Planear la administración de privilegios mínimos en SharePoint Server
SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365
La esencia de la administración de privilegios mínimos consiste en asignar a los usuarios los permisos mínimos que necesitan para completar tareas autorizadas. El objetivo de este tipo de administración es configurar y ayudar a mantener un control seguro dentro de un entorno. El resultado es que a cada cuenta en la que se ejecuta un servicio se le concede acceso solo a los recursos necesarios.
Microsoft recomienda implementar SharePoint Server con administración con privilegios mínimos. La implementación de la administración con privilegios mínimos puede dar lugar a un aumento de los costos operativos, ya que es posible que se requieran otros recursos para mantener este nivel de administración. Además, la capacidad de solucionar problemas de seguridad se vuelve más compleja.
Introducción
Las organizaciones implementan la administración de privilegios mínimos para lograr una seguridad mayor que la normalmente recomendada. Solo un pequeño porcentaje de las organizaciones requiere este mayor nivel de seguridad debido a los costos de recursos de mantener la administración con privilegios mínimos. Algunas implementaciones que pueden requerir este nivel ampliado de seguridad son organismos gubernamentales, organizaciones de seguridad y organizaciones del sector de los servicios financieros. La implementación de un entorno con privilegios mínimos no debe confundirse con los procedimientos recomendados. En un entorno con privilegios mínimos, los administradores implementan procedimientos recomendados junto con otros niveles elevados de seguridad.
Entorno de privilegios mínimos para cuentas y servicios
Para planear la administración de privilegios mínimos, hay que tener en cuenta varios roles, servicios y cuentas. Algunos de estos elementos se usan en SQL Server y otros en SharePoint Server. A medida que los administradores bloquean otras cuentas y servicios, es probable que aumenten los costos operativos diarios.
Roles de SQL Server
En un entorno de SharePoint Server, los dos roles siguientes de nivel de servidor de SQL Server se pueden otorgar a varias cuentas. En un entorno de privilegios mínimos de SharePoint Server, recomendamos conceder estos privilegios solo a la cuenta con la que se ejecute el Servicio de temporizador de flujo de trabajo de Microsoft SharePoint Foundation. Normalmente, el servicio de temporizador se ejecuta con la cuenta de la granja de servidores. Para las operaciones cotidianas, recomendamos eliminar los dos roles siguientes de nivel de servidor de SQL Server del resto de las cuentas que se usan para la administración de SharePoint:
Dbcreator: los miembros del rol fijo de servidor dbcreator pueden crear, cambiar, anular y restaurar cualquier base de datos.
Securityadmin: los miembros del rol fijo de servidor securityadmin administran los inicios de sesión y sus propiedades. Pueden CONCEDER, DENEGAR y REVOCAR permisos de nivel de servidor. También pueden CONCEDER, DENEGAR y REVOCAR permisos de nivel de base de datos si tienen acceso a una base de datos. Además, pueden restablecer las contraseñas de inicio de sesión de SQL Server.
Nota:
La capacidad de conceder acceso al motor de bases de datos y de configurar permisos de usuario permite a securityadmin asignar la mayoría de los permisos de servidor. El rol securityadmin se debe tratar igual que el rol sysadmin.
Para obtener más información sobre los roles de nivel de servidor de SQL Server, vea Roles de nivel de servidor.
Es posible que, si quita uno o varios de estos roles de SQL Server, reciba mensajes de error "inesperados" en el sitio web de Administración central. Además, puede que vea el siguiente mensaje en el archivo de registro del Servicio de registro unificado (USL):
System.Data.SqlClient.SqlException... <permiso de tipo> de operación denegado en la base de datos de base de datos<>. Tabla de <tabla>
Además de ver un mensaje de error, es posible que no pueda hacer las siguientes tareas:
Restaurar una copia de seguridad de una granja de servidores por no poder escribir en una base de datos
Aprovisionar una instancia de servicio o una aplicación web
Configurar cuentas administradas
Cambiar cuentas administradas para aplicaciones web
Hacer acciones en cualquier base de datos, cuenta administrada o servicio que requiera el sitio web de Administración central
Es posible que, en ciertas situaciones, los administradores de bases de datos (DBA) quieran trabajar independientemente de los administradores de SharePoint Server para crear y administrar todas la bases de datos. Esto es común en los entornos de TI donde los requisitos de seguridad y las directivas de la compañía exigen separar los roles de los administradores. El administrador de la granja de servidores indica los requisitos de las bases de datos de SharePoint Server al DBA, que luego crea las bases de datos necesarias y configura los inicios de sesión requeridos para la granja.
De manera predeterminada, el DBA tiene acceso total a la instancia de SQL Server, pero requiere permisos adicionales para acceder a SharePoint Server. Los DBA suelen usar Windows PowerShell 3.0 al agregar, crear, mover o cambiar el nombre de las bases de datos de SharePoint, por lo que tienen que pertenecer a las cuentas siguientes:
Rol fijo de servidor Securityadmin en la instancia de SQL Server.
El rol fijo de base de datos Db_owner en todas las bases de datos de la granja de servidores de SharePoint.
El grupo de administradores del equipo donde ejecutan los cmdlets de PowerShell.
Además, también puede ser necesario que el DBA sea miembro del rol SharePoint_Shell_Access para acceder a la base de datos de contenido de SharePoint. En algunos casos, el DBA puede querer agregar la cuenta de usuario de instalación al rol db_owner.
Servicios y roles de servidor de SharePoint
En general, tiene que eliminar la posibilidad de crear bases de datos nuevas desde las cuentas de servicio de SharePoint Server. Ninguna cuenta de servicio de SharePoint Server debe tener el rol sysadmin en la instancia de SQL Server y ninguna cuenta de servicio de SharePoint Server debe ser un administrador local en el servidor que ejecuta SQL Server.
Para obtener más información sobre las cuentas de SharePoint Server, vea Configurar la seguridad y los permisos de cuenta en SharePoint Server 2016.
Para obtener información sobre cuentas en SharePoint Server 2013, vea Configurar la seguridad y los permisos de cuenta en SharePoint 2013.
La lista siguiente contiene información sobre el bloqueo de otros roles y servicios de SharePoint Server:
Rol SharePoint_Shell_Access
Al quitar este rol de SQL Server, se elimina la posibilidad de escribir entradas en la base de datos de configuración y contenido, así como la posibilidad de hacer tareas usando PowerShell de Microsoft. Para obtener más información sobre este rol, vea Add-SPShellAdmin.
Servicio de temporizador de SharePoint (SPTimerV4)
Se recomienda que no limite los permisos predeterminados concedidos a la cuenta en la que se ejecuta este servicio y que nunca deshabilite esta cuenta. En su lugar, use una cuenta de usuario segura, para la que la contraseña no es ampliamente conocida y deje el servicio en ejecución. De manera predeterminada, este servicio se instala al instalar SharePoint Server y mantiene información sobre la caché de configuración. Si establece el tipo de servicio en el modo deshabilitado, puede observar estos comportamientos:
Los trabajos del temporizador no se ejecutan
El analizador de mantenimiento no se ejecuta
La configuración de mantenimiento y de la granja de servidores no se actualiza
Servicio de administración de SharePoint (SPAdminV4)
Este servicio hace cambios automatizados que requieren permisos de administrador local en el servidor. Cuando el servicio no se está ejecutando, debe procesar manualmente los cambios administrativos de nivel de servidor. Se recomienda que no limite los permisos predeterminados concedidos a la cuenta en la que se ejecuta este servicio y que nunca deshabilite esta cuenta. En su lugar, use una cuenta de usuario segura, para la que la contraseña no es ampliamente conocida y deje el servicio en ejecución. Si establece el tipo de servicio en el modo deshabilitado, puede observar estos comportamientos:
Los trabajos administrativos del temporizador no se ejecutan
Los archivos de configuración web no se actualizan
Los grupos locales y de seguridad no se actualizan
Las claves y los valores del Registro no se escriben
Los servicios no se pueden iniciar o reiniciar
No se puede completar el aprovisionamiento de servicios
Servicio SPUserCodeV4
Este servicio permite que un administrador de la colección de sitios cargue la solución de espacio aislado en la galería de soluciones. Si no usa soluciones de este tipo, puede deshabilitar el servicio.
Notificaciones del servicio de token de Windows (C2WTS)
De manera predeterminada, este servicio está deshabilitado. El servicio C2WTS puede ser necesario para una implementación con Servicios de Excel, PerformancePoint Services o servicios compartidos de SharePoint que deben traducirse entre tokens de seguridad de SharePoint e identidades basadas en Windows. Este servicio se usa, por ejemplo, al configurar la delegación limitada de kerberos para acceder a orígenes de datos externos. Para más información sobre C2WTS, vea Planear la autenticación Kerberos en SharePoint Server.
Las características siguientes pueden experimentar síntomas adicionales en ciertas circunstancias:
Copia de seguridad y restauración
Pueden producirse errores al restaurar desde una copia de seguridad si ha quitado los permisos de base de datos.
Actualización
El proceso de actualización se inicia correctamente, pero se produce un error si no tiene permisos adecuados para las bases de datos. Si su organización ya está en un entorno de privilegios mínimos, la solución alternativa es pasar a un entorno de procedimientos recomendados para completar la actualización y luego volver al entorno de privilegios mínimos.
Actualizar
La capacidad de aplicar una actualización de software a una granja de servidores se realiza correctamente para el esquema de la base de datos de configuración, pero produce un error en la base de datos de contenido y los servicios.
Otras cuestiones a tener en cuenta en un entorno de privilegios mínimos
Además de los factores anteriores, es posible que deba tener en cuenta otras cuestiones. La lista siguiente no es exhaustiva. Use los elementos que necesite:
Cuenta de usuario de instalación: esta cuenta se usa para configurar todos los servidores de una granja. La cuenta debe ser miembro del grupo de administradores en cada uno de los servidores de la granja de SharePoint Server. Para más información sobre esta cuenta, vea Cuentas de servicio y administrativas de implementación inicial en SharePoint Server.
Cuando se compila una nueva granja de SharePoint y la compilación basada tiene cu de octubre de 2022 o una nueva secuencia deslizante en el proceso de compilación, se usa el modelo de seguridad con privilegios mínimos. Después de completar psconfig en el primer servidor de la granja de servidores, antes de ejecutar el Asistente para configuración de la granja de servidores o aprovisionar otros componentes, se deben ejecutar los siguientes comandos para garantizar el acceso a las bases de datos de SharePoint:
Get-SPDatabase | %{$_.GrantOwnerAccessToDatabaseAccount()}
Cuenta de sincronización : para SharePoint Server, esta cuenta se usa para conectarse al servicio de directorio. Se recomienda que no limite los permisos predeterminados concedidos a la cuenta en la que se ejecuta este servicio y que nunca deshabilite esta cuenta. En su lugar, use una cuenta de usuario segura, para la que la contraseña no es ampliamente conocida y deje el servicio en ejecución. Esta cuenta también requiere el permiso Replicar cambios de directorio en AD DS, lo que permite a la cuenta leer objetos de AD DS y detectar objetos de AD DS que se cambiaron en el dominio. El permiso Conceder cambios de directorio de replicación no permite que una cuenta cree, cambie o elimine objetos de AD DS.
Cuenta del grupo de aplicaciones host de Mi sitio: esta es la cuenta con la que se ejecuta el grupo de aplicaciones de Mi sitio. Para configurar esta cuenta, tiene que ser miembro del grupo Administradores de la granja de servidores. Puede limitar los privilegios de esta cuenta.
Grupo de usuarios integrado: quitar el grupo de seguridad integrado de usuarios o cambiar los permisos puede tener consecuencias inesperadas. Se recomienda no limitar los privilegios a las cuentas o grupos integrados.
Permisos de grupo: de manera predeterminada, el grupo WSS_ADMIN_WPG de SharePoint tiene acceso de lectura y escritura a los recursos locales. Las siguientes WSS_ADMIN_WPG ubicaciones del sistema de archivos, %WINDIR%\System32\drivers\etc\Hosts y %WINDIR%\Tasks son necesarias para que SharePoint Server funcione correctamente. Si en un servidor se ejecutan otros servicios u otras aplicaciones, puede tener en cuenta el modo en que acceden a las ubicaciones de carpeta Tasks o Hosts. Para más información sobre la configuración de cuenta en SharePoint Server, vea Configurar la seguridad y los permisos de cuenta en SharePoint Server 2016.
Para obtener información sobre las cuentas en SharePoint 2013, vea Configurar la seguridad y los permisos de cuenta en SharePoint Server 2013.
Cambiar el permiso de un servicio: el cambio de permiso de un servicio puede tener consecuencias inesperadas. Por ejemplo, si la clave de Registro HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters tuviese el valor 0, el servicio de host de código de usuario se deshabilitaría, lo que haría que las soluciones de espacio aislado dejasen de funcionar.
Vea también
Otros recursos
Configuración de privilegios mínimos para el Administrador de flujos de trabajo con SharePoint 2013