| |||||
| |||||
Microsoft Windows SharePoint Services 包括或利用下列作用及影響網站內容安全性的元素:
Windows SharePoint Services 的使用者驗證是依據網際網路資訊服務 (IIS) 驗證方法。您可以使用 Windows SharePoint Services 進行下列形式的使用者驗證:
設定網頁伺服器時,您可選擇想要使用的驗證方法。您無法使用 Windows SharePoint Services 管理工具來變更驗證方法;而必須使用您伺服器電腦的「網際網路資訊服務」管理工具,才可變更驗證方法。
匿名驗證為在伺服器電腦上沒有 Windows 帳號的使用者 (如網站訪客) 提供存取權。IIS 會為網頁服務建立匿名帳號,通常命名為 IUSR_電腦名稱。當 IIS 收到匿名請求時,其會模擬匿名帳號。
您可以在 IIS 中允許或不允許匿名存取特定的虛擬伺服器,以及使用 [SharePoint 管理中心],來允許或不允許匿名存取該虛擬伺服器上的網站。匿名存取必須先在 IIS 中啟用,您才可對該虛擬伺服器上的網站啟用匿名存取。
基本驗證是大部份網頁伺服器及瀏覽器所支援的驗證通訊協定。雖然「基本」驗證以容易解碼的純文字傳送使用者名稱及密碼,但仍具有一些較安全驗證方法所沒有的優點,因為它是透過 Proxy 伺服器防火牆進行工作的,並且確保幾乎所有的網頁瀏覽器都可存取網站。如果將「基本」驗證與「安全通訊端層 (SSL)」安全性結合在一起使用,則可協助保護使用者名稱及密碼,使得您的使用者資訊比僅使用「基本」驗證時更安全。
整合 Windows 驗證 (亦稱為 Windows NT Challenge Response) 在用戶端與伺服器之間的多重交易互動中,加密使用者名稱及密碼,因此,使得此方法比「基本」驗證更安全。缺點是無法透過 Proxy 伺服器防火牆執行此方法,而且部份網頁瀏覽器 (如 Netscape Navigator) 不支援此方法。您可以選擇使用此驗證方法及「基本」驗證。大部份網頁瀏覽器會選取最安全的選項。例如,如果「基本」驗證及「整合 Windows」驗證都已啟用,Microsoft Internet Explorer 會先嘗試「整合 Windows」驗證。
憑證驗證 (亦稱為「安全通訊端層 (SSL)」安全性) 為 TCP/IP 連線提供通訊隱私權、驗證及訊息完整性。使用 SSL 通訊協定時,用戶端及伺服器可以一種防止偷聽、篡改或偽造訊息的方式進行通訊。使用 Windows SharePoint Services,SSL 可協助透過防火牆進行安全存取,並允許對 Windows SharePoint Services 進行更安全的遠端管理。您還可以指定在開啟基於 Windows SharePoint Services 的網站時使用 SSL。
若要安裝 Windows SharePoint Services,您必須是伺服器電腦上本機管理員群組中的成員。此群組還為使用者提供控制 [SharePoint 管理中心] 頁面上的設定、執行命令列工具 Stsadm.exe 時所需的權限。除本機管理員群組之外,您還可以定義特定的網域群組,以允許 Windows SharePoint Services 的管理存取。Microsoft SharePoint Products and Technologies 的 [說明] 文件,將此網域群組稱為 SharePoint 管理員群組。您可以將使用者新增到此群組中,而不是本機管理員群組中,將 Windows SharePoint Services 的管理存取與本機伺服器電腦的管理存取隔開。
SharePoint 管理員群組的成員沒有 IIS metabase 的存取權,因此,無法對 Windows SharePoint Services 執行下列動作:
附註 此群組成員可建立頂層網站及變更虛擬伺服器設定。
SharePoint 管理員群組的成員可使用 [SharePoint 管理中心] 或 Windows SharePoint Services 的物件模型,來執行任何其他管理動作。
SharePoint 管理員群組及本機管理員群組中的成員,都擁有檢視及管理在他們伺服器上建立之所有網站的權限。這意味著伺服器管理員可閱讀文件或清單項目、變更調查設定、刪除網站,或在網站上執行網站管理員可執行的任何動作。
Windows SharePoint Services 包括網站群組,可協助您將特定權限指定給使用者及跨網站群組。使用網站群組時,您不必個別控制檔案及資料夾的權限,也不必為保持本機群組與網站使用者清單同步而擔心。使用網站群組,可授與使用者在網站上的權限,並且使用 Windows SharePoint Services 管理工具可直接新增使用者。
實際上,使用者管理是由伺服器管理員委派給網站擁有人及管理員的。網站管理員控制網站存取,並且預設會擁有新增、刪除或變更使用者網站群組成員資格的權限。在組織內部,這基本上意味著由網站管理員從組織使用者的清單中選取使用者,並授與他們各種存取權。例如,如果網站供特定工作群組成員共用文件及資訊使用,則網站管理員會將該工作群組的成員新增到網站,並將他們指派到「參與者」網站群組中,如此他們便可新增文件及更新清單。
在 ISP 或外部網路環境中,網站擁有人可新增使用者及建立帳號,可能對每個網站集合使用不同的使用者清單。網站管理員將使用者新增到網站後,Windows SharePoint Services 會自動將使用者新增到 Microsoft Active Directory 目錄服務中。
頂層網站的「管理員」網站群組成員,可控制的選項比子網站的管理員要多。頂層網站的管理員可執行的動作有:指定網頁文件討論區或提醒的設定、檢視流量及配額資料,以及變更匿名存取設定。
附註 頂層網站的擁有人及第二位擁有人,可能是網站「管理員」網站群組中的成員,但他們還單獨地在設定資料庫中識別為網站集合擁有人。此擁有人標識僅可使用 [SharePoint 管理中心] 中的 [管理網站集合擁有人] 頁面,或搭配使用 siteowner 作業與 Stsadm.exe,才可進行變更。如果從網站的「管理員」網站群組移除擁有人,則該擁有人會保留在資料庫中的擁有人標識,並且仍可執行網站集合管理工作。
如果惡意使用者取得了存取 [SharePoint 管理中心] 時所使用之連接埠的存取權,則可能會阻止其他使用者存取網站,或可能修改網站內容,或甚至完全停用網頁伺服器。因此,限制 [SharePoint 管理中心] 所使用之連接埠的存取權,非常重要。若要這樣做,建議您執行下列動作:
如果想要能夠透過網際網路連線來管理 Windows SharePoint Services,即使是透過網際網路,也請使用 SSL 來提供用戶端電腦與伺服器之間的更安全通訊。若要使用 SSL,必須先在「網際網路資訊服務 (IIS)」中設定 SSL,然後使用命令列來設定 Windows SharePoint Services。
附註 使用 SSL 時,[SharePoint 管理中心] 的 URL 會從 http:// 變更為 https://。
如果您不需要提供 [SharePoint 管理中心] 的「網際網路」存取權,則建議您使用防火牆設定,來阻止存取 [SharePoint 管理中心] 所使用的連接埠,或限制存取某些網域的連接埠。使用 stsadm -o setadminport 作業,將伺服器陣列中的每個伺服器設為相同的連接埠號碼,並設定防火牆來協助保護所有伺服器上的該連接埠。另外,您可以使用 IIS 中的 IP 及名稱限制功能,來限制存取特定的網域。若要這樣做,必須為想要限制存取的每個虛擬伺服器指定這些限制。
使用 SharePoint 管理員群組,可控制哪些使用者可存取 [SharePoint 管理中心]。僅有您所指定的網域群組,以及本機管理員,才可存取 [SharePoint 管理中心] 所使用的連接埠。僅允許幾位電腦操作員擁有本機管理員存取權。
使用「整合 Windows」驗證時,您會避免使用純文字傳送密碼,此狀況在使用「基本」驗證時可能會發生。因為「基本」驗證使用純文字,所以不太安全。
允許匿名存取會使得伺服器本身不安全。如果匿名使用者可以存取伺服器,他們則可能會變更設定或內容,而且無法追蹤他們的動作到真實的使用者帳號。預設會對 [SharePoint 管理中心] 所使用的連接埠停用匿名存取。
如果您的資料庫使用的是 SQL Server,而不是 Microsoft SQL Server Desktop Engine 2000 (MSDE),則可在下列兩種安全性方法中進行選擇,以在 Windows SharePoint Services 與執行 SQL Server 的資料庫伺服器之間進行互動:
附註 如果您是在與執行 Windows SharePoint Services 之伺服器不同的資料庫伺服器上使用 SQL Server,則必須使用網域帳號 (或 [本機系統] 或 [網路服務] 帳號) 作為 IIS 應用程式集區帳號。如果使用本機帳號,則無法存取執行 SQL Server 的電腦。對於管理虛擬伺服器,IIS 應用程式集區帳號還必須擁有在 SQL Server 中建立資料庫的權限。如果使用 [本機系統] 或 [網路服務],則必須授與網頁伺服器電腦之機器帳號特殊的資料庫伺服器權限。其他虛擬伺服器的應用程式集區帳號,不需要資料庫建立權限;它們僅依靠管理虛擬伺服器來建立資料庫。
使用「Windows NT 整合」驗證時,您使用「網際網路資訊服務 (IIS)」應用程式認證及應用程式集區,來連線到 SQL Server 資料庫。認證與其他 IIS 工作者處理序都安全地儲存在 IIS metabase 中。當 Windows SharePoint Services 連線到資料庫時,其會在一般的處理程序下執行,並使用 IIS 處理序進行連線。在伺服器陣列部署中,必須確定已將認證變更填入到所有伺服器中。例如,如果網域的隱私權經常要求重設密碼,則必須在 IIS 中為伺服器陣列中的每個伺服器電腦變更密碼。
您可對部署中的所有虛擬伺服器使用一個處理序,或可使用虛擬伺服器自己的應用程式集區來隔離每個虛擬伺服器。使用個別的處理序較為安全。例如,如果您的自訂指令碼是針對一個虛擬伺服器執行的,則很可能會被撰寫成存取另一個虛擬伺服器中的網頁 (如果它們共用應用程式集區)。如果它們擁有不同的應用程式集區,則指令碼無法驗證到各個虛擬伺服器的資料庫。
SQL Server 驗證使用在 SQL Server 資料庫中儲存的管理員帳號及密碼 (經常是預設的 sa 帳號),在 Windows SharePoint Services 與資料庫之間進行連線。無論是伺服器陣列中的哪個伺服器,或單一伺服器上或伺服器陣列中的哪個虛擬伺服器要求更新,都會對資料庫的所有更新使用相同的使用者名稱及密碼。
重要 使用 SQL Server 驗證時,會透過網路傳送管理員帳號的密碼,這樣可能會被惡意使用者偵測到。建議您對 Windows SharePoint Services 與 SQL Server 資料庫之間的連線使用「Windows NT 整合」驗證。另外,請注意使用 SQL Server 驗證時,STS_WPG 群組的所有成員都可使用您所指定的使用者名稱及密碼,可能包括與伺服器上其他應用程式相關的帳號。
Windows SharePoint Services 支援透過防火牆連線。依據您的設定,您必須確保防火牆對於標準 HTTP 連接埠 80 及 443 是開啟的。使用防火牆時,因為「整合 Windows」驗證無法通過防火牆,所以必須設定 SharePoint 網站使用「基本」驗證。
全部顯示
全部隱藏
使用者驗證