Planeación de configuraciones seguras para las características de Windows SharePoint Services

En este artículo:

• Recomendaciones para las características de Windows SharePoint Services

En este artículo encontrará recomendaciones para configurar y administrar las características de Windows SharePoint Services 3.0 de forma más segura. Normalmente, las configuraciones recomendadas se establecen en Administración central en lugar de en la red, el sistema operativo, Internet Information Services (IIS) o Microsoft .NET Framework. Las recomendaciones de este artículo son adecuadas para los siguientes entornos de seguridad:

• Equipo o departamento internos

• Hospedado en TI de forma interna

• Colaboración externa segura

• Acceso anónimo externo

Para obtener más información acerca de estos entornos, vea Selección del entorno de seguridad (Windows SharePoint Services).

Recomendaciones para las características de Windows SharePoint Services

En la tabla siguiente, se describen recomendaciones para ayudarle a proteger las características de Windows SharePoint Services 3.0.

Característica o área	Recomendación
Autenticación	No use el inicio de sesión automático del cliente cuando use el sitio Administración central. Permita sólo a los equipos servidor cliente web realizar la autenticación de los usuarios. No permita a cuentas o grupos de usuarios finales realizar la autenticación con el equipo servidor de la base de datos.
Autorización	Asigne permisos a grupos en lugar de a cuentas individuales.
Niveles de permisos	Asigne a los usuarios el menor número de permisos posible para que puedan completar sus tareas.
Administración	Use permisos de acceso para proteger el sitio de Administración central y permitir a los administradores conectarse al sitio de forma remota (en lugar de habilitar el sitio de Administración central sólo para el uso del equipo local). De este modo, los administradores no tendrán que iniciar sesión de forma local en el equipo que hospeda Administración central. Al configurar el acceso de Terminal Services al equipo se produce un riesgo de seguridad mayor que si se deja el sitio web de Administración central disponible para el acceso remoto.
Integración del correo electrónico	Configure Windows SharePoint Services 3.0 para aceptar sólo correo electrónico que haya sido retransmitido a través de un servidor de correo dedicado, como Microsoft Exchange Server, el cual filtra los virus y el correo electrónico comercial no solicitado, al tiempo que autentica al remitente del correo. Al configurar el flujo de trabajo, Windows SharePoint Services 3.0 permite habilitar a los participantes que no tienen derechos para obtener acceso a un documento en un sitio para que, en su lugar, reciban el documento como datos adjuntos de correo electrónico. En un entorno seguro, no seleccione la opción Permitir a los usuarios externos participar en el flujo de trabajo enviándoles una copia del documento. En Windows SharePoint Services 3.0, esta opción no está seleccionada, de forma predeterminada.
Almacenamiento y seguridad de elementos web	Asegúrese de implementar sólo código de confianza en la granja de servidores. Todo el código XML o ASP.NET que implemente debe proceder de un origen de confianza, incluso si tiene previsto reforzar la seguridad tras la implementación con medidas de defensa en profundidad como seguridad de acceso al código. Asegúrese de que la lista SafeControl del archivo Web.config contenga el conjunto de controles y elementos web que desea permitir. Asegúrese de que los elementos web personalizados que va a reforzar con medidas de defensa en profundidad estén instalados en el directorio bin de la aplicación web (donde está activada la confianza parcial), con permisos específicos para cada ensamblado. Considere la posibilidad de quitar el elemento web Editor de contenido de la lista SafeControl. Esto impide a los usuarios agregar JavaScript en la página como elemento web y usar JavaScript hospedado en servidores externos. Asegúrese de conceder los niveles de permisos de diseño y colaboración del sitio a las personas adecuadas. Un usuario con el nivel de permiso de colaboración puede cargar páginas de Active Server Page Extension (ASPX) a una biblioteca y agregar elementos web. Los usuarios con el nivel de permiso de diseño, quienes pueden agregar elementos web, pueden modificar páginas, incluida la página principal del sitio (Default.aspx).
Buscar	La cuenta de servicio de búsqueda de Windows SharePoint Services no debe pertenecer al grupo Administradores de la granja de servidores; de lo contrario, el servicio de búsqueda de Windows SharePoint Services indizará las versiones de documentos no publicadas. Asegúrese de que los IFilters y separadores de palabras adicionales que implemente sean de confianza para el equipo de TI. De manera predeterminada, los miembros del grupo de administradores de granjas de servidores son los únicos que pueden obtener acceso al archivo de índice de búsqueda. Asegúrese de que los usuarios que no pertenecen a este grupo no tengan acceso a dicho archivo.

Descarga de este libro

Este tema se incluye en el siguiente libro descargable para facilitar la lectura y la impresión:

• Planeación y arquitectura para Windows SharePoint Services 3.0, parte 2 (en inglés)

• Seguridad de Windows SharePoint Services 3.0 (en inglés)

Vea la lista completa de libros disponibles en la página de libros descargables para Windows SharePoint Services.