Compartilhar via


Plan security hardening for SharePoint Server

APLICA-SE A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

Instantâneos seguros do servidor

Num ambiente de farm de servidores, os servidores individuais têm funções específicas. As recomendações de proteção de segurança para estes servidores dependem da função que cada servidor desempenha. Este artigo contém instantâneos seguros para duas categorias de funções de servidor:

Os instantâneos são divididos em categorias de configuração comuns. As características definidas para cada categoria representam o estado protegido ideal para o SharePoint Server. Este artigo não inclui orientações de proteção para outro software no ambiente.

Além de proteger os servidores para funções específicas, é importante proteger o farm do SharePoint ao colocar uma firewall entre os servidores do farm e os pedidos externos. A orientação deste artigo pode ser usada para configurar um firewall.

Servidores do SharePoint

Esta secção identifica as características de proteção dos servidores do SharePoint. Algumas das orientações aplicam-se a aplicações de serviço específicas; nestes casos, as características correspondentes têm de ser aplicadas apenas nos servidores que estão a executar os serviços associados às aplicações de serviço especificadas.

Categoria Característica
Serviços listados no snap-in MMC de serviços
Habilite os seguintes serviços:
serviço estado do ASP.NET (se estiver a utilizar o InfoPath Forms Services ou o Project Server 2016)
Ver Serviço de Estado (se estiver a utilizar o InfoPath Forms Services)
Serviço de Publicação na World Wide Web
Certifique-se de que estes serviços não estão desativados:
Declarações para Serviço de Token do Windows
Administração do SharePoint
Serviço de timer do SharePoint
Serviço de rastreamento do SharePoint
Gravador VSS do SharePoint
Certifique-se de que estes serviços não estão desativados nos servidores que alojam as funções correspondentes:
Serviço de cache do AppFabric
Host do código de usuário do SharePoint
Controlador do host de pesquisa do SharePoint
Pesquisa do SharePoint Server
Portas e protocolos
TCP 80, TCP 443 (SSL)
Portas personalizadas para rastreamento de pesquisa, se configurado (como para rastrear um compartilhamento de arquivo ou site em uma porta não padrão)
Portas usadas pelo componente do índice de pesquisa – TCP 16500-16519 (apenas dentro do farm)
Portas exigidas para o serviço de cache do AppFabric – TCP 22233-22236
Portas exigidas para comunicação com o Windows Communication Foundation – TCP 808
Portas necessárias para a comunicação entre servidores do SharePoint e aplicações de serviço (a predefinição é HTTP):
Associação HTTP: TCP 32843
Associação HTTPS: TCP 32844
Associação net.tcp: TCP 32845 (somente se um terceiro tiver implementado essa opção para um aplicativo de serviço)
Se o ambiente de rede do computador utilizar o Windows Server 2012, Windows Server 2008, Windows Server 2008 R2, Windows 7 ou Windows Vista juntamente com versões do Windows anteriores ao Windows Server 2012 e Windows Vista, tem de ativar a conectividade em ambos os seguintes intervalos de portas:
Intervalo de portas altas de 49152 a 65535
Intervalo de porta baixa de 1025 a 5000
Portas predefinidas para comunicação do SQL Server – TCP 1433, UDP 1434. Se estas portas estiverem bloqueadas no computador do SQL Server e as bases de dados estiverem instaladas numa instância nomeada, configure um alias de cliente do SQL Server para ligar à instância nomeada.
Serviço de Código de Usuário do Microsoft SharePoint Foundation (para soluções de área restrita) – TCP 32846. Esta porta tem de estar aberta para ligações de saída em todos os front-end e front-end com servidores de Cache Distribuída. Esta porta tem de estar aberta para ligações de entrada no Front-end e front-end com servidores de Cache Distribuída onde este serviço está ativado.
Verifique se as portas permanecem abertas para os aplicativos Web que os usuários podem acessar.
Bloquear o acesso externo à porta utilizada para o site de Administração Central.
SMTP para integração de correio eletrónico — TCP 25 ou uma porta TCP personalizada se tiver configurado o e-mail de saída para utilizar uma porta não predefinida.
ICMP para pedido de eco – cada servidor de Cache Distribuída deve ter regras de firewall de entrada/saída para ativar o ICMP para pedido de eco.
Registro
Sem orientações adicionais
Auditoria e log
Se os arquivos de log forem realocados, verifique se os locais foram atualizados de acordo. Atualize as ACLs (listas de controle de acesso) do diretório também.
Web.config
Siga estas recomendações para cada arquivo Web.config criado depois que você executar a Instalação:
Não permitir a compilação ou scripting de páginas de base de dados através dos elementos PageParserPaths.
Certifique-se de que <SafeMode> CallStack="false" e AllowPageLevelTrace="false".
Verifique se o limite do Web Part para o número máximo de controles por zona está definido como baixo.
Verifique se a lista SafeControls foi definida como o conjunto mínimo de controles necessários aos seus sites.
Verifique se a sua lista SafeTypes do fluxo de trabalho foi definida como o nível mínimo de SafeTypes necessários.
Certifique-se de que customErrors está ativado (<customErrors mode="On"/>).
Considere as suas definições de proxy Web conforme necessário (<system.net>/<defaultProxy>).
Defina o limite de Upload.aspx para o tamanho mais alto que espera razoavelmente que os utilizadores carreguem. O desempenho pode ser afetado por carregamentos que excedem 100 MB.

Função de servidor de banco de dados

Observação

Com a adição à funcionalidade MinRole no SharePoint Server 2016, o conceito de funções foi alterado. Para obter informações sobre funções, veja Planear uma implementação do servidor MinRole no SharePoint Server 2016.

A principal recomendação do SharePoint Server é proteger a comunicação entre farms ao bloquear as portas predefinidas utilizadas para a comunicação do SQL Server e estabelecer portas personalizadas para esta comunicação. Para obter mais informações sobre como configurar portas para comunicação com o SQL Server, veja Bloquear as portas padrão do SQL Server, mais adiante neste artigo.

Categoria Característica
Portas
Bloquear UDP 1434.
Considerar o bloqueio de TCP 1433.

Este artigo não descreve como proteger o SQL Server. Para obter mais informações sobre como proteger o SQL Server, veja Proteger o SQL Server (https://go.microsoft.com/fwlink/p/?LinkId=186828).

Orientação específica para portas, protocolos e serviços

O resto deste artigo descreve mais detalhadamente os requisitos de proteção específicos para o SharePoint Server.

Nesta seção:

Bloqueando as portas padrão do SQL Server

As portas específicas utilizadas para ligar ao SQL Server são afetadas pelo facto de as bases de dados estarem instaladas numa instância predefinida do SQL Server ou numa instância nomeada do SQL Server. A instância predefinida do SQL Server escuta pedidos de cliente no TCP 1433. Uma instância nomeada do SQL Server escuta um número de porta atribuído aleatoriamente. Além disso, o número da porta de uma instância nomeada poderá ser reatribuído se a instância for reiniciada (dependendo da disponibilidade do número da porta atribuído anteriormente).

Por predefinição, os computadores cliente que se ligam ao SQL Server ligam-se primeiro através do TCP 1433. Se esta comunicação não for bem-sucedida, os computadores cliente consultam o Serviço de Resolução do SQL Server que está a escutar no UDP 1434 para determinar a porta na qual a instância da base de dados está a escutar.

O comportamento de comunicação de porta predefinido do SQL Server apresenta vários problemas que afetam a proteção do servidor. Primeiro, as portas utilizadas pelo SQL Server são portas bem publicitadas e o Serviço de Resolução do SQL Server tem sido alvo de ataques de ultrapassagem da memória intermédia e ataques denial-of-service, incluindo o vírus worm "Slammer". Mesmo que o SQL Server seja atualizado para mitigar problemas de segurança no Serviço de Resolução do SQL Server, as portas bem publicitadas continuam a ser um destino. Em segundo lugar, se as bases de dados estiverem instaladas numa instância nomeada do SQL Server, a porta de comunicação correspondente é atribuída aleatoriamente e pode ser alterada. Esse comportamento pode potencialmente impedir a comunicação de servidor a servidor em um ambiente protegido. A capacidade de controlar as portas TCP que serão abertas ou bloqueadas é essencial para proteger seu ambiente.

Observação

Recomendamos que utilize as portas SQL padrão, mas certifique-se de que a firewall está configurada para permitir apenas a comunicação com os servidores que precisam de acesso ao SQL Server. Os servidores que não precisam de acesso ao SQL Server devem ser impedidos de ligar ao SQL Server através da porta TCP 1433 e da porta UDP 1444.

Existem diversos métodos que podem ser usados no bloqueio de portas. Você pode bloquear essas portas usando um firewall. No entanto, a menos que tenha a certeza de que não existem outras rotas para o segmento de rede e que não existem utilizadores maliciosos que tenham acesso ao segmento de rede, a recomendação é bloquear estas portas diretamente no servidor que aloja o SQL Server. Isso pode ser feito usando o Firewall do Windows no Painel de Controle.

Configurar instâncias de base de dados do SQL Server para escutar numa porta não padrão

O SQL Server oferece a capacidade de reatribuir as portas usadas pela instância padrão e qualquer instância nomeada. No SQL Server, reatribue portas com o Gestor de Configuração do SQL Server.

Configurando aliases do cliente SQL Server

Num farm de servidores, todos os servidores Web front-end e servidores de aplicações são computadores cliente do SQL Server. Se bloquear o UDP 1434 no computador do SQL Server ou alterar a porta predefinida para a instância predefinida, tem de configurar um alias de cliente do SQL Server em todos os servidores que se ligam ao computador do SQL Server. Neste cenário, o alias de cliente do SQL Server especifica a porta TCP na qual a instância nomeada está a escutar.

Para ligar a uma instância do SQL Server, instale componentes de cliente do SQL Server no computador de destino e, em seguida, configure o alias de cliente do SQL Server com o Gestor de Configuração do SQL Server. Para instalar componentes de cliente do SQL Server, execute a Configuração e selecione apenas os seguintes componentes de cliente para instalar:

  • Componentes de Conectividade

  • Ferramentas de Gestão (inclui o GESTOR de Configuração do SQL Server)

Para obter passos de proteção específicos para bloquear as portas padrão do SQL Server, veja Configurar a segurança do SQL Server para o SharePoint Server.

Comunicação do aplicativo de serviço

Por predefinição, a comunicação entre servidores do SharePoint e aplicações de serviço num farm ocorre através da utilização de HTTP com um enlace para TCP 32843. Quando você publica um aplicativo de serviço, pode selecionar HTTP ou HTTPS com as seguintes associações:

  • Associação HTTP: TCP 32843

  • Associação HTTPS: TCP 32844

Além disso, terceiros que desenvolvem aplicativos de serviço podem implementar uma terceira opção:

  • Associação net.tcp: TCP 32845

Você pode alterar a associação do protocolo e da porta para cada aplicativo de serviço. Na página Aplicações de Serviço na Administração Central, selecione a aplicação de serviço e, em seguida, selecione Publicar.

Os enlaces HTTP/HTTPS/net.tcp também podem ser visualizados e alterados através dos cmdlets Get-SPServiceHostConfig e Set-SPServiceHostConfig do Microsoft PowerShell.

A comunicação entre as aplicações de serviço e o SQL Server ocorre através das portas padrão do SQL Server ou das portas configuradas para comunicação do SQL Server.

Conexões com servidores externos

Várias funcionalidades do SharePoint Server podem ser configuradas para aceder a dados que residem em computadores de servidor fora do farm de servidores. Se você configurar o acesso aos dados que estão localizados em tais computadores externos, habilite a comunicação entre os computadores apropriados. Na maioria dos casos, as portas, protocolos e serviços usados dependem do recurso externo. Por exemplo:

  • Conexões com compartilhamentos de arquivos usam o serviço Compartilhamento de Arquivo e Impressora.

  • Conexões com bancos de dados SQL Server externos usam as portas padrão ou personalizadas para comunicação com o SQL Server.

  • Em geral, conexões com bancos de dados Oracle normalmente usam OLE DB.

  • Conexões com serviços Web usam HTTP e HTTPS.

A tabela a seguir lista os recursos que podem ser configurados para acessar dados que residam em computadores do servidor fora do farm de servidores.

Recurso Descrição
Rastreamento de conteúdo
É possível configurar regras para rastrear dados que residam em recursos externos, incluindo sites, compartilhamentos de arquivo, pastas públicas do Exchange e aplicativos de dados corporativos. Durante o rastreamento de fontes de dados externos, a função de rastreamento se comunica diretamente com esses recursos externos.
Para obter mais informações, veja Gerir a pesquisa no SharePoint Server.
Conexões da Conectividade de Dados Corporativos
Os servidores Web e os servidores de aplicativos se comunicam diretamente com os computadores configurados para conexões de Conectividade de Dados Corporativos.

Requisitos de serviço para integração de email

A integração de email exige o uso de dois serviços:

Serviço SMTP

A integração de email requer o uso do serviço SMTP em pelo menos um dos servidores Web front-end no farm de servidores. O serviço SMTP é necessário para emails de entrada. Para emails de saída, você pode usar o serviço SMTP ou rotear emails de saída por um servidor de email dedicado na sua organização, por exemplo, o computador do Microsoft Exchange Server.

Serviço Microsoft SharePoint Directory Management

O SharePoint Server inclui um serviço interno, o Serviço de Gestão de Diretórios do Microsoft SharePoint, para criar grupos de distribuição de e-mail. Ao configurar a integração de email, você tem a opção de habilitar o recurso do Serviço de Gerenciamento de Diretório, que permite que os usuários criem listas de distribuição. Quando os usuários criam um grupo do SharePoint e selecionam a opção para criar uma lista de distribuição, o Serviço de Gerenciamento de Diretório do Microsoft SharePoint cria a lista de distribuição do Active Directory correspondente no ambiente do Active Directory.

Em ambientes com segurança reforçada, a recomendação é restringir o acesso ao Serviço de Gerenciamento de Diretório do Microsoft SharePoint protegendo o arquivo associado a esse serviço: SharePointEmailws.asmx. Por exemplo, você pode permitir acesso a esse arquivo apenas pela conta do farm de servidores.

Adicionalmente, esse serviço exige permissões no ambiente do Active Directory para criar objetos de lista de distribuição do Active Directory. A recomendação é configurar uma unidade organizacional (UO) separada no Active Directory para objetos do SharePoint Server. Somente essa UO deverá permitir acesso de gravação à conta usada pelo Serviço de Gerenciamento de Diretório do Microsoft SharePoint.

Requisitos de serviço para estado da sessão

O Project Server 2016 e o InfoPath Forms Services mantêm o estado da sessão. Se estiver a implementar estas funcionalidades ou produtos no farm de servidores, não desative o serviço ASP.NET State. Além disso, se estiver a implementar o InfoPath Forms Services, não desative o serviço Ver Estado.

Serviços de Produtos sharePoint Server

Não desative os serviços instalados pelo SharePoint Server (listados anteriormente no instantâneo).

Se o seu ambiente não permitir que os serviços que são executados como um sistema local, pode considerar desativar o serviço de Administração do SharePoint apenas se tiver conhecimento das consequências e puder contornar as mesmas. Este é um serviço Win32 executado como um sistema local.

Esse serviço é usado pelo serviço de timer do SharePoint para executar ações que exigem permissões administrativas no servidor, como a criar sites de IIS (Serviços de Informações da Internet), implantar códigos e interromper e iniciar serviços. Se desativar este serviço, não poderá concluir tarefas relacionadas com a implementação a partir do site de Administração Central. Tem de utilizar o Microsoft PowerShell para executar o cmdlet Start-SPAdminJob (ou utilizar a ferramenta de linha de comandos Stsadm.exe para executar a operação execadmsvcjobs ) para concluir implementações de múltiplos servidores para o SharePoint Server e para executar outras tarefas relacionadas com a implementação.

Arquivo Web.config

O .NET Framework, e o ASP.NET em especial, usam os arquivos de configuração formatados em XML para configurar aplicativos. O .NET Framework depende de arquivos de configuração para definir as opções de configuração. Arquivos de configuração são arquivos XML em formato de texto. Vários arquivos de configuração podem existir, e normalmente existem, em um único sistema.

As definições de configuração ao nível do sistema para o .NET Framework são definidas no ficheiro Machine.config. O ficheiro Machine.config está localizado na pasta %SystemRoot%\Microsoft.NET\Framework%VersionNumber%\CONFIG\. As predefinições contidas no ficheiro Machine.config podem ser modificadas para afetar o comportamento das aplicações que utilizam o .NET Framework em todo o sistema.

Você poderá alterar a configuração do ASP.NET para um único aplicativo se criar um arquivo Web.config na pasta raiz do aplicativo. Quando isso é feito, as configurações do arquivo Web.config substituem as configurações do arquivo Machine.config.

Quando expande uma aplicação Web através da Administração Central, o SharePoint Server cria automaticamente um ficheiro de Web.config para a aplicação Web.

O instantâneo do servidor Web e do servidor de aplicativos apresentado anteriormente neste artigo lista as recomendações para configurar os arquivos Web.config. Essas recomendações se aplicam a cada arquivo Web.config criado, incluindo o arquivo Web.config para o site da Administração Central.

Para obter mais informações sobre ASP.NET ficheiros de configuração e editar um ficheiro de Web.config, veja ASP.NET Configuration (https://go.microsoft.com/fwlink/p/?LinkID=73257).

Confira também

Conceitos

Segurança para o SharePoint Server