se actualicen para que coincidan.
IIS	Vea la orientación para IIS más adelante.
Sitios y directorios virtuales	No hay recomendaciones adicionales
Asignaciones de scripts	No hay recomendaciones adicionales
Filtros ISAPI	No hay recomendaciones adicionales
Metabase IIS	No hay recomendaciones adicionales
.NET Framework	Vea la orientación para .NET Framework más adelante.
Machine.config: HttpForbiddenHandler	No hay recomendaciones adicionales
Machine.config: Remoting	No hay recomendaciones adicionales
Machine.config: Trace	No hay recomendaciones adicionales
Machine.config: compilation	No hay recomendaciones adicionales
Machine.config: customErrors	No hay recomendaciones adicionales
Machine.config: sessionState	No hay recomendaciones adicionales
Seguridad de acceso del código	Asegúrese de que tiene un conjunto mínimo de permisos de seguridad de acceso del código habilitado para su aplicación web. (El elemento <trust> del archivo Web.config de cada aplicación web debe establecerse en WSS_Minimal [donde WSS_Minimal tiene sus valores mínimos predeterminados como se definen en 12\config\wss_minimaltrust.config) o su propio archivo de directiva personalizado, que está establecido en el mínimo).
LocalIntranet_Zone	No hay recomendaciones adicionales
Internet_Zone	No hay recomendaciones adicionales
Web.config	Aplique las siguientes recomendaciones a cada archivo Web.config que se cree después de ejecutar el programa de instalación: No permita la compilación ni la ejecución de scripts de páginas de bases de datos a través de los elementos PageParserPaths. Asegúrese de que <SafeMode> CallStack=""false"" y AllowPageLevelTrace=""false"". Asegúrese de establecer en un nivel bajo los límites de elementos web próximos a los controles máximos por zona. Asegúrese de que la lista SafeControls está establecida en el conjunto de controles mínimo necesario para sus sitios. Asegúrese de que su lista Workflow SafeTypes está establecida en el nivel mínimo de SafeTypes necesarios. Asegúrese de que customErrors está activado (<customErrors mode=""On""/>). Tenga en cuenta la configuración de su proxy web según sea necesario (<system.net>/<defaultProxy>). Establezca el límite de upload.aspx en el mayor tamaño que espere que carguen los usuarios (2 GB de forma predeterminada). El rendimiento puede verse afectado por cargas superiores a 100 MB.

Protección de adiciones de instantáneas de servidores de bases de datos

En la siguiente tabla se describen las recomendaciones para proteger sus adiciones de servidor de base de datos.

Componente	Excepción de característica
Servicios	No hay recomendaciones adicionales
Protocolos	No hay recomendaciones adicionales
Cuentas	Elimine manualmente y de forma periódica las cuentas que no se usen.
Archivos y directorios	No hay recomendaciones adicionales
Recursos compartidos	No hay recomendaciones adicionales
Puertos	Bloquee el puerto UDP 1434. Considere la posibilidad de bloquear el puerto TCP 1433.
Registro	No hay recomendaciones adicionales
Auditoría y registro	No hay recomendaciones adicionales
Configuración de SQL Server	Vea la orientación de la configuración de SQL Server más adelante.
Seguridad de SQL Server	No hay recomendaciones adicionales
Nombres de usuario, usuarios y funciones de SQL Server	No hay recomendaciones adicionales
Objetos de base de datos de SQL Server	No hay recomendaciones adicionales

Descarga de este libro

En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:

• Planeación y arquitectura para Office SharePoint Server 2007 (segunda parte)

• Planeación de un entorno de extranet para Office SharePoint Server (en inglés)

Vea la lista completa de libros disponibles en la sección de libros descargables para Office SharePoint Server 2007.