【文章內(nèi)容簡介】 ..........................................105 步驟 12：腳本映射 ............................................................................................................109 步驟 13： ISAPI 篩選器 ......................................................................................................112 步驟 14： IIS 元數(shù)據(jù)庫 ......................................................................................................113 步驟 15：服務(wù)器證書 ........................................................................................................114 步驟 17：代碼訪問安全性 ................................................................................................1171 / 133第 1 章 Sharepoint Portal Server 2022 安全概述 簡介微軟 Sharepoint Portal Server 2022(以后簡稱 SPS2022)是基于 Windows Sharepoint Service 和 SQLServer2022 開發(fā)的企業(yè)信息門戶支撐平臺(tái)，它必須運(yùn)行在 Windows 2022 Server 操作系統(tǒng)上。Windows Sharepoint Service 是 Windows 2022 Server 內(nèi)置的一個(gè)組件，它依賴于 框架 版，為開發(fā)個(gè)性化協(xié)作網(wǎng)站應(yīng)用提供底層支持。由于 SPS2022 信息門戶的所有內(nèi)容都存儲(chǔ)在 SQLServer2022 關(guān)系數(shù)據(jù)庫中，因此，對(duì) SPS2022 的安全管理和加固，重點(diǎn)應(yīng)放在 Web 主機(jī)和應(yīng)用的加固、網(wǎng)站內(nèi)容訪問權(quán)限的管理、用戶認(rèn)證和授權(quán)、安全的數(shù)據(jù)訪問和加固數(shù)據(jù)庫服務(wù)器等五個(gè)方面。 工作原理 SPS2022 在 Web 主機(jī)上只存放 SPS 的系統(tǒng)文件，門戶的用戶、授權(quán)、頁面、圖片、文檔等內(nèi)容都保存在數(shù)據(jù)庫中。當(dāng)認(rèn)證通過的用戶訪問門戶時(shí)，Web 主機(jī)進(jìn)行轉(zhuǎn)發(fā)，由 SPS 從數(shù)據(jù)庫中獲取有關(guān)內(nèi)容，并渲染成 Web 頁面展示到用戶的瀏覽器上。具體軟件體系架構(gòu)如下圖所示：當(dāng)安裝 SPS 時(shí)， SPS 會(huì)自動(dòng)創(chuàng)建一個(gè)配置數(shù)據(jù)庫。當(dāng)創(chuàng)建一個(gè) SPS 門戶時(shí)，系統(tǒng)會(huì)自動(dòng)在數(shù)據(jù)庫服務(wù)器上創(chuàng)建三個(gè)庫，他們分別是站點(diǎn)數(shù)據(jù)庫，組件設(shè)置數(shù)據(jù)庫和用戶信息數(shù)據(jù)庫，每個(gè)庫的作用如下表所示：數(shù)據(jù)庫 作用站點(diǎn)數(shù)據(jù)庫 保存所有的門戶和站點(diǎn)的內(nèi)容，包括網(wǎng)頁、文檔、圖片和樣式表2 / 133等名稱：門戶名稱+_SITEDB組件設(shè)置數(shù)據(jù)庫 存儲(chǔ)門戶的個(gè)性提醒、通知以及訪問日志等名稱：門戶名稱+_SERVDB用戶信息數(shù)據(jù)庫 存儲(chǔ)用戶的個(gè)人檔案信息名稱：門戶名稱+_PROFDB配置庫 存放 SPS 服務(wù)器場的配置信息名稱：企業(yè)信息門戶名稱+_CONFIGDB 功能與定位除了一般的企業(yè)門戶支撐平臺(tái)提供網(wǎng)站服務(wù)功能外，SPS 還提供了搜索引擎、網(wǎng)站內(nèi)容存儲(chǔ)、個(gè)性化服務(wù)和網(wǎng)上協(xié)作支持等功能，并且能和 Office2022 專業(yè)版和企業(yè)版完全集成。功能 描述 安全加固考慮Web 1. 提供基于 WebPart 技術(shù)的個(gè)性化網(wǎng)頁處理能力2. 提供企業(yè)門戶、部門門戶、項(xiàng)目組門戶及個(gè)人網(wǎng)站的創(chuàng)建和管理能力3. 提供文檔、會(huì)議、項(xiàng)目工作區(qū)管理功能，支持網(wǎng)上虛擬團(tuán)隊(duì)的協(xié)同工作4. 通過網(wǎng)站列表和文檔庫，提供網(wǎng)站內(nèi)容管理能力5. 提供 SSO 服務(wù)和用戶檔案（Profile）管理服務(wù)，實(shí)現(xiàn)用戶個(gè)性信息管理，以及對(duì)不同系統(tǒng)的一次登錄1. 對(duì) IIS 和 Web 服務(wù)器主機(jī)進(jìn)行加固2. 加固 SPS 訪問 SQLServer的帳號(hào)3. 加固 SQLServer 主機(jī)和服務(wù)器4. 合理分配企業(yè)門戶、部門門戶、項(xiàng)目組門戶用戶權(quán)限，保護(hù)網(wǎng)站內(nèi)容搜索 提供對(duì)企業(yè)門戶網(wǎng)站內(nèi)容的全文檢索 限制普通用戶對(duì)索引服務(wù)器的3 / 133引擎 能力和編程接口，支持的內(nèi)容源包括：1. 互聯(lián)網(wǎng)站2. 文檔庫3. 網(wǎng)站用戶4. Domino 數(shù)據(jù)庫5. 開發(fā)特定的驅(qū)動(dòng)以支持其它內(nèi)容源直接訪問作業(yè) SPS 提供作業(yè)管理功能，以執(zhí)行定期任務(wù)，比如同 AD 進(jìn)行帳號(hào)信息同步，定期更新搜索引擎索引等限制普通用戶對(duì)索引服務(wù)器的直接訪問因此，SPS2022 定位在為企業(yè)信息門戶的構(gòu)建提供核心基礎(chǔ)服務(wù)，而不僅限與Web 服務(wù)。對(duì) SPS 的加固，也應(yīng)圍繞這這幾個(gè)方面進(jìn)行。本手冊重點(diǎn)討論 SPS2022 內(nèi)置安全能力以及加固手段，對(duì)于加固 Web 主機(jī)及數(shù)據(jù)庫服務(wù)器部分，請參考附錄及有關(guān)文檔。4 / 133第 2 章 身份認(rèn)證和授權(quán)SPS2022 資源的訪問控制 身份認(rèn)證SPS2022 的用戶認(rèn)證由 Web 主機(jī)負(fù)責(zé)，支持如下幾種認(rèn)證機(jī)制：認(rèn)證機(jī)制 優(yōu)點(diǎn) 特點(diǎn)Basic 認(rèn)證（基本認(rèn)證）W3C 標(biāo)準(zhǔn)，協(xié)議簡單可靠，并且支持所有的瀏覽器口令明文傳遞，因此推薦用 SSL 保護(hù)密碼口令明文存儲(chǔ)在主機(jī)和 PC 內(nèi)存中不能修改登錄界面數(shù)字證書認(rèn)證 和 SSL 協(xié)議一起使用，可自動(dòng)登錄要求用戶擁有合法證書，不適用互聯(lián)網(wǎng)門戶集成 Windows認(rèn)證使用 NTLM 或 Kerberos 認(rèn)證協(xié)議，可實(shí)現(xiàn)自動(dòng)登錄，和活動(dòng)目錄集成只支持 IE 瀏覽器不支持 Http 代理服務(wù)器代理認(rèn)證在 環(huán)境下，網(wǎng)站默認(rèn)采用集成 Windows 認(rèn)證協(xié)議，在企業(yè)信息門戶應(yīng)用場景中，建議采用集成 Windows 認(rèn)證方式。 授權(quán)在 SPS2022 中，所有的安全信息都存放在 SQLServer 數(shù)據(jù)庫中，認(rèn)證完成后，SPS2022 會(huì)將該用戶的權(quán)限信息取出，形成該用戶的 ACL 信息。Microsoft SharePoint? Portal Server 使用角色來控制對(duì)工作空間內(nèi)容的訪問，并將具有相同權(quán)限的用戶分組到同一名稱下，這類似于 Microsoft Windows174。 2022 的本地組。SharePoint Portal Server 將角色存儲(chǔ)在單個(gè)的文件夾中，而不是將其存儲(chǔ)在目錄服務(wù)中或服務(wù)器的安全數(shù)據(jù)庫中。每個(gè)文件夾針對(duì)某一個(gè)角色可以包含不同的用戶集和組?？梢酝ㄟ^賦予某個(gè)用戶執(zhí)行特定任務(wù)的用戶權(quán)限將其同一個(gè)角色關(guān)聯(lián)起來，例如：授予其創(chuàng)建或編輯文檔的權(quán)限。同角色關(guān)聯(lián)的權(quán)限不能被自行定制，您可以在創(chuàng)建自定義的角色。在您創(chuàng)建自定義角色的時(shí)候，您可以選擇將團(tuán)隊(duì)站點(diǎn)所有可用的權(quán)限任意組合在一起5 / 133使用。每種權(quán)限都授予了用戶在 Web 站點(diǎn)或虛擬服務(wù)器上執(zhí)行某些特定任務(wù)的權(quán)限如以下列表所示，每個(gè)角色都授予用戶在 Web 站點(diǎn)或虛擬服務(wù)器上執(zhí)行某些特定操作的權(quán)限。? 讀者 允許用戶搜索、查看和瀏覽網(wǎng)站內(nèi)容。 ? 成員 允許用戶提交列表和創(chuàng)建個(gè)人網(wǎng)站。 ? 討論參與者 允許用戶向網(wǎng)站中已獲授權(quán)的區(qū)域提交內(nèi)容。 ? Web 設(shè)計(jì)者 允許用戶在已獲授權(quán)的網(wǎng)頁上更改布局和設(shè)置。 ? 管理員 允許用戶完全控制網(wǎng)站。 ? 內(nèi)容管理者 允許用戶在已獲授權(quán)的區(qū)域中管理所有的設(shè)置和內(nèi)容對(duì)帳戶的安全管理的任務(wù)由系統(tǒng)管理員完成，包括兩部分內(nèi)容： 授予訪問門戶網(wǎng)站的權(quán)限管理員必須要賦予用戶有關(guān)權(quán)限，該用戶才能夠訪問站點(diǎn)信息。具體操作如下：1. 在“網(wǎng)站設(shè)置”頁上的“常規(guī)設(shè)置”節(jié)中，單擊“管理用戶”。 2. 在“管理用戶”頁上，單擊“添加用戶”。 3. 在“添加用戶：portal_site_name”頁的“步驟 1：選擇用戶”節(jié)，在“用戶”框中鍵入電子郵件地址或帳戶名。 o 多個(gè)條目之間用分號(hào)分隔。 o 以“域\用戶名”格式鍵入帳戶名。 o 要通過 Microsoft Active Directory 目錄服務(wù)查找用戶，請單擊“選擇用戶和組”。4. 在“步驟 2：選擇網(wǎng)站用戶組”節(jié)中，對(duì)每個(gè)要分配用戶的網(wǎng)站用戶組，選中其復(fù)選框，然后單擊“下一步”。 5. 在“步驟 3：確認(rèn)用戶”節(jié)中，檢驗(yàn)在“步驟 1：選擇用戶”節(jié)中輸入的所有用戶的電子郵件地址、用戶名和顯示名稱。 6. 在“步驟 4：發(fā)送電子郵件”節(jié)中，執(zhí)行下列操作之一： 1. 如果希望通過發(fā)送電子郵件來通知用戶已獲授權(quán)，請選中“發(fā)送以下電子郵件以通知這些用戶他們已被添加”復(fù)選框。 注釋 服務(wù)器場管理員必須在“server_name 的 SharePoint Portal Server 管理中6 / 133心”頁配置電子郵件服務(wù)器設(shè)置才能發(fā)送電子郵件。2. 如果希望自定義郵件，則在“主題”和“正文”框中鍵入更改。7. 單擊“完成”。 更改系統(tǒng)訪問帳戶和密碼Microsoft Office SharePoint Portal Server 2022 使用下列帳戶： ? 配置數(shù)據(jù)庫管理帳戶 ? CentralAdminAppPool 應(yīng)用程序池帳戶 ? 門戶網(wǎng)站應(yīng)用程序池標(biāo)識(shí) ? 默認(rèn)內(nèi)容訪問帳戶 ? 用于爬網(wǎng)的替代帳戶 ? 用戶配置文件導(dǎo)入帳戶 ? Single Signon Service 帳戶SharePoint Portal Server 對(duì) Microsoft SQL Server 中的現(xiàn)有帳戶授權(quán)。您可以手動(dòng)刪除任何舊的帳戶。要點(diǎn) 必須在安裝了 SharePoint Portal Server 的服務(wù)器場中的每個(gè)服務(wù)器上更改帳戶。 配置數(shù)據(jù)庫管理帳戶在安裝過程中如果選中“安裝（不包含數(shù)據(jù)庫引擎）”選項(xiàng)，就需要此帳戶。SharePoint 管理中心使用此帳戶訪問和修改配置數(shù)據(jù)庫和門戶網(wǎng)站的全部數(shù)據(jù)庫（人員配置文件、內(nèi)容和組件設(shè)置數(shù)據(jù)庫）中的設(shè)置。該帳戶必須是裝有 SharePoint Portal Server 的服務(wù)器的 Power Users 組的成員。該帳戶必須擁有對(duì) SQL Server 實(shí)例的數(shù)據(jù)庫創(chuàng)建者和安全管理員服務(wù)器角色。另外，如果在您的配置中有多臺(tái)服務(wù)器，則該帳戶必須是域帳戶。7 / 133要點(diǎn) 下列用戶權(quán)限將自動(dòng)授予本地服務(wù)器上的此帳戶（配置數(shù)據(jù)庫管理帳戶）：替換進(jìn)程級(jí)令牌、調(diào)整進(jìn)程的內(nèi)存配額和作為服務(wù)登錄。如果使用“配置服務(wù)器場帳戶設(shè)置”頁更改此帳戶，以前帳戶的權(quán)限不會(huì)自動(dòng)撤消。請參見下列過程的步驟 5（取消舊的配置數(shù)據(jù)庫管理帳戶的權(quán)限）來刪除這些權(quán)限。注釋 更改配置數(shù)據(jù)庫管理帳戶時(shí)，需要重新為默認(rèn)的內(nèi)容訪問帳戶和所有包含或排除內(nèi)容的規(guī)則輸入密碼。不這樣做會(huì)導(dǎo)致爬網(wǎng)失敗。 注釋 如果在使用共享服務(wù)的服務(wù)器場上更改此帳戶，必須授予新帳戶訪問父服務(wù)器場的搜索和索引資源的權(quán)限。注釋 如果此帳戶的密碼已過期并且必須更改，或該密碼已重新設(shè)置，則在執(zhí)行下列過程之前必須先對(duì) CentralAdminAppPool 應(yīng)用程序池執(zhí)行此文檔后面“CentralAdminAppPool 應(yīng)用程序池帳戶”部分中的過程。 更改配置數(shù)據(jù)庫管理帳戶1. 如果使用的是 SQL Server，請更改 MSSQLSERVER 服務(wù)及 SQLSERVERAGENT 服務(wù)的帳戶和密碼。1. 在任務(wù)欄上，單擊“ 開始 ”，指向“管理工具”，再單擊 “服務(wù)”。 2. 在“服務(wù)”管理控制臺(tái)上，雙擊 “MSSQLSERVER”。 3. 單擊“登錄 ”選項(xiàng)卡。 4. 單擊本帳戶。 5. 在“本帳戶 ”框中，以“域\用戶名”格式鍵入用戶名。 6. 在“密碼”和“確認(rèn)密碼”框中，鍵入新密碼。 7. 單擊“確定 ”。 8. 在出現(xiàn)的消息框上單擊“確定” 。 9. 用鼠標(biāo)右鍵單擊“MSSQLSERVER” ，再單擊“停止”。 10. 如果看到提示，請單擊“是” 以停止其他服務(wù)。 11. 用鼠標(biāo)右鍵單擊“MSSQLSERVER” ，再單擊“開始”。 12. 雙擊“SQLSERVERAGENT”。 8 / 13313. 單擊“登錄 ”選項(xiàng)卡。 14. 單擊本帳戶。 15. 在“本帳戶 ”框中，以“域\用戶名”格式鍵入用戶名。 16. 在“密碼”和“確認(rèn)密碼”框中，鍵入新密碼。 17. 單擊“確定 ”。2. 如果要更改用戶名，請授予用戶在 SQL Server 中的安全權(quán)限。1. 在運(yùn)行 SQL Server 的計(jì)算機(jī)上，打開 SQL Server 企業(yè)管理器。 2. 展開 Microsoft SQL Servers 節(jié)點(diǎn)。 3. 展開“SQL Server 組”節(jié)點(diǎn)。 4. 展開“（本地） (Windows NT)”節(jié)點(diǎn)。 5. 展開“安全性 ”節(jié)點(diǎn)。 6. 單擊“登錄 ”，再執(zhí)行下列操作之一： ? 如果登錄名不存在，請用鼠標(biāo)右鍵單擊“登錄”，再單擊“新建登錄”，然后在“名稱 ”框中，以 “域\用戶名”格式鍵入用戶帳戶。 ? 如果登錄名已經(jīng)存在，請用鼠標(biāo)右鍵單擊該登錄名，再單擊“屬性”。 7. 單擊“服務(wù)器角色 ”選項(xiàng)卡。 8. 在“服務(wù)器角色 ”節(jié)中，選中 “數(shù)據(jù)庫創(chuàng)建者”和“安全管理員”復(fù)選框。 9.