Planejar a proteção de segurança (SharePoint Foundation 2010)

 

Aplica-se a: SharePoint Foundation 2010

Tópico modificado em: 2016-11-30

Este artigo descreve a proteção da segurança de funções do servidor Web, servidor de aplicativos e servidor de banco de dados do Microsoft SharePoint Foundation 2010, além de fornecer orientação detalhada sobre os requisitos específicos de proteção para portas, protocolos e serviços do Produtos do Microsoft SharePoint 2010.

Neste artigo:

• Instantâneos seguros do servidor

• Orientação específica para portas, protocolos e serviços

Instantâneos seguros do servidor

Em um ambiente de farm de servidores, servidores individuais desempenham funções específicas. As recomendações de proteção de segurança para esses servidores dependerão da função de cada um. Este artigo contém instantâneos seguros para duas categorias de funções de servidor:

• Funções do servidor Web e servidor de aplicativos

• Função de servidor de banco de dados

Os instantâneos são divididos em categorias de configuração comuns. As características definidas para cada categoria representam o estado ideal de proteção para o Produtos do Microsoft SharePoint 2010. Este artigo não inclui orientações de proteção para outro software no ambiente.

Funções do servidor Web e servidor de aplicativos

Esta seção identifica características de proteção para servidores Web e servidores de aplicativos. Algumas orientações se aplicam a aplicativos de serviço específicos. Nesses casos, as características correspondentes precisam ser aplicadas apenas nos servidores que estão executando os serviços associados aos aplicativos de serviço especificados.

Categoria	Característica
Serviços listados no snap-in MMC de serviços	Habilite os seguintes serviços: Compartilhamento de Arquivo e Impressora Serviço de Publicação na World Wide Web Certifique-se de que estes serviços não estejam desabilitados: Declarações para o Serviço de Tokens do Windows Administração do SharePoint 2010 Timer do SharePoint 2010 Rastreamento do SharePoint 2010 Gravador VSS do SharePoint 2010 Certifique-se de que estes serviços não estejam desabilitados nos servidores que hospedam as funções correspondentes: Host do código de usuário do SharePoint 2010 Pesquisa do SharePoint Foundation V4
Portas e protocolos	TCP 80, TCP 443 (SSL) Serviço de Compartilhamento de Arquivo e Impressora — um dos seguintes, usados por funções de pesquisa: SMB com host direto (TCP/UDP 445) — essa é a porta recomendada NetBIOS sobre TCP/IP (NetBT) (portas TCP/UDP 137, 138, 139) — desabilite essa porta se não a usar Portas necessárias para comunicação entre servidores Web e aplicativos de serviço (o padrão é HTTP): Associação HTTP: 32843 Associação HTTP: 32844 Associação net.tcp: 32845 (somente se um terceiro tiver implementado essa opção para um aplicativo de serviço) Porta UDP 1434 e porta TCP 1433 — portas padrão para comunicação do SQL Server. Se essas portas forem bloqueadas no computador do SQL Server (recomendado) e bancos de dados forem instalados em uma instância nomeada, configure um alias do cliente do SQL Server para conexão à instância nomeada. TCP/IP 32846 para o Serviço de Código de Usuário do Microsoft SharePoint Foundation (para soluções em área restrita) — Essa porta deve ser aberta para conexões de saída em todos os servidores Web. Ela deve ser aberta para conexões de entrada em servidores Web ou servidores de aplicativos em que esse serviço esteja ativado. Verifique se as portas permanecem abertas para os aplicativos Web que os usuários podem acessar. Bloqueie o acesso externo à porta usada pelo site da Administração Central. TCP/25 (SMTP para integração de email)
Registro	Sem orientações adicionais
Auditoria e log	Se os arquivos de log forem realocados, verifique se os locais foram atualizados de maneira correspondente. Atualize também as ACLs (listas de controle de acesso) do diretório.
Segurança de acesso a código	Verifique se você possui um conjunto mínimo de permissões de segurança de acesso do código habilitado para seu aplicativo Web. O elemento <trust> no arquivo Web.config para cada aplicativo Web deve ser definido como WSS_Minimal (em que WSS_Minimal tem seus padrões baixos, conforme definido em 14\config\wss_minimaltrust.config ou por seu próprio arquivo de diretivas personalizado, minimamente definido).
Web.config	Siga estas recomendações para cada arquivo Web.config criado depois que você executar a Instalação: Não permita a compilação ou a geração de scripts de páginas de bancos de dados por meio de elementos PageParserPaths. Verifique se <SafeMode> CallStack=""false"" e se AllowPageLevelTrace=""false"". Verifique se o limite da Web Part para o número máximo de controles por zona foi definido como baixo. Verifique se a lista SafeControls foi definida como o conjunto mínimo de controles necessários aos seus sites. Verifique se a sua lista SafeTypes do fluxo de trabalho foi definida como o nível mínimo de SafeTypes necessários. Verifique se customErrors está ativado (<customErrors mode=""On""/>). Considere suas configurações de proxy da Web conforme necessário (<system.net>/<Proxypadrão>). Defina o limite de Upload.aspx como o maior tamanho razoável esperado para carregamentos feitos por usuários (o padrão é 2 GB). O desempenho pode ser afetado por carregamentos maiores do que 100 MB.

Função de servidor de banco de dados

A principal recomendação para os Produtos do SharePoint 2010 é proteger a comunicação entre farms bloqueando as portas padrão usadas para a comunicação com o Microsoft SQL Server e estabelecendo portas personalizadas para essa comunicação. Para obter mais informações sobre como configurar portas para a comunicação do SQL Server, consulte Bloqueando as portas padrão do SQL Server, mais adiante neste artigo.

Categoria	Característica
Portas	Bloquear a porta UDP 1434. Considerar o bloqueio da porta TCP 1433.

Este artigo não descreve como proteger o SQL Server. Para obter mais informações sobre como proteger o SQL Server, consulte o artigo sobre proteção do SQL Server (https://go.microsoft.com/fwlink/?linkid=186828&clcid=0x416).

Orientação específica para portas, protocolos e serviços

O restante deste artigo descreve com mais detalhes os requisitos específicos de proteção para os Produtos do SharePoint 2010.

Nesta seção:

• Bloqueando as portas padrão do SQL Server

• Comunicação do aplicativo de serviço

• Requisitos do serviço Compartilhamento de Arquivo e Impressora

• Requisitos de proteção do serviço de Perfil do Usuário

• Conexões a servidores externos

• Requisitos de serviço para integração de email

• Requisitos de serviço para estado da sessão

• Serviços dos Produtos do SharePoint 2010

• Web.config file

Bloqueando as portas padrão do SQL Server

As portas específicas usadas para conectar o SQL Server são afetadas pelo fato de os bancos de dados estarem instalados em uma instância padrão do SQL Server ou em uma instância nomeada do SQL Server. A instância padrão do SQL Server escuta solicitações do cliente na porta TCP 1433. Uma instância nomeada do SQL Server escuta em um número de porta atribuído aleatoriamente. Além disso, o número de porta de uma instância nomeada poderá ser atribuído novamente se a instância for reiniciada (dependendo se o número da porta atribuído anteriormente estiver disponível).

Por padrão, os computadores clientes que se conectam ao SQL Server primeiro se conectam usando a porta TCP 1433. Se essa comunicação não é bem-sucedida, os computadores clientes consultam o Serviço de Resolução do SQL Server que está escutando na porta UDP 1434 para determinar a porta em que a instância do banco de dados está escutando.

O comportamento padrão de comunicação de porta do SQL Server introduz vários problemas que afetam a proteção do servidor. Primeiro, as portas usadas pelo SQL Server são muito conhecidas, e o serviço de resolução do SQL Server tem sido alvo de ataques de saturação de buffer e negação de serviço, incluindo o worm "Slammer". Mesmo se o SQL Server for atualizado para atenuar os problemas de segurança do Serviço de Resolução do SQL Server, as portas bem conhecidas continuam sendo um alvo. Segundo, se os bancos de dados forem instalados em uma instância nomeada do SQL Server, a porta de comunicação correspondente será atribuída aleatoriamente e poderá ser alterada. Esse comportamento pode potencialmente impedir a comunicação de servidor a servidor em um ambiente protegido. A capacidade de controlar as portas TCP que serão abertas ou bloqueadas é essencial para proteger seu ambiente.

Consequentemente, a recomendação para um farm de servidores é atribuir números de porta estáticos a instâncias nomeadas do SQL Server e bloquear a porta UDP 1434 para impedir que possíveis invasores acessem o Serviço de Resolução do SQL Server. Além disso, considere a reatribuição da porta usada pela instância padrão e o bloqueio da porta TCP 1433.

Existem diversos métodos que podem ser usados no bloqueio de portas. Você pode bloquear essas portas usando um firewall. No entanto, a menos que você possa garantir que não haja outras rotas no segmento de rede nem usuários mal-intencionados com acesso ao segmento de rede, a recomendação é bloqueá-las diretamente no servidor que hospeda o SQL Server. Isso pode ser feito usando o Firewall do Windows no Painel de Controle.

Configurando instâncias de banco de dados do SQL Server para que elas escutem em uma porta fora do padrão

O SQL Server oferece a capacidade de reatribuir as portas que são usadas pela instância padrão e instâncias nomeadas. No SQL Server 2005 e no SQL Server 2008, reatribua portas usando o Gerenciador de Configurações do SQL Server.

Configurando aliases de clientes do SQL Server

Em um farm de servidores, todos os servidores Web front-end e servidores de aplicativos são computadores clientes do SQL Server. Se você bloquear a porta UDP 1434 no computador com o SQL Server ou alterar a porta padrão para a instância padrão, configure um alias de cliente do SQL Server em todos os servidores que se conectam ao computador com o SQL Server.

Para se conectar a uma instância do SQL Server 2005 ou SQL Server 2008, instale os componentes do cliente do SQL Server no computador de destino e configure o alias do cliente do SQL Server usando o Gerenciador de Configurações do SQL Server. Para instalar os componentes do cliente do SQL Server, execute a Instalação e selecione somente os seguintes componentes de cliente para instalar:

• Componentes de Conectividade

• Ferramentas de gerenciamento (inclui Gerenciador de Configurações do SQL Server)

Para ver etapas específicas de proteção para bloquear portas SQL padrão, consulte Proteger o SQL Server para ambientes do SharePoint (SharePoint Foundation 2010).

Comunicação do aplicativo de serviço

Por padrão, a comunicação entre os servidores Web e os aplicativos de serviço de um farm ocorre usando HTTP com associação à porta 32843. Ao publicar um aplicativo de serviço, você pode selecionar HTTP ou HTTPS com as seguintes associações:

• Associação HTTP: porta 32843

• Associação HTTPS: porta 32844

Além disso, terceiros que desenvolvem aplicativos de serviço podem implementar uma terceira opção:

• Associação net.tcp: porta 32845

Você pode alterar a associação do protocolo e da porta para cada aplicativo de serviço. Na página Aplicativos de Serviço, na Administração Central, selecione o aplicativo de serviço e clique em Publicar.

A comunicação entre os aplicativos de serviço e o SQL Server ocorre nas portas padrão do SQL Server ou nas portas que você configura para a comunicação do SQL Server.

Requisitos do serviço Compartilhamento de Arquivo e Impressora

Diversos recursos fundamentais dependem do serviço Compartilhamento de Arquivo e Impressora e dos protocolos e portas correspondentes. Entre eles estão incluídos, mas sem limitação, os seguintes:

• Consultas de pesquisa   Todas as consultas de pesquisa exigem o serviço Compartilhamento de Arquivo e Impressora.

• Rastreamento e indexação de conteúdo   Para rastrear conteúdo, servidores que incluem componentes de rastreamento enviam solicitações por meio do servidor Web front-end. O servidor Web front-end se comunica com os bancos de dados de conteúdo de forma direta e envia resultados de volta aos servidores que incluem componentes de rastreamento. A comunicação exige o serviço Compartilhamento de Arquivo e Impressora.

O serviço Compartilhamento de Arquivo e Impressora exige o uso de pipes nomeados. Os pipes nomeados podem se comunicar usando os protocolos SMB diretamente hospedados ou NetBT. Para obter um ambiente seguro, o protocolo SMB diretamente hospedado é recomendado em vez do NetBT. As recomendações de proteção fornecidas neste artigo pressupõem que o SMB será usado.

A tabela a seguir descreve os requisitos de proteção introduzidos pela dependência do serviço Compartilhamento de Arquivo e Impressora.

Categoria	Requisitos	Observações
Serviços	Compartilhamento de Arquivo e Impressora	Exige o uso de pipes nomeados.
Protocolos	Pipes nomeados que usam SMB diretamente hospedado Desabilitar NetBT	Os pipes nomeados podem usar o NetBT em vez do SMB diretamente hospedado. No entanto, o NetBT não é tão seguro quanto o SMB diretamente hospedado.
Portas	Uma das seguintes opções: SMB diretamente hospedado (TCP/UDP 445) — recomendado NetBT (portas TCP/UDP 137, 138, 139)	Desabilite o NetBT (portas 137, 138 e 139) se não estiver sendo usado

Para obter mais informações sobre como desabilitar o NetBT, consulte o artigo 204279 da Base de Dados de Conhecimento Microsoft sobre a hospedagem direta de SMB via TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x416).

Requisitos de serviço para integração de email

A integração de email exige o uso de dois serviços:

• Serviço SMTP

• Serviço de Gerenciamento de Diretório do Microsoft SharePoint

Serviço SMTP

A integração de email exige o uso do serviço SMTP em pelo menos um dos servidores Web front-end do farm de servidores. O serviço SMTP é necessário para o email de entrada. Para o email de saída, você pode usar o serviço SMTP ou roteá-lo por meio de um servidor de email dedicado de sua organização, como um computador com o Microsoft Exchange Server.

Serviço de Gerenciamento de Diretório do Microsoft SharePoint

Os Produtos do SharePoint 2010 incluem um serviço interno, o Serviço de Gerenciamento de Diretório do Microsoft SharePoint, para a criação de grupos de distribuição de email. Ao configurar a integração de email, você tem a opção de habilitar o recurso Serviço de Gerenciamento de Diretório, permitindo que os usuários criem listas de distribuição. Quando os usuários criam um grupo do SharePoint e selecionam a opção para criar uma lista de distribuição, o Serviço de Gerenciamento de Diretório do Microsoft SharePoint cria a lista de distribuição do Active Directory no ambiente deste.

Em ambientes com segurança reforçada, a recomendação é restringir o acesso ao Serviço de Gerenciamento de Diretório do Microsoft SharePoint protegendo o arquivo associado a esse serviço, SharePointEmailws.asmx. Por exemplo, você pode permitir acesso a esse arquivo somente à conta do farm de servidores.

Adicionalmente, esse serviço exige permissões no ambiente do Active Directory para criar objetos de lista de distribuição do Active Directory. A recomendação é configurar uma UO (unidade organizacional) separada no Active Directory para objetos dos Produtos do SharePoint 2010. Somente essa UO deverá conceder acesso de gravação à conta usada pelo Serviço de Gerenciamento de Diretório do Microsoft SharePoint.

Serviços dos Produtos do SharePoint 2010

Não desabilite os serviços instalados pelos Produtos do SharePoint 2010 (relacionados previamente no instantâneo).

Se o seu ambiente não permitir serviços executados como um sistema local, só considere a desabilitação do serviço Administração do SharePoint 2010 se souber quais serão as consequências e se puder contorná-las. Esse é um serviço Win32 executado como um sistema local.

Esse serviço é usado pelo serviço Timer do SharePoint 2010 para executar ações que exigem permissões administrativas no servidor, como criar sites do IIS, implantar código, e parar e iniciar serviços. Se desabilitar esse serviço, você não poderá concluir tarefas relacionadas à implantação por meio do site da Administração Central. Será preciso usar o Windows PowerShell para executar o cmdlet Start-SPAdminJob (ou usar a ferramenta de linha de comando Stsadm.exe para executar a operação execadmsvcjobs) para concluir implantações de vários servidores para os Produtos do SharePoint 2010 e executar outras tarefas relacionadas à implantação.

Arquivo Web.config

O .NET Framework, e o ASP.NET em particular, usam arquivos de configuração em formato XML para configurar aplicativos. O .NET Framework utiliza arquivos de configuração para definir opções de configuração. Os arquivos de configuração são arquivos XML baseados em texto. Vários deles podem existir em um único sistema (e isso normalmente acontece).

As configurações de sistema para o .NET Framework são definidas no arquivo Machine.config. Esse arquivo está localizado na pasta %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. As configurações padrão contidas no arquivo Machine.config podem ser modificadas para afetarem o comportamento dos aplicativos que usam o .NET Framework em todo o sistema.

Você poderá alterar a configuração do ASP.NET para um único aplicativo se criar um arquivo Web.config na pasta raiz do aplicativo. Quando isso é feito, as configurações do arquivo Web.config substituem as configurações do arquivo Machine.config.

Quando você estende um aplicativo Web usando a Administração Central, os Produtos do SharePoint 2010 criam automaticamente um arquivo Web.config para o aplicativo Web.

O instantâneo de servidor Web e servidor de aplicativos apresentado anteriormente neste artigo lista recomendações para a configuração de arquivos Web.config. As recomendações devem ser aplicadas a cada arquivo Web.config criado, inclusive o arquivo Web.config para o site da Administração Central.

Para obter mais informações sobre os arquivos de configuração do ASP.NET e sobre a edição do arquivo Web.config, consulte o tópico sobre a configuração do ASP.NET (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x416).