【IT168 技术文档】即使毫无经验的管理员也可以在几个小时内成功部署 Microsoft Office SharePoint Server 2007。尽管基本的部署确实能够正常使用,但是它很可能未经过相应的配置以实现非常好的安全性。SharePoint Server 2007 是一种很容易安装、但很难正确安装的应用程序。
使得安全性极具挑战性的原因是 SharePoint 2007 试图通过一款产品来满足所有人的所有需要。SharePoint 2007 是一款 Web 应用程序,但您也可以将其当作协作工具、文档服务器,甚至开发框架。SharePoint 的抽象和高度可定制的本质使得很难保护其安全。
正如您可能已经指出的那样,没有什么神奇的解决方案可以保护 SharePoint 的安全。每一个 SharePoint 部署都是独特的,因此不可能有什么“功能较多型”的解决方案。但是,有一些基本的方法适用于所有部署。
如果您曾经创建过 SharePoint 站点,您一定知道 SharePoint 采用了模块化设计,它提供了一些构造块,用于创建 SharePoint 站点、站点集合、列表、库等等。谈到安全性,您可以充分利用这种模块化的本质。
具体的思路是重点保护 SharePoint 部署中各个组件的安全。SharePoint 的模块化本质意味着您的部署通常需要许多单独的 SharePoint 服务器。因此,如果您希望保护部署的安全,就必须保护这些单独的服务器的安全。
SQL Server
SharePoint 列表和库中包含的所有数据均存储在基础 SQL Server 数据库中,后者还存储了大部分 SharePoint 配置设置。很明显,正确保护 SQL Server 的安全是至关重要的。
小型组织通常将 SQL Server 和 SharePoint 安装在同一台服务器上,以便降低服务器硬件的成本。但是,无论是从安全性还是从性能的角度来看,将 SQL Server 和 SharePoint 部署在一台公用的机器上都不是一个好主意。
IT 安全中的一条最基本的概念是尽可能减少服务器的受攻击面。如果 SQL 和 SharePoint 位于同一台服务器上,该服务器的受攻击面就会非常大。因此,我的第一条建议是在专用的机器上运行 SQL Server。如果专用的 SQL Server 超出了您组织的预算,可以考虑使用服务器虚拟化技术来隔离 SQL 和 SharePoint。
另一个好主意是禁用所有不使用的服务和组件。基本的 SharePoint 部署需要使用 SQL Server 的数据库引擎、SQL Server 代理和 SQL Server 浏览器组件。更高级的安装可能需要全文索引、分析或报告服务。
如何确定您要禁用哪些功能?Microsoft 提供了一个名为 SQL Server 外围应用配置器(如图 1 所示)的工具,可以帮助您完成此过程。此工具用于分析您的 SQL Server 实施并禁用任何未使用的功能。您应该在 SharePoint 正常运行后运行此工具。
若要访问此工具,请从服务器的“开始”|“所有程序”|“Microsoft SQL Server 2005”|“配置工具”菜单中选择“SQL Server 外围应用配置器”选项。
图 1 SQL Server 外围应用配置器可帮助您找出可以禁用哪些组件和服务。
您还应该慎重考虑为 SQL Server 安全性选择的身份验证方法。尽管您可以选择混合模式或 Windows 身份验证模式,但是您应该尽可能将 SQL Server 配置为使用 Windows 身份验证。Windows 模式比混合模式更安全,因为它在身份验证过程中使用 Kerberos 安全协议。而且,由于 Windows 身份验证使用域用户帐户,因此您在 Active Directory 中建立的任何密码策略仍然生效。
