内部チームや社内部門環境のセキュリティを計画する (Office SharePoint Server)

  • [アーティクル]

この記事の内容 :

  • セキュリティ保護された設計のチェックリスト

  • サーバー ロールのセキュリティ強化を計画する

  • Office SharePoint Server 機能のセキュリティ構成を計画する

内部チームや部署のセキュリティ ガイダンスでは、大規模な組織内のチームや部署にとって実用的なセキュリティの構成と設定を推奨することに重点が置かれます。このガイダンスは、組織内の主要 IT チームによってサーバーがホストされないことを前提にしています。

この環境のガイダンスを理解するには IT に関するある程度の知識が要求されますが、ファーム管理者が専任の IT 担当者である必要はありません。設定を実装するためにより特殊な役割が必要な場合は、それらの役割を明記します。

このガイダンスは、「Office SharePoint Server 機能のセキュリティ構成を計画する」のガイダンスと共に使用するためのものです。

セキュリティ保護された設計のチェックリスト

以下のチェックリストを確認して、計画がセキュリティ保護されたサーバー トポロジのデザインの条件を満たしていることを確認してください。

トポロジ

[ ]

内部アクセスのみのチーム展開や部門展開では、Microsoft Office SharePoint Server 2007 を単一または 2 つのサーバーにインストールできます。

[ ]

複数のサーバー展開では、可能であれば、サーバーの全体管理サイトをフロントエンド Web サーバー以外のサーバーでホストしてください。これを実行できるのは、アプリケーション サーバー ロールをフロントエンド Web サーバー ロール以外のサーバーでホストする場合だけです。

たとえば、サーバー A がフロントエンド Web サーバー ロールをホストし、サーバー B がデータベース サーバー ロールとアプリケーション サーバー ロールをホストしている場合、サーバーの全体管理サイトの場所として最も安全なのはサーバー B です。ただし、サーバー A がフロントエンド Web サーバー ロールとアプリケーション サーバー ロールをホストし、サーバー B がデータベースの役割だけをホストしている場合は、サーバーの全体管理サイトをサーバー A でホストするしかありません。

論理アーキテクチャ

[ ]

Web アプリケーションごとに少なくとも 1 つの領域が NTLM 認証を使用します。これが必要なのは、検索アカウントが Web アプリケーション内のコンテンツをクロールするためです。検索アカウントが Kerberos 認証を使用してコンテンツをクロールすることはできません。

詳細については、「認証方法を計画する (Office SharePoint Server)」を参照してください。

[ ]

カスタム Web パーツを展開する際は、機密性の高いコンテンツまたはセキュリティ保護されるコンテンツをホストする Web アプリケーション内に、信頼できる Web パーツだけが展開されるようにします。これにより、ドメイン内のスクリプト攻撃から、機密性の高いコンテンツを保護します。

サーバー ロールのセキュリティ強化を計画する

内部チームまたは部署環境のセキュリティ ガイダンスは、サーバー、サイト、およびコンテンツに対して内部アクセスだけが許可されていること、および IT 部署が開発したポリシーによってネットワーク環境全体のセキュリティが保護されていることを前提にしています。したがって、特定の役割についてサーバーを強化することは、他の環境の場合と同様に必要ではありません。ただし、特定のサービスやその他の設定がなければ構成できない可能性のある機能がいくつかあります。

以下の表は、内部チームまたは部署の推奨強化設定を示しています。

機能 設定

電子メール統合

電子メール統合が有効になっている場合は、1 つのフロントエンド Web サーバーに SMTP サービスが必要です。

Microsoft Office Project Server 2007 および Microsoft Office Forms Server 2007

Office Project Server 2007 と Office Forms Server 2007 は、どちらもセッション状態を保持します。サーバー ファーム内にこれらの機能または製品を展開する場合は、ASP.NET State Service を無効にしないでください。また、InfoPath Forms Services を展開する場合は、View State サービスを無効にしないでください。

シングル サインオン (SSO)

SSO は Microsoft Single Sign-On Service に基づいて動作します。この機能の構成の詳細については、「シングル サインオンを計画する」を参照してください。

Office SharePoint Server 機能のセキュリティ構成を計画する

以下の表は、Office SharePoint Server 2007 の機能をセキュリティ保護するためのその他の推奨事項を示しています。これらの推奨事項は、社内チーム環境や社内部門環境に適しています。

機能または領域 推奨事項

認証

既存の ID 管理システムに対して認証を行います。これが Active Directory ディレクトリ サービスでない場合は、ASP.NET フォーム認証を使用して ID 管理システムに接続します。フォーム認証を使用するには、以下の役割のサポートが必要になる場合があります。

  • 認証プロバイダを開発する ASP.NET 開発者。

  • 接続先の ID 管理システムの管理者。

サーバーの全体管理サイト

  • サーバーの全体管理サイトへのアクセスは、適切なユーザーだけに制限します。

  • サーバーの全体管理サイトでリモート管理を有効にする場合は、SSL (Secure Sockets Layer) を使用してサーバーの全体管理サイトをセキュリティ保護します。

  • 展開操作を実行する管理者は、サーバーの全体管理サイトをホストするサーバーでローカルの Administrators グループのメンバである必要があります。

Windows SharePoint Services Administration サービス

単一サーバー展開の場合、Windows SharePoint Services Administration サービスは以下の理由により既定で無効になっています。

  • このサービスは、サーバーの全体管理サイトから開始する展開作業を実行する際に使用するもので、通常、単一サーバー展開では必要ありません。ただし、展開作業はこのサービスを使用する必要のない Stsadm.exe コマンド ライン ツールを使用して実行できます。

  • サーバーの全体管理サイトで使用されるアカウントは、その他のすべてのプロセスと共有されます。したがって、このサービスを無効にすると、より安全な構成になります。

セキュリティ保護された単一サーバー展開での推奨事項を以下に示します。

  • セットアップの実行後に、サーバー ファーム アカウントを変更します。

  • Windows SharePoint Services Administration サービスを起動します。

これらの操作を行うと、展開関連の作業をサーバーの全体管理サイトから直接実行できるようになります。

このブックをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。

入手できるすべてのブックの一覧については、「Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。