Windows SharePoint Services 機能のためのセキュリティ保護された構成を計画する
この記事の内容 :
- Windows SharePoint Services 機能のための推奨事項
この記事では、Windows SharePoint Services 3.0 の機能をより安全な方法で構成および管理するための推奨事項を紹介します。この推奨事項の多くは、ネットワーク、オペレーティング システム、インターネット インフォメーション サービス (IIS)、または Microsoft .NET Framework ではなく、サーバーの全体管理で構成を実行することになります。この記事での推奨事項は、以下のセキュリティ環境に適したものです。
内部チームまたは部署
内部 IT ホスト
外部のセキュリティ保護されたグループ作業
外部の匿名アクセス
これらの環境の詳細については、「セキュリティ環境を選択する (Windows SharePoint Services)」を参照してください。
Windows SharePoint Services 機能のための推奨事項
次の表は、Windows SharePoint Services 3.0 機能のセキュリティ保護を支援するための推奨事項をまとめたものです。
認証 |
|
承認 |
権限を個々のアカウントではなくグループに割り当てます。 |
アクセス許可レベル |
ユーザーが各自のタスクを実行するために必要な最低限の権限を割り当てます。 |
管理 |
アクセス権限を使用してサーバーの全体管理サイトをセキュリティ保護し、管理者がサイトにリモート接続できるようにします (ローカル コンピュータでの使用時にだけサーバーの全体管理サイトを有効にするのではなく)。これにより、管理者はサーバーの全体管理をホストするコンピュータにローカルにログオンしなければならないという負担がなくなります。コンピュータへのターミナル サービス アクセスを構成すると、サーバーの全体管理 Web サイトへのリモート アクセスを有効にしておくよりも大きなセキュリティ リスクが発生します。 |
電子メール統合 |
ウイルスや未承諾の広告宣伝メールの除外やメールの送信者の認証を行う、Microsoft Exchange Server などの専用のメール サーバーを介して中継された電子メールだけを受け付けるように Windows SharePoint Services 3.0 を構成します。
Windows SharePoint Services 3.0 では、ワークフロー設定を構成すると、サイト上のドキュメントにアクセスする権利を持たない参加者が、代わりにドキュメントを電子メールの添付ファイルとして受け取ることができるようにすることができます。セキュリティ保護された環境では、[外部ユーザーにドキュメントのコピーを送信してワークフローへの参加を許可する] オプションは選択しないでください。Windows SharePoint Services 3.0 では、このオプションは既定では選択されていません。
|
Web パーツの保存とセキュリティ |
サーバー ファームには信頼できるコードのみを展開するようにしてください。展開するすべてのコード、XML、または ASP.NET コードは、信頼できるソースから取得する必要があります。コード アクセス セキュリティなどの多層防御手段によって展開後にセキュリティを強化する予定であるとしても同様です。
Web.config ファイルの SafeControl リストに、許可する一連のコントロールと Web パーツが含まれていることを確認してください。
多層防御手段による強化を予定しているカスタム Web パーツは、アセンブリごとに権限を指定して、Web アプリケーション (部分信頼が有効になっている) の bin ディレクトリにインストールします。
SafeControl リストからコンテンツ エディタ Web パーツを削除することを検討します。これにより、ユーザーが JavaScript を Web パーツとしてページに追加したり、外部サーバーでホストされる JavaScript を使用したりすることを防止します。
サイト内でのデザイン アクセス許可レベルおよび投稿アクセス許可レベルが組織内の適切な担当者に与えられていることを確認します。投稿アクセス許可レベルを持つユーザーは、Active Server Page Extension (ASPX) ページをライブラリにアップロードして Web パーツを追加できます。デザイン アクセス許可レベルを持ち、Web パーツの追加を許可されているユーザーは、ホーム ページ (Default.aspx) も含め、サイト上のページに変更を加えることができます。
|
検索 |
Windows SharePoint Services 検索サービス アカウントをファーム管理者グループのメンバにしてはなりません。このグループのメンバにすると、Windows SharePoint Services 検索サービスは未発行のバージョンのドキュメントのインデックスまで作成するようになります。
展開する追加の IFilter とワード ブレーカが IT チームによって信頼されていることを確認します。
既定では、検索インデックス ファイルにはファーム管理者グループのメンバしかアクセスできません。このグループに属さないユーザーがこのファイルにアクセスできないことを確認してください。
|
このドキュメントをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。
入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 テクニカル ライブラリ」を参照してください。