Planejamento para administração de privilégios mínimos no SharePoint Server
APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365
O conceito de administração com privilégios mínimos consiste em atribuir aos usuários as permissões mínimas exigidas para que os mesmos finalizem as tarefas autorizadas. O objetivo da administração com privilégios mínimos é configurar e ajudar a manter o controle seguro de um ambiente. O resultado é que cada conta na qual um serviço é executado tem acesso apenas aos recursos necessários.
A Microsoft recomenda a implementação do SharePoint Server com administração com menos privilégios. A implementação da administração com menos privilégios pode resultar num aumento dos custos operacionais, uma vez que podem ser necessários outros recursos para manter este nível de administração. Além disso, a capacidade de resolver problemas de segurança torna-se mais complexa.
Introdução
As organizações implementam a administração com privilégios mínimos para atingir uma segurança melhor do que aquela que conseguiriam com as recomendações normais. Apenas uma pequena percentagem de organizações requer este nível elevado de segurança devido aos custos de recursos de manutenção da administração com menos privilégios. Entre as implantações que podem exigir este nível elevado de segurança estão as agências governamentais, organizações de segurança e organizações na indústria de serviços financeiros. A implementação de um ambiente com menos privilégios não deve ser confundida com as melhores práticas. Num ambiente com menos privilégios, os administradores implementam as melhores práticas juntamente com outros níveis de segurança elevados.
Ambiente menos privilegiado para contas e serviços
Para planejar uma administração com privilégios mínimos, você deve considerar várias contas, funções e serviços. Alguns são aplicáveis ao SQL Server e outros são aplicáveis ao SharePoint Server. À medida que os administradores bloqueiam outras contas e serviços, é provável que os custos operacionais diários aumentem.
Funções do SQL Server
Em um ambiente SharePoint Server , várias contas podem receber as duas funções no nível do servidor a seguir do SQL Server. Em um ambiente com privilégios mínimos do SharePoint Server, recomendamos que você use conceda estes privilégios somente para a conta na qual o Serviço de Timer do Fluxo de Trabalho do Microsoft SharePoint Foundation estiver sendo executado. Normalmente, o serviço de timer é executado na conta do farm do servidor. Para operações do dia-a-dia, recomendamos que você remova as duas funções a seguir de nível do servidor SQL Server de todas as outras contas que são usadas para a administração do SharePoint:
Dbcreator - membros da função de servidor fixa dbcreator podem criar, alterar, remover ou restaurar qualquer banco de dados.
Securityadmin - Membros da função de servidor fixa securityadmin gerenciam logons e suas propriedades. Eles podem CONCEDER, NEGAR ou REVOGAR permissões no nível do servidor. Eles podem também CONCEDER, NEGAR e REVOGAR permissões no nível do banco de dados se os mesmos tiverem acesso ao banco de dados. Além disso, eles podem redefinir senhas para logons do SQL Server.
Observação
A capacidade de conceder acesso ao motor de base de dados e de configurar permissões de utilizador permite que o administrador de segurança atribua a maioria das permissões de servidor. Você deve tratar a função securityadmin como se fosse a função sysadmin.
Para obter mais informações sobre as funções ao nível do servidor do SQL Server, veja Funções ao Nível do Servidor.
Se você remover uma ou mais destas funções do SQL Server, você pode receber mensagens de erro "Inesperado" no web site Administração Central. Além disso, você pode receber a seguinte mensagem no arquivo de log do Serviço de Log Unificado (ULS):
System.Data.SqlClient.SqlException... <permissão de tipo> de operação negada na base de dados da base de dados<>. Tabela <>
Além da mensagem de erro que será exibida, você pode não ser capaz de realizar as seguintes tarefas:
Restaurar um backup de um farm porque você não pode escrever em um banco de dados
Provisionar uma instância de serviço ou aplicativo web
Configurar contas gerenciadas
Alterar contas gerenciadas para aplicativos web
Realizar qualquer ação em qualquer banco de dados, conta gerenciada ou serviço que exija o web site Administração Central
Em certas situações, os administradores de bancos de dados (DBAs) podem querer operar de forma independente em relação aos administradores do SharePoint Server criando e gerenciando todos os bancos de dados. Isso é normal em ambientes de TI onde os requisitos de segurança e as políticas da empresa exigem uma separação das funções de administrador. O administrador do farm fornece os requisitos do banco de dados SharePoint Server para o DBA que, por sua vez, cria os bancos de dados necessários e define os logons exigidos para o farm.
Por padrão, o DBA possui acesso total à instância do SQL Server, mas precisa de permissões adicionais para acessar o SharePoint Server. Os DBAs normalmente usam o Windows PowerShell 3.0 ao adicionar, criar, mover ou renomear os bancos de dados do SharePoint, então eles precisam ser um membro das seguintes contas:
A função de servidor fixa securityadmin na instância do SQL Server.
Db_owner função de servidor fixa em todos os bancos de dados no farm do SharePoint.
Grupo de administradores no computador no qual os cmdlets do PowerShell são executados.
Além disso, o DBA pode ter que ser um membro da função SharePoint_Shell_Access para acessar o banco de dados de conteúdo. Em algumas situações, o DBA pode querer adicionar Configurar a conta de usuário para a função db_owner.
Funções e serviços do SharePoint Server
Em geral, você deve remover a capacidade de criar novos bancos de dados das contas de serviço do SharePoint Server. Nenhuma conta de serviço do SharePoint Server deve ter a função sysadmin na instância do SQL Server e nenhuma conta de serviço do SharePoint Server deve ser um Administrador local no servidor que executa o SQL Server.
Para saber mais sobre contas do SharePoint Server, confira Permissões de conta e configurações de segurança no SharePoint Server 2016.
Para ver dados da conta no SharePoint Server 2013, confira Permissões de conta e configurações de segurança no SharePoint 2013.
A lista a seguir fornece informações sobre o bloqueio de outras funções e serviços do SharePoint Server:
SharePoint_Shell_Access role
Ao remover esta função do SQL Server, você remove a capacidade de escrever entradas na configuração e no banco de dados de conteúdo e a capacidade de realizar qualquer tarefa usando o Microsoft PowerShell. Para obter mais informações sobre esta função, veja Add-SPShellAdmin.
Serviço de temporizador do SharePoint (SPTimerV4)
Recomendamos que não limite as permissões predefinidas concedidas à conta na qual este serviço é executado e que nunca desative esta conta. Em vez disso, utilize uma conta de utilizador segura, para a qual a palavra-passe não é amplamente conhecida e deixe o serviço em execução. Por padrão, este serviço é instalado quando você instala o SharePoint Server e mantém as informações de cache da configuração. Se você definir tipo de serviço como desativado você pode experimentar o seguinte comportamento:
Os trabalhos do temporizador não serão executados
As regras do analisador de Saúde não serão executadas
A manutenção e a configuração do farm ficarão desatualizadas
SharePoint Administration service (SPAdminV4)
Este serviço realiza alterações automáticas que exigem permissão do administrador local no servidor. Quando o serviço não está em execução, tem de processar manualmente as alterações administrativas ao nível do servidor. Recomendamos que não limite as permissões predefinidas concedidas à conta na qual este serviço é executado e que nunca desative esta conta. Em vez disso, utilize uma conta de utilizador segura, para a qual a palavra-passe não é amplamente conhecida e deixe o serviço em execução. Se você definir tipo de serviço como desativado você pode experimentar o seguinte comportamento:
Os trabalhos do temporizador administrativo não serão executados
Os arquivos de configuração web não serão atualizados
Os grupos locais e de segurança não serão atualizados
As chaves e valores de registro não serão escritos
Pode ser que os serviços não consigam iniciar ou reiniciar
O provisionamento de serviços pode não ser finalizado
SPUserCodeV4 Service
Este serviço permite que um administrador da coleção de sites carregue a solução em sandbox para a galeria De soluções. Se você não estiver soluções em área restrita, você pode desativar este serviço.
Declarações para o Serviço de Tokens do Windows (C2WTS)
Por padrão, este serviço está desativado. O serviço C2WTS pode ser necessário para uma implementação com os Serviços do Excel, os Serviços PerformancePoint ou os serviços partilhados do SharePoint que têm de se traduzir entre tokens de segurança do SharePoint e identidades baseadas no Windows. Por exemplo, você usa este serviço quando você configura a delegação restrita Kerberos para acessar as fontes de dados externas. Para informações sobre C2WTS, consulte Planejar a autenticação Kerberos no SharePoint Server.
Os recursos a seguir podem ter outros sintomas sob determinadas circunstâncias:
Backup and restore
A capacidade de realizar uma restauração a partir de um pode falhar se você tiver removido as permissões do banco de dados.
Atualizar
O processo de atualização é iniciado corretamente, mas falha se não tiver permissões adequadas para bases de dados. Se a sua organização já está em um ambiente com privilégios mínimos, a solução é ir para um ambiente de práticas recomendadas para finalizar a atualização e depois voltar para um ambiente com privilégios mínimos.
Atualizar
A capacidade de aplicar uma atualização de software a um farm é bem-sucedida para o esquema da base de dados de configuração, mas falha na base de dados de conteúdos e nos serviços.
Fatores adicionais a serem considerados para um ambiente com privilégios mínimos
Além das considerações anteriores, você deve considerar também mais operações. A lista a seguir está incompleta. Selecione os itens de acordo com os seus critérios:
Configurar conta de usuário - Esta conta é usada para configurar cada servidor em um farm. A conta deve ser um membro do grupo de Administradores em cada servidor no farm do SharePoint Server. Para mais informações sobre esta conta, consulte Implantação inicial de contas de serviço e administrativas no SharePoint Server.
Quando cria um novo farm do SharePoint e a compilação baseada tem a de outubro de 2022 ou um novo slipstreamed no processo de compilação, está a utilizar o modelo de segurança com menos privilégios. Depois de concluir o psconfig no primeiro servidor no farm, antes de executar o assistente de configuração do Farm ou de aprovisionar outros componentes, os seguintes comandos têm de ser executados para garantir o acesso às Bases de Dados do SharePoint:
Get-SPDatabase | %{$_.GrantOwnerAccessToDatabaseAccount()}
Conta de sincronização – para o SharePoint Server, esta conta é utilizada para ligar ao serviço de diretório. Recomendamos que não limite as permissões predefinidas concedidas à conta na qual este serviço é executado e que nunca desative esta conta. Em vez disso, utilize uma conta de utilizador segura, para a qual a palavra-passe não é amplamente conhecida e deixe o serviço em execução. Esta conta também requer a permissão Replicar Alterações de Diretório no AD DS, o que permite à conta ler objetos do AD DS e detetar objetos do AD DS que foram alterados no domínio. A permissão Conceder Alterações de Diretório de Réplica não permite que uma conta crie, altere ou elimine objetos do AD DS.
Conta do pool de aplicativos do host de Meu Site - Esta é conta na qual o pool de aplicativos do Meu Site é executado. Para configurar esta conta, você deve ser um membro do grupo de Administradores do Farm. Você pode limitar os privilégios para esta conta.
Grupo interno de usuários - Ao remover o grupo de segurança interno de usuários ou alterar as permissões você pode sofrer consequências inesperadas. Recomendamos que não limite privilégios a quaisquer contas ou grupos incorporados.
Permissões de grupo - Por padrão o grupo do SharePoint WSS_ADMIN_WPG possui direito de leitura e escrita aos recursos locais. As seguintes WSS_ADMIN_WPG localizações do sistema de ficheiros, %WINDIR%\System32\drivers\etc\Hosts e %WINDIR%\Tasks são necessárias para que o SharePoint Server funcione corretamente. Se outros serviços ou aplicativos estiverem sendo executados em um servidor, você pode ter que considerar como eles acessam as localizações das Tarefas ou Hosts. Para informações adicionais sobre configurações de conta para o SharePoint Server, consulte Permissões de conta e configurações de segurança no SharePoint Server 2016.
Para saber mais sobre contas no SharePoint Server 2013, confira Permissões de conta e configurações de segurança no SharePoint Server 2013.
Alterar permissão de um serviço - Uma alteração na permissão de um serviço podem ter consequências inesperadas. Por exemplo, se a chave de registro a seguir, HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters, possuir o valor 0, o serviço do Host de Código de Usuário será desativado o que faria com que as soluções em área restrita parassem de funcionar.
Confira também
Outros recursos
Configuração de Privilégios Mínimos para o Gerenciador do Fluxo de Trabalho com SharePoint 2013