Plan security hardening for SharePoint Server
APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365
Instantâneos seguros do servidor
Num ambiente de farm de servidores, os servidores individuais têm funções específicas. As recomendações de proteção de segurança para estes servidores dependem da função que cada servidor desempenha. Este artigo contém instantâneos seguros para duas categorias de funções de servidor:
Servidores do SharePoint
Os instantâneos são divididos em categorias de configuração comuns. As características definidas para cada categoria representam o estado protegido ideal para o SharePoint Server. Este artigo não inclui orientações de proteção para outro software no ambiente.
Além de proteger os servidores para funções específicas, é importante proteger o farm do SharePoint ao colocar uma firewall entre os servidores do farm e os pedidos externos. A orientação deste artigo pode ser usada para configurar um firewall.
Servidores do SharePoint
Esta secção identifica as características de proteção dos servidores do SharePoint. Algumas das orientações aplicam-se a aplicações de serviço específicas; nestes casos, as características correspondentes têm de ser aplicadas apenas nos servidores que estão a executar os serviços associados às aplicações de serviço especificadas.
Categoria | Característica |
---|---|
Serviços listados no snap-in MMC de serviços |
Habilite os seguintes serviços: serviço estado do ASP.NET (se estiver a utilizar o InfoPath Forms Services ou o Project Server 2016) Ver Serviço de Estado (se estiver a utilizar o InfoPath Forms Services) Serviço de Publicação na World Wide Web Certifique-se de que estes serviços não estão desativados: Declarações para Serviço de Token do Windows Administração do SharePoint Serviço de timer do SharePoint Serviço de rastreamento do SharePoint Gravador VSS do SharePoint Certifique-se de que estes serviços não estão desativados nos servidores que alojam as funções correspondentes: Serviço de cache do AppFabric Host do código de usuário do SharePoint Controlador do host de pesquisa do SharePoint Pesquisa do SharePoint Server Portas e protocolos |
TCP 80, TCP 443 (SSL) Portas personalizadas para rastreamento de pesquisa, se configurado (como para rastrear um compartilhamento de arquivo ou site em uma porta não padrão) Portas usadas pelo componente do índice de pesquisa – TCP 16500-16519 (apenas dentro do farm) Portas exigidas para o serviço de cache do AppFabric – TCP 22233-22236 Portas exigidas para comunicação com o Windows Communication Foundation – TCP 808 Portas necessárias para a comunicação entre servidores do SharePoint e aplicações de serviço (a predefinição é HTTP): Associação HTTP: TCP 32843 Associação HTTPS: TCP 32844 Associação net.tcp: TCP 32845 (somente se um terceiro tiver implementado essa opção para um aplicativo de serviço) Se o ambiente de rede do computador utilizar o Windows Server 2012, Windows Server 2008, Windows Server 2008 R2, Windows 7 ou Windows Vista juntamente com versões do Windows anteriores ao Windows Server 2012 e Windows Vista, tem de ativar a conectividade em ambos os seguintes intervalos de portas: Intervalo de portas altas de 49152 a 65535 Intervalo de porta baixa de 1025 a 5000 Portas predefinidas para comunicação do SQL Server – TCP 1433, UDP 1434. Se estas portas estiverem bloqueadas no computador do SQL Server e as bases de dados estiverem instaladas numa instância nomeada, configure um alias de cliente do SQL Server para ligar à instância nomeada. Serviço de Código de Usuário do Microsoft SharePoint Foundation (para soluções de área restrita) – TCP 32846. Esta porta tem de estar aberta para ligações de saída em todos os front-end e front-end com servidores de Cache Distribuída. Esta porta tem de estar aberta para ligações de entrada no Front-end e front-end com servidores de Cache Distribuída onde este serviço está ativado. Verifique se as portas permanecem abertas para os aplicativos Web que os usuários podem acessar. Bloquear o acesso externo à porta utilizada para o site de Administração Central. SMTP para integração de correio eletrónico — TCP 25 ou uma porta TCP personalizada se tiver configurado o e-mail de saída para utilizar uma porta não predefinida. ICMP para pedido de eco – cada servidor de Cache Distribuída deve ter regras de firewall de entrada/saída para ativar o ICMP para pedido de eco. |
|
Registro |
Sem orientações adicionais |
Auditoria e log |
Se os arquivos de log forem realocados, verifique se os locais foram atualizados de acordo. Atualize as ACLs (listas de controle de acesso) do diretório também. |
Web.config |
Siga estas recomendações para cada arquivo Web.config criado depois que você executar a Instalação: Não permitir a compilação ou scripting de páginas de base de dados através dos elementos PageParserPaths. Certifique-se de que <SafeMode> CallStack="false" e AllowPageLevelTrace="false". Verifique se o limite do Web Part para o número máximo de controles por zona está definido como baixo. Verifique se a lista SafeControls foi definida como o conjunto mínimo de controles necessários aos seus sites. Verifique se a sua lista SafeTypes do fluxo de trabalho foi definida como o nível mínimo de SafeTypes necessários. Certifique-se de que customErrors está ativado (<customErrors mode="On"/>). Considere as suas definições de proxy Web conforme necessário (<system.net>/<defaultProxy>). Defina o limite de Upload.aspx para o tamanho mais alto que espera razoavelmente que os utilizadores carreguem. O desempenho pode ser afetado por carregamentos que excedem 100 MB. |
Função de servidor de banco de dados
Observação
Com a adição à funcionalidade MinRole no SharePoint Server 2016, o conceito de funções foi alterado. Para obter informações sobre funções, veja Planear uma implementação do servidor MinRole no SharePoint Server 2016.
A principal recomendação do SharePoint Server é proteger a comunicação entre farms ao bloquear as portas predefinidas utilizadas para a comunicação do SQL Server e estabelecer portas personalizadas para esta comunicação. Para obter mais informações sobre como configurar portas para comunicação com o SQL Server, veja Bloquear as portas padrão do SQL Server, mais adiante neste artigo.
Categoria | Característica |
---|---|
Portas |
Bloquear UDP 1434. Considerar o bloqueio de TCP 1433. |
Este artigo não descreve como proteger o SQL Server. Para obter mais informações sobre como proteger o SQL Server, veja Proteger o SQL Server (https://go.microsoft.com/fwlink/p/?LinkId=186828).
Orientação específica para portas, protocolos e serviços
O resto deste artigo descreve mais detalhadamente os requisitos de proteção específicos para o SharePoint Server.
Nesta seção:
Bloqueando as portas padrão do SQL Server
As portas específicas utilizadas para ligar ao SQL Server são afetadas pelo facto de as bases de dados estarem instaladas numa instância predefinida do SQL Server ou numa instância nomeada do SQL Server. A instância predefinida do SQL Server escuta pedidos de cliente no TCP 1433. Uma instância nomeada do SQL Server escuta um número de porta atribuído aleatoriamente. Além disso, o número da porta de uma instância nomeada poderá ser reatribuído se a instância for reiniciada (dependendo da disponibilidade do número da porta atribuído anteriormente).
Por predefinição, os computadores cliente que se ligam ao SQL Server ligam-se primeiro através do TCP 1433. Se esta comunicação não for bem-sucedida, os computadores cliente consultam o Serviço de Resolução do SQL Server que está a escutar no UDP 1434 para determinar a porta na qual a instância da base de dados está a escutar.
O comportamento de comunicação de porta predefinido do SQL Server apresenta vários problemas que afetam a proteção do servidor. Primeiro, as portas utilizadas pelo SQL Server são portas bem publicitadas e o Serviço de Resolução do SQL Server tem sido alvo de ataques de ultrapassagem da memória intermédia e ataques denial-of-service, incluindo o vírus worm "Slammer". Mesmo que o SQL Server seja atualizado para mitigar problemas de segurança no Serviço de Resolução do SQL Server, as portas bem publicitadas continuam a ser um destino. Em segundo lugar, se as bases de dados estiverem instaladas numa instância nomeada do SQL Server, a porta de comunicação correspondente é atribuída aleatoriamente e pode ser alterada. Esse comportamento pode potencialmente impedir a comunicação de servidor a servidor em um ambiente protegido. A capacidade de controlar as portas TCP que serão abertas ou bloqueadas é essencial para proteger seu ambiente.
Observação
Recomendamos que utilize as portas SQL padrão, mas certifique-se de que a firewall está configurada para permitir apenas a comunicação com os servidores que precisam de acesso ao SQL Server. Os servidores que não precisam de acesso ao SQL Server devem ser impedidos de ligar ao SQL Server através da porta TCP 1433 e da porta UDP 1444.
Existem diversos métodos que podem ser usados no bloqueio de portas. Você pode bloquear essas portas usando um firewall. No entanto, a menos que tenha a certeza de que não existem outras rotas para o segmento de rede e que não existem utilizadores maliciosos que tenham acesso ao segmento de rede, a recomendação é bloquear estas portas diretamente no servidor que aloja o SQL Server. Isso pode ser feito usando o Firewall do Windows no Painel de Controle.
Configurar instâncias de base de dados do SQL Server para escutar numa porta não padrão
O SQL Server oferece a capacidade de reatribuir as portas usadas pela instância padrão e qualquer instância nomeada. No SQL Server, reatribue portas com o Gestor de Configuração do SQL Server.
Configurando aliases do cliente SQL Server
Num farm de servidores, todos os servidores Web front-end e servidores de aplicações são computadores cliente do SQL Server. Se bloquear o UDP 1434 no computador do SQL Server ou alterar a porta predefinida para a instância predefinida, tem de configurar um alias de cliente do SQL Server em todos os servidores que se ligam ao computador do SQL Server. Neste cenário, o alias de cliente do SQL Server especifica a porta TCP na qual a instância nomeada está a escutar.
Para ligar a uma instância do SQL Server, instale componentes de cliente do SQL Server no computador de destino e, em seguida, configure o alias de cliente do SQL Server com o Gestor de Configuração do SQL Server. Para instalar componentes de cliente do SQL Server, execute a Configuração e selecione apenas os seguintes componentes de cliente para instalar:
Componentes de Conectividade
Ferramentas de Gestão (inclui o GESTOR de Configuração do SQL Server)
Para obter passos de proteção específicos para bloquear as portas padrão do SQL Server, veja Configurar a segurança do SQL Server para o SharePoint Server.
Comunicação do aplicativo de serviço
Por predefinição, a comunicação entre servidores do SharePoint e aplicações de serviço num farm ocorre através da utilização de HTTP com um enlace para TCP 32843. Quando você publica um aplicativo de serviço, pode selecionar HTTP ou HTTPS com as seguintes associações:
Associação HTTP: TCP 32843
Associação HTTPS: TCP 32844
Além disso, terceiros que desenvolvem aplicativos de serviço podem implementar uma terceira opção:
- Associação net.tcp: TCP 32845
Você pode alterar a associação do protocolo e da porta para cada aplicativo de serviço. Na página Aplicações de Serviço na Administração Central, selecione a aplicação de serviço e, em seguida, selecione Publicar.
Os enlaces HTTP/HTTPS/net.tcp também podem ser visualizados e alterados através dos cmdlets Get-SPServiceHostConfig e Set-SPServiceHostConfig do Microsoft PowerShell.
A comunicação entre as aplicações de serviço e o SQL Server ocorre através das portas padrão do SQL Server ou das portas configuradas para comunicação do SQL Server.
Conexões com servidores externos
Várias funcionalidades do SharePoint Server podem ser configuradas para aceder a dados que residem em computadores de servidor fora do farm de servidores. Se você configurar o acesso aos dados que estão localizados em tais computadores externos, habilite a comunicação entre os computadores apropriados. Na maioria dos casos, as portas, protocolos e serviços usados dependem do recurso externo. Por exemplo:
Conexões com compartilhamentos de arquivos usam o serviço Compartilhamento de Arquivo e Impressora.
Conexões com bancos de dados SQL Server externos usam as portas padrão ou personalizadas para comunicação com o SQL Server.
Em geral, conexões com bancos de dados Oracle normalmente usam OLE DB.
Conexões com serviços Web usam HTTP e HTTPS.
A tabela a seguir lista os recursos que podem ser configurados para acessar dados que residam em computadores do servidor fora do farm de servidores.
Recurso | Descrição |
---|---|
Rastreamento de conteúdo |
É possível configurar regras para rastrear dados que residam em recursos externos, incluindo sites, compartilhamentos de arquivo, pastas públicas do Exchange e aplicativos de dados corporativos. Durante o rastreamento de fontes de dados externos, a função de rastreamento se comunica diretamente com esses recursos externos. Para obter mais informações, veja Gerir a pesquisa no SharePoint Server. |
Conexões da Conectividade de Dados Corporativos |
Os servidores Web e os servidores de aplicativos se comunicam diretamente com os computadores configurados para conexões de Conectividade de Dados Corporativos. |
Requisitos de serviço para integração de email
A integração de email exige o uso de dois serviços:
Serviço SMTP
A integração de email requer o uso do serviço SMTP em pelo menos um dos servidores Web front-end no farm de servidores. O serviço SMTP é necessário para emails de entrada. Para emails de saída, você pode usar o serviço SMTP ou rotear emails de saída por um servidor de email dedicado na sua organização, por exemplo, o computador do Microsoft Exchange Server.
Serviço Microsoft SharePoint Directory Management
O SharePoint Server inclui um serviço interno, o Serviço de Gestão de Diretórios do Microsoft SharePoint, para criar grupos de distribuição de e-mail. Ao configurar a integração de email, você tem a opção de habilitar o recurso do Serviço de Gerenciamento de Diretório, que permite que os usuários criem listas de distribuição. Quando os usuários criam um grupo do SharePoint e selecionam a opção para criar uma lista de distribuição, o Serviço de Gerenciamento de Diretório do Microsoft SharePoint cria a lista de distribuição do Active Directory correspondente no ambiente do Active Directory.
Em ambientes com segurança reforçada, a recomendação é restringir o acesso ao Serviço de Gerenciamento de Diretório do Microsoft SharePoint protegendo o arquivo associado a esse serviço: SharePointEmailws.asmx. Por exemplo, você pode permitir acesso a esse arquivo apenas pela conta do farm de servidores.
Adicionalmente, esse serviço exige permissões no ambiente do Active Directory para criar objetos de lista de distribuição do Active Directory. A recomendação é configurar uma unidade organizacional (UO) separada no Active Directory para objetos do SharePoint Server. Somente essa UO deverá permitir acesso de gravação à conta usada pelo Serviço de Gerenciamento de Diretório do Microsoft SharePoint.
Requisitos de serviço para estado da sessão
O Project Server 2016 e o InfoPath Forms Services mantêm o estado da sessão. Se estiver a implementar estas funcionalidades ou produtos no farm de servidores, não desative o serviço ASP.NET State. Além disso, se estiver a implementar o InfoPath Forms Services, não desative o serviço Ver Estado.
Serviços de Produtos sharePoint Server
Não desative os serviços instalados pelo SharePoint Server (listados anteriormente no instantâneo).
Se o seu ambiente não permitir que os serviços que são executados como um sistema local, pode considerar desativar o serviço de Administração do SharePoint apenas se tiver conhecimento das consequências e puder contornar as mesmas. Este é um serviço Win32 executado como um sistema local.
Esse serviço é usado pelo serviço de timer do SharePoint para executar ações que exigem permissões administrativas no servidor, como a criar sites de IIS (Serviços de Informações da Internet), implantar códigos e interromper e iniciar serviços. Se desativar este serviço, não poderá concluir tarefas relacionadas com a implementação a partir do site de Administração Central. Tem de utilizar o Microsoft PowerShell para executar o cmdlet Start-SPAdminJob (ou utilizar a ferramenta de linha de comandos Stsadm.exe para executar a operação execadmsvcjobs ) para concluir implementações de múltiplos servidores para o SharePoint Server e para executar outras tarefas relacionadas com a implementação.
Arquivo Web.config
O .NET Framework, e o ASP.NET em especial, usam os arquivos de configuração formatados em XML para configurar aplicativos. O .NET Framework depende de arquivos de configuração para definir as opções de configuração. Arquivos de configuração são arquivos XML em formato de texto. Vários arquivos de configuração podem existir, e normalmente existem, em um único sistema.
As definições de configuração ao nível do sistema para o .NET Framework são definidas no ficheiro Machine.config. O ficheiro Machine.config está localizado na pasta %SystemRoot%\Microsoft.NET\Framework%VersionNumber%\CONFIG\. As predefinições contidas no ficheiro Machine.config podem ser modificadas para afetar o comportamento das aplicações que utilizam o .NET Framework em todo o sistema.
Você poderá alterar a configuração do ASP.NET para um único aplicativo se criar um arquivo Web.config na pasta raiz do aplicativo. Quando isso é feito, as configurações do arquivo Web.config substituem as configurações do arquivo Machine.config.
Quando expande uma aplicação Web através da Administração Central, o SharePoint Server cria automaticamente um ficheiro de Web.config para a aplicação Web.
O instantâneo do servidor Web e do servidor de aplicativos apresentado anteriormente neste artigo lista as recomendações para configurar os arquivos Web.config. Essas recomendações se aplicam a cada arquivo Web.config criado, incluindo o arquivo Web.config para o site da Administração Central.
Para obter mais informações sobre ASP.NET ficheiros de configuração e editar um ficheiro de Web.config, veja ASP.NET Configuration (https://go.microsoft.com/fwlink/p/?LinkID=73257).