規劃強化伺服器陣列中伺服器角色的安全性 (Windows SharePoint Services)
關於安全性強化
應用程式伺服器建議
與 Microsoft SQL Server 資料庫的安全通訊
檔案及印表機共用服務需求
電子郵件整合的服務需求
Windows SharePoint Services 服務
帳戶和群組
Web.config 檔案
安全快照新增
使用本文可規劃伺服器陣列安全性。本文中的工作適用於下列安全性環境:
架設內部 IT
外部安全共同作業
外部匿名存取
關於安全性強化
在伺服器陣列環境中,個別伺服器會扮演特定角色。對這些伺服器的安全性強化建議會視各自扮演的角色而定。
這些伺服器強化建議高於 Microsoft 模式和實例 (英文) (https://go.microsoft.com/fwlink/?linkid=73704&clcid=0x404) 之下列安全性指南所提供的建議:
保護網頁伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x404)
保護資料庫伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x404)
保護網路 (英文) (https://go.microsoft.com/fwlink/?linkid=73707&clcid=0x404)
這些指南遵循有條理的方法來保護特定角色的伺服器,以及保護支援網路。另外也指定套用設定以及安裝與強化應用程式的順序:從套用修補程式和更新開始,然後強化網路設定與作業系統設定,再緊接著應用程式特有的強化。例如,保護網頁伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x404) 建議您必須在修補及強化作業系統之後,才可安裝及強化網際網路資訊服務 (IIS)。此外,此指南也指定只有在 IIS 完整修補並強化之後,才可安裝 Microsoft .NET Framework。
下圖詳細說明保護網頁伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x404) 中有條理指定之安全性設定的類別。
此外,這三個指南每個都包含針對特定伺服器角色或網路的安全快照與安全性設定建議清單。快照清單的組織方式是依據對應至上圖所述之安全性設定的類別。
本文提供的安全性設計與強化指導係以這三個指南中發佈的指導為基礎。此指導假設您將使用這些指南作為保護及強化伺服器陣列的基準。
本文說明針對您環境建議之快照的例外或新增。這些資訊會使用這三個安全性指南所述的相同類別與順序以表格格式詳細說明。此格式可讓您在使用指南時,輕鬆識別並套用特定建議。
部署 Windows SharePoint Services 3.0 技術 (https://go.microsoft.com/fwlink/?linkid=76140&clcid=0x404) 指南包含套用模式和作法安全性指南中未涵蓋之特定安全性指導的指示。
伺服器陣列內伺服器與伺服器間通訊的性質,以及 Windows SharePoint Services 3.0 所提供之特定功能,是相關強化建議的主要原因。本文也說明主要通訊通道及 Windows SharePoint Services 3.0 功能如何影響這些安全性需求。
應用程式伺服器建議
在 Windows SharePoint Services 3.0 中,應用程式伺服器角色並非封裝於 Enterprise Services 應用程式中的一般中間層應用程式伺服器。因此,保護應用程式伺服器 (英文) (hhttps://msdn.microsoft.com/zh-tw/library/aa302433(zh-tw).aspx 中的建議不適用於 Windows SharePoint Services 3.0 應用程式伺服器。請改用保護網頁伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x404) 中提供的指導強化 Windows SharePoint Services 3.0 應用程式伺服器:
將網路與作業系統設定的指導套用至伺服器陣列中的所有應用程式伺服器。此指導會包含在下列類別中:修補程式和更新、服務、通訊協定、帳戶、檔案和目錄、共用、連接埠、登錄,以及稽核與記錄。
僅在架設管理中心網站的應用程式伺服器上套用強化 IIS 及其他 Web 設定的指導。此指導會包含在下列類別中:IIS、Machine.config、程式碼存取安全性、LocalIntranet_Zone 及 Internet_Zone。
除了使用保護網頁伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x404) 中的安全快照,也請套用本文稍後<安全快照新增>一節所提供的建議。
與 Microsoft SQL Server 資料庫的安全通訊
保護資料庫伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x404) 建議將存取權限限制在兩個預設的 Microsoft SQL Server 通訊連接埠:TCP 連接埠 1433 及 UDP 連接埠 1434。為了保護伺服器陣列環境,建議:
完全封鎖 UDP 連接埠 1434。
將 SQL Server 的具名執行個體設定為在非標準的連接埠上接聽 (TCP 連接埠 1433 或 UDP 連接埠 1434 以外的連接埠)。
若要取得額外安全性,請封鎖 TCP 連接埠 1433 並將預設執行個體使用的連接埠重新指定給非標準的連接埠。
在伺服器陣列中所有前端網頁伺服器和應用程式伺服器上,設定 SQL 用戶端別名。在您封鎖 TCP 連接埠 1433 或 UDP 連接埠 1434 之後,必須在與 SQL Server 電腦通訊的所有電腦上使用 SQL 用戶端別名。
此方法對 SQL Server 部署與執行方式提供更高的控制程度,包含可確保只有經過授權的電腦能夠與 SQL Server 電腦通訊。
您必須先完成建立 SQL 用戶端別名的強化步驟,才能安裝 Windows SharePoint Services 3.0。執行 Windows SharePoint Services 3.0 安裝程式期間,當提示您輸入要連線的 SQL Server 電腦名稱時,必須輸入 SQL 用戶端別名的名稱。
封鎖標準 SQL Server 連接埠
在 SQL Server 的預設執行個體或 SQL Server 的具名執行個體上安裝資料庫,會影響連線至 SQL Server 所使用的特定連接埠。SQL Server 的預設執行個體會接聽 TCP 連接埠 1433 上的用戶端要求。SQL Server 的具名執行個體則會接聽隨機指定的連接埠號碼。此外,如果重新啟動具名執行個體,則可重新指定執行個體的連接埠號碼 (視先前指定的連接埠號碼是否可用而定)。
連線至 SQL Server 的用戶端電腦預設會先使用 TCP 連接埠 1433 進行連線。如果此通訊失敗,用戶端電腦便會查詢在 UDP 連接埠 1434 上接聽的 SQL Server 解析服務,以決定資料庫執行個體接聽所在的連接埠。
SQL Server 的預設連接埠通訊行為,會造成數個影響伺服器強化的問題。首先,SQL Server 使用的連接埠是廣為宣揚的連接埠,且 SQL Server 解析服務一直是緩衝區溢位攻擊和拒絕服務攻擊的目標,包括 Slammer 蠕蟲病毒。即使 SQL Server 已經過修補,減輕 SQL Server 解析服務中的安全性問題,廣為宣揚的連接埠仍是目標。其次,如果資料庫是安裝在 SQL Server 的具名執行個體上,對應的通訊連接埠會隨機重新指定,且可以變更。此行為可能會導致伺服器對伺服器通訊無法在強化的環境中進行。若要保護環境,您必須能夠控制要開啟或封鎖哪些 TCP 連接埠。
因此,對於伺服器陣列的建議是指定靜態的連接埠號碼給 SQL Server 的具名執行個體,並封鎖 UDP 連接埠 1434,以避免潛在攻擊者存取 SQL Server 解析服務。此外,請考慮重新指定預設執行個體所使用的連接埠,並同時封鎖 TCP 連接埠 1433。
可用來封鎖連接埠的方法有幾種。您可以使用防火牆來封鎖這些連接埠。但是,除非您可以確定網路區段中沒有其他路由,且沒有惡意使用者擁有網路區段的存取權,否則建議在架設 SQL Server 的伺服器上直接封鎖這些連接埠。使用 [控制台] 中的 [Windows 防火牆] 可完成此作業。
將 SQL Server 資料庫執行個體設定為在非標準的連接埠上接聽
SQL Server 可讓您重新指定預設執行個體和任何具名執行個體所使用的連接埠。在 SQL Server 2000 中,請使用 SQL Server 網路公用程式來重新指定連接埠。在 SQL Server 2005 中,請使用 SQL Server 組態管理員來重新指定連接埠。
設定 SQL 用戶端別名
在伺服器陣列中,所有前端網頁伺服器與應用程式伺服器都是 SQL Server 用戶端電腦。如果封鎖 SQL Server 電腦上的 UDP 連接埠 1434,或是變更預設執行個體的預設連接埠,則必須在連線至 SQL Server 電腦的所有伺服器上設定 SQL 用戶端別名。
若要連線至 SQL Server 2000 的執行個體,請在目標電腦上安裝 SQL Server 用戶端工具,然後設定 SQL 用戶端別名。執行 SQL Server 的安裝程式並選取 [SQL Server 用戶端工具] 即可安裝這些工具。
若要連線至 SQL Server 2005 的執行個體,請在目標電腦上安裝 SQL Server 用戶端元件,然後使用 SQL Server 組態管理員設定 SQL 用戶端別名。若要安裝 SQL Server 用戶端元件,請執行安裝程式,然後僅選取下列用戶端元件進行安裝:
連接元件
管理工具 (包含 SQL Server 組態管理員)
SQL Server 用戶端元件可搭配 SQL Server 2000 使用,且可用來取代 SQL Server 用戶端工具。
強化步驟
設定 SQL Server
將 SQL Server 2000 執行個體設定為在非預設連接埠上接聽
使用 SQL Server 網路公用程式可變更 SQL Server 2000 的執行個體所使用的 TCP 連接埠。
在 SQL Server 電腦上,執行 SQL Server 網路公用程式。
在 [此伺服器上的執行個體] 功能表上,選取執行個體。確定您已選取預定的執行個體。預設的執行個體預設會接聽連接埠 1433。由於 SQL Server 2000 的具名執行個體會指定以隨機的連接埠號碼,因此在執行 SQL Server 網路公用程式時,可能會不知道目前指定給具名的執行個體的連接埠號碼。
在 SQL Server 網路公用程式介面右側的 [啟用的通訊協定]**** 窗格中,按一下 [TCP/IP],然後按一下 [內容]****。
在 [網路通訊協定預設值設定] 對話方塊中,變更 TCP 連接埠號碼。避免使用任何知名 TCP 連接埠。例如,選取較高範圍的連接埠號碼,如 40000。請勿選取 [隱藏伺服器]**** 核取方塊。
按一下 [確定]。
在 [SQL Server 網路公用程式]**** 對話方塊中,按一下 [確定]。您將會收到訊息,指出在 SQL Server 服務重新啟動之前,變更不會生效。按一下 [確定]****。
重新啟動 SQL Server 服務,並確認您的 SQL Server 電腦正在您選取的連接埠上接聽。您可以在重新啟動 SQL Server 服務之後查看事件檢視器記錄檔,以便確認此點。請尋找類似下列事件的資訊事件:
事件類型:資訊
事件來源:MSSQLSERVER
事件類別:(2)
事件識別碼:17055
日期:3/6/2008
時間:11:20:28
使用者:N/A
電腦:電腦名稱
描述:
19013:
SQL Server 正在 10.1.2.3: 40000 上接聽
將 SQL Server 2005 執行個體設定為在非預設連接埠上接聽
使用 SQL Server 組態管理員可變更 SQL Server 2005 的執行個體所使用的 TCP 連接埠。
使用 SQL Server 組態管理員可變更 SQL Server 2005 的執行個體所使用的 TCP 連接埠。
在 SQL Server 電腦上,開啟 SQL Server 組態管理員。
展開左窗格中的 [SQL Server 2005 網路組態]。
在 [SQL Server 2005 網路組態]**** 下,按一下您設定之執行個體的對應項目。預設執行個體會列為 [MSSQLSERVER 的通訊協定]。具名執行個體將顯示為 [named_instance 的通訊協定]****。
在右窗格的 [TCP/IP] 上按一下滑鼠右鍵,然後按一下 [內容]****。
按一下 [IP 位址] 索引標籤。每個指定給 SQL Server 電腦的 IP 位址在此索引標籤上都有對應的項目。SQL Server 預設會在指定給電腦的所有 IP 位址上接聽。
若要全域變更預設執行個體接聽所在的連接埠,請執行下列操作:
針對 [IPAll]**** 以外的每個 IP,清除 [TCP 動態連接埠] 及 [TCP 連接埠]**** 的所有值。
針對 [IPAll],清除 [TCP 動態連接埠]**** 的值。在 [TCP 連接埠] 欄位中,輸入您要 SQL Server 執行個體接聽所在的連接埠。例如,輸入 40000。
若要全域變更具名執行個體接聽所在的連接埠,請執行下列操作:
針對包括 [IPAll]**** 在內的每個 IP,清除 [TCP 動態連接埠] 的所有值。此欄位的 0 值指出 SQL Server 的 IP 位址使用 TCP 動態連接埠。此值若是空白的項目,則表示 SQL Server 2005 的 IP 位址不會使用 TCP 動態連接埠。
針對除了 [IPAll]**** 以外的每個 IP,清除 [TCP 連接埠] 的所有值。
針對 [IPAll],清除 [TCP 動態連接埠] 的值。在 [TCP 連接埠] 欄位中,輸入您要 SQL Server 執行個體接聽所在的連接埠。例如,輸入 40000。
按一下 [確定]。您將會收到訊息,指出在 SQL Server 服務重新啟動之前,變更不會生效。按一下 [確定]****。
關閉 [SQL Server 組態管理員]。
重新啟動 SQL Server 服務,並確認 SQL Server 電腦正在您選取的連接埠上接聽。您可以在重新啟動 SQL Server 服務之後查看事件檢視器記錄檔,以便確認此點。請尋找類似下列事件的資訊事件:
事件類型:資訊
事件來源:MSSQL$MSSQLSERVER
事件類別:(2)
事件識別碼:26022
日期:3/6/2008
時間:下午 1:46:11
使用者:N/A
電腦:電腦名稱
描述:
伺服器正在 [ 'any' <ipv4>50000] 上接聽
設定 Windows 防火牆
將 Windows 防火牆設定為封鎖預設 SQL Server 接聽連接埠
在 [控制台] 中,開啟 [Windows 防火牆]****。
在 [一般] 索引標籤上,按一下 [開啟]****。確定已清除 [不允許例外] 核取方塊。
在 [例外]**** 索引標籤上,按一下 [新增連接埠]。
在 [新增連接埠]**** 對話方塊上,輸入連接埠的名稱。例如輸入 UDP-1434。接著再輸入連接埠號碼。例如,輸入 1434。
選取適當的選項按鈕:[UDP] 或 [TCP]。例如,若要封鎖連接埠 1434,請按一下 [UDP]。若要封鎖連接埠 1433,請按一下 [TCP]。
按一下 [變更領域] 並確定此例外的領域設為 [任何電腦 (包括在網際網路上的)]****。
按一下 [確定]。
在 [例外]**** 索引標籤上,找到您建立的例外。若要封鎖連接埠,請清除此例外的核取方塊。預設會選取此核取方塊,表示連接埠是開啟的。
將 Windows 防火牆設定為開啟手動指定的連接埠
遵循前一程序中的步驟 1 到 7,為您手動指定給 SQL 執行個體的連接埠建立例外。例如,為 TCP 連接埠 40000 建立例外。
在 [例外] 索引標籤上,找到您建立的例外。確定已核取例外的核取方塊。預設會選取此核取方塊,表示連接埠是開啟的。
注意
如需使用網際網路通訊協定安全性 (IPsec) 保護與 SQL Server 電腦通訊的詳細資訊,請參閱 Microsoft 知識庫文章 233256:如何透過防火牆來啟用 IPSec 流量 (https://go.microsoft.com/fwlink/?linkid=76142&clcid=0x404) (機器翻譯)。
設定 SQL 用戶端別名
設定 SQL 用戶端別名
如果您在 SQL Server 電腦上封鎖 UDP 連接埠 1434 或 TCP 連接埠 1433,則必須在伺服器陣列中的所有其他電腦上建立 SQL 用戶端別名。您可以使用 SQL Server 用戶端元件,為連線至 SQL Server 2000 或 SQL Server 2005 的電腦建立 SQL 用戶端別名。
在目標電腦上執行 SQL Server 2005 的安裝程式,並選取下列用戶端元件進行安裝:
連接元件
管理工具
開啟 [SQL Server 組態管理員]。
按一下左窗格中的 [SQL Native Client 組態]。
在右窗格的 [別名]**** 上按一下滑鼠右鍵,然後選取 [新增別名]。
在 [別名]**** 對話方塊中,輸入別名的名稱,然後輸入資料庫執行個體的連接埠號碼。例如,輸入 SharePoint*_alias*。
在 [連接埠號碼] 欄位中,輸入資料庫執行個體的連接埠號碼。例如輸入 40000。請確定通訊協定設為 TCP/IP。
在 [伺服器]**** 欄位中,輸入 SQL Server 電腦的名稱。
按一下 [套用],然後按一下 [確定]****。
測試 SQL 用戶端別名
請使用 Microsoft SQL Server Management Studio 來測試 SQL Server 電腦的連線,此程式可透過安裝 SQL Server 用戶端元件來取得。
開啟 [SQL Server Management Studio]。
提示您輸入伺服器名稱時,請輸入您建立的別名名稱,然後按一下 [連接]。如果連線成功,SQL Server Management Studio 會填入對應遠端資料庫的物件。
注意
若要從 SQL Server Management Studio 內檢查與其他資料庫執行個體的連線,請按一下 [連接] 按鈕,再選取 [資料庫引擎]。
檔案及印表機共用服務需求
有數種核心功能依賴檔案及印表機共用服務和對應的通訊協定及連接埠。這些包括但不限於下列各項:
搜尋查詢 所有搜尋查詢都需要檔案及印表機共用服務。
內容編目及索引 為了編目內容,索引元件會透過前端網頁伺服器傳送要求。前端網頁伺服器會直接與內容資料庫通訊,並將結果傳回索引伺服器。此項通訊需要檔案及印表機共用服務。
檔案及印表機共用服務需要使用具名管道。具名管道可以使用直接架設的 SMB 或 NBT 通訊協定來通訊。對於安全的環境,建議使用直接架設的 SMB,而不要使用 NBT。本文所提供的強化建議假設使用 SMB。
下表說明因為依賴檔案及印表機共用服務而造成的強化需求。
類別 | 需求 | 附註 |
---|---|---|
服務 |
檔案及印表機共用 |
需要使用具名管道。 |
通訊協定 |
使用直接架設 SMB 的具名管道 停用 NBT |
具名管道可以使用 NBT 來取代直接架設的 SMB。但是,一般認為 NBT 不如直接架設的 SMB 安全。 |
連接埠 |
TCP/UDP 連接埠 445 |
供直接架設的 SMB 使用。 |
如需停用 NBT 的詳細資料,請參閱 Microsoft 知識庫文章 204279:直接主控 SMB over TCP/IP (https://go.microsoft.com/fwlink/?linkid=76143&clcid=0x404) (機器翻譯)。
電子郵件整合的服務需求
電子郵件整合需要使用兩項服務:
簡易郵件傳送通訊協定 (SMTP) 服務
Microsoft SharePoint 目錄管理服務
SMTP 服務
電子郵件整合需要在伺服器陣列中至少一部前端網頁伺服器上使用 SMTP 服務。內送電子郵件需要 SMTP 服務。若是外寄電子郵件,您可以使用 SMTP 服務,或是透過組織內專用電子郵件伺服器傳送外寄電子郵件,例如 Microsoft Exchange Server 電腦。
Microsoft SharePoint 目錄管理服務
Windows SharePoint Services 3.0 包含內部服務 Microsoft SharePoint 目錄管理服務,可用於建立電子郵件通訊群組。
當您設定電子郵件整合時,可以選擇啟用目錄管理服務功能,允許使用者建立通訊群組清單。當使用者建立 SharePoint 群組並選擇建立通訊群組清單時,Microsoft SharePoint 目錄管理服務會在 Active Directory 環境中建立對應的 Active Directory 目錄服務通訊群組清單。
在強化安全性的環境中,建議透過保護與 Microsoft SharePoint 目錄管理服務相關的檔案 (亦即 SharePointEmailws.asmx),來限制此服務的存取權。例如,只允許伺服器陣列帳戶存取這個檔案。
此外,這項服務還需要在 Active Directory 環境中擁有建立 Active Directory 通訊群組清單物件的權限。建議在 Active Directory 中為 SharePoint 物件設定不同的組織單位。只有這個組織單位應允許對 Microsoft SharePoint 目錄管理服務使用的帳戶進行寫入存取。
Windows SharePoint Services 服務
請勿停用 Windows SharePoint Services 3.0 所安裝的服務。下列服務安裝在所有前端網頁伺服器與應用程式伺服器上,並出現在 Microsoft Management Console (MMC) 服務嵌入式管理單元 (依字母順序列出):
Windows SharePoint Services 管理
Windows SharePoint Services 搜尋
Windows SharePoint Services 計時器
Windows SharePoint Services 追蹤
Windows SharePoint Services VSS 編寫器
如果您的環境不允許以本機系統身分執行的服務,只有在瞭解結果且可解決這些結果時,才可以考慮停用 Windows SharePoint Services 管理服務。此服務是以本機系統身分執行的 Win32 服務。
Windows SharePoint Services 計時器服務使用此服務在伺服器上執行需要管理權限的動作,例如建立 IIS 網站、部署程式碼,以及停止和啟動服務。如果您停用此服務,則無法從管理中心網站執行與部署相關的工作。您必須使用 Stsadm.exe 命令列工具執行 execadminsvcjobs 命令,完成 Windows SharePoint Services 3.0 的多重伺服器部署,以及執行其他部署相關的工作。
帳戶和群組
模式和實例安全性指南中的安全快照提供保護帳戶和群組的建議。
如需規劃帳戶的建議,請參閱<規劃管理帳戶和服務帳戶 (Windows SharePoint Services)>。
如需規劃系統管理員及使用者角色的建議,請參閱<規劃安全性角色 (Windows SharePoint Services)>。
Web.config 檔案
.NET Framework 使用 XML 格式的設定檔來設定應用程式,尤其是 ASP.NET。.NET Framework 根據設定檔來定義設定選項。設定檔是文字格式的 XML 檔。單一系統上可以且通常會存在多個設定檔。
.NET Framework 的全系統組態設定會在 Machine.config 檔案中定義。Machine.config 檔案位於 %SystemRoot%\Microsoft .NET\Framework\%VersionNumber%\CONFIG\ 資料夾中。Machine.config 檔案中包含的預設設定可加以修改,以影響在整個系統上使用 .NET Framework 的應用程式行為。如需設定 Machine.config 檔案的建議,請參閱保護網頁伺服器 (英文) (https://go.microsoft.com/fwlink/?linkid=73705&clcid=0x404) 。
如果在應用程式的根資料夾中建立 Web.config 檔案,則可以變更單一應用程式的 ASP.NET 組態設定。執行此動作時,Web.config 檔案中的設定會覆寫 Machine.config 檔案中的設定。
當您使用管理中心擴充 Web 應用程式時,Windows SharePoint Services 3.0 會自動為該 Web 應用程式建立 Web.config 檔案。
本文稍後的<安全快照新增>一節列出設定 Web.config 檔案的建議。這些建議適用於每個建立的 Web.config 檔案,包含管理中心網站的 Web.config 檔案。
如需 ASP.NET 設定檔及編輯 Web.config 檔案的詳細資訊,請參閱 ASP.NET 設定 (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x404)。
安全快照新增
本節列出模式和實例安全性指南中,針對 Windows SharePoint Services 3.0 環境建議的快照新增。這些資訊會使用模式和實例安全性指南所述的相同類別與順序,以表格格式詳細說明。
此格式可讓您在使用模式和實例安全性指南時,輕鬆識別並套用特定建議。這些強化建議必須在執行 Windows SharePoint Services 3.0 安裝程式之前套用,只有一些註明的例外除外。
如需伺服器陣列中特定伺服器角色之間通訊的詳細資訊,請參閱<規劃強化外部網路環境的安全性 (Windows SharePoint Services)>。
保護網路快照新增
下表說明保護網路新增的建議。
元件 | 特性例外 |
---|---|
All |
沒有其他建議 |
保護網頁伺服器快照新增
下表說明保護網頁伺服器新增的建議。
元件 | 特性 |
---|---|
服務 |
啟用:
確定這些服務在執行安裝程式之後仍然啟用:
|
通訊協定 |
啟用:
停用:
|
帳戶 |
|
檔案和目錄 |
如果啟用電子郵件整合且開啟目錄管理服務功能,請透過保護與 Microsoft SharePoint 目錄管理服務相關的檔案 (SharePointEmailws.asmx),來限制此服務的存取權。例如,只允許伺服器陣列帳戶存取這個檔案。 |
共用 |
沒有其他建議 |
連接埠 |
|
登錄 |
如果使用 SSO,請編輯登錄來設定靜態 RPC。 |
稽核與記錄 |
如果重新放置記錄檔,請確定更新記錄檔位置以便符合。 |
IIS |
請參閱以下的 IIS 指導。 |
網站與虛擬目錄 |
沒有其他建議 |
指令碼對應 |
沒有其他建議 |
ISAPI 篩選器 |
沒有其他建議 |
IIS Metabase |
沒有其他建議 |
.NET Framework |
請參閱以以下的 .NET Framework 指導。 |
Machine.config:HttpForbiddenHandler |
沒有其他建議 |
Machine.config:Remoting |
沒有其他建議 |
Machine.config:Trace |
沒有其他建議 |
Machine.config:compilation |
沒有其他建議 |
Machine.config:customErrors |
沒有其他建議 |
Machine.config:sessionState |
沒有其他建議 |
程式碼存取安全性 |
確定已啟用 Web 應用程式之程式碼存取安全性權限的最低設定 (每個 Web 應用程式之 Web.config 中的 <trust> 元素均應設為 WSS_Minimal (其中 WSS_Minimal 會依照 12\config\wss_minimaltrust.config 所定義使用低預設值),或您的自訂原則檔案也已設為最低值)。 |
LocalIntranet_Zone |
沒有其他建議 |
Internet_Zone |
沒有其他建議 |
Web.config |
將下列建議套用至在執行安裝程式之後建立的每個 Web.config 檔案:
|
保護資料庫伺服器快照新增
下表說明保護資料庫伺服器新增的建議。
元件 | 特性例外 |
---|---|
服務 |
沒有其他建議 |
通訊協定 |
沒有其他建議 |
帳戶 |
定期手動移除未使用的帳戶。 |
檔案和目錄 |
沒有其他建議 |
共用 |
沒有其他建議 |
連接埠 |
|
登錄 |
沒有其他建議 |
稽核與記錄 |
沒有其他建議 |
SQL Server 設定 |
請參閱以下的 SQL Server 設定指導。 |
SQL Server 安全性 |
沒有其他建議 |
SQL Server 登入、使用者和角色 |
沒有其他建議 |
SQL Server 資料庫物件 |
沒有其他建議 |
下載本書
本主題隨附於下列可下載的叢書中,以便於閱讀與列印:
請參閱 Windows SharePoint Services 可下載的叢書 (英文) 上提供的完整叢書清單。