Pianificare la protezione avanzata per i ruoli del server in una server farm (Office SharePoint Server)
Contenuto dell'articolo:
Informazioni sulla protezione avanzata
Consigli relativi al server applicazioni
Comunicazione protetta con il database di Microsoft SQL Server
Requisiti del servizio Condivisione file e stampanti
Requisiti per la protezione avanzata di Single Sign-on
Servizi Web di Office Server
Connessioni a server esterni
Requisiti del servizio per l'integrazione della posta elettronica
Requisiti del servizio per lo stato della sessione
Servizi di Office SharePoint Server
Account e gruppi
File Web.config
Aggiunte allo snapshot protetto
Utilizzare questo articolo per pianificare la protezione della server farm. Le attività indicate nell'articolo sono appropriate per gli ambienti di protezione seguenti:
Ambiente interno ospitato da IT
Collaborazione protetta esterna
Accesso anonimo esterno
Informazioni sulla protezione avanzata
In un ambiente server farm i singoli server hanno ruoli specifici. I consigli relativi alla protezione avanzata per tali server dipendono dal ruolo di ogni server.
I consigli relativi alla protezione avanzata sono basati sui consigli contenuti nelle guide alla protezione seguenti, disponibili in Informazioni aggiuntive Microsoft (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73704&clcid=0x410) (informazioni in lingua inglese) :
Protezione del server Web (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x410) (informazioni in lingua inglese)
Protezione del server database (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x410) (informazioni in lingua inglese)
Protezione della rete (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73707&clcid=0x410) (informazioni in lingua inglese)
Queste guide applicano un approccio metodico per la protezione dei server per ruoli specifici e per la protezione della rete di supporto. Viene inoltre specificato l'ordine con cui applicare le impostazioni e con cui installare e proteggere in modalità avanzata le applicazioni, a partire dall'installazione di patch e aggiornamenti fino alla protezione avanzata delle impostazioni della rete e del sistema operativo e alla protezione avanzata specifica dell'applicazione. In Protezione del server Web (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x410) (informazioni in lingua inglese) ad esempio viene suggerito di installare e proteggere in modalità avanzata Internet Information Services (IIS) solo dopo aver installato le patch e aver applicato al sistema operativo la protezione avanzata. In questa guida viene inoltre suggerito di installare Microsoft .NET Framework solo dopo avere installato le patch di IIS e aver applicato la protezione avanzata.
Nella figura seguente vengono illustrate in modo dettagliato le categorie di impostazioni di protezione suggerite metodicamente in Protezione del server Web (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x410) (informazioni in lingua inglese) .
In ognuna di queste tre guide sono inoltre disponibili uno snapshot protetto e un elenco di impostazioni di protezione consigliate per il ruolo server specifico o per la rete. Gli elenchi di snapshot sono organizzati in base a categorie corrispondenti alle impostazioni di protezione illustrate nella figura precedente.
Le informazioni aggiuntive sul sistema di protezione e sulla protezione avanzata disponibili in questo articolo sono basate sulle informazioni aggiuntive pubblicate in queste tre guide. Si presuppone che tali informazioni vengano utilizzate come linea di base per la protezione e la protezione avanzata della server farm.
In questo articolo vengono illustrate le eccezioni o le aggiunte agli snapshot consigliate per l'ambiente in uso. Tali informazioni sono disponibili sotto forma di tabella dettagliata, nello stesso ordine e con le stesse categorie utilizzate nelle tre guide alla protezione. Questo formato consente di identificare e applicare con facilità consigli specifici nel corso dell'utilizzo delle guide.
La guida Distribuzione per Office SharePoint 2007 (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=76139&clcid=0x410) (informazioni in lingua inglese) include istruzioni per l'applicazione di informazioni aggiuntive specifiche sulla protezione non disponibili nelle guide alla protezione indicate in precedenza.
La natura della comunicazione tra server in una server farm e le caratteristiche specifiche offerte da Microsoft Office SharePoint Server 2007 costituiscono la ragione principale per consigli specifici sulla protezione avanzata. In questo articolo viene inoltre illustrato il modo in cui i canali di comunicazione chiave e le caratteristiche di Microsoft Office SharePoint Server 2007 influiscono sui requisiti per la protezione.
Consigli relativi al server applicazioni
In Microsoft Office SharePoint Server 2007 i ruoli del server applicazioni non sono esercitati da server applicazioni di livello intermedio tipici inclusi nelle applicazioni Enterprise Services. I consigli disponibili in Protezione del server applicazioni (https://msdn.microsoft.com/it-it/library/aa302433(it-it).aspx) non sono pertanto applicabili ai server applicazioni di Microsoft Office SharePoint Server 2007. Utilizzare quindi le informazioni aggiuntive disponibili in Protezione del server Web (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x410) (informazioni in lingua inglese) per proteggere in modo avanzato i server applicazioni di Microsoft Office SharePoint Server 2007:
Applicare le informazioni aggiuntive relative alle impostazioni di rete e del sistema operativo a tutti i server applicazioni nella server farm. Tali informazioni sono incluse nelle categorie seguenti: patch e aggiornamenti, servizi, protocolli, account, file e directory, condivisioni, porte, Registro di sistema, controllo e registrazione.
Applicare le informazioni aggiuntive sulla protezione avanzata di IIS e di altre impostazioni Web solo al server applicazioni che ospita il sito Web Amministrazione centrale. Tali informazioni includono le categorie seguenti: IIS, Machine.config, protezione dell'accesso di codice, LocalIntranet_Zone e Internet_Zone.
Oltre a utilizzare lo snapshot protetto disponibile in Protezione del server Web (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x410) (informazioni in lingua inglese) , è necessario applicare i consigli disponibili nella sezione Aggiunte allo snapshot protetto più avanti in questo articolo.
Comunicazione protetta con il database di Microsoft SQL Server
In Protezione del server database (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x410) (informazioni in lingua inglese) viene suggerito di limitare l'accesso a due porte di comunicazione predefinite di Microsoft SQL Server: la porta TCP 1433 e la porta UDP 1434. Per gli ambienti server farm protetti, è consigliabile attenersi ai consigli seguenti:
Bloccare interamente la porta UDP 1434.
Configurare le istanze denominate di SQL Server in modo che siano in ascolto su una porta non standard, ovvero diversa dalla porta TCP 1433 o dalla porta UDP 1434.
Per una protezione aggiuntiva, bloccare la porta TCP 1433 e riassegnare la porta utilizzata dall'istanza predefinita a una porta non standard.
Configurare gli alias per client SQL in tutti i server Web front-end Web e in tutti i server applicazioni della server farm. Dopo il blocco della porta TCP 1433 o della porta UDP 1434, gli alias per client SQL sono necessari in tutti i computer che comunicano con il computer SQL Server.
Questo approccio offre un livello di controllo notevolmente superiore rispetto alla modalità con cui SQL Server viene distribuito ed eseguito, inclusa la possibilità di assicurare che solo i computer autorizzati siano in grado di comunicare con il computer SQL Server.
È necessario completare i passaggi relativi alla protezione avanzata per la creazione di un alias per client SQL prima di installare Microsoft Office SharePoint Server 2007. Quando si esegue il programma di installazione di Microsoft Office SharePoint Server 2007 e viene richiesta l'immissione del nome del computer SQL Server a cui effettuare la connessione, è necessario specificare il nome dell'alias per client SQL.
Blocco delle porte standard di SQL Server
Le porte specifiche utilizzate per la connessione a SQL Server dipendono dall'installazione dei database in un'istanza predefinita di SQL Server o in un istanza denominata di SQL Server. L'istanza predefinita di SQL Server è in ascolto di richieste client sulla porta TCP 1433. Un'istanza denominata di SQL Server è in ascolto su un numero di porta assegnato in modo casuale. Il numero di porta per un'istanza denominata può essere inoltre riassegnato in caso di riavvio dell'istanza, se il numero di porta assegnato in precedenza è disponibile.
Per impostazione predefinita, i computer client che si connettono a SQL Server, per la connessione utilizzano innanzitutto la porta TCP 1433. Se tale comunicazione ha esito negativo, i computer client eseguono una query nel Servizio di risoluzione di SQL Server in ascolto sulla porta UDP 1434 per determinare su quale porta sia in ascolto l'istanza del database.
Il comportamento predefinito per la comunicazione tra le porte di SQL Server presenta alcuni problemi che influiscono sulla protezione avanzata del server. Le porte utilizzate da SQL Server, innanzitutto, sono porte molto note e il Servizio di risoluzione di SQL Server è stato oggetto di attacchi di sovraccarico del buffer e attacchi Denial of Service, incluso il virus worm "Slammer". Anche se si applicano patch a SQL Server per ridurre i problemi relativi alla protezione nel Servizio di risoluzione di SQL Server, le porte note rimangono oggetto di attacchi. In secondo luogo, se i database sono installati in un'istanza denominata di SQL Server, la porta di comunicazione corrispondente viene assegnata in modo casuale e può cambiare. Questo comportamento potrebbe impedire la comunicazione tra server in un ambiente con protezione avanzata. La possibilità di controllare quali porte TCP siano aperte o bloccate è essenziale per la protezione dell'ambiente.
Per una server farm è pertanto consigliabile assegnare numeri di porta statici a istanze denominate di SQL Server e bloccare la porta UDP 1434 per impedire a potenziali utenti malintenzionati di accedere al Servizio di risoluzione di SQL Server. È inoltre consigliabile prendere in considerazione la riassegnazione della porta utilizzata dall'istanza predefinita e il blocco della porta TCP 1433.
Sono disponibili alcuni metodi per il blocco delle porte. È possibile bloccare le porte utilizzando un firewall. Tuttavia, a meno che non sia possibile essere certi che non siano disponibili altri percorsi di accesso al segmento di rete e che nessun utente malintenzionato disponga di accesso al segmento di rete, è consigliabile bloccare tali porte direttamente nel server che ospita SQL Server. A tale scopo, utilizzare Windows Firewall nel Pannello di controllo.
Configurazione delle istanze del database di SQL Server per l'ascolto su una porta non standard
In SQL Server è possibile riassegnare le porte utilizzate dall'istanza predefinita e da eventuali istanze denominate. In SQL Server 2000 le porte vengono riassegnate mediante l'utilità Configurazione di rete di SQL Server, mentre in SQL Server 2005 le porte vengono riassegnate tramite Gestione configurazione SQL Server.
Configurazione degli alias per client SQL
In una server farm tutti i server Web front-end e i server applicazioni sono computer client SQL Server. Se si blocca la porta UDP 1434 nel computer SQL Server o si modifica la porta predefinita per l'istanza predefinita, è necessario configurare un alias per client SQL in tutti i server che si connettono al computer SQL Server.
Per effettuare la connessione a un'istanza di SQL Server 2000, è necessario installare gli strumenti client di SQL Server nel computer di destinazione e quindi configurare l'alias per client SQL. A tale scopo, eseguire il programma di installazione per SQL Server e quindi scegliere SQL Server - Strumenti client.
Per effettuare la connessione a un'istanza di SQL Server 2005, è necessario installare i componenti client di SQL Server nel computer di destinazione e quindi configurare l'alias per client SQL utilizzando Gestione configurazione SQL Server. Per installare i componenti client di SQL Server, eseguire il programma di installazione e quindi selezionare solo i componenti client seguenti per l'installazione:
Componenti di connettività
Strumenti di gestione (include Gestione configurazione SQL Server)
I componenti client di SQL Server sono compatibili con SQL Server 2000 e possono essere utilizzati al posto degli strumenti client di SQL Server.
Passaggi per la protezione avanzata
Configurare SQL Server
Configurare un'istanza di SQL Server 2000 in modo che rimanga in ascolto su una porta non predefinita
Utilizzare l'utilità Configurazione di rete di SQL Server per cambiare la porta TCP utilizzata da un'istanza di SQL Server 2000.
Eseguire l'utilità Configurazione di rete di SQL Server nel computer SQL Server.
Scegliere l'istanza desiderata dal menu Istanze nel server. Verificare di avere selezionato l'istanza desiderata. Per impostazione predefinita, l'istanza predefinita rimane in ascolto sulla porta 1433. Alle istanze denominate di SQL Server 2000 viene assegnato un numero di porta casuale ed è quindi possibile che non si conosca il numero di porta attualmente assegnato a un'istanza denominata quando si esegue l'utilità Configurazione di rete di SQL Server.
Nel riquadro Protocolli attivati disponibile nella parte destra dell'interfaccia dell'utilità Configurazione di rete di SQL Server fare clic su TCP/IP e quindi su Proprietà.
Nella finestra di dialogo Imposta valori predefiniti protocollo di rete modificare il numero di porta TCP. Non utilizzare alcuna porta TCP nota. Selezionare ad esempio un numero di porta appartenente a un intervallo più elevato, quale 40000. Non selezionare la casella di controllo Nascondi server.
Fare clic su OK.
Nella finestra di dialogo Configurazione di rete di SQL Server fare clic su OK. Verrà visualizzato un messaggio che indica che la modifica verrà applicata solo dopo il riavvio dell'istanza del servizio SQL Server. Fare clic su OK.
Riavviare il servizio SQL Server e confermare che il computer SQL Server è in ascolto sulla porta selezionata. A tale scopo, dopo il riavvio del servizio SQL Server cercare nel registro del visualizzatore eventi informazioni analoghe all'evento seguente:
Tipo evento: Informazioni
Origine evento: MSSQLSERVER
Categoria evento: (2)
ID evento: 17055
Data: 06/03/2008
Ora: 11:20:28
Utente: N/D
Computer: nome_computer
Descrizione
19013:
SQL Server in ascolto su 10.1.2.3: 40000
Configurare un'istanza di SQL Server 2000 in modo che rimanga in ascolto su una porta non predefinita
Utilizzare Gestione configurazione SQL Server per cambiare la porta TCP utilizzata da un'istanza di SQL Server 2005.
Utilizzare Gestione configurazione SQL Server per cambiare la porta TCP utilizzata da un'istanza di SQL Server 2005.
Nel computer SQL Server aprire Gestione configurazione SQL Server.
Nel riquadro a sinistra espandere Configurazione di rete SQL Server 2005.
In Configurazione di rete SQL Server 2005 fare clic sulla voce corrispondente all'istanza da configurare. L'istanza predefinita è inclusa nell'elenco come Protocolli per MSSQLSERVER, mentre le istanze denominate vengono visualizzate come Protocolli per istanza_denominata.
Nel riquadro a destra fare clic con il pulsante destro del mouse su TCP/IP e quindi scegliere Proprietà.
Fare clic sulla scheda Indirizzi IP. Tale scheda include una voce corrispondente a ogni indirizzo IP assegnato al computer SQL Server. Per impostazione predefinita, SQL Server è in ascolto su tutti gli indirizzi IP assegnati al computer.
Per cambiare a livello globale la porta su cui è in ascolto l'istanza predefinita, eseguire le operazioni seguenti:
Per ogni IP, escluso IPAll, cancellare tutti i valori per Porte dinamiche TCP e Porta TCP.
Per IPAll cancellare il valore per Porte dinamiche TCP. Nel campo Porta TCP immettere la porta su cui mettere in ascolto l'istanza di SQL Server, ad esempio digitare 40000.
Per cambiare a livello globale la porta su cui è in ascolto un'istanza denominata, eseguire le operazioni seguenti:
Per ogni IP, incluso IPAll, cancellare tutti i valori per Porte dinamiche TCP. Un valore pari a 0 per questo campo indica che SQL Server utilizza una porta dinamica TCP per l'indirizzo IP. Se questo campo è vuoto, SQL Server 2005 non utilizzerà alcuna porta dinamica TCP per l'indirizzo IP.
Per ogni IP, escluso IPAll, cancellare tutti i valori per Porta TCP .
Per IPAll cancellare il valore per Porte dinamiche TCP. Nel campo Porta TCP immettere la porta su cui mettere in ascolto l'istanza di SQL Server, ad esempio digitare 40000.
Fare clic su OK. Verrà visualizzato un messaggio che indica che la modifica verrà applicata solo dopo il riavvio dell'istanza del servizio SQL Server. Fare clic su OK.
Chiudere Gestione configurazione SQL Server.
Riavviare il servizio SQL Server e confermare che il computer SQL Server è in ascolto sulla porta selezionata. A tale scopo, dopo il riavvio del servizio SQL Server cercare nel registro del visualizzatore eventi informazioni analoghe all'evento seguente:
Tipo evento: Informazioni
Origine evento: MSSQL$MSSQLSERVER
Categoria evento: (2)
ID evento: 26022
Data: 06/03/2008
Ora: 13:46:11
Utente: N/D
Computer: nome_computer
Descrizione
Il server è in attesa su [ 'any' <ipv4>50000]
Configurare Windows Firewall
Configurare Windows Firewall per bloccare le porte di ascolto predefinite di SQL Server
Nel Pannello di controllo aprire Windows Firewall.
Nella scheda Generale fare clic su Attivato. Verificare che la casella di controllo Non consentire eccezioni sia deselezionata.
Nella scheda Eccezioni fare clic su Aggiungi porta.
Nella finestra di dialogo Aggiungi porta immettere un nome per la porta, ad esempio UDP-1434. Specificare quindi il numero di porta, ad esempio 1434.
Selezionare il pulsante di opzione appropriato, ovvero UDP o TCP. Ad esempio, per bloccare la porta 1434, fare clic su UDP e per bloccare la porta 1433, fare clic su TCP.
Fare clic su Cambia ambito e verificare che l'ambito per questa eccezione sia impostato su Tutti i computer (compresi quelli in Internet).
Fare clic su OK.
Nella scheda Eccezioni individuare l'eccezione creata. Per bloccare la porta, deselezionare la casella di controllo corrispondente a questa eccezione. Per impostazione predefinita, questa casella di controllo è selezionata. Ciò significa che la porta è aperta.
Configurare Windows Firewall per l'apertura di porte assegnate manualmente
Eseguire i passaggi dall'1 al 7 della procedura precedente per creare un'eccezione per la porta assegnata manualmente a un'istanza di SQL. Ad esempio, creare un'eccezione per la porta TCP 40000.
Nella scheda Eccezioni individuare l'eccezione creata. Verificare che la casella di controllo corrispondente all'eccezione sia selezionata. Per impostazione predefinita, questa casella di controllo è selezionata. Ciò significa che la porta è aperta.
Nota
Per ulteriori informazioni sull'utilizzo di IPsec (Internet Protocol security) per proteggere le comunicazioni verso e dal computer SQL Server, vedere l'articolo 233256 della Microsoft Knowledge Base intitolato Attivazione del traffico IPSec attraverso un firewall (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x410).
Configurare un alias per client SQL
Configurare un alias per client SQL
Se si blocca la porta UDP 1434 o la porta TCP 1433 nel computer SQL Server, è necessario creare un alias per client SQL in tutti gli altri computer della server farm. Per creare alias per client SQL per i computer che si connettono a SQL Server 2000 o SQL Server 2005, è possibile utilizzare i componenti client di SQL Server.
Eseguire il programma di installazione di SQL Server 2005 nel computer di destinazione e quindi selezionare i componenti client seguenti per l'installazione:
Componenti di connettività
Strumenti di gestione
Aprire Gestione configurazione SQL Server.
Nel riquadro a sinistra fare clic su Configurazione SQL Native Client.
Nel riquadro a destra fare clic con il pulsante destro del mouse su Alias e quindi scegliere Nuovo alias.
Nella finestra di dialogo Alias immettere un nome per l'alias e quindi specificare il numero di porta per l'istanza di database, ad esempio SharePoint*_alias*.
Nel campo Numero porta immettere il numero di porta per l'istanza di database, ad esempio 40000. Verificare che il protocollo sia impostato su TCP/IP.
Nel campo Server immettere il nome del computer SQL Server.
Fare clic su Applica e quindi su OK.
Eseguire il testing dell'alias per client SQL
Eseguire il testing della connettività con il computer SQL Server utilizzando Microsoft SQL Server Management Studio, disponibile tramite l'installazione dei componenti client di SQL Server.
Aprire SQL Server Management Studio.
Quando viene richiesta l'immissione di un nome server, specificare il nome dell'alias creato e quindi fare clic su Connetti. Se la connessione ha esito positivo, in SQL Server Management Studio vengono indicati gli oggetti corrispondenti al database remoto.
Nota
Per verificare la connettività ad altre istanze di database da SQL Server Management Studio, fare clic sul pulsante Connetti e quindi selezionare Motore di database.
Requisiti del servizio Condivisione file e stampanti
Alcune caratteristiche di base dipendono dal servizio Condivisione file e stampanti e dai protocolli e dalle porte corrispondenti, incluse tra le altre le caratteristiche seguenti:
Query di ricerca Tutte le query di ricerca necessitano del servizio Condivisione file e stampanti.
Ricerca per indicizzazione e indicizzazione del contenuto Per eseguire la ricerca per indicizzazione di contenuto, il componente di indicizzazione invia richieste tramite il server Web front-end, che comunica direttamente con i database del contenuto e restituisce i risultati al server di indicizzazione. Per tale comunicazione è necessario il servizio Condivisione file e stampanti.
Propagazione degli indici Se il ruolo query è installato in un server diverso rispetto al ruolo indice, il server di indicizzazione copia gli indici di contenuto nei server di query. Per questa azione sono necessari il servizio Condivisione file e stampanti e i protocolli e le porte corrispondenti.
Per il servizio Condivisione file e stampanti sono necessarie le named pipe, che possono comunicare tramite protocolli SMB con hosting diretto o NBT. Per un ambiente protetto, è consigliabile utilizzare SMB con hosting diretto invece di NBT. Nei consigli relativi alla protezione avanzata disponibili in questo articolo si presuppone che venga utilizzato il protocollo SMB.
Nella tabella seguente vengono illustrati i requisiti relativi alla protezione avanzata derivanti dalla dipendenza dal servizio Condivisione file e stampanti.
Categoria | Requisito | Note |
---|---|---|
Servizi |
Condivisione file e stampanti |
Utilizzo obbligatorio delle named pipe. |
Protocolli |
Named pipe che utilizzano SMB con hosting diretto Disattivare NBT |
Le named pipe possono utilizzare il protocollo NBT invece del protocollo SMB con hosting diretto, ma il protocollo NBT non è considerato sicuro quanto il protocollo SMB cono hosting diretto. |
Porte |
Porta TCP/UDP 445 |
Utilizzata dal protocollo SMB con hosting diretto. |
Per ulteriori informazioni sulla disattivazione del protocollo NBT, vedere l'articolo 204279 della Microsoft Knowledge Base intitolato Hosting diretto di SMB su TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x410).
Requisiti per la protezione avanzata di Single Sign-On
La caratteristica Single Sign-on (SSO) di Microsoft Office SharePoint Server 2007 consente la connessione a origini dati esterne alla server farm. Per impostazione predefinita, la caratteristica Single Sign-on non è attivata in una server farm di Microsoft Office SharePoint Server 2007. Non configurare Single Sign-on a meno che tale caratteristica non sia necessaria per la connessione a origini dati esterne. Poiché la caratteristica Single Sign-on rende obbligatoria l'autenticazione degli utenti, non è compatibile con un ambiente di accesso anonimo esterno.
Single Sign-on si basa sul servizio Microsoft Single Sign-On e sui protocolli e le porte corrispondenti. È necessario che tale servizio sia attivato nei server seguenti:
Tutti i server Web front-end
Server delle chiavi di crittografia designato (ruolo in genere ospitato da un server applicazioni)
Ruolo Servizi di calcolo Excel
Se un trimmer di protezione personalizzato è installato nel server di query e tale trimmer di protezione necessita di accesso ai dati SSO, è inoltre necessario che il servizio Microsoft Single Sign-On sia in esecuzione anche in tale ruolo server.
La caratteristica Single Sign-On presenta alcuni requisiti per la protezione avanzata per la server farm. Il servizio Single Sign-On utilizza la chiamata di procedura remota (RPC), sulla porta 135, e il protocollo RPC dinamico su una porta assegnata dinamicamente nell'intervallo 1024–65535/TCP. È possibile utilizzare una chiave del Registro di sistema di Windows per limitare l'intervallo di porte dinamiche RPC assegnate. Invece di utilizzare tutte le porte di numero elevato (1024–65535), è possibile consentire un intervallo di numeri più ridotto per le porte dinamiche RPC, ovvero utilizzare quella che viene definito protocollo RPC statico.
Per ulteriori informazioni sulla restrizione delle porte utilizzate da RPC, vedere le risorse seguenti:
Active Directory in reti segmentate da firewall (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x410) (informazioni in lingua inglese) .
Articolo 154596 della Microsoft Knowledge Base intitolato Configurazione dell'allocazione delle porte dinamiche RPC perché funzionino con i firewall (https://go.microsoft.com/fwlink/?linkid=76145&clcid=0x410).
Articolo 300083 della Microsoft Knowledge Base intitolato Come limitare le porte TCP/IP in Windows 2000 e Windows XP (https://go.microsoft.com/fwlink/?linkid=76148&clcid=0x410).
Nella tabella seguente vengono illustrati i requisiti relativi alla protezione avanzata derivanti da Single Sign-On. Tali requisiti sono applicabili a tutti i server della server farm.
Categoria | Requisito | Note |
---|---|---|
Servizi |
Servizio Single Sign-On |
Utilizzo obbligatorio del protocollo RPC. |
Protocolli |
RPC |
Configurare il protocollo RPC statico per limitare l'intervallo di porte utilizzate dal protocollo RPC dinamico. |
Porte |
Porta TCP 135 oltre all'intervallo di porte configurato per il protocollo RPC dinamico |
Durante la configurazione dei requisiti relativi alla protezione avanzata siano configurati nel sistema operativo, l'ordine in cui i requisiti sono configurati è essenziale per una distribuzione corretta di Single Sign-On. I requisiti relativi a protocolli e porte possono essere configurati in qualsiasi momento prima della configurazione della caratteristica Single Sign-On in Microsoft Office SharePoint Server 2007. L'ordine in base al quale il servizio Single Sign-On viene attivato nei server della farm influisce sulla configurazione di Single Sign-On.
Il primo server in cui si attiva il servizio diventa il server delle chiavi di crittografia della server farm. Il tale server vengono archiviate le chiavi di crittografia. È consigliabile ospitare questo ruolo in uno dei server applicazioni. Il servizio Single Sign-On deve essere inoltre attivato in ogni server Web front-end della server farm. Tali computer inoltrano credenziali al server delle chiavi di crittografia.
Per una corretta configurazione della caratteristica Single Sign-On in Microsoft Office SharePoint Server 2007 è necessario eseguire la configurazione nel sito Amministrazione centrale, oltre ad attivare il servizio Single Sign-On. Pertanto, non attivare il servizio Single Sign-On prima dell'installazione di Microsoft Office SharePoint Server 2007. Per ulteriori informazioni sulla configurazione di Single Sign-On, vedere l'articolo Pianificare l'utilizzo di Single Sign-on.
Servizi Web di Office Server
Il servizio Web di Office Services Web viene utilizzato da Microsoft Office SharePoint Server 2007 come canale di comunicazione tra server Web e server applicazioni. Questo servizio utilizza le porte seguenti:
Porta TCP 56737
Porta TCP/SSL 56738
Connessioni a server esterni
È possibile configurare varie caratteristiche di Microsoft Office SharePoint Server 2007 per l'accesso a dati memorizzati in computer server all'esterno della server farm. Se si configura l'accesso a dati in server esterni, assicurarsi di consentire le comunicazioni tra i computer appropriati. Nella maggior parte dei casi, le porte, i protocolli e i servizi utilizzati dipendono dalla risorsa esterna. Ad esempio:
Per le connessioni a condivisioni file viene utilizzato il servizio Condivisione file e stampanti.
Per le connessioni a database di SQL Server esterni si utilizzano le porte predefinite o personalizzate per le comunicazioni con SQL Server.
Per le connessioni a Oracle si utilizza in genere OLE DB.
Per le connessioni a servizi Web si utilizzano i protocolli HTTP e HTTPS.
Nella tabella seguente sono elencate le caratteristiche che è possibile configurare per l'accesso a dati memorizzati in computer server all'esterno della server farm.
Caratteristica | Descrizione |
---|---|
Ricerca per indicizzazione del contenuto |
È possibile configurare regole di ricerca per indicizzazione per eseguire la ricerca per indicizzazione di dati che risiedono in risorse esterne, inclusi siti Web, condivisioni file, cartelle pubbliche di Exchange e applicazioni per dati business. Quando si esegue la ricerca per indicizzazione di origini dati esterne, il ruolo indice comunica direttamente con tali risorse esterne. Per ulteriori informazioni, vedere Pianificare la ricerca per indicizzazione di contenuto (Office SharePoint Server). |
Connessioni al Catalogo dati business |
I server Web e i server applicazioni comunicano direttamente con i computer configurati per le connessioni al Catalogo dati business. Per ulteriori informazioni, vedere Pianificare le connessioni dei dati business al Catalogo dati business. |
Ricezione di cartelle di lavoro di Microsoft Office Excel |
In presenza di cartelle di lavoro aperte in Excel Services che si connettono a origini dati esterne, ad esempio Analysis Services e SQL Server, è necessario aprire le porte TCP/IP appropriate per consentire la connessioni a tali origini dati esterne. Per ulteriori informazioni, vedere Pianificare le connessioni a dati esterni per Excel Services. Se i percorsi UNC (Universal Naming Convention) sono configurati come percorsi attendibili in Excel Services, il ruolo applicazione Servizi di calcolo Excel utilizza i protocolli e le porte utilizzate dal servizio Condivisione file e stampanti per la ricezione delle cartelle di lavoro di Office Excel su un percorso UNC. Le cartelle di lavoro archiviate in database del contenuto oppure caricate o scaricate dai siti dagli utenti non sono interessate da queste comunicazioni. |
Requisiti del servizio per l'integrazione della posta elettronica
Per l'integrazione della posta elettronica è necessario utilizzare i due servizi seguenti:
Servizio SMTP (Simple Mail Transfer Protocol)
Servizio di gestione directory di Microsoft SharePoint
Servizio SMTP
Per l'integrazione della posta elettronica è necessario utilizzare il servizio SMTP in almeno uno dei server Web front-end della server farm. Il servizio SMTP è necessario per la posta in arrivo. Per la posta in uscita, è possibile utilizzare il servizio SMTP oppure instradare la posta in uscita attraverso un server di posta elettronica dedicato nell'organizzazione, ad esempio un computer che esegue Microsoft Exchange Server.
Servizio di gestione directory di Microsoft SharePoint
Microsoft Office SharePoint Server 2007 include un servizio interno, il Servizio di gestione directory di Microsoft SharePoint, per la creazione di gruppi di distribuzione della posta elettronica. Durante la configurazione dell'integrazione della posta elettronica è possibile attivare la caratteristica Servizio di gestione directory, consentendo agli utenti di creare liste di distribuzione. Quando gli utenti creano un gruppo di SharePoint e quindi selezionano l'opzione per la creazione di una lista di distribuzione, il Servizio di gestione directory di Microsoft SharePoint crea la lista di distribuzione del servizio directory di Active Directory corrispondente nell'ambiente Active Directory.
Negli ambienti con protezione avanzata è consigliabile limitare l'accesso al Servizio di gestione directory di Microsoft SharePoint, proteggendo il file associato a tale servizio, ovvero SharePointEmailws.asmx. Ad esempio, è consigliabile consentire l'accesso a questo file solo all'account della server farm.
Questo servizio necessita inoltre di autorizzazioni nell'ambiente Active Directory per creare oggetti lista di distribuzione di Active Directory. È consigliabile configurare un'unità organizzativa distinta in Active Directory per oggetti di SharePoint e fare in modo che solo tale unità organizzativa consenta l'accesso in scrittura all'account utilizzato dal Servizio di gestione directory di Microsoft SharePoint.
Requisiti del servizio per lo stato della sessione
Sia Microsoft Office Project Server 2007 che Microsoft Office Forms Server 2007 conservano lo stato della sessione. Se si distribuiscono queste caratteristiche o questi prodotti nella server farm, non disattivare il servizio Stato ASP.NET. Se si distribuisce InfoPath Forms Services, è inoltre necessario non disattivare il servizio Stato visualizzazione.
Servizi di Office SharePoint Server
Non disattivare i servizi installati da Microsoft Office SharePoint Server 2007.
I servizi seguenti, indicati in ordine alfabetico, sono installati in tutti i server Web front-end e in tutti i server applicazioni e vengono visualizzati nello snap-in Servizi di Microsoft Management Console (MMC):
Servizio di ricerca di Office SharePoint Server
Amministrazione Windows SharePoint Services
Servizio di ricerca di Windows SharePoint Services
Timer di Windows SharePoint Services
Servizio di traccia di Windows SharePoint Services
Windows SharePoint Services VSS Writer
Se l'ambiente in uso non consente servizi eseguiti come sistema locale, è possibile valutare la disattivazione del servizio Amministrazione Windows SharePoint Services solo se si è consapevoli delle conseguenze e si è in grado di gestirle. Si tratta di un servizio Win32 eseguito come sistema locale.
Questo servizio viene utilizzato dal servizio Timer di Windows SharePoint Services per eseguire azioni che necessitano di privilegi amministrativi sul server, ad esempio la creazione di siti Web IIS, la distribuzione di codice, l'interruzione e l'avvio di servizi. Se si disattiva questo servizio, non sarà possibile eseguire attività correlate alla distribuzione dal sito Amministrazione centrale. Sarà necessario utilizzare lo strumento da riga di comando Stsadm.exe ed eseguire il comando execadminsvcjobs per completare distribuzioni multiserver per Microsoft Windows SharePoint Services 3.0 e per eseguire altre attività correlate alla distribuzione.
Account e gruppi
Negli snapshot protetti delle guide alla protezione incluse in Informazioni aggiuntive sono disponibili consigli per la protezione di account e gruppi.
Per consigli sulla pianificazione per account, vedere Pianificare gli account amministrativi e di servizio (Office SharePoint Server).
Per consigli sulla pianificazione per ruoli amministrativi e utente, vedere Pianificare i ruoli di protezione (Office SharePoint Server).
File Web.config
In .NET Framework e in particolare in ASP.NET vengono utilizzati file di configurazione in formato XML per la configurazione di applicazioni. I file di configurazione vengono utilizzati in .NET Framework per definire le opzioni di configurazione e sono file XML basati su testo. In genere, in un singolo sistema esistono più file di configurazione.
Le impostazioni di configurazione a livello di sistema per .NET Framework sono definite nel file Machine.config, che si trova nella cartella %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. Le impostazioni predefinite incluse nel file Machine.config possono essere modificate per influire sul comportamento delle applicazioni che utilizzano .NET Framework nell'intero sistema. Per consigli sulla configurazione dei file Machine.config, vedere Protezione del server Web (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x410) (informazioni in lingua inglese) .
Se si crea un file Web.config nella cartella principale dell'applicazione, è possibile modificare le impostazioni di configurazione di ASP.NET per una singola applicazione. Quando si esegue tale operazione, le impostazioni nel file Web.config sostituiscono le impostazioni incluse nel file Machine.config.
Quando si estende un'applicazione Web utilizzando Amministrazione centrale, Microsoft Office SharePoint Server 2007 crea automaticamente un file Web.config per l'applicazione Web.
Nella sezione Aggiunte allo snapshot protetto più avanti in questo articolo sono disponibili consigli per la configurazione dei file Web.config. Tali consigli presuppongono l'applicazione in ogni file Web.config creato, incluso il file Web.config per il sito Amministrazione centrale.
Per ulteriori informazioni sui file di configurazione di ASP.NET e sulla modifica di un file Web.config, vedere Configurazione ASP.NET (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x410).
Aggiunte allo snapshot protetto
In questa sezione vengono illustrate le aggiunte agli snapshot presenti nelle guide alla protezione incluse in Informazioni aggiuntive e consigliate per ambienti Microsoft Office SharePoint Server 2007. Tali informazioni sono disponibili sotto forma di tabella dettagliata, nello stesso ordine e con le stesse categorie utilizzate nelle guide alla protezione.
Questo formato consente di identificare e applicare con facilità consigli specifici nel corso dell'utilizzo delle guide alla protezione incluse in Informazioni aggiuntive. Questi consigli sulla protezione avanzata, tranne poche eccezioni specificate, devono essere applicati prima dell'esecuzione del programma di installazione di Microsoft Office SharePoint Server 2007.
Per ulteriori informazioni sulla comunicazione tra ruoli del server specifici in una server farm, vedere Pianificare la protezione avanzata per ambienti Extranet.
Protezione delle aggiunte allo snapshot di rete
Nella tabella seguente vengono illustrati i consigli per la protezione delle aggiunte relative alla rete.
Componente | Eccezione caratteristica |
---|---|
Tutto |
Nessun consiglio aggiuntivo |
Protezione delle aggiunte allo snapshot del server Web
Nella tabella seguente vengono illustrati i consigli per la protezione delle aggiunte relative al server Web.
Componente | Caratteristica |
---|---|
Servizi |
Attivare:
Verificare che i seguenti servizi rimangano attivati dopo l'esecuzione del programma di installazione:
|
Protocolli |
Attivare:
Disattivare:
|
Account |
|
File e directory |
Se l'integrazione della posta elettronica e la caratteristica servizio di gestione directory sono attivate, limitare l'accesso al servizio di gestione directory di Microsoft SharePoint proteggendo il file associato a tale servizio, ovvero SharePointEmailws.asmx. Ad esempio, consentire l'accesso al file solo all'account della server farm. |
Condivisioni |
Nessun consiglio aggiuntivo |
Porte |
|
Registro di sistema |
Se si utilizza SSO, modificare il Registro di sistema per configurare il protocollo RPC statico. |
Controllo e registrazione |
Se i file di registro vengono spostati, verificare che i percorsi corrispondenti vengano aggiornati. |
IIS |
Vedere le informazioni aggiuntive su IIS più avanti. |
Siti e directory virtuali |
Nessun consiglio aggiuntivo |
Mapping degli script |
Nessun consiglio aggiuntivo |
Filtri ISAPI |
Nessun consiglio aggiuntivo |
Metabase IIS |
Nessun consiglio aggiuntivo |
.NET Framework |
Vedere le informazioni aggiuntive su .NET Framework più avanti. |
Machine.config: httpForbiddenHandler |
Nessun consiglio aggiuntivo |
Machine.config: remoting |
Nessun consiglio aggiuntivo |
Machine.config: trace |
Nessun consiglio aggiuntivo |
Machine.config: compilation |
Nessun consiglio aggiuntivo |
Machine.config: customErrors |
Nessun consiglio aggiuntivo |
Machine.config: sessionState |
Nessun consiglio aggiuntivo |
Protezione dell'accesso di codice |
Verificare di disporre di un insieme minimo di autorizzazioni per la protezione dell'accesso di codice attivate per l'applicazione Web. L'elemento <trust> nel file Web.config per ogni applicazione Web deve essere impostato su WSS_Minimal (dove i valori bassi predefiniti di WSS_Minimal corrispondono a quelli definiti in 12\config\wss_minimaltrust.config) oppure sul proprio file di criteri personalizzato, impostato su valori minimi. |
LocalIntranet_Zone |
Nessun consiglio aggiuntivo |
Internet_Zone |
Nessun consiglio aggiuntivo |
Web.config |
Applicare i consigli seguenti a ogni file Web.config creato dopo l'esecuzione del programma di installazione:
|
Protezione delle aggiunte allo snapshot del server database
Nella tabella seguente vengono illustrati i consigli per la protezione delle aggiunte relative al server database.
Componente | Eccezione caratteristica |
---|---|
Servizi |
Nessun consiglio aggiuntivo |
Protocolli |
Nessun consiglio aggiuntivo |
Account |
Rimuovere manualmente a intervalli regolari gli account inutilizzati. |
File e directory |
Nessun consiglio aggiuntivo |
Condivisioni |
Nessun consiglio aggiuntivo |
Porte |
|
Registro di sistema |
Nessun consiglio aggiuntivo |
Controllo e registrazione |
Nessun consiglio aggiuntivo |
Impostazioni di SQL Server |
Vedere le informazioni aggiuntive sulle impostazioni di SQL Server più avanti. |
Protezione di SQL Server |
Nessun consiglio aggiuntivo |
Account di accesso, utenti e ruoli di SQL Server |
Nessun consiglio aggiuntivo |
Oggetti database di SQL Server |
Nessun consiglio aggiuntivo |
Scaricare il manuale
Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:
Pianificazione di un ambiente Extranet per Office SharePoint Server (informazioni in lingua inglese)
Per un elenco completo dei manuali disponibili che è possibile scaricare per Office SharePoint Server 2007, vedere Downloadable content for Office SharePoint Server 2007 (informazioni in lingua inglese).