Partager via

Planifier le renforcement de la sécurité des rôles serveurs dans une batterie de serveurs (Office SharePoint Server)

  • Article

Mise à jour : 2009-04-23

Dans cet article :

  • À propos du renforcement de la sécurité

  • Recommandations pour les serveurs d’applications

  • Sécuriser la communication avec la base de données Microsoft SQL Server

  • Conditions requises par le service de partage de fichiers et d’imprimantes

  • Conditions requises pour le renforcement de l’authentification unique

  • Services Web Office Server

  • Connexions aux serveurs externes

  • Services requis pour l’intégration de messagerie

  • Conditions de service requises pour l’état de session

  • Services Office SharePoint Server

  • Comptes et groupes

  • Fichier Web.config

  • Sécuriser les ajouts de captures instantanées

Utilisez cet article pour planifier la sécurité de la batterie de serveurs. Les tâches indiquées dans l’article sont appropriées aux environnements de sécurité suivants :

  • Informatique hébergée interne

  • Collaboration sécurisée externe

  • Accès anonyme externe

À propos du renforcement de la sécurité

Dans un environnement de batterie de serveurs, les serveurs jouent des rôles spécifiques. Les recommandations de renforcement de la sécurité pour ces serveurs dépendent du rôle joué par chacun d’eux.

Les recommandations de renforcement de la sécurité s’ajoutent aux recommandations fournies dans les guides de sécurité suivants qui se trouvent dans Modèles & pratiques Microsoft (https://msdn2.microsoft.com/fr-fr/practices/default.aspx) :

Ces guides adoptent une démarche méthodique pour sécuriser les serveurs pour des rôles spécifiques et pour sécuriser le réseau de prise en charge. Ils indiquent également l’ordre dans lequel les paramètres sont appliqués, les applications installées et les protections renforcées, en commençant par l’application des correctifs et des mises à jour, suivi par le renforcement des paramètres de gestion de réseau et du système d’exploitation et en terminant par le renforcement spécifique aux applications. Par exemple, le guide Sécurisation de votre serveur Web (https://msdn2.microsoft.com/fr-fr/library/aa302432.aspx?amp;clcid=0x40c) vous recommande d’installer et de renforcer la sécurité d’Internet Information Services (IIS) uniquement après avoir installé les correctifs et renforcé le système d’exploitation. En outre, ce guide indique d’installer Microsoft .NET Framework uniquement après avoir appliqué le correctif et renforcé la sécurité d’IIS.

Les catégories de paramètres de sécurité, qui sont indiquées avec méthode dans le guide Sécurisation de votre serveur Web (hhttps://msdn2.microsoft.com/fr-fr/library/aa302432.aspx?amp;clcid=0x40c), sont détaillées dans la figure ci-dessous.

Catégories de paramètres de sécurité

En outre, chacun des trois guides contient une capture instantanée sécurisée et une liste de paramètres de sécurité recommandés pour le rôle serveur spécifique ou pour le réseau. Les listes de captures instantanées sont classées par catégories, lesquelles correspondent aux paramètres de sécurité illustrés dans la figure précédente.

Les recommandations sur le renforcement et la conception de la sécurité fournies dans cet article sont basées sur les recommandations de ces trois guides. Elles supposent que vous vous baserez sur ces guides pour la sécurisation et le renforcement de la protection de votre batterie de serveurs.

Cet article décrit les exceptions ou les ajouts de captures instantanées qui sont recommandés pour votre environnement. Ils sont détaillés sous forme de tableau et utilisent les mêmes catégories et le même ordre que dans les trois guides de sécurité. Ce format est destiné à vous permettre d’identifier et d’appliquer plus facilement les recommandations spécifiques lors de l’utilisation des guides.

Le guide Déploiement d’Office SharePoint 2007 (https://go.microsoft.com/fwlink/?linkid=76139&clcid=0x40C) fournit des instructions de sécurité qui ne figurent pas dans les guides de sécurité des modèles et pratiques.

La nature de la communication serveur à serveur dans une batterie de serveurs et les fonctionnalités spécifiques fournies par Microsoft Office SharePoint Server 2007 sont les principales raisons des recommandations de renforcement spécifiques. Cet article décrit également de quelle manière les canaux de communication clés et les fonctionnalités d’Office SharePoint Server 2007 affectent les conditions de sécurité.

Recommandations pour les serveurs d’applications

Dans Office SharePoint Server 2007, les rôles Serveurs d’applications ne sont pas des serveurs d’applications intermédiaires standard fournis dans des applications de services d’entreprise. Par conséquent, les recommandations du guide Sécurisation de votre serveur d’applications (https://msdn2.microsoft.com/fr-fr/library/aa302433.aspx) ne s’appliquent pas aux serveurs d’applications Office SharePoint Server 2007. Il est donc préférable d’utiliser les instructions fournies dans le guide Sécurisation de votre serveur Web (https://msdn2.microsoft.com/fr-fr/library/aa302432.aspx?amp;clcid=0x40c) pour renforcer la protection des serveurs d’applications Office SharePoint Server 2007 :

  • Appliquez les instructions pour les paramètres de gestion de réseau et du système d’exploitation à tous les serveurs d’applications de la batterie de serveurs. Ces instructions comportent les catégories suivantes : correctifs et mises à jour, services, protocoles, comptes, fichiers et répertoires, partages, ports, Registre, audit et journalisation.

  • Appliquez les instructions pour le renforcement de la sécurité d’IIS et des autres paramètres Web uniquement au serveur d’applications qui héberge le site Web Administration centrale. Ces instructions comportent les catégories suivantes : IIS, Machine.config, sécurité d’accès du code, LocalIntranet_Zone et Internet_Zone.

Outre l’utilisation de la capture instantanée sécurisée dans Sécurisation de votre serveur Web (https://msdn2.microsoft.com/fr-fr/library/aa302432.aspx?amp;clcid=0x40c), appliquez également les recommandations fournies dans la section Sécuriser les ajouts de captures instantanées plus loin dans cet article.

Sécuriser la communication avec la base de données Microsoft SQL Server

Sécurisation de votre serveur de bases de données (https://go.microsoft.com/fwlink/?linkid=73706&clcid=0x40C) recommande de restreindre l’accès à deux ports de communication Microsoft SQL Server par défaut : le port TCP 1433 et le port UDP 1434. Pour sécuriser des environnements de batterie de serveurs, il est recommandé de :

  • Bloquer le port UDP 1434 entièrement.

  • Configurer des instances nommées SQL Server pour écouter sur un port non standard (autre que le port TCP 1433 ou le port UDP 1434).

  • Pour plus de sécurité, bloquer le port TCP 1433 et réaffecter le port utilisé par l’instance par défaut à un port non standard.

  • Configurer les alias clients SQL sur tous les serveurs Web frontaux et les serveurs d’applications de la batterie de serveurs. Après avoir bloqué le port TCP 1433 ou le port UDP 1434, les alias clients SQL sont nécessaires sur tous les ordinateurs qui communiquent avec l’ordinateur SQL Server.

Cette méthode vous offre un moyen beaucoup plus important de contrôler le mode de déploiement et d’exécution de SQL Server, notamment la possibilité de vous assurer que seuls les ordinateurs autorisés peuvent communiquer avec l’ordinateur SQL Server.

Vous devez avoir effectué la procédure de renforcement pour la création d’un alias client SQL avant d’installer Office SharePoint Server 2007. Lorsque vous exécutez le programme d’installation d’Office SharePoint Server 2007 et que vous êtes invité à entrer le nom de l’ordinateur SQL Server auquel se connecter, vous devez entrer le nom de l’alias client SQL.

Blocage des ports SQL Server standard

Le fait que les bases de données soient installées sur une instance par défaut de SQL Server ou sur une instance nommée de SQL Server a une incidence sur les ports spécifiques utilisés pour se connecter à SQL Server. L’instance par défaut de SQL Server écoute les demandes des clients sur le port TCP 1433, tandis qu’une instance nommée de SQL Server écoute sur un numéro de port affecté de manière aléatoire. En outre, le numéro de port d’une instance nommée peut être réaffecté si l’instance redémarre (à condition que le numéro de port déjà affecté soit toujours disponible).

Par défaut, les ordinateurs clients qui se connectent à SQL Server se connectent d’abord par l’intermédiaire du port TCP 1433. Si cette communication échoue, ils interrogent le service de résolution SQL Server sur le port UDP 1434 pour déterminer le port sur lequel l’instance de base de données est à l’écoute.

Le comportement par défaut de SQL Server, qui consiste à communiquer par le biais des ports, présente plusieurs problèmes qui affectent le renforcement de la protection des serveurs. Tout d’abord, les ports utilisés par SQL Server sont des ports largement ouverts au public et le service de résolution SQL Server a déjà été la cible d’attaques par dépassement de la mémoire tampon et d’attaques par déni de service, y compris du ver informatique « Slammer ». Même si SQL Server est corrigé pour atténuer les problèmes de sécurité dans le service de résolution SQL Server, les ports largement ouverts au public demeurent une cible. Ensuite, si les bases de données sont installées sur une instance nommée de SQL Server, le port de communication correspondant est affecté de manière aléatoire et peut changer. Ce comportement risque d’empêcher la communication de serveur à serveur dans un environnement renforcé. La possibilité de contrôler l’ouverture et le blocage des ports TCP est essentielle pour sécuriser votre environnement.

Par conséquent, la recommandation pour une batterie de serveurs consiste à affecter des numéros de port statiques à des instances nommées de SQL Server et à bloquer le port UDP 1434 pour empêcher d’éventuels pirates d’accéder au service de résolution SQL Server. En outre, songez à réaffecter le port utilisé par l’instance par défaut et à bloquer également le port TCP 1433.

Il existe plusieurs méthodes pour bloquer les ports. Vous pouvez le faire à l’aide d’un pare-feu. Toutefois, à moins d’être certain qu’il n’existe aucun autre itinéraire dans le segment réseau et qu’aucun utilisateur malveillant n’a accès au segment réseau, la recommandation consiste à bloquer ces ports directement sur le serveur qui héberge SQL Server. Pour ce faire, vous pouvez utiliser le Pare-feu Windows dans le Panneau de configuration.

Configuration des instances de base de données SQL Server pour écouter sur un port non standard

SQL Server offre la possibilité de réaffecter les ports utilisés par l’instance par défaut et les instances nommées. Dans SQL Server 2000, réaffectez les ports à l’aide de l’Utilitaire réseau SQL Server. Dans SQL Server 2005, réaffectez les ports à l’aide du Gestionnaire de configuration SQL Server.

Configuration des alias clients SQL

Dans une batterie de serveurs, tous les serveurs Web frontaux et les serveurs d’applications sont des ordinateurs clients SQL Server. Si vous bloquez le port UDP 1434 sur l’ordinateur SQL ou si vous modifiez le port par défaut de l’instance par défaut, vous devez configurer un alias client SQL sur tous les serveurs qui se connectent à l’ordinateur SQL Serveur.

Pour vous connecter à une instance de SQL Server 2000, installez les outils clients SQL sur l’ordinateur cible, puis configurez l’alias client SQL. Pour installer les outils, exécutez le programme d’installation de SQL Server et sélectionnez Outils clients SQL Server.

Pour vous connecter à une instance de SQL Server 2005, installez les composants clients SQL Server sur l’ordinateur client, puis configurez l’alias client SQL à l’aide du Gestionnaire de configuration SQL Server. Pour installer les composants clients SQL Server, exécutez le programme d’installation et sélectionnez uniquement les composants clients suivants à installer :

  • Composants de connectivité

  • Outils de gestion (notamment, le Gestionnaire de configuration SQL Server)

Les composants clients SQL Server fonctionnent avec SQL Server 2000 et peuvent être utilisés à la place des outils clients SQL Server.

Procédure de renforcement

Configurer SQL Server

Configurer une instance SQL Server 2000 pour écouter sur un port non défini par défaut

Faites appel à l’Utilitaire réseau SQL Server pour modifier le port TCP utilisé par une instance de SQL Server 2000.

  1. Sur l’ordinateur SQL Server, exécutez l’Utilitaire réseau SQL Server.

  2. Dans le menu Instance(s) sur ce serveur, sélectionnez l’instance. Assurez-vous d’avoir sélectionné l’instance souhaitée. Par défaut, l’instance par défaut écoute sur le port 1433. Étant donné que les instances nommées de SQL Server 2000 reçoivent un numéro de port aléatoire, il est possible que vous ne connaissiez pas le numéro de port actif affecté à une instance nommée lorsque vous exécutez l’Utilitaire réseau SQL Server.

  3. Dans le volet Protocoles activés situé sur le côté droit de l’interface Utilitaire réseau SQL Server, cliquez sur TCP/IP, puis cliquez sur Propriétés.

  4. Dans la boîte de dialogue Configuration de la valeur par défaut du protocole réseau, modifiez le numéro de port TCP. Évitez d’utiliser l’un des ports TCP connus. Par exemple, sélectionnez un numéro de port élevé, comme 40000. N’activez pas la case à cocher Masquer le serveur.

  5. Cliquez sur OK.

  6. Dans la boîte de dialogue Utilitaire réseau SQL Server, cliquez sur OK. Vous recevez un message indiquant que la modification ne prendra effet qu’après le redémarrage du service. Cliquez sur OK.

  7. Redémarrez le service SQL Server et vérifiez que votre ordinateur SQL Server est à l’écoute sur le port que vous avez sélectionné. Vous pouvez le vérifier en recherchant dans le journal de l’Observateur d’événements après avoir redémarré le service SQL Server. Recherchez un événement d’information semblable à l’événement suivant :

    Type d’événement : information

    Source d’événement : MSSQLSERVER

    Catégorie d’événement : (2)

    ID d’événement : 17055

    Date : 3/6/2008

    Heure : 11:20:28

    Utilisateur : N/A

    Ordinateur :nom_ordinateur

    Description :

    19013 :

    SQL Server à l’écoute sur 10.1.2.3: 40000

Configurer une instance SQL Server 2005 pour écouter sur un port non défini par défaut

Modifiez le port TCP utilisé par une instance de SQL Server 2005 à l’aide du Gestionnaire de configuration SQL Server.

  1. Modifiez le port TCP utilisé par une instance de SQL Server 2005 à l’aide du Gestionnaire de configuration SQL Server.

  2. Sur l’ordinateur SQL Server, ouvrez le Gestionnaire de configuration SQL Server.

  3. Dans le volet gauche, développez Configuration réseau SQL Server 2005.

  4. Sous Configuration réseau SQL Server 2005, cliquez sur l’entrée correspondant à l’instance que vous configurez. L’instance par défaut est répertoriée en tant que Protocoles pour MSSQLSERVER. Les instances nommées seront désignées comme Protocoles pour instance_nommée.

  5. Dans le volet droit, cliquez avec le bouton droit sur TCP/IP et cliquez sur Propriétés.

  6. Cliquez sur l’onglet Adresses IP. À chaque adresse IP attribuée à l’ordinateur SQL Server correspond une entrée dans cet onglet. Par défaut, l’ordinateur SQL Server écoute toutes les adresses IP attribuées à l’ordinateur.

  7. Pour modifier globalement le port que l’instance par défaut écoute, procédez comme suit :

    1. Pour chaque adresse IP, à l’exception de la section IPAll, effacez toutes les valeurs dans les champs Ports TCP dynamiques et Port TCP.

    2. Pour la section IPAll, effacez la valeur du champ Ports TCP dynamiques. Dans le champ Port TCP, entrez le port que vous voulez que l’instance de SQL Server écoute. Par exemple, entrez 40000.

  8. Pour modifier globalement le port qu’une instance nommée écoute, procédez comme suit :

    1. Pour chaque adresse IP, y compris pour IPAll, effacez toutes les valeurs du champ Ports TCP dynamiques. Une valeur égale à 0 pour ce champ indique que SQL Server utilise un port TCP dynamique pour l’adresse IP. Une entrée vierge pour cette valeur signifie que SQL Server 2005 n’utilisera pas de port TCP dynamique pour l’adresse IP.

    2. Pour chaque adresse IP, à l’exception de IPAll, effacez toutes les valeurs du champ Port TCP.

    3. Pour la section IPAll, effacez la valeur du champ Ports TCP dynamiques. Dans le champ Port TCP, entrez le port que vous voulez que l’instance de SQL Server écoute. Par exemple, entrez 40000.

  9. Cliquez sur OK. Vous recevez un message indiquant que la modification ne prendra effet qu’après le redémarrage du service SQL Server. Cliquez sur OK.

  10. Fermez le Gestionnaire de configuration SQL Server.

  11. Redémarrez le service SQL Server et vérifiez que l’ordinateur SQL Server est à l’écoute sur le port que vous avez sélectionné. Vous pouvez le vérifier en recherchant dans le journal de l’Observateur d’événements après avoir redémarré le service SQL Server. Recherchez un événement d’information semblable à l’événement suivant :

    Type d’événement : information

    Source d’événement : MSSQL$MSSQLSERVER

    Catégorie d’événement : (2)

    ID d’événement : 26022

    Date : 3/6/2008

    Heure : 13:46:11

    Utilisateur : N/A

    Ordinateur :nom_ordinateur

    Description :

    Le serveur est à l’écoute sur [ 'any' <ipv4>50000]

Configurer le Pare-feu Windows

Configurer le Pare-feu Windows pour bloquer les ports d’écoute SQL Server par défaut

  1. Dans le Panneau de configuration, ouvrez Pare-feu Windows.

  2. Dans l’onglet Général, cliquez sur Activer. Assurez-vous que la case à cocher Ne pas autoriser les exceptions est désactivée.

  3. Dans l’onglet Exceptions, cliquez sur Ajouter un port.

  4. Dans la boîte de dialogue Ajouter un port, entrez un nom pour le port. Par exemple, entrez UDP-1434. Ensuite, entrez le numéro de port. Par exemple, entrez 1434.

  5. Sélectionnez la case d’option appropriée : UDP ou TCP. Par exemple, pour bloquer le port 1434, cliquez sur UDP. Pour bloquer le port 1433, cliquez sur TCP.

  6. Cliquez sur Modifier l’étendue et assurez-vous que l’étendue pour cette exception est définie sur N’importe quel ordinateur (y compris ceux présents sur Internet).

  7. Cliquez sur OK.

  8. Dans l’onglet Exceptions, recherchez l’exception que vous avez créée. Pour bloquer le port, désactivez la case à cocher correspondant à cette exception. Par défaut, cette case à cocher est activée, ce qui signifie que le port est ouvert.

Configurer le Pare-feu Windows pour ouvrir les ports attribués manuellement

  1. Effectuez les étapes 1 à 7 de la procédure précédente pour créer une exception pour le port que vous avez attribué manuellement à une instance SQL. Par exemple, créez une exception pour le port TCP 40000.

  2. Dans l’onglet Exceptions, recherchez l’exception que vous avez créée. Assurez-vous que la case à cocher correspondant à l’exception est activée. Par défaut, cette case à cocher est activée, ce qui signifie que le port est ouvert.

    NoteRemarque :

    Pour plus d’informations sur l’utilisation du protocole IPsec (Internet Protocol security) pour sécuriser les communications vers et à partir de votre ordinateur SQL Server, voir l’article 233256 de la Base de connaissances Microsoft : Comment faire pour activer le trafic IPsec par le biais d’un pare-feu (https://support.microsoft.com/default.aspx?scid=kb;fr-fr;233256&clcid=0x40c).

Configurer un alias client SQL

Configurer un alias client SQL

Si vous bloquez le port UDP 1434 ou le port TCP 1433 sur l’ordinateur SQL Server, vous devez créer un alias client SQL sur tous les autres ordinateurs de la batterie de serveurs. Vous pouvez utiliser les composants clients SQL Server pour créer un alias client SQL pour les ordinateurs qui se connectent à SQL Server 2000 ou SQL Server 2005.

  1. Exécutez le programme d’installation de SQL Server 2005 sur l’ordinateur cible et sélectionnez les composants client suivants à installer :

    1. Composants de connectivité

    2. Outils de gestion

  2. Ouvrez le Gestionnaire de configuration SQL Server.

  3. Dans le volet gauche, cliquez sur Configuration de SQL Native Client.

  4. Dans le volet droit, cliquez avec le bouton droit sur Alias et sélectionnez Nouvel alias.

  5. Dans la boîte de dialogue Alias, entrez un nom pour l’alias, puis entrez le numéro de port pour l’instance de base de données. Par exemple, entrez SharePoint*_alias* .

  6. Dans le champ Numéro de port, entrez le numéro de port pour l’instance de base de données. Par exemple, entrez 40000. Assurez-vous que le protocole est défini sur TCP/IP.

  7. Dans le champ Serveur, entrez le nom de l’ordinateur SQL Server.

  8. Cliquez sur Appliquer, puis sur OK.

Tester l’alias client SQL

Testez la connectivité à l’ordinateur SQL Server à l’aide de Microsoft SQL Server Management Studio, qui est disponible en installant les composants clients SQL Server.

  1. Ouvrez SQL Server Management Studio.

  2. Lorsque vous êtes invité à entrer un nom de serveur, entrez le nom de l’alias que vous avez créé, puis cliquez sur Connexion. Si la connexion est réussie, SQL Server Management Studio est rempli avec des objets qui correspondent à la base de données distante.

    NoteRemarque :

    Pour vérifier la connectivité à des instances de base de données supplémentaires dans SQL Server Management Studio, cliquez sur le bouton Connexion et sélectionnez Moteur de base de données .

Conditions requises par le service de partage de fichiers et d’imprimantes

Plusieurs fonctionnalités de base dépendent du service Partage de fichiers et d’imprimantes et des protocoles et ports correspondants. La liste non exhaustive de ces fonctionnalités est la suivante :

  • Requêtes de recherche   Toutes les requêtes de recherche nécessitent le service Partage de fichiers et d’imprimantes.

  • Analyse et indexation de contenu   Pour analyser le contenu, le composant d’index envoie des demandes via le serveur Web frontal. Ce dernier communique directement avec les bases de données et renvoie les résultats au serveur d’index. Cette communication nécessite le service Partage de fichiers et d’imprimantes.

  • Propagation des index   Si le rôle Requête est installé sur un serveur différent de celui du rôle Index, le serveur d’index copie les index de contenu sur les serveurs de requête. Cette action requiert le service Partage de fichiers et d’imprimantes et les ports et protocoles correspondants.

Le service Partage de fichiers et d’imprimantes requiert l’utilisation de canaux nommés. Les canaux nommés peuvent communiquer en utilisant le protocole SMB à hébergement direct ou le protocole NBT. Pour un environnement sécurisé, le protocole SMB à hébergement direct est recommandé plutôt que le protocole NBT. Les recommandations de renforcement de la sécurité fournies dans cet article supposent l’utilisation du protocole SMB.

Le tableau suivant décrit les conditions requises par le renforcement de la sécurité qui sont générées par la dépendance au service Partage de fichiers et d’imprimantes.

Catégorie Condition requise Remarques

Services

Partage de fichiers et d’imprimantes

Requiert l’utilisation de canaux nommés.

Protocoles

Canaux nommés utilisant le protocole SMB à hébergement direct

Désactiver le protocole NBT

Les canaux nommés peuvent utiliser le protocole NBT au lieu du protocole SMB à hébergement direct. Toutefois, le protocole NBT n’est pas considéré comme étant aussi sécurisé que le protocole SMB à hébergement direct.

Ports

Port TCP/UDP 445

Utilisé par le protocole SMB à hébergement direct.

Pour plus d’informations sur la désactivation du protocole NBT, voir l’article 204279 de la Base de connaissances Microsoft : Hébergement direct de SMB sur TCP/IP (https://support.microsoft.com/kb/q204279/?amp;clcid=0x40c).

Conditions requises pour le renforcement de l’authentification unique

La fonctionnalité d’authentification unique d’Office SharePoint Server 2007 permet de se connecter aux sources de données qui résident hors de la batterie de serveurs. Par défaut, cette fonctionnalité est désactivée sur une batterie de serveurs Office SharePoint Server 2007. Ne configurez pas l’authentification unique, excepté si vous en avez besoin pour vous connecter à des sources de données externes. Étant donné que la fonctionnalité d’authentification unique nécessite l’authentification de l’utilisateur, elle ne fonctionne pas dans un environnement d’accès anonyme externe.

L’authentification unique repose sur le service d’authentification unique Microsoft et les ports et protocoles correspondants. Ce service doit être activé sur les serveurs suivants :

  • Tous les serveurs Web frontaux.

  • Le serveur de clés de chiffrement désigné (rôle généralement hébergé par un serveur d’applications).

  • Rôle Services de calcul Excel.

En outre, si un découpage de sécurité est installé sur le serveur de requête et que ce découpage de sécurité nécessite l’accès aux données d’authentification unique, le service d’authentification unique doit aussi s’exécuter sur ce rôle serveur.

La fonctionnalité d’authentification unique introduit plusieurs contraintes de renforcement pour la batterie de serveur. Le service d’authentification unique utilise l’appel de procédure distante (RPC). RPC utilise le port 135. Il utilise aussi un port assigné dans la plage 1024–65535/TCP. Il est appelé port RPC dynamique. Il est possible d’utiliser une clé de Registre Windows pour limiter la plage des ports RPC dynamiques assignés. Plutôt que d’utiliser tous les ports à numéro élevé (1024–65535), vous pouvez limiter la plage de ports RPC dynamiques à un nombre plus petit. Il s’agit de ports RPC statiques.

Pour plus d’informations sur la limitation des ports utilisés par RPC, voir les sources d’information suivantes :

Le tableau suivant répertorie les contraintes de renforcement introduites par l’authentification unique. Ces contraintes s’appliquent à tous les serveurs de la batterie.

Catégorie Condition requise Remarques

Services

Service d’authentification unique

Nécessite l’utilisation du protocole RPC.

Protocoles

RPC

Configurez RPC statique pour limiter la plage de ports utilisés par RPC dynamique.

Ports

Port TCP 135 et la plage de ports configurée pour RPC dynamique

Ces contraintes de renforcement sont configurées dans le système d’exploitation, et l’ordre dans lequel elles sont configurées est critique pour le déploiement de l’authentification unique. Les contraintes liées aux protocoles et ports peuvent être configurées à tout moment avant de configurer la fonctionnalité d’authentification unique dans Office SharePoint Server 2007. Toutefois, l’ordre dans lequel le service d’authentification unique est activé sur les serveurs de la batterie affecte la configuration de l’authentification unique.

Le premier serveur sur lequel vous activez le service devient le serveur de clés de chiffrement pour la batterie de serveurs. Ce serveur stocke la clé de chiffrement. Il est recommandé d’héberger ce rôle sur un des serveurs d’applications. Le service d’authentification unique doit aussi être activé sur chaque serveur Web frontal de la batterie de serveurs. Ces ordinateurs transmettent les informations d’identification au serveur de clés de chiffrement.

Une configuration réussie de la fonctionnalité d’authentification unique dans Office SharePoint Server 2007 requiert une configuration dans le site Administration centrale, outre l’activation du service d’authentification unique. Par conséquent, n’activez pas le service d’authentification unique avant d’avoir installé Office SharePoint Server 2007. Pour plus d’informations sur la configuration de l’authentification unique, voir l’article Planifier l’authentification unique.

Services Web Office Server

Le service Web Office Server est utilisé par Office SharePoint Server 2007 en tant que canal de communication entre les serveurs Web et les serveurs d’applications. Ce service utilise les ports suivants :

  • TCP 56737

  • TCP/SSL 56738

Connexions aux serveurs externes

Plusieurs fonctionnalités d’Office SharePoint Server 2007 peuvent être configurées pour accéder aux données qui résident sur des serveurs hors de la batterie de serveurs. Si vous configurez l’accès aux données sur des serveurs externes, assurez-vous d’activer la communication entre les ordinateurs appropriés. Dans la plupart des cas, les ports, protocoles et services utilisés varient en fonction de la ressource externe. Par exemple :

  • Les connexions aux partages de fichiers utilisent le service Partage de fichiers et d’imprimantes.

  • Les connexions aux bases de données SQL Server externes utilisent les ports par défaut ou personnalisés pour la communication SQL Server.

  • Les connexions aux bases de données Oracle utilisent généralement OLE DB.

  • Les connexions aux services Web utilisent à la fois HTTP et HTTPS.

Le tableau suivant répertorie les fonctionnalités qui peuvent être configurées pour accéder aux données qui résident sur des serveurs externes à la batterie de serveurs.

Composant fonctionnel Description

Analyse de contenu

Vous pouvez configurer des règles d’analyse pour analyser les données qui résident sur des ressources externes, notamment, sites Web, partages de fichiers, dossiers publics Exchange et applications de données métiers. Lors de l’analyse de sources de données externes, le rôle index communique directement avec ces ressources externes.

Pour plus d’informations, voir Planifier l’analyse du contenu (Office SharePoint Server).

Connexions au catalogue de données métiers

Les serveurs Web et les serveurs d’applications communiquent directement avec les ordinateurs configurés pour les connexions au catalogue de données métiers.

Pour plus d’informations, voir Planifier des connexions de données métiers avec le catalogue de données métiers.

Réception de classeurs Microsoft Office Excel

Si des classeurs ouverts sur Excel Services se connectent à des sources de données externes (par exemple, Analysis Services et SQL Server), les ports TCP/IP appropriés doivent être ouverts pour la connexion à ces sources de données externes. Pour plus d’informations, voir Planifier des connexions de données externes pour Excel Services.

Si des chemins UNC (Universal Naming Convention) sont configurés en tant qu’emplacements approuvés dans Excel Services, le rôle d’application Services de calcul Excel utilise les protocoles et les ports utilisés par le service Partage de fichiers et d’imprimantes pour recevoir des classeurs Office Excel par le biais d’un chemin UNC.

Les classeurs stockés dans des bases de données de contenu ou chargés à partir de sites par des utilisateurs ne sont pas affectés par cette communication.

Services requis pour l’intégration de messagerie

L’intégration de messagerie nécessite l’utilisation de deux services :

  • Le service SMTP (Simple Mail Transfer Protocol)

  • Service de gestion d’annuaire Microsoft SharePoint

Service SMTP

L’intégration de messagerie nécessite l’utilisation du service SMTP sur au moins l’un des serveurs Web frontaux de la batterie de serveurs. Le service SMTP est requis pour le courrier électronique entrant. Pour le courrier électronique sortant, vous pouvez utiliser le service SMTP ou l’acheminer via un serveur de messagerie dédié de votre entreprise, tel qu’un ordinateur Microsoft Exchange Server.

Service de gestion d’annuaire Microsoft SharePoint

Office SharePoint Server 2007 inclut un service interne, le service de gestion d’annuaire Microsoft SharePoint, pour la création des groupes de distribution de messagerie. Lorsque vous configurez l’intégration de messagerie, vous avez la possibilité d’activer la fonctionnalité Service de gestion d’annuaire qui permet aux utilisateurs de créer des listes de distribution. Lorsque les utilisateurs créent un groupe SharePoint et sélectionnent l’option permettant de créer une liste de distribution, le service de gestion d’annuaire Microsoft SharePoint crée la liste de distribution du service d’annuaire Active Directory correspondant dans l’environnement Active Directory.

Dans les environnements renforcés pour la sécurité, la recommandation consiste à restreindre l’accès au service de gestion d’annuaire Microsoft SharePoint en sécurisant le fichier associé à ce service, qui est SharePointEmailws.asmx. Par exemple, autorisez l’accès à ce fichier uniquement au compte de batterie de serveurs.

En outre, ce service nécessite des autorisations dans l’environnement Active Directory pour créer des objets de liste de distribution Active Directory. La recommandation consiste à configurer une unité d’organisation séparée dans Active Directory pour les objets SharePoint. Seule cette unité d’organisation doit autoriser l’accès en écriture au compte utilisé par le service de gestion d’annuaire Microsoft SharePoint.

Conditions de service requises pour l’état de session

Microsoft Office Project Server 2007 et Microsoft Office Forms Server 2007 conservent l’état de session. Si vous déployez ces fonctionnalités ou produits dans votre batterie de serveurs, ne désactivez pas le service État ASP.NET. En outre, si vous déployez InfoPath Forms Services, ne désactivez pas le service État d’affichage.

Services Office SharePoint Server

Ne désactivez pas les services installés par Office SharePoint Server 2007.

Les services suivants sont installés sur tous les serveurs Web frontaux et les serveurs d’applications et s’affichent dans le composant logiciel enfichable Service de Microsoft Management Console (MMC) (par ordre alphabétique) :

  • Service Recherche Office SharePoint Server

  • Administration Windows SharePoint Services

  • Recherche Windows SharePoint Services

  • Minuteur Windows SharePoint Services

  • Suivi Windows SharePoint Services

  • Rédacteur VSS Windows SharePoint Services

Si votre environnement n’autorise pas les services qui s’exécutent en tant que système local, vous pouvez désactiver le service Administration Windows SharePoint Services uniquement si vous en connaissez les conséquences et si vous êtes en mesure de les contourner. Ce service est un service Win32 qui s’exécute en tant que système local.

Ce service est utilisé par le service Minuteur Windows SharePoint Services pour effectuer des actions qui nécessitent des privilèges d’administration sur le serveur, telles que créer des sites Web IIS, déployer du code et arrêter et redémarrer des services. Si vous désactivez ce service, vous ne pourrez pas exécuter les tâches liées au déploiement à partir du site Administration centrale. Il vous faudra utiliser l’outil en ligne de commande Stsadm.exe et exécuter la commande execadminsvcjobs pour effectuer des déploiements sur plusieurs serveurs pour Windows SharePoint Services 3.0 et pour exécuter d’autres tâches liées au déploiement.

Comptes et groupes

Les captures instantanées des guides de sécurité des modèles & pratiques fournissent des recommandations pour la sécurisation des comptes et des groupes.

Pour obtenir des recommandations sur la planification des comptes, voir Planifier des comptes d’administration et de service (Office SharePoint Server).

Pour obtenir des recommandations sur la planification des rôles d’administrateur et d’utilisateur, voir Planifier les rôles de sécurité (Office SharePoint Server).

Fichier Web.config

.NET Framework, et ASP.NET en particulier, utilise des fichiers de configuration au format XML pour configurer les applications. .NET repose sur les fichiers de configuration pour définir les options de configuration. Les fichiers de configuration sont des fichiers texte XML. En règle générale, plusieurs fichiers de configuration existent sur un seul système.

Les paramètres de configuration à l’échelle du système pour .NET Framework sont définis dans le fichier Machine.config. Le fichier Machine.config est situé dans le dossier %SystemRoot%\Microsoft.NET\Framework\%NuméroVersion%\CONFIG\. Les paramètres par défaut contenus dans le fichier Machine.config peuvent être modifiés pour affecter le comportement des applications qui utilisent .NET Framework sur l’ensemble du système. Pour obtenir des recommandations sur la configuration des fichiers Machine.config, voir Sécurisation de votre serveur Web (https://msdn2.microsoft.com/fr-fr/library/aa302432.aspx?amp;clcid=0x40c).

Vous pouvez modifier les paramètres de configuration ASP.NET pour une application si vous créez un fichier web.config dans le dossier racine de l’application. Lorsque vous procédez ainsi, les paramètres du fichier web.config remplacent les paramètres du fichier Machine.config.

Lorsque vous étendez une application Web dans l’Administration centrale, Office SharePoint Server 2007 crée automatiquement un fichier web.config pour l’application Web.

La section Sécuriser les ajouts de captures instantanées plus loin dans cet article répertorie les recommandations pour la configuration des fichiers Web.config. Ces recommandations sont destinées à être appliquées à chaque fichier Web.config créé, y compris le fichier Web.config du site Administration centrale.

Pour plus d’informations sur les fichiers de configuration ASP.NET et sur la modification d’un fichier Web.config, voir Configuration d’ASP.NET (https://go.microsoft.com/fwlink/?linkid=73257&clcid=0x40C).

Sécuriser les ajouts de captures instantanées

Cette section répertorie les ajouts apportés aux captures instantanées dans les guides de sécurité des modèles et pratiques qui sont recommandés pour les environnements Office SharePoint Server 2007. Ceux-ci sont détaillés sous forme de tableau dans les mêmes catégories et le même ordre que dans les guides de sécurité des modèles et pratiques.

Ce format est destiné à vous permettre d’identifier et d’appliquer plus facilement les recommandations spécifiques lors de l’utilisation des guides de sécurité des modèles et pratiques. Hormis les quelques exceptions indiquées, ces recommandations de renforcement de la sécurité sont conçues pour être appliquées avant d’exécuter le programme d’installation d’Office SharePoint Server 2007.

Pour plus d’informations sur la communication entre les rôles serveurs spécifiques dans une batterie de serveurs, voir Planifier le renforcement de la sécurité pour des environnements extranet.

Sécurisation de vos ajouts de captures instantanées réseau

Le tableau suivant décrit les recommandations pour sécuriser vos ajouts réseau.

Composant Exception de caractéristique

Toutes

Aucune recommandation supplémentaire

Sécurisation de vos ajouts de captures instantanées de serveur Web

Le tableau suivant décrit les recommandations pour sécuriser vos ajouts de serveur Web.

Composant Caractéristique

Services

Activer :

  • Partage de fichiers et d’imprimantes

  • Service Recherche Office SharePoint Server

  • Service SSO (uniquement s’il utilise SSO)

  • Service État ASP.NET (s’il utilise des formulaires InfoPath Server ou Project Server)

  • Service État d’affichage (s’il utilise des formulaires InfoPath Server)

  • Service de publication World Wide Web

Assurez-vous que ces services restent activés après l’exécution du programme d’installation :

  • Service Recherche Office SharePoint Server

  • Administration Windows SharePoint Services

  • Recherche Windows SharePoint Services

  • Minuteur Windows SharePoint Services

  • Suivi Windows SharePoint Services

  • Rédacteur VSS Windows SharePoint Services

Protocoles

Activer :

  • SMB

  • SMTP (s’il est utilisé intégré à une messagerie)

  • RPC (uniquement s’il utilise SSO)

Désactiver :

  • NBT

Comptes

  • Si le service de gestion d’annuaire Microsoft est activé dans le cadre de l’intégration de messagerie, configurez votre environnement Active Directory pour autoriser l’accès en écriture au compte utilisé par le service de gestion d’annuaire Microsoft (le compte de la batterie de serveurs).

  • Pour plus d’instructions sur la configuration des comptes voir Planifier des comptes d’administration et de service (Office SharePoint Server) pour connaître les exigences et les recommandations relatives aux comptes Office SharePoint Server 2007.

Fichiers et répertoires

Si l’intégration de messagerie et la fonctionnalité du service de gestion d’annuaire sont activées, limitez l’accès au service de gestion d’annuaire de Microsoft SharePoint en sécurisant le fichier associé à ce service : SharePointEmailws.asmx. Par exemple, autorisez l’accès à ce fichier uniquement au compte de la batterie de serveurs.

Partages

Aucune recommandation supplémentaire

Ports

  • Ouvrir le port TCP/UDP 445.

  • Ouvrir le port TCP 135 et les ports de la plage spécifiée lorsque vous configurez le port RPC statique (uniquement s’il utilise SSO).

  • Ouvrir les ports TCP 56737 et 56738 pour les services Web Office Server.

  • Si le port UDP 1434 est bloqué sur l’ordinateur SQL Server et si les bases de données sont installées sur une instance nommée, configurez un alias client SQL pour se connecter à l’instance nommée.

  • Si le port TCP 1433 est bloqué sur l’ordinateur SQL Server et si les bases de données sont installées sur l’instance par défaut, configurez un alias client SQL pour se connecter à l’instance nommée.

  • Assurez-vous que les ports restent ouverts pour les applications Web qui sont accessibles aux utilisateurs.

  • Bloquez l’accès externe au port utilisé pour le site Administration centrale.

Registre

Si vous utilisez l’authentification unique, modifiez le Registre pour configurer le port RPC statique.

Audit et journalisation

Si vous déplacez les fichiers journaux, mettez à jour les emplacements des fichiers journaux de manière appropriée.

IIS

Consultez les instructions pour IIS ci-dessous.

Sites et répertoires virtuels

Aucune recommandation supplémentaire

Mappages de script

Aucune recommandation supplémentaire

Filtres ISAPI

Aucune recommandation supplémentaire

Métabase IIS

Aucune recommandation supplémentaire

.NET Framework

Consultez les instructions pour .NET Framework ci-dessous.

Machine.config : HttpForbiddenHandler

Aucune recommandation supplémentaire

Machine.config : communication à distance

Aucune recommandation supplémentaire

Machine.config : suivi

Aucune recommandation supplémentaire

Machine.config : compilation

Aucune recommandation supplémentaire

Machine.config : customErrors

Aucune recommandation supplémentaire

Machine.config : sessionState

Aucune recommandation supplémentaire

Sécurité d’accès au code

Assurez-vous de disposer d’un ensemble minimal d’autorisations de sécurité d’accès au code activé pour votre application Web. (L’élément <trust> dans le fichier Web.config pour chaque application Web doit être défini sur la valeur WSS_Minimal (où les valeurs par défaut faibles de WSS_Minimal sont définies telles que dans 12\config\wss_minimaltrust.config) ou sur votre propre fichier de stratégie personnalisé qui est défini au minimum).

LocalIntranet_Zone

Aucune recommandation supplémentaire

Internet_Zone

Aucune recommandation supplémentaire

Web.config

Appliquez les recommandations suivantes à chaque fichier web.config qui est créé après l’exécution du programme d’installation :

  • N’autorisez pas la compilation ou les scripts de pages de bases de données via les éléments PageParserPaths.

  • Assurez-vous que <SafeMode> CallStack=""false"" et que AllowPageLevelTrace=""false"".

  • Assurez-vous que l’attribut MaxZoneParts de la valeur WebPartLimits est défini sur une valeur faible.

  • Assurez-vous que la liste SafeControls est définie sur l’ensemble minimal de contrôles nécessaires pour vos sites.

  • Assurez-vous que votre liste Workflow SafeTypes est définie sur le niveau minimal de SafeTypes nécessaires.

  • Assurez-vous que customErrors est activé (<customErrors mode=""On""/>).

  • Prenez en compte vos paramètres de proxy Web selon vos besoins (<system.net>/<defaultProxy>).

  • Définissez la limite de upload.aspx à la taille que vous jugez la plus élevée possible pour les transferts effectués par les utilisateurs (la valeur par défaut est 2 Go). Les performances peuvent être affectées par des téléchargements d’une taille supérieure à 100 Mo.

Sécurisation de vos ajouts de captures instantanées de serveur de bases de données

Le tableau suivant décrit les recommandations pour sécuriser vos ajouts de serveur base de données.

Composant Exception de caractéristique

Services

Aucune recommandation supplémentaire

Protocoles

Aucune recommandation supplémentaire

Comptes

Supprimez manuellement les comptes inutilisés régulièrement.

Fichiers et répertoires

Aucune recommandation supplémentaire

Partages

Aucune recommandation supplémentaire

Ports

  • Bloquez le port UDP 1434.

  • Envisagez le blocage du port TCP 1433.

Registre

Aucune recommandation supplémentaire

Audit et journalisation

Aucune recommandation supplémentaire

Paramètres SQL Server

Consultez les instructions pour les paramètres SQL Server ci-dessous.

Sécurité SQL Server

Aucune recommandation supplémentaire

Connexions, utilisateurs et rôles SQL Server

Aucune recommandation supplémentaire

Objets de base de données SQL Server

Aucune recommandation supplémentaire

Télécharger ce livre

Cette rubrique est incluse dans le livre à télécharger suivant pour une lecture et une impression plus faciles :

Vous trouverez la liste complète des livres disponibles sur Livres à télécharger pour Office SharePoint Server 2007.