Microsoft Office SharePoint Portal Server 2003
首頁上一個下一頁列印

全部顯示全部顯示

關於安全性選項

關於安全性選項

Microsoft Windows SharePoint Services 包括或利用下列作用及影響網站內容安全性的元素:

使用者驗證

Windows SharePoint Services 的使用者驗證是依據網際網路資訊服務 (IIS) 驗證方法。您可以使用 Windows SharePoint Services 進行下列形式的使用者驗證:

設定網頁伺服器時,您可選擇想要使用的驗證方法。您無法使用 Windows SharePoint Services 管理工具來變更驗證方法;而必須使用您伺服器電腦的「網際網路資訊服務」管理工具,才可變更驗證方法。

匿名驗證

匿名驗證為在伺服器電腦上沒有 Windows 帳號的使用者 (如網站訪客) 提供存取權。IIS 會為網頁服務建立匿名帳號,通常命名為 IUSR_電腦名稱。當 IIS 收到匿名請求時,其會模擬匿名帳號。

您可以在 IIS 中允許或不允許匿名存取特定的虛擬伺服器,以及使用 [SharePoint 管理中心],來允許或不允許匿名存取該虛擬伺服器上的網站。匿名存取必須先在 IIS 中啟用,您才可對該虛擬伺服器上的網站啟用匿名存取。

基本驗證

基本驗證是大部份網頁伺服器及瀏覽器所支援的驗證通訊協定。雖然「基本」驗證以容易解碼的純文字傳送使用者名稱及密碼,但仍具有一些較安全驗證方法所沒有的優點,因為它是透過 Proxy 伺服器防火牆進行工作的,並且確保幾乎所有的網頁瀏覽器都可存取網站。如果將「基本」驗證與「安全通訊端層 (SSL)」安全性結合在一起使用,則可協助保護使用者名稱及密碼,使得您的使用者資訊比僅使用「基本」驗證時更安全。

整合 Windows 驗證

整合 Windows 驗證 (亦稱為 Windows NT Challenge Response) 在用戶端與伺服器之間的多重交易互動中,加密使用者名稱及密碼,因此,使得此方法比「基本」驗證更安全。缺點是無法透過 Proxy 伺服器防火牆執行此方法,而且部份網頁瀏覽器 (如 Netscape Navigator) 不支援此方法。您可以選擇使用此驗證方法及「基本」驗證。大部份網頁瀏覽器會選取最安全的選項。例如,如果「基本」驗證及「整合 Windows」驗證都已啟用,Microsoft Internet Explorer 會先嘗試「整合 Windows」驗證。

憑證驗證 (SSL)

憑證驗證 (亦稱為「安全通訊端層 (SSL)」安全性) 為 TCP/IP 連線提供通訊隱私權、驗證及訊息完整性。使用 SSL 通訊協定時,用戶端及伺服器可以一種防止偷聽、篡改或偽造訊息的方式進行通訊。使用 Windows SharePoint Services,SSL 可協助透過防火牆進行安全存取,並允許對 Windows SharePoint Services 進行更安全的遠端管理。您還可以指定在開啟基於 Windows SharePoint Services 的網站時使用 SSL。

SharePoint 管理員群組

若要安裝 Windows SharePoint Services,您必須是伺服器電腦上本機管理員群組中的成員。此群組還為使用者提供控制 [SharePoint 管理中心] 頁面上的設定、執行命令列工具 Stsadm.exe 時所需的權限。除本機管理員群組之外,您還可以定義特定的網域群組,以允許 Windows SharePoint Services 的管理存取。Microsoft SharePoint Products and Technologies 的 [說明] 文件,將此網域群組稱為 SharePoint 管理員群組。您可以將使用者新增到此群組中,而不是本機管理員群組中,將 Windows SharePoint Services 的管理存取與本機伺服器電腦的管理存取隔開。

SharePoint 管理員群組的成員沒有 IIS metabase 的存取權,因此,無法對 Windows SharePoint Services 執行下列動作:

SharePoint 管理員群組的成員可使用 [SharePoint 管理中心] 或 Windows SharePoint Services 的物件模型,來執行任何其他管理動作。

SharePoint 管理員群組及本機管理員群組中的成員,都擁有檢視及管理在他們伺服器上建立之所有網站的權限。這意味著伺服器管理員可閱讀文件或清單項目、變更調查設定、刪除網站,或在網站上執行網站管理員可執行的任何動作。

網站群組

Windows SharePoint Services 包括網站群組,可協助您將特定權限指定給使用者及跨網站群組。使用網站群組時,您不必個別控制檔案及資料夾的權限,也不必為保持本機群組與網站使用者清單同步而擔心。使用網站群組,可授與使用者在網站上的權限,並且使用 Windows SharePoint Services 管理工具可直接新增使用者。

實際上,使用者管理是由伺服器管理員委派給網站擁有人及管理員的。網站管理員控制網站存取,並且預設會擁有新增、刪除或變更使用者網站群組成員資格的權限。在組織內部,這基本上意味著由網站管理員從組織使用者的清單中選取使用者,並授與他們各種存取權。例如,如果網站供特定工作群組成員共用文件及資訊使用,則網站管理員會將該工作群組的成員新增到網站,並將他們指派到「參與者」網站群組中,如此他們便可新增文件及更新清單。

在 ISP 或外部網路環境中,網站擁有人可新增使用者及建立帳號,可能對每個網站集合使用不同的使用者清單。網站管理員將使用者新增到網站後,Windows SharePoint Services 會自動將使用者新增到 Microsoft Active Directory 目錄服務中。

頂層網站的「管理員」網站群組成員,可控制的選項比子網站的管理員要多。頂層網站的管理員可執行的動作有:指定網頁文件討論區或提醒的設定、檢視流量及配額資料,以及變更匿名存取設定。

附註  頂層網站的擁有人及第二位擁有人,可能是網站「管理員」網站群組中的成員,但他們還單獨地在設定資料庫中識別為網站集合擁有人。此擁有人標識僅可使用 [SharePoint 管理中心] 中的 [管理網站集合擁有人] 頁面,或搭配使用 siteowner 作業與 Stsadm.exe,才可進行變更。如果從網站的「管理員」網站群組移除擁有人,則該擁有人會保留在資料庫中的擁有人標識,並且仍可執行網站集合管理工作。

保護用於存取 SharePoint 管理中心的連接埠

如果惡意使用者取得了存取 [SharePoint 管理中心] 時所使用之連接埠的存取權,則可能會阻止其他使用者存取網站,或可能修改網站內容,或甚至完全停用網頁伺服器。因此,限制 [SharePoint 管理中心] 所使用之連接埠的存取權,非常重要。若要這樣做,建議您執行下列動作:

保護 SQL Server 連線

如果您的資料庫使用的是 SQL Server,而不是 Microsoft SQL Server Desktop Engine 2000 (MSDE),則可在下列兩種安全性方法中進行選擇,以在 Windows SharePoint Services 與執行 SQL Server 的資料庫伺服器之間進行互動:

關於 Windows NT 整合驗證

使用「Windows NT 整合」驗證時,您使用「網際網路資訊服務 (IIS)」應用程式認證及應用程式集區,來連線到 SQL Server 資料庫。認證與其他 IIS 工作者處理序都安全地儲存在 IIS metabase 中。當 Windows SharePoint Services 連線到資料庫時,其會在一般的處理程序下執行,並使用 IIS 處理序進行連線。在伺服器陣列部署中,必須確定已將認證變更填入到所有伺服器中。例如,如果網域的隱私權經常要求重設密碼,則必須在 IIS 中為伺服器陣列中的每個伺服器電腦變更密碼。

您可對部署中的所有虛擬伺服器使用一個處理序,或可使用虛擬伺服器自己的應用程式集區來隔離每個虛擬伺服器。使用個別的處理序較為安全。例如,如果您的自訂指令碼是針對一個虛擬伺服器執行的,則很可能會被撰寫成存取另一個虛擬伺服器中的網頁 (如果它們共用應用程式集區)。如果它們擁有不同的應用程式集區,則指令碼無法驗證到各個虛擬伺服器的資料庫。

關於 SQL Server 驗證

SQL Server 驗證使用在 SQL Server 資料庫中儲存的管理員帳號及密碼 (經常是預設的 sa 帳號),在 Windows SharePoint Services 與資料庫之間進行連線。無論是伺服器陣列中的哪個伺服器,或單一伺服器上或伺服器陣列中的哪個虛擬伺服器要求更新,都會對資料庫的所有更新使用相同的使用者名稱及密碼。

重要  使用 SQL Server 驗證時,會透過網路傳送管理員帳號的密碼,這樣可能會被惡意使用者偵測到。建議您對 Windows SharePoint Services 與 SQL Server 資料庫之間的連線使用「Windows NT 整合」驗證。另外,請注意使用 SQL Server 驗證時,STS_WPG 群組的所有成員都可使用您所指定的使用者名稱及密碼,可能包括與伺服器上其他應用程式相關的帳號。

關於防火牆

Windows SharePoint Services 支援透過防火牆連線。依據您的設定,您必須確保防火牆對於標準 HTTP 連接埠 80 及 443 是開啟的。使用防火牆時,因為「整合 Windows」驗證無法通過防火牆,所以必須設定 SharePoint 網站使用「基本」驗證。

相關主題

指定使用者和群組的權限
管理使用者及群組
關於驗證方法
變更驗證方法

請參閱

網際網路資訊服務 (IIS) 說明
©2003 Microsoft Corporation. All rights reserved.