日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

即使毫無(wú)經(jīng)驗(yàn)的管理員也可以在幾個(gè)小時(shí)內(nèi)成功部署 Microsoft Office SharePoint Server 2007。盡管基本的部署確實(shí)能夠正常使用，但是它很可能未經(jīng)過(guò)相應(yīng)的配置以實(shí)現(xiàn)最佳安全性。SharePoint Server 2007 是一種很容易安裝、但很難正確安裝的應(yīng)用程序。

在金牛等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都網(wǎng)站制作、成都網(wǎng)站建設(shè) 網(wǎng)站設(shè)計(jì)制作按需網(wǎng)站開(kāi)發(fā),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),成都品牌網(wǎng)站建設(shè),成都營(yíng)銷網(wǎng)站建設(shè),外貿(mào)網(wǎng)站制作,金牛網(wǎng)站建設(shè)費(fèi)用合理。

使得安全性極具挑戰(zhàn)性的原因是 SharePoint 2007 試圖通過(guò)一款產(chǎn)品來(lái)滿足所有人的所有需要。SharePoint 2007 是一款 Web 應(yīng)用程序，但您也可以將其當(dāng)作協(xié)作工具、文檔服務(wù)器，甚至開(kāi)發(fā)框架。SharePoint 的抽象和高度可定制的本質(zhì)使得很難保護(hù)其安全。

正如您可能已經(jīng)指出的那樣，沒(méi)有什么神奇的解決方案可以保護(hù) SharePoint 的安全。每一個(gè) SharePoint 部署都是獨(dú)特的，因此不可能有什么“萬(wàn)能型”的解決方案。但是，有一些基本的方法適用于所有部署。

如果您曾經(jīng)創(chuàng)建過(guò) SharePoint 站點(diǎn)，您一定知道 SharePoint 采用了模塊化設(shè)計(jì)，它提供了一些構(gòu)造塊，用于創(chuàng)建 SharePoint 站點(diǎn)、站點(diǎn)集合、列表、庫(kù)等等。談到安全性，您可以充分利用這種模塊化的本質(zhì)。

具體的思路是重點(diǎn)保護(hù) SharePoint 部署中各個(gè)組件的安全。SharePoint 的模塊化本質(zhì)意味著您的部署通常需要許多單獨(dú)的 SharePoint 服務(wù)器。因此，如果您希望保護(hù)部署的安全，就必須保護(hù)這些單獨(dú)的服務(wù)器的安全。

SQL Server

SharePoint 列表和庫(kù)中包含的所有數(shù)據(jù)均存儲(chǔ)在基礎(chǔ) SQL Server 數(shù)據(jù)庫(kù)中，后者還存儲(chǔ)了大部分 SharePoint 配置設(shè)置。很明顯，正確保護(hù) SQL Server 的安全是至關(guān)重要的。

小型組織通常將 SQL Server 和 SharePoint 安裝在同一臺(tái)服務(wù)器上，以便降低服務(wù)器硬件的成本。但是，無(wú)論是從安全性還是從性能的角度來(lái)看，將 SQL Server 和 SharePoint 部署在一臺(tái)公用的機(jī)器上都不是一個(gè)好主意。

IT 安全中的一條最基本的概念是盡可能減少服務(wù)器的受攻擊面。如果 SQL 和 SharePoint 位于同一臺(tái)服務(wù)器上，該服務(wù)器的受攻擊面就會(huì)非常大。因此，我的第一條建議是在專用的機(jī)器上運(yùn)行 SQL Server。如果專用的 SQL Server 超出了您組織的預(yù)算，可以考慮使用服務(wù)器虛擬化技術(shù)來(lái)隔離 SQL 和 SharePoint。

另一個(gè)好主意是禁用所有不使用的服務(wù)和組件?；镜?SharePoint 部署需要使用 SQL Server 的數(shù)據(jù)庫(kù)引擎、SQL Server 代理和 SQL Server 瀏覽器組件。更高級(jí)的安裝可能需要全文索引、分析或報(bào)告服務(wù)。

如何確定您要禁用哪些功能？Microsoft 提供了一個(gè)名為 SQL Server 外圍應(yīng)用配置器（如圖 1 所示）的工具，可以幫助您完成此過(guò)程。此工具用于分析您的 SQL Server 實(shí)施并禁用任何未使用的功能。您應(yīng)該在 SharePoint 正常運(yùn)行后運(yùn)行此工具。

若要訪問(wèn)此工具，請(qǐng)從服務(wù)器的“開(kāi)始”|“所有程序”|“Microsoft SQL Server 2005”|“配置工具”菜單中選擇“SQL Server 外圍應(yīng)用配置器”選項(xiàng)。

圖 1 SQL Server 外圍應(yīng)用配置器可幫助您找出可以禁用哪些組件和服務(wù)。

您還應(yīng)該慎重考慮為 SQL Server 安全性選擇的身份驗(yàn)證方法。盡管您可以選擇混合模式或 Windows 身份驗(yàn)證模式，但是您應(yīng)該盡可能將 SQL Server 配置為使用 Windows 身份驗(yàn)證。Windows 模式比混合模式更安全，因?yàn)樗谏矸蒡?yàn)證過(guò)程中使用 Kerberos 安全協(xié)議。而且，由于 Windows 身份驗(yàn)證使用域用戶帳戶，因此您在 Active Directory 中建立的任何密碼策略仍然生效。

服務(wù)帳戶

管理員在部署 SharePoint 2007 時(shí)犯的最大的安全錯(cuò)誤之一是他們沒(méi)有正確配置服務(wù)帳戶。如果您曾經(jīng)安裝過(guò) SharePoint 2007，您肯定知道，在部署和配置過(guò)程中會(huì)多次要求您提供服務(wù)帳戶。

管理員經(jīng)常會(huì)創(chuàng)建一個(gè)單獨(dú)的服務(wù)帳戶，然后在整個(gè) SharePoint 安裝過(guò)程中使用該帳戶。盡管所獲得的 SharePoint 服務(wù)器能夠正常使用，但是此方法從安全角度來(lái)看是有風(fēng)險(xiǎn)的。

問(wèn)題在于：只要您向 SharePoint 提供服務(wù)帳戶，都會(huì)向該帳戶授予執(zhí)行當(dāng)前任務(wù)的權(quán)限。SharePoint 僅僅向帳戶提供執(zhí)行其工作所需的權(quán)限，而不會(huì)提供更多權(quán)限。但是如果您在整個(gè)部署過(guò)程中多次使用同一個(gè)服務(wù)帳戶，最終該帳戶就會(huì)擁有過(guò)多的權(quán)限，因?yàn)樵谀看问褂脮r(shí)，它都會(huì)獲得更多權(quán)限。以后就可能會(huì)有人利用這些過(guò)多的權(quán)限在 SharePoint 服務(wù)器上運(yùn)行代碼，進(jìn)而控制服務(wù)器。

對(duì)于如何規(guī)劃 SharePoint 所使用的帳戶結(jié)構(gòu)，存在大量相互矛盾的信息，甚至很難確認(rèn)哪些是推薦的最佳做法。毫無(wú)疑問(wèn)，如果您執(zhí)行基本的 SharePoint 部署，建議最少使用五個(gè)單獨(dú)的帳戶。

此外，還建議您單獨(dú)創(chuàng)建一個(gè)特殊的用戶帳戶，專門用于安裝 SharePoint 和 SQL Server。管理員的常見(jiàn)做法是在部署 SharePoint 時(shí)，使用自己的個(gè)人帳戶或域管理員帳戶進(jìn)行登錄。從安全角度來(lái)看，使用現(xiàn)有帳戶可能是一個(gè)錯(cuò)誤，因?yàn)樵搸魧⒈皇谟韪鄼?quán)限，以便完成安裝過(guò)程。

如果您決定使用專用的安裝帳戶，則必須使該帳戶成為每臺(tái) SharePoint 服務(wù)器上的本地管理員組的成員。您還必須使該帳戶成為 SQL Server 登錄組的成員，從而使該帳戶能夠登錄您的 SQL Server 實(shí)例。

最后，您需要向該帳戶授予 SQL Server 上的“SQL Server 數(shù)據(jù)庫(kù)創(chuàng)建者”和“SQL Server 安全管理員”角色。這些角色使得該帳戶有權(quán)創(chuàng)建和修改數(shù)據(jù)庫(kù)以及管理 SQL Server 的安全性。這些特殊權(quán)限是建議使用專用的用戶帳戶的根源。

除了創(chuàng)建專用于 SharePoint 安裝過(guò)程的帳戶以外，您還必須創(chuàng)建其他一些服務(wù)帳戶：

數(shù)據(jù)庫(kù)訪問(wèn)帳戶。這是 SharePoint 用來(lái)與 SQL Server 數(shù)據(jù)庫(kù)通信的帳戶。

SharePoint 搜索服務(wù)帳戶。SharePoint 搜索服務(wù)將使用此帳戶把內(nèi)容索引文件寫(xiě)入索引服務(wù)器，以及把索引信息復(fù)制到服務(wù)器場(chǎng)中存在的任何查詢服務(wù)器。

內(nèi)容訪問(wèn)帳戶。此帳戶用于在特定的共享服務(wù)提供程序內(nèi)遍訪內(nèi)容。在有些情況下，您可能需要?jiǎng)?chuàng)建多個(gè)內(nèi)容訪問(wèn)帳戶，以便分別遍訪多個(gè)內(nèi)容源。

應(yīng)用程序池服務(wù)帳戶。此帳戶由 IIS 內(nèi)的工作進(jìn)程使用。池內(nèi)的 Web 應(yīng)用程序必須能夠訪問(wèn) SharePoint 內(nèi)容數(shù)據(jù)庫(kù)，并且“應(yīng)用程序池標(biāo)識(shí)”帳戶也利用了此進(jìn)程。

SQL Server 服務(wù)帳戶。SQL Server 也需要一個(gè)服務(wù)帳戶，您應(yīng)該為此目的使用一個(gè)專用的帳戶。

更加高級(jí)的 SharePoint 部署可能需要使用更多服務(wù)帳戶。本文末尾的“相關(guān)內(nèi)容”部分中有一個(gè)鏈接指向一篇 TechNet 文章，該文章提供了您可能需要的其他服務(wù)帳戶的相關(guān)詳細(xì)信息。

命名約定

到現(xiàn)在為止，您可以看到，在開(kāi)始部署 SharePoint 之前就需要?jiǎng)?chuàng)建大量帳戶。確保順利完成部署的一項(xiàng)技巧是在您創(chuàng)建服務(wù)帳戶之前先確定它們的命名約定。

您可以使用不同的方法來(lái)建立服務(wù)帳戶命名約定，但是應(yīng)該遵循一些基本的規(guī)則。建議盡可能使用描述性的名稱，并花時(shí)間記錄所選的名稱及其目標(biāo)用途。例如，您可以將 SharePoint 搜索帳戶命名為類似 SPT_Search 的形式。

不拼寫(xiě)出 SharePoint，是由于存在一些舊的限制。Windows 允許用戶名的總長(zhǎng)度超過(guò) 100 個(gè)字符，但是每個(gè)用戶名的長(zhǎng)度不能超過(guò) 16 個(gè)字符。長(zhǎng)用戶名偶爾會(huì)由于舊的硬件或軟件而導(dǎo)致意外的問(wèn)題。盡管這種情況很少見(jiàn)，但確實(shí)存在，因此最好堅(jiān)持使用短用戶名。

請(qǐng)注意，盡管我建議使用描述性的服務(wù)帳戶名稱，而且這種名稱確實(shí)會(huì)使管理員的工作更加輕松，但是這么做并非總是能提供最佳安全性。服務(wù)帳戶是黑客中意的目標(biāo)，因?yàn)樗鼈儽绕胀ㄓ脩魩魮碛懈叩臋?quán)限。它們經(jīng)常使用靜態(tài)的、一成不變的密碼。對(duì)于這種情況，您可能需要考慮隱藏您的服務(wù)帳戶。如果您這么做，務(wù)必記錄服務(wù)帳戶的名稱和功能。

加密流量

在規(guī)劃 SharePoint 部署時(shí)，管理員花費(fèi)大量時(shí)間來(lái)設(shè)計(jì)服務(wù)器的體系結(jié)構(gòu)。有時(shí)候會(huì)忽略的一個(gè)要素是公鑰基礎(chǔ)結(jié)構(gòu) (PKI)。您需要在部署 SharePoint 之前準(zhǔn)備好 PKI，這樣才能正確加密 SharePoint 流量。SharePoint 服務(wù)器與最終用戶之間的 HTTP 流量必須進(jìn)行 SSL 加密（使用 HTTPS）。

同樣，SharePoint 服務(wù)器之間的流量也應(yīng)該使用 IPSec 進(jìn)行加密。這兩種加密均依賴于證書(shū)和基礎(chǔ) PKI 結(jié)構(gòu)。

這些最佳安全做法并不全面。但是，要盡可能保護(hù) SharePoint 安裝的安全，它們是一個(gè)好的開(kāi)頭。

本文地址

本文來(lái)源：微軟TechNet中文站

文章題目：SharePoint安全性：保護(hù)SharePoint部署的基礎(chǔ)知識(shí)
當(dāng)前路徑：http://www.dlmjj.cn/article/cdghcpi.html