Microsoft Word - Plan for and design security .docdownload.microsoft.com/download/8/4/3/.../portaltech/... · Web viewComunicação segura com o banco de dados Microsoft SQL Server

Microsoft Word - Plan for and design security .doc

Planejamento e Design de Segurana para Office

SharePoint Server 2007

Microsoft Corporation

Resumo

Este artigo fornece uma abordagem metdica para o desenvolvimento da segurana no design da soluo baseada no Microsoft Office SharePoint Server 2007.

As informaes contidas neste documento representam a viso atual da Microsoft Corporation sobre as questes discutidas at a data de publicao. Como a Microsoft deve responder s condies modificveis do mercado, elas no devem ser interpretadas como compromisso por parte da Microsoft, e a Microsoft no pode garantir a preciso das informaes apresentadas depois da publicao.

Este White Paper apenas para fins informativos. A MICROSOFT NO FAZ GARANTIA, EXPRESSA, IMPLCITA OU ESTATUTRIA, QUANTO S INFORMAES DESTE DOCUMENTO.

A conformidade com todas as leis aplicveis de direitos autorais de responsabilidade do usurio. Sem limitar os direitos protegidos pelos direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou apresentada a um sistema de recuperao, ou transmitida, de qualquer forma ou por qualquer meio (eletrnico, mecnico, fotocopiador, gravador ou outros), ou por qualquer finalidade, sem a permisso expressa por escrito da Microsoft Corporation.

A Microsoft pode possuir patentes, aplicaes patentes, marcas registradas, direitos autorais ou outros direitos de propriedade intelectual que abordem os assuntos deste documento. Excetuando-se o que se encontra expressamente fornecido em qualquer contrato de licena por escrito, os complementos deste documento no provm quaisquer licenas a essas patentes, marcas registradas, direitos autorais ou outra propriedade intelectual.

A menos que seja notificado, os exemplos de empresas, organizaes, produtos, nomes de domnios, endereos de e-mail, logotipos, pessoas, locais e eventos aqui descritos so fictcios e no esto associados a qualquer empresa, organizao, produto, nome de domnio, endereo de

e-mail, logotipo, pessoa, local e evento reais.

2007 Microsoft Corporation. Todos os direitos reservados. Microsoft, Excel, SharePoint, Visual Studio e Windows so marcas

registradas ou apenas marcas da Microsoft Corporation nos Estados

Unidos e/ou outros pases.

Todas as outras marcas registradas pertencem a seus respectivos proprietrios.

Traduzido por Francisco Baddini, Junho de 2007

ndice

Introduo .................................................................................................... 5

Escolha seu ambiente de segurana ................................................................. 8

Equipe ou departamento interno................................................................... 8

TI hospedado internamente ......................................................................... 8

Colaborao externa segura......................................................................... 8

Acesso annimo externo.............................................................................. 9

Planejamento da segurana de seu farm de servidores ..................................... 10

Visualize as listas de verificao do design da topologia de segurana......................... 11

Lista de verificao do projeto de topologia do servidor ................................. 11

Lista de verificao do projeto de topologia da rede ...................................... 11

Lista de verificao do projeto de arquitetura lgica ...................................... 11

Lista de verificao do projeto de sistema operacional................................... 12

Planejamento de uma comunicao segura dentro de um farm de servidores ...... 13

Planejamento da comunicao servidor-servidor........................................... 13

Planejamento da comunicao cliente-servidor ............................................. 15

Planejamento do uso do SSL ...................................................................... 15

Planejamento da soluo de segurana para funes de servidor dentro de um farm de servidores .............................................................................................. 17

Sobre o sistema de segurana.................................................................... 17

Recomendaes para o servidor de aplicaes.............................................. 18

Comunicao segura com o banco de dados Microsoft SQL Server .................. 19

Requisitos de servio de compartilhamento de arquivos e impressora ............. 24

Requisitos do sistema de proteo para logon nico...................................... 25

Web services do Office Server .................................................................... 26

Conexes a servidores externos ................................................................. 26

Requisitos de servio para integrao de e-mail ........................................... 27

Requisitos de servio para o estado de sesso.............................................. 28

Servios Office SharePoint Server ............................................................... 28

Contas e grupos ....................................................................................... 28

Arquivo Web.config................................................................................... 29

Adies seguras do instantneo.................................................................. 29

Planejamento do sistema de proteo de segurana para ambientes extranet ..... 34

Topologia da rede ..................................................................................... 34

Relaes de confiana no domnio............................................................... 34

Comunicao com funes de farm de servidores ......................................... 37

Comunicao com funo de infra-estrutura de servidores............................. 40

Requisitos para suportar a converso de documentos ................................... 41

Comunicao entre domnios de rede .......................................................... 41

Planejamento de configuraes seguras para recursos Office SharePoint Server .. 43

Recomendaes para os recursos Office SharePoint Server ............................ 43

Planejamento de segurana especfica ao ambiente.......................................... 51

Planejamento da segurana para um ambiente interno de equipe ou departamento

................................................................................................................. 52

Lista de Verificao do Projeto de Segurana ............................................... 52

Planejamento do sistema de proteo de segurana para funes do servidor .. 53

Planejamento de configuraes seguras para os recursos Office SharePoint

Server..................................................................................................... 53

Planejamento da segurana para um ambiente de TI hospedado internamente .... 54

Lista de verificao do projeto de segurana ................................................ 54

Planejamento do sistema de proteo de segurana para funes do servidor .. 54

Planejamento das configuraes seguras para os recursos Office SharePoint

Server..................................................................................................... 55

Planejamento da segurana para um ambiente de colaborao segura externo.... 56

Proteja os servidores de back-end .............................................................. 56

Proteja a comunicao cliente-servidor........................................................ 56

Proteja o site Administrao Central ........................................................... 57

Proteja os sites de administrao Secure Shared Services Provider ................. 57


Planejamento do sistema de proteo de segurana para funes de servidor .. 57

Planejamento de configuraes seguras para os recursos Office SharePoint

Server..................................................................................................... 58

Planejamento da segurana para um ambiente de acesso annimo externo ........ 59

Proteja servidores de back-end .................................................................. 59

Configure o acesso annimo ...................................................................... 59

Proteja o site Administrao Central ........................................................... 59

Proteja a implantao do contedo ............................................................. 60

Desative e-mails de entrada ...................................................................... 60

Utilize o modo lockdown (bloqueio)............................................................. 60


Planejamento do sistema de proteo de segurana para funes de servidor .. 61

Planejamento de configuraes seguras para recursos Office SharePoint Server 62

Planejamento de funes de segurana .......................................................... 64

Administrao em nvel de farm ................................................................. 65

Administrao de servios compartilhados ................................................... 68

Administrao em nvel de site ................................................................... 76

Planilhas.................................................................................................. 77

Planejamento do logon nico ......................................................................... 78

Sobre logon nico..................................................................................... 78

Cenrios logon nico comuns ..................................................................... 78

Arquitetura do Office SharePoint Server logon nico ..................................... 78

Planejamento das configuraes de logon nico no nvel de farm.................... 81

Planejamento da configurao de definio de aplicaes corporativas ............ 86

Planejamento de operaes de logon nico .................................................. 89

Planilhas.................................................................................................. 93

Planejamento das contas administrativas e de servio ...................................... 94

Sobre contas administrativas e de servio ................................................... 94

Requisitos de conta padro ........................................................................ 96

Planejando recomendaes para contas .....................................................101

Introduo

Este artigo fornece uma abordagem metdica para o desenvolvimento da segurana no projeto da soluo baseada no Microsoft Office SharePoint Server 2007. Essa abordagem baseada nas seguintes guias de segurana fornecidas nos Padres e Prticas Microsoft em http://go.microsoft.com/fwlink/?LinkId=73704&clcid=0x409):

Protegendo Seu Servidor da Web (http://go.microsoft.com/fwlink/?LinkId=73705&clcid=0x409)

Protegendo Seu Servidor Banco de Dados

(http://go.microsoft.com/fwlink/?LinkId=73706&clcid=0x409)

Protegendo Sua Rede (http://go.microsoft.com/fwlink/?LinkId=73707&clcid=0x409)

Essas guias trazem configuraes seguras e prticas para funes especficas do servidor. A orientao para a funo de cada servidor inclui configuraes seguras recomendadas para a rede, para o sistema operacional, e para as aplicaes instaladas, incluindo o Internet Information

Services (IIS), o Microsoft ASP.NET Framework, e o Microsoft SQL Server.

As informaes neste artigo suplementam os padres e prticas das guias de segurana de diversas formas:

Fornece recomendaes para cada funo do servidor dentro de um farm de servidores.

Identifica redes, sistemas operacionais e configurao de aplicaes apropriadas para as funes do servidor.

Fornece recomendaes para proteger aplicaes e recursos especficos instalados pelo Office

SharePoint Server 2007.

Direciona recomendaes de segurana para ambientes que sejam comuns nas solues Office

SharePoint Server 2007.

Planeje e projete a segurana com o uso dos seguintes passos:

1. Planejamento de seu ambiente de segurana A orientao de segurana recomendada para sua organizao depende do ambiente que vai de encontro necessidade de uso do Office SharePoint Server 2007. Utilize o seguinte captulo para ajud-lo a planejar seu ambiente de segurana:

Escolha seu ambiente de segurana descreve os quatro ambientes de segurana principais: equipe ou departamento interno, colaborao segura externa, TI hospedado internamente, e acesso annimo externo.

2. Planejamento da segurana de seu farm de servidores Planeje como proteger servidores individuais dentro de um farm de servidores. As guias de segurana de padres e

prticas so utilizadas como base para proteger os ambientes Office SharePoint Server 2007. Utilize os seguintes captulos para ajudar a planejar a segurana do farm de servidores:

Visualize as listas de verificao do design da topologia de segurana para garantir que a arquitetura lgica e a topologia estejam de acordo com os critrios para um projeto seguro.

Planejamento de uma comunicao segura dentro do farm de servidores para garantir que os mtodos de comunicao segura sejam os mais apropriados para sua soluo.

Planejamento do sistema de segurana para funes de servidor dentro de um farm de servidores para determinar a configurao especfica do sistema de segurana para cada uma das funes do servidor no seu farm de servidores.

3. Planejamento de configuraes segura para os recursos Planeje como configurar os recursos Office SharePoint Server 2007 de uma maneira segura. Utilize o seguinte captulo para ajudar a planejar as configuraes seguras:

Planejamento de configuraes seguras para os recursos Office SharePoint Server

fornece recomendaes para configurar, de maneira segura, os recursos Office

SharePoint Server 2007. As recomendaes neste captulo so normalmente

configuradas pelo uso da Administrao Central, ao invs da rede, dos sistemas operacionais, IIS, ou .NET Framework.

4. Planejamento de segurana especfica ao ambiente Planeje a segurana direcionada a seu ambiente especfico. Utilize os seguintes captulos para ajudar a planejar a segurana especfica ao ambiente:

Planejamento da segurana para o ambiente de uma equipe ou departamento interno fornece orientaes adicionais de segurana direcionadas ao ambiente de equipe ou departamento interno.

Planejamento da segurana para um ambiente de TI hospedado internamente fornece orientaes adicionais de segurana direcionadas ao ambiente de TI hospedado internamente.

Planejamento da segurana para ambientes de colaborao externos protegidos fornece orientaes adicionais de segurana direcionadas ao ambiente seguro de colaborao externa.

Planejamento da segurana para ambientes externos de acesso annimofornece orientaes adicionais de segurana direcionadas ao ambiente externo de acesso

annimo.

5. Planejamento de um logon nico Se voc planeja se conectar a fontes de dados externas

a seu farm de servidores, o logon nico pode ser utilizado automaticamente para autenticar usurios, ao invs de pedir credenciais. Utilize o seguinte captulo para ajudar no planejamento do logon nico:

Planejamento de um logon nico descreve o uso do logon nico no Office SharePoint

Server 2007.

6. Planejamento de contas Utilize o seguinte captulo para planejar contas administrativas e de servio:

Planejamento de contas administrativas e de servio fornece requisitos e recomendaes para configurar contas administrativas e de servio.

Alguns desses captulos de planejamento so destinados a ambientes de segurana especficos. A

seguinte figura mostra o fluxo pretendido de planejamento baseado no ambiente de segurana.

Escolha seu ambiente de segurana

Utilize este artigo para identificar o ambiente de segurana que mais vai de encontro ao uso que voc deseja dar ao Microsoft Office SharePoint Server 2007.

A orientao de segurana recomendada para sua organizao depende do ambiente. Este artigo descreve os quatro ambientes de segurana a seguir:

Equipe ou departamento interno

TI hospedado internamente

Colaborao externa segura

Acesso annimo externo

Visualize a descrio para cada ambiente e identifique a que mais vai de encontro a seu ambiente.

Equipe ou departamento interno

A orientao de segurana para um ambiente de equipe ou departamento interno de uma grande empresa tem como foco a recomendao de configuraes prticas de segurana para uma equipe

ou departamento que utiliza o Office SharePoint Server 2007 para colaborao.

Este ambiente a implantao de um ou dois servidores, no qual estes servidores no so hospedados pela equipe principal de TI dentro da empresa. Apesar de a orientao para esse ambiente exigir algum conhecimento em TI, no necessrio que os administradores do farm de servidores sejam especialistas em TI.

A orientao para o ambiente de equipe ou departamento interno confia na segurana geral do ambiente de rede. Muitas das configuraes padro podem ser utilizadas nesse ambiente.

No se pretende que esse ambiente seja para diversas equipes ou projetos, onde o isolamento seguro de contedo exigido. Se sua equipe ou departamento exige isolamento seguro de contedo, um maior nmero de servidores, ou um maior nvel de segurana do que fornecido

pelo ambiente geral de rede, utilize a orientao para o ambiente de TI hospedado internamente. Se seu ambiente vai de encontro ao ambiente de equipe ou departamento interno, visite o artigo Planejamento de configuraes seguras para os recursos Office SharePoint Server .


Um ambiente de TI hospedado internamente aquele em que uma equipe de TI hospeda as aplicaes e sites Web para diversas equipes e departamentos em uma organizao. A orientao

de segurana para esse ambiente tem como foco:

Proteger um ambiente de farm de servidores, incluindo o isolamento de contedo entre grupos..

Proteger a comunicao servidor-servidor e a comunicao cliente-servidor.

Sistema de segurana de servidores para funes especficas.

Recursos seguros de configurao.

As orientaes para esse ambiente supem que os servidores residem em uma nica rede interna. Se seu ambiente vai de encontro ao ambiente de TI hospedado internamente, visite Planejamento

da segurana de seu farm de servidores . Os trs artigos nesse captulo descrevem o projeto de solues para segurana, proteo da comunicao servidor-servidor e cliente-servidor, e sistema

de segurana para servidores com funes especficas.


Um ambiente de colaborao externa segura aquele em que o contedo hospedado na extranet para que os contribuidores que no possuem acesso geral rede corporativa possam

colaborar com contedo. Esse ambiente permite que parceiros externos participem em um fluxo

de trabalho ou colaborem com contedo juntamente com os funcionrios da organizao.

Pretende-se tambm que esse ambiente suporte o acesso remoto dos funcionrios, onde aqueles que estejam trabalhando diretamente de casa ou estejam viajando possam obter acesso aos sites

e aos dados sem fazer logon rede corporativa.

A orientao de segurana para esse ambiente tem como foco:

Isolar aplicaes ou contedo Web para garantir que os usurios possam visualizar ou ter acesso apenas aos projetos em que esto autorizados a trabalhar.

Autenticar e proteger a comunicao entre contribuidores e o farm de servidores.

Proteger servidores banco de dados da interao direta do usurio e proteger o farm de servidores contra riscos associados aos servidores hospedados com utilizao da Internet.

Se seu ambiente vai de encontro ao ambiente de colaborao externa segura, visite Planejamento da segurana de seu farm de servidores . Os trs artigos nesse captulo descrevem o projeto de solues para segurana, proteo da comunicao servidor-servidor e cliente-servidor, e sistema



Um ambiente de acesso annimo externo aquele que permite o acesso annimo a contedos da Internet, enquanto protege o farm de servidores contra os riscos associados aos servidores hospedados com utilizao da Internet. Esse ambiente pode incluir diversos farms para testes, estgios e publicaes de contedo.

A orientao de segurana para esse ambiente tem como foco:

Tornar contedo disponvel de forma annima.

Proteger a comunicao entre farms quando o contedo implantado ao farm publicador.

Garantir que o caching de contedo no exponha dados importantes.

Proteger servidores banco de dados da interao direta do usurio e proteger o farm de servidores contra riscos associados aos servidores hospedados com utilizao da Internet em um ambiente annimo.

Se seu ambiente vai de encontro ao ambiente de acesso annimo externo, visite Planejamento da segurana de seu farm de servidores . Os trs artigos nesse captulo descrevem o projeto de solues para segurana, proteo da comunicao servidor-servidor e cliente-servidor, e sistema


Planejamento da segurana de seu farm de servidores

Planejar a segurana do farm de servidores inclui as seguintes tarefas:

Visualize as listas de verificao do design da topologia de segurana

Planejamento de uma comunicao segura dentro do farm de servidores

Planejamento de um sistema de segurana para funes de servidor dentro de um farm de servidores

Utilize essas tarefas com os seguintes ambientes de segurana:




Visualize as listas de verificao do projeto seguro de

topologia

No Microsoft Office SharePoint Server 2007, o sistema de proteo bem sucedido do servidor depende da topologia e da arquitetura lgica projetadas para isolamento direcionado e comunicao segura.

Os artigos de planejamento anteriores tratam sobre topologia e arquitetura lgica com mais

detalhes. Esse artigo fornece listas de verificao que podem ser utilizadas para garantir que seus planos estejam de acordo com os critrios para um projeto seguro.

Utilize as listas de verificao do design da topologia de segurana com os seguintes ambientes de segurana:




Lista de verificao do projeto de topologia do servidor

Visualize a lista de verificao a seguir para garantir que seus planos estejam de acordo com os critrios para um design da topologia de segurana do servidor.

[ ]

A topologia incorpora servidores da Web de front-end dedicados.

[ ]

Servidores que hospedam funes de servidor aplicaes e funes de servidor banco de

dados so protegidos do acesso direto do usurio.

[ ]

O site de Administrao Central SharePoint est hospedado em um servidor de aplicaes dedicado, como um servidor ndice.

Lista de verificao do projeto de topologia da rede

Visualize a lista de verificao a seguir para garantir que seus planos estejam de acordo com os critrios para um design da topologia de segurana da rede.

[ ]

Todos os servidores dentro do farm residem em um nico centro de dados e na mesma vLAN.

[ ]

O acesso permitido atravs de um nico ponto de entrada, que um firewall.

[ ]

Para um ambiente mais seguro, o farm separado em trs camadas (Web front-end, aplicaes, e banco de dados), que so separados por roteadores ou firewalls em cada limite vLAN.

Lista de verificao do projeto de arquitetura lgica

Visualize a lista de verificao a seguir para garantir que seus planos estejam de acordo com os critrios para um projeto seguro de arquitetura lgica.

[ ]

Pelo menos uma zona de cada aplicao Web utiliza a autenticao NTLM. Isso exigido para que a conta de pesquisa rastreie o contedo dentro de aplicaes Web. Para mais

informaes, visite Planejamento de mtodos de autenticao .

[ ]

As aplicaes Web so implementadas pelo uso de nomes de host ao invs dos nmeros de

porta gerados aleatoriamente que so atribudos automaticamente. No utilize as ligaes do

cabealho host do Internet Information Services (IIS) se a aplicao Web hospedar colees

de site com nomes do host.

[ ]

Considere o uso de aplicaes Web nas seguintes circunstncias:

[ ]

Em um ambiente reverso de proxy, considere a utilizao da porta padro para a rede de

contato com o pblico, enquanto utiliza uma porta no-padro em sua rede interna. Isso

pode ajudar a evitar ataques simples porta em sua rede interna, supondo que o HTTP

estar sempre na porta 80.

[ ]

Quando implantar Web Parts personalizados, apenas as Web Parts confiveis so implantadas dentro das aplicaes Web que hospedam contedo sensvel ou seguro. Isso protege o

contedo sensvel contra ataques de script dentro de um domnio.

[ ]

As contas de pool de aplicaes separadas so utilizadas para uma administrao central e

para cada aplicao Web nica.

Lista de verificao do projeto de sistema operacional

Visualize a lista de verificao a seguir para garantir que seus planos estejam de acordo com os critrios para um projeto seguro de sistema operacional.

[ ]

O sistema operacional do servidor configurado para utilizar o sistema de arquivos NTFS.

[ ]

Os relgios de todos os servidores dentro do farm so sincronizados.

Planejamento de uma comunicao segura dentro de

um farm de servidores

Utilize este artigo para planejar a segurana do farm de servidores. Este artigo fornece orientaes sobre como proteger a comunicao servidor-servidor e a comunicao cliente- servidor.

As tarefas nesse artigo so apropriadas para os seguintes ambientes de segurana:




Planejamento da comunicao servidor-servidor

Se seus servidores no esto dentro de um centro de dados seguro fisicamente, onde a ameaa de escuta da rede considerada insignificante, voc precisa utilizar um canal criptografado de comunicao para proteger dados enviados entre servidores.

No Microsoft Office SharePoint Server 2007, a comunicao servidor-servidor dentro de um farm

de servidores ampla. A proteo dessa comunicao ajuda a garantir que os dados sensveis no sejam afetados e tambm ajuda a proteger os servidores de ataques maliciosos ou ameaas no- intencionais.

A seguinte figura mostra diversas transaes de comunicao comuns entre os servidores em um

farm.

As transaes de comunicao comuns entre os servidores de um farm incluem:

Mudanas de configurao Servidores da Web de front-end se comunicam com o banco de dados de configurao para avisar sobre mudanas de configurao do farm.

Mudanas de requisitos Os requisitos dos usurios para adicionar, excluir, modificar, ou visualizar contedo em um site so enviados diretamente para o banco de dados de contedo.

Requisitos de pesquisa Servidores da Web de front-end se comunicam primeiramente com

o servidor de consultas para gerar resultados das pesquisas. Em seguida, os servidores da Web de front-end se comunicam com o banco de dados de contedo para satisfazer os requisitos

dos usurios por documentos especficos nos resultados da pesquisa.

Indexao O componente de indexao se comunica atravs de um servidor da Web de

front-end para rastrear contedo nos bancos de dados e criar um ndice.

Observao:

Em um ambiente Office SharePoint Server 2007, a pesquisa fornecida por duas funes:

consultas e ndice. Essas funes podem ser instaladas em diferentes computadores do servidor.

O Internet Protocol security (IPsec) e o Secure Sockets Layer (SSL) podem ser utilizados para

ajudar a proteger a comunicao entre servidores atravs da criptografia do trfego. Cada um desses mtodos funciona bem. A escolha de qual mtodo utilizar depende dos canais especficos

de comunicao que voc est protegendo e os benefcios e necessidades mais adequadas sua

empresa.

IPsec

O IPsec normalmente recomendado para proteger o canal de comunicao entre dois servidores

e restringir quais computadores podem se comunicar entre si. Por exemplo, voc pode ajudar a proteger um servidor banco de dados atravs de uma poltica que permita as solicitaes apenas

de um computador cliente confivel, como um servidor de aplicaes ou um servidor da Web.

Voc tambm pode restringir a comunicao para protocolos IP especficos e portas TCP/UDP. Os requisitos e recomendaes da rede para um farm de servidores tornam o IPsec uma boa opo por que:

Todos os servidores esto em uma nica LAN fsica (para melhorar o desempenho do IPsec).

Atribui-se aos servidores endereos estticos de IP.

O IPsec tambm pode ser utilizado entre domnios confiveis do Windows Server 2003 ou do

Windows 2000 Server. Por exemplo, voc pode utilizar o IPsec para proteger a comunicao de um servidor da Web ou um servidor de aplicaes em uma rede perimetral que se conecta a um computador utilizando Microsoft SQL Server em uma rede interna. Para mais informaes, visite

Selecionando Mtodos de Autenticao IPSec em

http://go.microsoft.com/fwlink/?LinkId=76093&clcid=0x409 no Guia de Implantao do Windows

Server 2003 (http://go.microsoft.com/fwlink/?LinkId=76095&clcid=0x409).

Para mais informaes sobre ambientes recomendados para o IPsec, visite Determinando as Necessidades do IPSec em http://go.microsoft.com/fwlink/?LinkId=76094&clcid=0x409 no Guia de Implantao do Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=76095&clcid=0x409).

SSL

As recomendaes gerais para a utilizao do SSL so o uso do mtodo de criptografia quando se precisa de proteo granular do canal para uma aplicao especfica ao invs de todas as

aplicaes e servios executados em um computador. O SSL deve ser implementado por

aplicaes individuais. Portanto, voc no pode utilizar o SSL para criptografar todas as comunicaes entre dois hosts.

Alm disso, o SSL menos flexvel do que o IPsec porque ele suporta apenas a autenticao atravs de certificados pblicos principais. Porm, o SSL fornece diversas vantagens. O mais significativo que o SSL suportado por uma ampla variedade de servidores e computadores clientes, e a maturidade do padro praticamente eliminou problemas de interoperabilidade.

Cenrios para se considerar o SSL

H diversos cenrios que tornam o SSL uma boa opo, incluindo:

Sites de administrao O site de Administrao Central e os sites de Administrao de

Servios Compartilhados podem ser protegidos pelo SSL.

Implantao de contedo O processo de implantao de contedo copia arquivos de um diretrio de site de um servidor dentro de um farm de servidores de criao ou estgio para um diretrio de site correspondente em um ou mais servidores dentro de um farm de servidores de publicao. Neste cenrio, o IPsec pode no ser prtico se os farms de servidores estiverem

em zonas diferentes de rede ou se houver um alto volume de contedo para implantar ou um

alto nmero de servidores no qual implantar o contedo. O SSL pode ser usado para direcionar uma comunicao segura para essas transaes especficas de comunicao.

Intrafarm Shared Services Providers (SSPs) Se os farms filhos esto consumindo

servios compartilhados de um farm pai, os dados sensveis so compartilhados entre os farms.

Comunicao com fontes externas de dados Diversos recursos Office SharePoint Server

2007 confiam na conexo com servidores externos ao farm de servidores. Nesses cenrios, os dados so compartilhados entre aplicaes especficas. Enquanto voc pode utilizar o IPsec

para proteger todas as comunicaes entre esses servidores, a configurao de rede, a localizao de servidores externos, e as plataformas de servidores externos podem tornar o SSL uma melhor opo.

Planejamento da comunicao cliente-servidor

Pode no ser prtico proteger todas as comunicaes cliente-servidor. Porm, h diversos cenrios que justificam a configurao extra exigida para proteger a comunicao entre computadores

cliente e servidores em seu farm de servidores:

Colaborao segura com parceiros Os parceiros acessam e contribuem com aplicaes em um ambiente extranet.

Acesso remoto dos funcionrios Os funcionrios acessam dados internos de forma remota.

Acesso ou fornecimento de dados sensveis por clientes Os clientes fazem logon e fornecem ou obtm acesso a dados sensveis. Por exemplo, pode-se requisitar dos clientes o logon a um site de notcias da Internet ou que forneam informaes pessoais para completar uma transao de negcios.

Autenticao de formulrios ou bsica Se voc est utilizando algum desses mtodos de autenticao, as credenciais so enviadas livre de suspeitas. No mnimo, protege a

comunicao cliente-servidor na pgina de logon.

O SSL normalmente recomendado para proteger as comunicaes entre usurios e servidores quando informaes sensveis devem ser protegidas. O SSL pode ser configurado para exigir autenticao do servidor ou autenticao do servidor e do cliente.

Planejamento do uso do SSL

O SSL pode diminuir o desempenho de sua rede. H diversas orientaes comuns que podem ser utilizadas para otimizar pginas que utilizem o SSL. Primeiramente, utilize o SSL apenas para pginas que o exijam. Isso inclui pginas que contenham ou capturem dados sensveis, como senhas ou outros dados pessoais. Utilize o SSL apenas se as seguintes condies forem verdadeiras:

Voc deseja criptografar os dados da pgina.

Voc deseja garantir que o servidor ao qual voc envia os dados o servidor esperado. Para as pginas onde voc deve utilizar o SSL, siga as orientaes:

Torne o tamanho da pgina o menor possvel.

Evite o uso de grficos que sejam arquivos grandes. Se voc utiliza grficos, utilize os que sejam de menor tamanho e resoluo.

Planejamento da soluo de segurana para funes

de servidor dentro de um farm de servidores

Utilize este artigo para planejar a segurana do farm de servidores. As tarefas nesse artigo so adequadas para os seguintes ambientes de segurana:




Sobre o sistema de segurana

Em um ambiente de farm de servidores, os servidores individuais possuem funes especficas. As recomendaes do sistema de segurana para esses servidores dependem da funo que cada um tem.

As recomendaes do sistema de segurana do servidor so desenvolvidas sobre as

recomendaes fornecidas nos seguintes guias de segurana em Padres e Prticas Microsoft em http://go.microsoft.com/fwlink/?LinkId=73704&clcid=0x409:

Protegendo seu Servidor da Web


Protegendo seu Servidor Banco de Dados


Protegendo sua Rede (http://go.microsoft.com/fwlink/?LinkId=73707&clcid=0x409) Esses guias seguem uma abordagem metdica para proteger os servidores com funes

especficas e para proteger a rede de suporte. A ordem em que as configuraes so aplicadas e

as aplicaes instaladas e protegidas tambm so determinadas, comeando com a aplicao de patches e atualizaes, logo em seguida protegendo as configuraes da rede e do sistema operacional, e por fim protegendo aplicaes especficas. Por exemplo, Protegendo seu Servidor

da Web (http://go.microsoft.com/fwlink/?LinkId=73705&clcid=0x409) recomenda a instalao e proteo do Internet Information Services (IIS) apenas aps a atualizao e instalao do sistema operacional. Alm disso, este guia determina a instalao do Microsoft .NET Framework apenas

aps a finalizao da atualizao e da proteo total do IIS.

As categorias de configurao de segurana que so determinadas, de forma metdica, em Protegendo seu Web Server (http://go.microsoft.com/fwlink/?LinkId=73705&clcid=0x409) so detalhadas na seguinte figura.

Alm disso, cada um dos trs guias inclui um instantneo protegido e uma lista de configuraes

recomendveis de segurana para a funo especfica do servidor ou para a rede. As listas de instantneos so organizadas por categorias que correspondem s configuraes de segurana ilustradas na figura anterior.

O projeto de segurana e as orientaes do sistema de proteo fornecidos neste artigo foram

baseados em orientaes publicadas nesses trs guias. Esta orientao supe que voc utilizar esses guias como base para a proteo e segurana de seu farm de servidores.

Este artigo descreve as excees ou adies aos instantneos que so recomendveis a seu ambiente. Eles so detalhados em formato de tabela atravs do uso das mesmas categorias e ordenados como nos trs guias de segurana. Pretende-se que este formato facilite a identificao

e aplicao de recomendaes especficas conforme voc utiliza os guias. O guia Implantao para Office SharePoint 2007

(http://go.microsoft.com/fwlink/?LinkId=76139&clcid=0x409) inclui instrues para aplicar

orientaes especficas de segurana que no so abrangidas nos guias de segurana de padres

& prticas.

A natureza da comunicao servidor-servidor dentro de um farm de servidores e os recursos especficos fornecidos pelo Microsoft Office SharePoint Server 2007 so as razes principais para

as recomendaes especficas do sistema de proteo. Este artigo tambm descreve como os canais principais de comunicao e os recursos do Office SharePoint Server 2007 afetam os requisitos de segurana.

Recomendaes para o servidor de aplicaes

No Office SharePoint Server 2007, as funes do servidor de aplicaes no so as mesmas dos servidores de aplicaes de camada intermediria empacotados dentro de aplicaes de Servios

de Negcios. Por conseqncia, as recomendaes em Protegendo seu Servidor de Aplicaes no

se aplicam aos servidores de aplicao Office SharePoint Server 2007. Ao invs disso, utilize as orientaes fornecidas em Protegendo seu Servidor da Web (http://go.microsoft.com/fwlink/?LinkId=73705&clcid=0x409) para proteger os servidores de aplicao Office SharePoint Server 2007:

Aplique a orientao das configuraes da rede e do sistema operacional para todos os servidores de aplicaes no farm de servidores. Esta orientao est inserida nas seguintes categorias: atualizaes, servios, protocolos, contas, arquivos e diretrios,

compartilhamentos, portas, registros, auditoria e logon.

Aplique a orientao para proteo do IIS e de outras configuraes Web apenas no servidor de aplicaes que hospeda o site Administrao Central. Essa orientao inclui as seguintes categorias: IIS, Machine.config, segurana do cdigo de acesso, LocalIntranet_Zone, e Internet_Zone.

Alm de utilizar o instantneo seguro em Protegendo seu Servidor da Web

(http://go.microsoft.com/fwlink/?LinkId=73705&clcid=0x409), tambm aplique as recomendaes fornecidas na seo Adies seguras de instantneos, posteriormente neste artigo.

Comunicao segura com o banco de dados Microsoft

SQL Server

O documento Protegendo seu Servidor Banco de Dados (http://go.microsoft.com/fwlink/?LinkId=73706&clcid=0x409) recomenda a restrio do acesso s duas portas de comunicao padro do Microsoft SQL Server: porta TCP 1433 e porta UDP 1434. Para ambientes seguros do farm de servidores, a recomendao :

Bloquear a porta UDP 1434 completamente.

Configurar as instncias nomeadas do SQL Server para escuta em uma porta no-padro (ao invs da porta TCP 1433 ou da porta UDP 1434).

Para segurana adicional, bloquear a porta TCP 1433 e reatribuir a porta utilizada atravs da instncia padro para uma porta no-padro.

Configurar os alias do cliente SQL nos servidores da Web de front-end e nos servidores de aplicaes no farm de servidores. Aps o bloqueio da porta TCP 1433 ou da porta UDP 1434, os alias do cliente SQL so necessrios em todos os computadores que se comuniquem com o computador SQL Server.

Esta abordagem fornece um grau de controle muito maior sobre a implantao e execuo do SQL

Server, incluindo a capacidade de garantir que apenas computadores autorizados possam se comunicar com o computador SQL Server.

Os passos do sistema de proteo para criar o alias de um cliente SQL deve ser completado antes

da instalao do Office SharePoint Server 2007. Quando executar a instalao do Office SharePoint Server 2007 e precisar digitar o nome do computador SQL Server a que deve se conectar, voc precisar digitar o nome do alias do cliente SQL.

Bloquear as portas padres do SQL Server

As portas especficas utilizadas para se conectar ao SQL Server so afetadas pelos bancos de dados instalados e se eles esto em uma instncia padro do SQL Server ou em uma instncia nomeada do SQL Server. A instncia padro do SQL Server escuta os pedidos dos clientes na

porta TCP 1433. Uma instncia nomeada do SQL Server escuta em um nmero de porta atribudo aleatoriamente. Alm disso, o nmero da porta para uma instncia nomeada pode ser reatribudo

se a instncia reinicializar (dependendo se o nmero de porta atribudo previamente est

disponvel).

Por padro, os computadores clientes que se conectam ao SQL Server primeiramente se conectam atravs do uso da porta TCP 1433. Se essa comunicao no for bem sucedida, logo os computadores clientes consultam a escuta do SQL Server Resolution Service na porta UDP 1434

para determinar em qual porta a instncia do banco de dados est escutando.

O comportamento padro da porta de comunicao do SQL Server apresenta diversos problemas que afetam o sistema de proteo do servidor. Primeiramente, as portas utilizadas pelo SQL

Server so portas bem conhecidas, e o SQL Server Resolution Service foi alvo de ataques de

saturao do buffer e ataques de negao de servio, incluindo o worm "Slammer". Mesmo se o

SQL Server for atualizado para mitigar problemas de segurana no SQL Server Resolution Service,

as portas bem conhecidas continuam um alvo. Em segundo lugar, se os bancos de dados esto instalados em uma instncia nomeada do SQL Server, a porta de comunicao correspondente atribuda aleatoriamente e pode mudar. Este comportamento pode evitar, potencialmente, a comunicao servidor-servidor em um ambiente de proteo. A capacidade para controlar quais portas TCP so abertas ou bloqueadas essencial para a proteo do ambiente.

Por conseqncia, a recomendao para um farm de servidores atribuir nmeros estticos de

porta para instncias nomeadas do SQL Server e bloquear a porta UDP 1434 para evitar que atacantes em potencial acessem o SQL Server Resolution Service. Alm disso, considere a reatribuio da porta utilizada pela instncia padro e o bloqueio da porta TCP 1433.

H diversos mtodos que voc pode utilizar para bloquear portas. Voc pode bloque-las com o

uso de um firewall. Porm, a no ser que voc tenha certeza que no h outras rotas no segmento de rede e que no h usurios maliciosos que possuem acesso ao segmento da rede, a recomendao bloquear essas portas diretamente no servidor que hospeda o SQL Server. Isso

pode ser conseguido atravs do uso do Firewall do Windows no Painel de Controle.

Configurar as instncias do banco de dados do SQL Server para escuta em uma porta no-padro

O SQL Server fornece a capacidade de reatribuir portas utilizadas por uma instncia padro e quaisquer instncias nomeadas. No SQL Server 2000, voc reatribui portas atravs do uso do SQL Server Network Utility. No SQL Server 2005, voc reatribui portas atravs do uso do SQL Server Configuration Manager.

Configurar os alias do cliente SQL

No farm de servidores, todos os servidores da Web de front-end e servidores de aplicao so computadores clientes SQL Server. Se voc bloquear a porta UDP 1434 no computador SQL Server ou se voc mudar a porta padro por uma instncia padro, voc deve configurar o alias de um cliente SQL em todos os servidores que se conectam ao computador SQL Server.

Para se conectar a uma instncia do SQL Server 2000, voc instala as ferramentas do cliente SQL Server no computador alvo e logo configura os alias do cliente SQL. Voc instala essas

ferramentas com a execuo da instalao do SQL Server e selecionando SQL Server Client

Tools.

Para se conectar a uma instncia do SQL Server 2005, voc instala componentes do cliente SQL Server no computador alvo e ento configura os alias do cliente SQL atravs do uso do SQL Server Configuration Manager. Para instalar os componentes do cliente SQL Server, execute Setup e selecione apenas os seguintes componentes de cliente para instalar:

Componentes de Conectividade

Ferramentas de Gerenciamento (inclui o SQL Server Configuration Manager)

Os componentes do cliente SQL Server funcionam com o SQL Server 2000 e podem ser utilizados ao invs das ferramentas do cliente SQL Server.

Passos de Proteo do Sistema

Configurando o SQL Server

Configurando uma instncia do SQL Server 2000 para

escuta em uma porta no-padro

Utilize o SQL Server Network Utility para mudar a porta TCP que utilizada por uma instncia do

SQL Server 2000.

1. No computador SQL Server, execute o SQL Server Network Utility.

2. No menu Instance(s) on this server, selecione a instncia. Tenha certeza que voc selecionou a instncia necessria. Por padro, a instncia padro escuta na porta 1433. As instncias nomeadas do SQL Server 2000 so atribudas com um nmero de porta aleatrio, portanto voc pode no saber o nmero atual de porta atribuda para uma instncia nomeada ao executar o SQL Server Network Utility.

3. No painel Enabled Protocols no lado direito da interface SQL Server Network Utility, clique

em TCP/IP, e em Properties.

4. Na caixa de dilogo Network Protocol Default Value Setup, mude o nmero da porta TCP.

Evite utilizar qualquer porta TCP bem conhecida. Por exemplo, selecione um nmero de porta de alto alcance, como 40000. No selecione a caixa de seleo Hide Server.

5. Clique em OK.

6. Na caixa de dilogo SQL Server Network Utility, clique em OK. Voc receber uma mensagem indicando que a mudana no ter efeito at que o servio SQL Server seja reincializado. Clique em OK.

7. Reincie o servio SQL Server e confirme que seu computador SQL Server est escutando na

porta selecionada. Voc pode confirmar isto com a observao no registro de visualizao de eventos aps a reinicializao do servio SQL Server. Procure por um evento de informaes similar ao seguinte evento:

Event Type:Information

Event Source:MSSQLSERVER Event Category:(2)

Event ID:17055

Date:3/6/2008

Time:11:20:28 AM User:N/A Computer:computer_name Description:

19013:

SQL Server listening on 10.1.2.3: 40000

Configurando uma instncia SQL Server 2005 para escuta em uma porta no-padro

Utilize o SQL Server Configuration Manager para mudar a porta TCP que est sendo utilizada por uma instncia do SQL Server 2005.

1. Utilize o SQL Server Configuration Manager para mudar a porta TCP que est sendo utilizada

por uma instncia do SQL Server 2005.

2. No computador SQL Server, abra o SQL Server Configuration Manager.

3. No painel esquerda, amplie SQL Server 2005 Network Configuration.

4. Embaixo do SQL Server 2005 Network Configuration, clique na entrada correspondente

da instncia que voc est configurando. A instncia padro est listada como Protocols for

MSSQLSERVER. As instncias nomeadas aparecero como Protocols for named_instance.

5. No painel direita, clique com o boto direito em TCP/IP e em seguida em Properties.

6. Clique na guia IP Addresses. Para cada endereo IP atribudo ao computador SQL Server, h uma entrada correspondente nessa guia. Por padro, o SQL Server est escutando em todos os endereos IP atribudoa ao computador.

7. Para mudar globalmente a porta em que a instncia padro est escutando, execute o

seguinte:

1. Para cada IP, exceto IPAll, limpe todos os valores dos TCP dynamic ports e TCP Port.

2. Para o IPAll, limpe o valor do TCP dynamic ports. No campo TCP Port, digite a porta que voc deseja que a instncia do SQL Server escute. Por exemplo, digite

40000.

8. Para mudar globalmente a porta em que a instncia nomeada est escutando, execute o seguinte:

1. Para cada IP, incluindo o IPAll, limpe todos os valores para os TCP dynamic ports.

O valor de 0 neste campo indica que o SQL Server utiliza uma porta TCP dinmica para o endereo IP. Uma entrada em branco para este valor significa que o SQL Server 2005 no utilizar uma porta TCP dinmica para o endereo IP.

2. Para cada IP, exceto o IPAll, limpe todos os valores do TCP Port.

3. Para o IPAll, limpe o valor do TCP dynamic ports. No campo TCP Port, digite a porta que voc deseja que a instncia do SQL Server escute. Por exemplo, digite

40000.

9. Clique em OK. Voc receber uma mensagem indicando que a mudana no ter efeito at que o servio SQL Server seja reinicializado. Clique em OK.

10. Feche o SQL Server Configuration Manager.

11. Reincie o servio SQL Server e confirme que o computador SQL Server est escutando na porta selecionada. Voc pode confirmar isto, observando no registro de visualizaes logo aps a reinicializao do servio SQL Server. Procure por um evento de informaes similar ao seguinte evento:

Event Type:Information

Event Source:MSSQL$MSSQLSERVER Event Category:(2)

Event ID:26022

Date:3/6/2008

Time:1:46:11 PM User:N/A

Computer:computer_name

Description:

Server is listening on [ 'any' 50000]

Configurar o Firewall do Windows

Configurando o Firewall do Windows para bloquear as portas de escuta padres do SQL Server

1. No Control Panel, abra Windows Firewall.

2. Na guia General, clique em On. Garanta que a caixa de verificao Don't allow exceptions

esteja limpa.

3. Na guia Exceptions, clique em Add Port.

4. Na caixa de dilogo Add a Port, digite um nome para a porta. Por exemplo, digite UDP-1434.

Logo, digite o nmero da porta. Por exemplo, digite 1434.

5. Selecione o boto de opo apropriado: UDP ou TCP. Por exemplo, para bloquear a porta

1434, clique em UDP. Para bloquear a porta 1433, clique em TCP.

6. Clique em Change Scope e garanta que o escopo para essa exceo foi atribudo para Any computer (including those on the Internet).

7. Clique em OK.

8. Na guia Exceptions, localize as excees criadas. Para bloquear a porta, limpe a caixa de verificao para esta exceo. Por padro, esta caixa de verificao est selecionada, o que significa que a porta est aberta.

Configurando o Firewall do Windows para abrir manualmente as portas atribudas

1. Siga os passos de 1-7 no procedimento anterior para criar uma exceo para a porta que voc atribuiu manualmente a uma instncia SQL. Por exemplo, criar uma exceo para a porta TCP

40000.

2. Na guia Exceptions, localize a exceo criada. Garanta que a caixa de verificao para a exceo est selecionada. Por padro, esta caixa de verificao est selecionada, o que

significa que a porta est aberta.

Observao:

Para mais informaes sobre o uso do Internet Protocol security (IPsec) para proteger a

comunicao de e para seu computador SQL Server, visite o artigo 233256 da Base de

Conhecimento Microsoft: Como Ativar o Trfego do IPSec Atravs de um Firewall

(http://go.microsoft.com/fwlink/?LinkId=76142&clcid=0x409).

Configurar o alias de um cliente SQL

Configurando o alias de um cliente SQL

Se voc bloquear a porta UDP 1434 ou a porta TCP 1433 no computador SQL Server, voc deve criar o alias de um cliente SQL em todos os outros computadores do farm de servidores. Voc pode utilizar os componentes do cliente SQL Server para criar o alias de um cliente SQL para computadores que se conectam ao SQL Server 2000 ou ao SQL Server 2005.

1. Execute a instalao do SQL Server 2005 no computador alvo e selecione os seguintes

componentes do cliente para instalar:

1. Connectivity Components

2. Management Tools

2. Abra o SQL Server Configuration Manager.

3. No painel esquerda, clique em SQL Native Client Configuration.

4. No painel direita, clique com o boto direito em Aliases, e selecione New Alias.

5. Na caixa de dilogo Alias, digite um nome para o alias e ento digite o nmero da porta para

a instncia do banco de dados.Por exemplo, digite SharePoint_alias.

6. No campo Port No, digite o nmero da porta para a instncia do banco de dados. Por

exemplo, digite 40000. Garanta que o protocolo foi estabelecido para TCP/IP.

7. No campo Server, digite o nome do computador SQL Server.

8. Clique em Apply, e ento em OK.

Teste o alias do cliente SQL

Teste a conectividade com o computador SQL Server atravs do uso do Microsoft SQL Server Management Studio, que est disponvel com a instalao dos componentes do cliente SQL Server.

1. Abra o SQL Server Management Studio.

2. Quando o nome do servidor for pedido, digite o nome do alias criado e clique em Connect. Se

a conexo for bem sucedida, o SQL Server Management Studio ser populado com objetos que correspondem ao banco de dados remoto.

Observao:

Para verificar a conectividade com instncias de banco de dados adicionais diretamente do

SQL Server Management Studio, clique no boto Connect e selecione Database Engine.

Requisitos de servio de compartilhamento de

arquivos e impressora

Diversos recursos bsicos dependem do servio de compartilhamento de arquivos e impressora e seus protocolos e portas correspondentes. Eles incluem, alm disso, o seguinte:

Configurao Utiliza o servio de compartilhamento de arquivos e impressora para copiar arquivos e criar bancos de dados, como o banco de dados de configurao.

Consultas de pesquisa Todas as consultas de pesquisa exigem o servio de compartilhamento de arquivos e impressora.

Contedo de rastreamento e indexao Para rastrear contedo, o componente de indexao envia pedidos atravs do servidor da Web de front-end. Esse servidor se comunica diretamente com bancos de dados de contedo e envia os resultados de volta para o servidor ndice. Esta comunicao exige o servio de compartilhamento de arquivos e impressora.

Propagao do ndice Se a funo de consulta est instalada em um servidor diferente do que o da funo ndice, o servidor copia o contedo de ndice para os servidores de pesquisa. Esta ao exige o servio de compartilhamento de arquivos e impressora e os protocolos e portas correspondentes.

O servio de compartilhamento de arquivos e impressora exige o uso de pipes nomeados. Os pipes

nomeados podem se comunicar entre si atravs de protocolos SMB ou NBT. Para um ambiente seguro, o SMB hospedado diretamente recomendvel, ao invs do NBT. As recomendaes do sistema de proteo fornecidos neste artigo supem que o SMB utilizado.

A seguinte tabela descreve os requisitos do sistema de proteo que so apresentados na dependncia do servio de compartilhamento de arquivos e impressora.

Categoria

Requisito

Notas

Servios

Compartilhamento de

Arquivos e Impressora

Exige o uso de pipes nomeados.

Protocolos

Pipes nomeados que utilizem

SMB hospedado diretamente

Pipes nomeados podem utilizar o NBT ao invs do SMB

hospedado diretamente. Porm, o NBT no

Categoria

Requisito

Notas

Desativar NBT

considerado to seguro quanto o SMB hospedado diretamente.

Portas

Porta TCP/UDP 445

Utilizada pelo SMB hospedado diretamente.

Para mais informaes sobre a desativao do NBT, visite o artigo 204279 da Base de Conhecimento Microsoft: Hospedagem Direta do SMB sobre o TCP/IP (http://go.microsoft.com/fwlink/?LinkId=76143&clcid=0x409).

Requisitos do sistema de proteo para logon nico

O recurso logon nico (logon nico) do Office SharePoint Server 2007 utilizado para conectar fontes de dados que residam fora do farm de servidores. Por padro, o recurso logon nico no ativado no farm de servidores do Office SharePoint Server 2007. No configure o logon nico a

no ser que voc precise deste recurso para se conectar a fontes externas de dados. Como o

recurso logon nico exige autenticao do usurio, esse recurso no funciona em um ambiente de acesso annimo externo.

O logon nico confia no servio Microsoft de Logon nico e em seus protocolos e portas correspondentes. Este servio deve ser ativado nos seguintes servidores:

Todos os servidores da Web de front-end

O servidor designado de criptografia principal (uma funo que hospedada normalmente por um servidor de aplicaes)

Funo Excel Calculation Services

Alm disso, se um trimmer de segurana estiver instalado no servidor de consulta e este trimmer de segurana exigir acesso aos dados logon nico, o servio Logon nico Microsoft deve estar

sendo executado tambm nesta funo de servidor.

O recurso logon nico apresenta diversos requisitos do sistema de proteo para o farm de servidores. O servio Logon nico utiliza a chamada de procedimento remoto (RPC). O RPC utiliza

a porta 135. Ele tambm utiliza uma porta dinmica atribuda no intervalo 102465535/TCP. Isso

se refere a um RPC dinmico. possvel utilizar a chave do Registro do Windows para limitar o intervalo das portas dinmicas RPC atribudas. Ao invs de utilizar todas as portas com nmeros

altos (102465535), voc pode limitar o intervalo de portas RPC dinmicas para um nmero muito

menor. Isso se refere a um RPC esttico.

Para mais informaes sobre limitar as portas utilizadas pelo RPC, veja os seguintes recursos:

Active Directory em Redes Segmentadas por Firewalls


Artigo 154596 da Base de Conhecimento Microsoft: Como configurar a alocao da porta RPC dinmica para trabalhar com firewalls (http://go.microsoft.com/fwlink/?LinkId=76145&clcid=0x409).

Artigo 300083 da Base de Conhecimento Microsoft: Como fazer


A seguinte tabela lista os requisitos do sistema de proteo que so apresentados pelo logon nico. Esses requisitos se aplicam a todos os servidores dentro do farm de servidores.

Categoria

Requisito

Notas

Servios

Servio Logon nico

Requer o uso do protocolo RPC.

Categoria

Requisito

Notas

Protocolos

RPC

Configurar o RPC esttico para limitar o intervalo de portas utilizado pelo RPC dinmico.

Portas

Porta TCP 135 mais o intervalo de

portas configurado para o RPC

dinmico

Enquanto esses requisitos do sistema de proteo so configurados no sistema operacional, a ordem em que eles so configurados essencial para uma implantao bem sucedida do logon

nico. Os requisitos para protocolos e portas podem ser configurados a qualquer momento, desde que seja anteriormente configurao do recurso logon nico no Office SharePoint Server 2007. Porm, a ordem na qual o servio Logon nico ativada nos servidores do farm afeta a

configurao do logon nico.

O primeiro servidor em que voc ativa o servio se torna o servidor com a chave de criptografia para o farm de servidores. Este servidor armazena a chave de criptografia. A recomendao hospedar essa funo em um dos servidores de aplicao. O servio de Logon nico deve ser ativado tambm em cada um dos servidores da Web de front-end no farm de servidores. Esses computadores encaminham as credenciais para o servidor com a chave de criptografia.

A configurao bem sucedida do recurso logon nico no Office SharePoint Server 2007 exige a

configurao do site de Administrao Central, alm de ativar o servio de Logon nico. Por conseqncia, no ative o servio de Logon nico antes de instalar o Office SharePoint Server

2007. Para mais informaes sobre a configurao do logon nico, veja o artigo Planejamento de

logon nico .

Web services do Office Server

O Web service Office Services utilizado pelo Office SharePoint Server 2007 como um canal de comunicao entre servidores Web e de aplicaes. Este servio utiliza as seguintes portas:

TCP 56737

TCP/SSL 56738

Conexes a servidores externos

Diversos recursos do Office SharePoint Server 2007 podem ser configurados para acessar dados que residam em servidores fora do farm. Se voc configurar o acesso a dados de servidores

externos, garanta que voc ativar a comunicao entre os computadores adequados. Na maioria dos casos, as portas, os protocolos e os servios utilizados dependem de recursos externos. Por exemplo:

Conexes a arquivos compartilham o uso do servio de Compartilhamento de Arquivos e

Impressora.

Conexes a bancos de dados SQL Server externos utilizam as portas padres ou personalizadas para a comunicao com o SQL Server.

Conexes com o Oracle utilizam normalmente OLE DB.

Conexes com Web services utilizam o HTTP e o HTTPS.

A seguinte tabela lista os recursos que podem ser configurados para acessar dados que residam em servidores fora do farm.

Recurso

Descrio

Rastreamento de

contedo

Voc pode configurar regras de rastreamento para verificar dados que

residem em recursos externos, incluindo sites, compartilhamento de

arquivos, pastas pblicas do Exchange, e aplicaes de dados de negcios.

Ao rastrear fontes externas, a funo de ndice se comunica diretamente

com os recursos externos.

Para mais informaes, visite Planejamento do rastreamento de contedo .

Conexes com Catlogo de Dados de Negcios

Os servidores Web e de aplicaes se comunicam diretamente com computadores configurados para conexes de Catlogo de Dados de Negcios.

Para mais informaes, visite Planejamento de conexes a dados de

negcios com o Catlogo de Dados de Negcios .

Recebendo pastas

de trabalho do

Microsoft Office

Excel

Se as pastas de trabalho abertas no Excel Services se conectam a

quaisquer fontes externas de dados (por exemplo, Analysis Services e SQL

Server), as portas TCP/IP adequadas precisam ser abertas para a conexo

a essas fontes externas de dados. Para mais informaes, visite

Planejamento das conexes externas de dados para Excel Services .

Se os caminhos da Conveno de Nomenclatura Universal (UNC) esto

configurados como localizaes confiveis no Excel Services, a funo da

aplicao Excel Calculation Services utiliza os protocolos e as portas

utilizadas pelo servio de Compartilhamento de Arquivos e Impressora para

receber as pastas de trabalho do Office Excel por um caminho UNC.

As pastas de trabalho que so armazenadas nos bancos de dados de

contedo ou que so carregadas ou descarregadas de sites por usurios

no so afetadas por essa comunicao.

Requisitos de servio para integrao de e-mail

A integrao de e-mail exige o uso de dois servios:

Servio Simple Mail Transfer Protocol (SMTP)

Servio de Gerenciamento de Diretrio do Microsoft SharePoint

Servio SMTP

A integrao de e-mail requer o uso do servio SMTP em pelo menos um dos servidores da Web de front-end no farm de servidores. O servio SMTP exigido para e-mails de entrada. Para e- mails de sada, voc pode utilizar o servio SMTP ou rotear os e-mails de sada atravs de um servidor de e-mails dedicado em sua empresa, como o computador Microsoft Exchange Server.

Servio de Gerenciamento de Diretrio do Microsoft

SharePoint

O Office SharePoint Server 2007 inclui um servio interno, o Servio de Gerenciamento de Diretrio do Microsoft SharePoint, para criar grupos de distribuio de e-mail. Quando voc configura a integrao de e-mails, voc possui a opo de ativar o recurso de Servio de Gerenciamento de Diretrio, permitindo que os usurios criem listas de distribuio. Quando os

usurios criam um grupo SharePoint e eles selecionam a opo de criar uma lista de distribuio,

o Servio de Gerenciamento de Diretrio do Microsoft SharePoint cria a lista de distribuio do

servio de diretrio correspondente no ambiente Active Directory.

Nos ambientes do sistema de proteo de segurana, a recomendao restringir o acesso ao Servio de Gerenciamento de Diretrio do Microsoft SharePoint atravs da proteo do arquivo associado com o servio, que o SharePointEmailws.asmx. Por exemplo, permita o acesso a este arquivo apenas atravs da conta do farm de servidores.

Alm disso, esse servio requer permisses no ambiente Active Directory para criar objetos na

lista de distribuio do Active Directory. A recomendao configurar uma unidade organizacional separada no Active Directory para objetos SharePoint. Apenas esta unidade organizacional deveria permitir a gravao do acesso conta utilizada pelo Servio de Gerenciamento de Diretrio do Microsoft SharePoint.

Requisitos de servio para o estado de sesso

O Microsoft Office Project Server 2007 e o Microsoft Office Forms Server 2007 mantm o estado

de sesso. Se voc est implantando esses recursos ou produtos em seu farm de servidores, no desative o servio ASP.NET State. Alm disso, se voc implantar o InfoPath Forms Services, no desative o servio View State.

Servios Office SharePoint Server

No desative servios instalados pelo Office SharePoint Server 2007.

Os seguintes servios so instalados em servidores da Web de front-end e servidores de aplicativos, alm de aparecerem no snap-in dos Servios do Console de Gerenciamento Microsoft (MMC) (ordem alfabtica):

Administrao Windows SharePoint Services

Gravador VSS Windows SharePoint Services

Busca Office SharePoint Server

Busca Windows SharePoint Services

Rastreamento Windows SharePoint Services

Timer Windows SharePoint Services

Se o ambiente no permite servios que sejam executados como um sistema local, voc pode considerar a desativao do servio de Administrao do Windows SharePoint Services apenas se voc estiver ciente das conseqncias e conseguir resolver isso. Esse servio Win32 que funciona como um sistema local.

Esse servio utilizado pelo Timer Windows SharePoint Services para executar aes que

requerem privilgios administrativos o servidor, como a criao de sites IIS, a implantao de cdigos, e a finalizao e incio de servios. Se voc desativar esse servio, no poder executar tarefas relacionadas implantao do site Administrao Central. Voc precisar utilizar a ferramenta com linha de comando Stsadm.exe e executar o comando execadminsvcjobs para completar as implantaes multi-servidor para o Windows SharePoint Services 3.0 e executar outras tarefas relacionadas implantao.

Contas e grupos

Os instantneos protegidos nos guias de segurana padro & prtica fornecem recomendaes para proteger contas e grupos.

Para recomendaes sobre o planejamento de contas, visite Planejamento de contas administrativas e de servio .

Para recomendaes sobre o planejamento de funes administrativas e de usurio, visite

Planejamento de funes de segurana .

Arquivo Web.config

O .NET Framework, e particularmente o ASP.NET, utiliza arquivos de configurao com formatao

XML para configurar aplicaes. O .NET Framework confia nos arquivos de configurao para definir opes de configurao. Os arquivos so baseados em texto XML. Diversos arquivos de configurao podem, e geralmente, existem em um nico sistema.

As configuraes ao longo do sistema para o .NET Framework so definidas no arquivo

Machine.config. O arquivo Machine.config est localizado na pasta

%SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\ . As configuraes padro contidas no arquivo Machine.config podem ser modificadas para afetar o comportamento

das aplicaes que utilizam o .NET Framework no sistema todo. Para recomendaes sobre como

configurar arquivos Machine.config, veja Protegendo seu Servidor da Web


Voc pode alterar a configurao do ASP.NET para uma nica aplicao se voc criar um arquivo Web.config na pasta raiz da aplicao. Ao fazer isso, as configuraes no arquivo Web.config substituem as configuraes no arquivo Machine.config.

Quando voc amplia uma aplicao Web atravs do uso da Administrao Central, o Office SharePoint Server 2007 cria automaticamente um arquivo Web.config para a aplicao Web. Posteriormente neste artigo, a seo Adies seguras do instantneo listar recomendaes para configurar arquivos Web.config. Pretende-se que essas recomendaes sejam aplicadas em cada arquivo Web.config criado, incluindo o arquivo Web.config para o site Administrao Central.

Para mais informaes sobre os arquivos de configurao ASP.NET e sobre a edio de um arquivo

Web.config, visite Configurao ASP.NET

(http://go.microsoft.com/fwlink/?LinkID=73257&clcid=0x409).

Adies seguras do instantneo

Esta seo lista as adies ao instantneo nos guias de segurana padres & prticas recomendadas no ambiente Office SharePoint Server 2007. Elas so detalhadas no formato de tabela atravs do uso das mesmas categorias e ordem como os guias de segurana padres & prticas.

Pretende-se que esse formato facilite a identificao e aplicao de recomendaes especficas conforme utiliza os guias de segurana padres & prticas. Exceto por algumas excees,

pretende-se que essas recomendaes do sistema de proteo sejam aplicadas antes da execuo da Instalao para Office SharePoint Server 2007.

Para mais informaes sobre a comunicao entre as funes especficas de servidor em um farm de servidores, visite Planejamento da proteo do sistema para ambientes extranet.

Protegendo as adies do instantneo na rede

A seguinte tabela descreve as recomendaes para proteger as adies na rede.

Componente

Exceo de Caracterstica

Todos

Sem recomendaes adicionais

Protegendo as adies do instantneo no servidor da Web

A seguinte tabela descreve as recomendaes para proteger as adies no servidor da Web.

Componente

Caracterstica

Servios

Ative:

Garanta que esses servios continuem ativados aps a execuo da

Instalao:

Protocolos

Ative:

Desative:

NBT

Contas

Arquivos e diretrios

Se a integrao do e-mail estiver ativada e o recurso Servio de Gerenciamento de Diretrio estiver ligado, restrinja o acesso ao servio de Gerenciamento de Diretrio do Microsoft SharePoint atravs da

Componente

Caracterstica

proteo do arquivo associado com esse servio: SharePointEmailws.asmx. Por exemplo, permita o acesso a esse arquivo apenas pela conta do farm de servidores.

Compartilhamentos


Portas

Registro

Se utilizar o logon nico, edite o registro para configurar o RPC esttico.

Auditoria e logon

Se os arquivos log forem relocados, garanta que a localizao dos arquivos log sejam atualizados para que se igualem.

IIS

Veja orientaes para o IIS abaixo.

Sites e diretrios virtuais


Mapeamento do script


Filtros ISAPI


Metabase IIS


.NET Framework

Veja orientaes para o .NET Framework abaixo.

Machine.config:

HttpForbiddenHandler


Machine.config: Remoto


Componente

Caracterstica

Machine.config:

Rastramento


Machine.config: Compilao


Machine.config:

customErrors


Machine.config:

sessionState


Segurana do cdigo

de acesso

Garanta que voc possui um conjunto mnimo de cdigos de acesso para

permisses de segurana ativadas para sua aplicaes Web. (O elemento

no Web.config para cada aplicao Web deveria ser estabelecido

para WSS_Minimal (onde WSS_Minimal tem o padro baixo, conforme

definido em 12\config\wss_minimaltrust.config) ou seu prprio arquivo

de diretiva personalizada, que minimamente estabelecida.)

LocalIntranet_Zone


Internet_Zone


Web.config

Aplique as seguintes recomendaes para cada arquivo Web.config criado aps a execuo da Instalao:

Protegendo as adies dos instantneos do servidor

banco de dados

A seguinte tabela descreve as recomendaes para proteger as adies do servidor banco de dados.

Componente

Caracterstica de exceo

Servios


Protocolos


Contas

Remova manualmente contas no utilizadas

regularmente.

Arquivos e diretrios


Compartilhamentos


Portas

Registro


Auditoria e logon


Configuraes SQL Server

Veja a orientao para as configuraes SQL Server.

Segurana SQL Server


Logins, usurios e funes SQL Server


Objetos de banco de dados SQL Server


Planejamento do sistema de proteo de segurana

para ambientes extranet

Este artigo detalha os requisitos do sistema de proteo para um ambiente extranet no qual um farm de servidores Microsoft Office SharePoint Server 2007 est localizado dentro da rede perimetral e o contedo est disponvel diretamente da Internet ou da rede corporativa.

Topologia da rede

A orientao do sistema de proteo neste artigo pode ser aplicada para diversas configuraes diferentes da extranet. O seguinte diagrama da topologia da rede de permetro back-to-back mostra um exemplo de implementao e ilustra as funes do servidor e do cliente em um ambiente extranet. O propsito do diagrama articular cada uma das funes possveis e sua relao com o ambiente geral. Por conseqncia, a funo de consulta aparece duas vezes. Em uma implementao real, a funo de consulta implantada nos servidores Web ou em um

servidor de aplicaes, mas no nos dois. E, se a funo de consulta implantada nos servidores Web, ela implantada em todos os servidores Web em um farm. Para o objetivo de comunicar os requisitos do sistema de proteo de segurana, o diagrama ilustra todas as opes. Os

roteadores ilustram que eles podem ser substitudos por firewalls.

Relaes de confiana no domnio

O requisito para uma relao de confiana no domnio depende de como o farm de servidores est configurado. Esta seo discute duas configuraes possveis.

O farm de servidores reside em uma rede perimetral

A rede perimetral requer sua prpria infra-estrutura e domnio do servio de diretrio Active

Directory. Normalmente, o domnio perimetral e corporativo no esto configurados para confiar

um no outro. Porm, para autenticar usurios da intranet e funcionrios remotos que esto

utilizando suas credenciais do domnio (autenticao Windows), voc deve configurar uma relao de confiana de mo nica, na qual o domnio do permetro confia no domnio corporativo. Formulrios de autenticao e Web logon nico no exigem uma relao de confiana no domnio.

O farm de servidores est dividido entre a rede perimetral e a rede corporativa

Se o farm de servidores estiver dividido entre a rede perimetral e a corporativa com os servidores banco de dados residindo dentro da rede corporativa, a rede do permetro deve confiar na rede corporativa. Se a autenticao SQL utilizada, uma relao de confiana no domnio no necessria. A seguinte tabela resume as diferenas entre essas duas abordagens.

Autenticao Windows

Autenticao SQL

Descrio

As contas de domnio

corporativo so utilizadas

para todo o servio e contas

de administrao do Office

SharePoint Server 2007,

incluindo contas de pool de

aplicaes.

Uma relao de confiana de

mo nica, na qual a rede

do permetro confia na rede

corporativa, necessria.

As contas Office SharePoint Server 2007 so

configuradas da seguinte maneira:

Uma relao de confiana no necessria, mas

pode ser configurada para suportar a autenticao

do cliente contra um controlador interno do domnio.

Observao:

Se os servidores de aplicao residem no

domnio corporativo, uma relao de confiana

de mo nica, na qual a rede do permetro

confia na rede corporativa, exigida.

Instalao

A instalao inclui o seguinte:

A instalao inclui o seguinte:

Autenticao Windows

Autenticao SQL

confiana estabelecida na qual o domnio do permetro confia no domnio corporativo.

Informaes

Adicionais

A relao de confiana de

mo-nica permite que os

servidores Web e de

aplicaes sejam juntados

no domnio extranet para

resolver as contas que esto

em domnio corporativo.

As informaes na tabela anterior supem o seguinte:

Os servidores Web e de aplicaes residem na rede perimetral.

Todas as contas so criadas com o mnimo de privilgios possvel, incluindo as seguintes recomendaes:

Contas separadas so criadas para todas as contas administrativas e de servio.

Nenhuma conta membro do grupo de Administradores de qualquer computador, incluindo o servidor que hospeda o SQL Server.

Para mais informaes sobre as contas do Office SharePoint Server 2007, visite Planejamento de contas administrativas e de servio .

Para mais informaes sobre a criao de banco de dados atravs do uso da ferramenta de linha

de comando, visite Referncia de linha de comando SharePoint Products and Technologies

Configuration Wizard .

Comunicao com funes de farm de servidores

Ao configurar um ambiente extranet, importante saber como as vrias funes de servidores se comunicam com o farm.

Comunicao entre funes de servidores

A seguinte figura ilustra os canais de comunicao dentro de um farm de servidores. A tabela logo

a seguir figura indica as portas e protocolos representados na figura. As setas pretas em negrito indicam qual funo do servidor inicia a comunicao. Por exemplo, a funo do Excel Calculation Services de iniciar a comunicao com o servidor banco de dados. O servidor banco de dados

no inicia a comunicao com a funo Excel Calculation Services. A seta vermelha pontilhada indica que o servidor pode iniciar a comunicao. Isto importante saber ao configurar a comunicao de entrada e sada em um firewall.

Texto

Explicativo

Portas e protocolos

1

Acesso ao cliente (incluindo o Gerenciamento de Direitos de Informao (IRM) e

consultas de pesquisa), em um ou mais dos seguintes:

2

Servio de Arquivos e Impressora Um dos seguintes:

Protocolo SMB hospedado diretamente (TCP/UDP 445) Recomendado

Texto

Explicativo

Portas e protocolos

NetBIOS sobre TCP/IP (TCP/UDP portas 137, 138, 139) Desativar se no for utilizado

3

Office Server Web Services Ambos:

4

Comunicao do banco de dados:

5

Rastreamento de pesquisa Dependendo de como a autenticao configurada,

os sites SharePoint podem ser ampliados com uma zona adicional ou no site

Internet Information Services (IIS) para garantir que o componente ndice pode

acessar contedo. Essa configurao pode resultar em portas personalizadas.

6

Servio Logon nico Qualquer funo do servidor que possui o servio logon

nico sendo executado deve ser capaz de se comunicar com o servidor de chave de criptografia utilizando a chamada de procedimento remoto (RPC). Isso inclui todos

os servidores Web, a funo Excel Calculation Services, e a funo ndice. Alm disso, se um trimmer personalizado de segurana estiver instalado no servidor de consulta e esse trimmer de segurana exigir o acesso aos dados logon nico, o servio logon nico tambm est sendo executado na funo de servidor.

O RPC requer a porta TCP 135 e ou:

Para mais informaes sobre o servidor de chave de criptografia e quais funes de servidor exigem o servio logon nico, visite Planejamento do logon nico .

Os servidores Web balanceiam a carga automaticamente dos pedidos de consulta para os servidores de consulta disponveis. Por conseqncia, se a funo de consulta for implantada em computadores servidores Web, esses servidores se comunicarao entre si utilizando o servio de

Compartilhamento de Arquivos e Impressora e os Web services do Office Server. A seguinte figura

ilustra os canais de comunicao entre esses servidores.

Comunicao entre sites administrativos e funes do

servidor

Os sites administrativos incluem:

Site de Administrao Central Este site pode ser instalado em um servidor de aplicaes ou em um servidor da Web.

Sites de Administrao de Servios Compartilhados Estes sites so espelhados em servidores Web.

Esta seo detalha os requisitos de porta e protocolo para comunicao entre uma estao de trabalho do administrador e das funes de servidor dentro do farm. O site Administrao Central pode ser instalado em qualquer servidor da Web ou de aplicao. As mudanas na configurao feitas atravs do site Administrao Central so comunicadas ao banco de dados de configurao. Outras funes de servidor no farm adquirem as mudanas de configurao que so registradas

no banco de dados de configurao durante os ciclos de sondagem. Por conseqncia, o site

Administrao Central no apresenta nenhum requisito de comunicao a outras funes de servidor no farm.

A seguinte figura ilustra os canais de comunicao de uma estao de trabalho do administrador para sites administrativos e bancos de dados de configurao.

A seguinte tabela descreve as portas e os protocolos ilustrados na figura anterior.

Texto

Explicativo

Portas e protocolos

A

Site de Administrao de Servios Compartilhados Um ou mais dos

seguintes:

Porta TCP 80

Texto

Explicativo

Portas e protocolos

B

Site Administrao Central Um ou mais dos seguintes:

C

Comunicao de banco de dados:

Comunicao com funo de infra-estrutura de

servidores

Ao configurar um ambiente extranet, importante saber como vrias funes do servidor se comunicam dentro da infra-estrutura de computadores servidores.

Controlador de Domnio Active Directory

A seguinte tabela lista os requisitos de porta para conexes de entrada de cada funo do servidor para um controlador de domnio Active Directory.

tem

Servidor

da Web

Servidor

Consulta

Servidor

ndice

Excel

Calculation

Services

Servidor

Banco de

Dados

TCP/UDP 445 (Servios de

Diretrio)

X

X

X

X

X

TCP/UDP 88 (Autenticao

Kerberos)

X

X

X

X

X

Lightweight Directory

Access Protocol

(LDAP)/portas LDAPS

389/636 por padro,

personalizvel

X

X

X

Exige-se das portas LDAP/LDAPS funes de servidor baseadas nas seguintes condies:

Servidores WebUtilize as portas LDAP/LDAPS se a autenticao LDAP for configurada.

Servidores ndice A funo exige que as portas LDAP/LDAPS importem perfis dos controladores de domnio e sejam configuradas como fontes de importao de perfil, no importando onde elas residam.

Excel Calculation Services Utiliza as portas LDAP/LDAPS apenas se as conexes de fonte de dados estejam configuradas para autenticar utilizando LDAP.

Servidor DNS

A seguinte tabela lista os requisitos de porta para conexes de entrada de cada funo do servidor para um servidor Domain Name System (DNS). Em muitos ambientes extranet, um computador

servidor hospeda o controlador de domnio Active Directory e o servidor DNS.

tem

Servidor da

Web

Servidor

Consulta

Servidor

ndice

Excel Calculation

Services

Servidor Banco

de Dados

DNS,

TCP/UDP 53

X

X

X

X

X

Servio SMTP

A integrao de e-mail requer o uso do servio Simple Mail Transport Protocol (SMTP) utilizando a porta TCP 25 em pelo menos um dos servidores da Web de front-end no farm de servidores. O servio SMTP exigido para os e-mails de entrada (conexes de entrada). Para e-mails de sada, voc pode utilizar o servio SMTP ou rotear e-mails de sada atravs de um servidor de e-mail

dedicado em sua empresa, como um computador que executa o Microsoft Exchange Server.

tem

Servidor da

Web

Servidor

Consulta

Servidor

ndice

Excel Calculation

Services

Servidor Banco

de Dados

Porta

TCP 25

X

Requisitos para suportar a converso de documentos

Se voc est utilizando conversores de documentos no servidor, os seguintes servios devem ser instalados e iniciados no servidor de aplicaes:

Servio Iniciador de Converso de Documentos

Servio de Balanceamento de Carga na Converso de Documentos

Normalmente, esses servios so instalados no mesmo servidor de aplicaes ou em servidores de aplicaes diferentes, dependendo da topologia que melhor se encaixa em suas necessidades.

Esses servios tambm podem ser instalados em um ou mais servidores Web, se necessrio. Se esses servios forem instalados em servidores diferentes, a comunicao entre esses servidores deve ativar maior comunicao entre os servios.

A seguinte tabela lista os requisitos de porta e protocolo para esses servios. Esses requisitos no

se aplicam s funes do servidor no farm que no possui esses servios instalados.

Servio

Requisito

Servio Iniciador de Converso de Documentos

Porta TCP 8082, personalizvel para TCP

ou SSL

Servio de Balanceamento de Carga na Converso de

Documentos

Porta TCP 8093, personalizvel para TCP

ou SSL

Para informaes sobre como configurar esses servios em um farm de servidores, visite Projete a

topologia de converso de documentos .

Comunicao entre domnios de rede

Comunicao Active Directory

A comunicao Active Directory entre domnios para suportar a autenticao com um controlador

de domnio dentro da rede corporativa requer pelo menos uma relao de confiana de mo nica, na qual a rede do permetro confia na rede corporativa.

No exemplo ilustrado na primeira figura deste artigo, as seguintes portas so exigidas como

conexes de entrada para o ISA Server B para suportar uma relao de confiana de mo-nica:

TCP/UDP 135 (RPC)

TCP/UDP 389 por padro, personalizvel (LDAP)

TCP 636 por padro, personalizvel (LDAP SSL)

TCP 3268 (LDAP GC)

TCP 3269 (LDAP GC SSL)

TCP/UDP 53 (DNS)

TCP/UDP 88 (Kerberos)

TCP/UDP 445 (Servios de Diretrio)

TCP/UDP 749 (Kerberos-Adm)

TCP port 750 (Kerberos-IV)

Ao configurar o ISA Server B (ou um dispositivo alternativo entre a rede perimetral e a corporativa), a relao da rede deve ser definida como roteada. No defina a relao da rede como Network Address Translation (NAT).

Para mais informaes sobre os requisitos do sistema de proteo de segurana relacionados a

relaes de confiana, veja os seguintes recursos:

Como configurar (http://go.microsoft.com/fwlink/?LinkId=83470&clcid=0x409) .

Active Directory (http://go.microsoft.com/fwlink/?LinkID=76147&clcid=0x409)

Sistema de proteo para publicao de contedo

A publicao de contedo requer uma comunicao de mo nica entre o site Administrao Central no farm de servidores fonte e no site Administr

Documents

Microsoft Word - Plan for and design security .docdownload.microsoft.com/download/8/4/3/.../portaltech/... · Web viewComunicação segura com o banco de dados Microsoft SQL Server