台灣最大程式設計社群網站
線上人數
628
 
會員總數:245215
討論主題:189089
歡迎您免費加入會員
討論區列表 >> 專欄文章 >> SharePoint Server 2007安全整合管理實務
[]  
[我要回覆]
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
SharePoint Server 2007安全整合管理實務
價值 : 0 QP  點閱數:1796 回應數:0

樓主

顧武雄
門外漢
0 4
16 0
發送站內信

作者:Microsoft MVP、特約顧問講師 顧武雄
引言:Microsoft SharePoint Server 2007的導入是解決企業知識管理難題的一帖良方,然而也因為它集聚了整個企業中的有價知識,因此對於它安全防護的整合規劃更是不能夠忽視。

ISA Server 2006整合SharePoint安全防護應用

無論您企業目前使用的是簡易版的Windows SharePoint Services還是企業級的SharePoint Server 2007,對於遠端存取上的安全顧慮以及高可用性架構上的設計都必須詳加評估與規劃,接下來讓我一同來探討有關於整合ISA Server 2006的相關應用。

根據了解事實上確實已經有許許多多多的企業IT,採用SharePoint來作為企業內部專屬的知識入口網站,這包含應用在跨部門、跨企業甚至於跨組織的B2E、B2B的SharePoint Server系統整合,以及廣泛使用在小型企業中的Windows SharePoint Services,應用它來解決一些原本看似複雜的文管工作,等到企業營運日漸成長擴大時,再進行下一階段的評估與擬定企業級SharePoint Server 2007導入計畫。

無論未來應用方向如何,針對將一個企業入口網站的開放給遠端行動工作者的連線想必是現今不可或缺的需求吧,因為即使目前只是一間小型企業中的Windows SharePoint Services的建置,許多老闆與業務都希望能夠人在外面奔走時,可以隨時隨地機動性的透過各種上網的機制迅速取得客戶、合作伙伴所需要的資料,而不需要等到回到辦公室之後再來處理這一些需求回應的工作。既然如此那麼當初在規劃SharePoint網站對外開放連線的需求之時,便需要部署出能夠滿足以下三項關鍵需求,分別是資料傳輸安全、身份驗證安全、高可用性的建置以及整合驗證委派與單一簽入的便利性。

關於資料傳輸安全與身份驗證安全的兩項技術議題,筆者已曾經在許多雜誌的專欄或書籍中,分享過許多整合ISA Server的SSL橋接器以及結合智慧卡與RSA動態密碼技術的應用了,接下來就讓我們一同來探討最新ISA Server 2006在整合SharePoint網站上,有關於高用性的建置、驗證委派以及單一簽入的應用。

在ISA Server 2006的管理中想要發佈企業內的SharePoint網站至網際網路上是相同容易的,只要在[防火牆的原則]節點中點選位在[工作]頁面中的[發行SharePoint網站]連結即可,在開啟了SharePoint發行精靈之後請先輸入一個自訂且唯一的原則名稱(可輸入中文),然後繼續接下來的操作說明。
如圖1所示接下來請在[發行類型]的頁面中選取[發行單一網站或負載平衡器],然後在下一步的[伺服器連線安全性]頁面中,可以依照實際需求選擇SSL的連線發行方式或不安全的HTTP連線發行方式(ISA至SharePoint),請注意!前者必須先完成ISA Server本機電腦數位憑證的安裝才可以繼續後續相關的憑證載入設定,在此我們選擇不安全的HTTP連線發來進行測試階段的使用。


圖1 發行類型設定

接下來如圖2所示在[內部發行詳細資料]頁面中您必須要設定所要發佈的內部網站名稱或IP位址,例如sps.cogate.com,不過必須是內部可以解析的名稱。然後在[公用名稱詳細資料]頁面中,可以設定唯一對外接受的連線網址或IP位址。


圖2 設定內部網站名稱

接下來在[選取網頁接聽程式]頁面中,請點選[新增]按鈕來設定專屬的連線接聽設定。首先必須設定接聽的設定名稱,接下來同樣必須設定[用戶端連線安全性]的選擇(遠端用戶端至ISA),可以是HTTPS或是HTTP。


圖3 網站接聽IP設定


圖4 驗證設定

如圖3所示接下來在[網頁接聽程式IP位址]的頁面中,必須勾選負責接聽連線的網路,在此當然必須勾選[外部]項目,如果說外網卡目前有設定多組的IP設定,那麼更明確的設定則是必須點選[選取IP位址]按鈕,來唯一設定SharePoint網站發佈的接聽IP位址,否則後續如果有其它不同類型的網站需要發佈時將會發生無法設定接聽程式的問題,因為已經被佔用了其設定。

如圖4所示接下來在[驗證設定]的頁面中,首先可以選擇要提供給遠端使用者驗證的方法,分別有傳統的HTTP驗證以及全新的HTML表單驗證,以安全性為考量在此我們選擇了[HTML表單驗證]。在進階應用部份,如果您需要結合RADIUS伺服器的驗證或是整合RSA SecurID的驗證,那麼便需要勾選[在表單中收集其它委派認證],如此一來ISA Server 2006便會將遠端使用者所輸入的帳戶密碼資訊直接傳遞給後端指定的RADIUS或RSA/ACE Server,可以去除掉使用者需要分別輸入兩次相同帳戶與密碼的問題。
接下來在單一簽入的頁面中我們在此先不設定,而是直接點選[下一步]完成接聽程式的設定,必須注意的是如果我們前面選擇以不安全的HTTP驗證方式則可能在最後會出現相關的警告訊息。


圖5 ISA Server 2006發佈SharePoint設定

完成了接聽程式的新增之後,將會自動又回到[驗證委派]的設定頁面,在此請選取NTLM驗證即可。緊接著在下一步的頁面中,如圖5所示將會詢問我們是否已經完成SharePoint的AAM對應存取設定,請選取[已在SharePoint伺服器上設定SharePoint AAM]。最後請在[使用者組]的頁面中選擇所要套用的使用者驗證即可。

網站自動轉譯說明


圖6 發佈規則連結轉譯設定


圖7 檢視連結轉譯設定

在ISA Server 2006中有關於網站發佈的使用顯然來得比前一版ISA Server 2004聰明許多,因為在預設的狀態下自動連結轉譯的功能會自動套用每一個網站的發佈規則設定中,您可以去開啟目前任何現有的發佈規則的內容來檢視,如圖6所示只要在[連結轉譯]的頁面中即可查看到[套用連結轉譯到這個規則]項目是勾選的,如果您想要檢視詳細的自動對應設定可以點選[對應]按鈕來檢視以網頁呈現的對應報告。至於整體全域的連結轉譯功能的啟用,則可以在[設定]\[一般]節點下的頁面中點選[設定全域連結轉譯]連結來設定即可,如圖7所示我們在[全域對應]的頁面中,可以檢視到所有經由發佈規則建立時系統所幫我們自動建立好的連結轉譯設定項目,當然啦!您也可以在此點選[新增]按鈕來自訂手動建立的連結轉譯設定,內容中僅要設定內部URL以及轉譯的URL資訊即可,如此一來在[建立者]欄位中便會顯示為[使用者]。

發佈SharePoint伺服器陣列
接下來要探討的是在SharePoint網站高可用性建置的發佈部份。不管是簡易版的Windows SharePoint Services還是企業級SharePoint Portal Server 2003,皆可以規劃出高可用性前後端的伺服器陣列架構,也就是前端採用網路負載平衡機制來分散使用者連線的流量,而後端採用SQL Server 2000或2005叢集服務的自動容錯備援機制,如此一來便無須擔憂可能發生的單點失敗問題。

只是在前端多部的SharePoint網站上如果想要部署網路負載平衡的機制,則必須建置一部硬體式的負載平衡器或是使用Windows Server 2003內建的NLB機制,無論如何在架構上仍然比較麻煩也增加部署的成本,況且這一類型的網路負載平衡機制也不具有偵錯的功能,相反的如果是透過ISA Server 2006的發佈機制則可以解決掉花費成本與NLB偵錯的問題。


圖8 ISA Server 2006防火牆原則

如果您的SharePoint網站已經有建置了多部的前端伺服器,在還沒有建置NLB機制之前,如圖8所示您同樣只要在[防火牆的原則]節點中點選位在[工作]頁面中的[發行SharePoint網站]連結,即可開始來進行連線遠端存取的NLB機制。整個發佈精靈的設定過程與前面單一網站的設定方法有些雷同,以下說明幾項關鍵的設定重點:

在[發行類型]的頁面中必須選擇[發行負載平衡的Web伺服器的伺服器陣列]項目,接著[內部發行詳細資料]的頁面中請輸入被發佈的內部網站名稱,因為我們要發佈的並非單一主機而是伺服器陣列,因此在這裡可以任一輸入一個不存在的名稱即可。

如圖9所示接下來將會出現[指定伺服器陣列]的頁面,在預設的狀態下是沒有任何項目可以選取的,請點選[新增]按鈕繼續。接著請輸入一個全新的伺服器陣列名稱,然後如圖10所示在[伺服器]的頁面中點選[新增]按鈕將內部網路中所有擔任SharePoint前端網站的電腦。

最後請如圖11在[伺服器陣列連線能力監視]的頁面中,便是用以選擇要讓ISA Server 2006自動診斷陣列成員存活狀態的方法,一般來說針對網站的偵測都會採用預設的[傳送HTTP/HTTPS GET要求]來進行即可,因為如果發生HTTP無法連線該網站並且得到回應,當然即表示該網站目前並非在提供服務的階段,如果是單純選用[傳送PING]要求,那麼縱使可以得到PING的正確回應訊息,也無法表示該網站目前服務是在執行狀態。完成了這階段設定的最後,系統想必會出現一個要求啟用[允許從ISA Server到所選伺服器的HTTP/HTTPS要求,以取得連線能力檢查器]的系統規則,在此務必點選[是]即可。


圖9指定伺服器陣列


圖10 設定發佈的伺服器陣列成員


圖11伺服器陣列連線能力監視設定

完成了SharePoint網站伺服器陣列的發佈設定之後,建議您可以如圖12所示在[監視]節點的頁面中切換至[連線能力檢查器],在正常的執行狀態下兩者成員網站的診斷都應該呈現綠色打勾的圖示,即表是這樣陣列成員都在正常運作當中,此刻您可以嘗試將其中任一網站的服務停止或是直接關機,然後便可以在極短的時間之內(5000毫秒),看到該網站立即呈現紅色打叉的圖示,緊接著您便可以在任一遠端的電腦上嘗試連線看看是否可以正常繼續存取該網站。


圖12自動檢查陣列成員連線狀態

關於HTTP的連線驗證機制
遠端用戶端透過ISA Server連線內部網站的驗證方式有HTTP與HTTPS兩種方式,在ISA Server 2006的預設安全規範中是不允採用HTTP的連線,否則遠端使用者將會接收到「ISA Server被設定成風所需要驗證的HTTP要求」的頁面錯誤訊息回應,不過如果管理員確認僅要採用未加密的HTTP連線驗證,則可以在所在接聽程式的設定內容中先點選至[驗證]頁籤,接著點選[進階]按鈕進入到驗證喜好設定頁面中將[允許透過HTTP進行用戶端驗證]選項勾選即可恢復正常運作。

伺服器陣列成員的離線維護
在伺服器陣列的成員電腦中,難免會遇到需要暫時停機維護的狀況,此刻您可以在正常關機之前,透過防火牆原則節點中的[工具箱]頁面中,修改現有的伺服器陣列項目內容,進入到[伺服器]頁面中將目前準備停機維護的伺服器項目點選[清空]按鈕即可。


遠端單一簽入的整合應用
在ISA Server 2006對於企業網站的發佈提供了遠端單一簽入(SSO,Single Sign-On)的機制,可以讓相同一個網域驗證下的網站方便遠端使用者僅需要輸入一次帳戶密碼即可,而且設定的方法也相當簡單。首先您可以在[防火牆原則]節點中的[工具箱]頁面中,點選[新增]下拉選單中的[網頁接聽程式],緊接著請遵循以下設定步驟說明:

接下來請先設定一個全新的網頁接聽程式的識別名稱,然後在[用戶端連線安全性]的頁面中,同樣可以選擇所要採用的連線方式是HTTP還是HTTPS,接著在[網頁接聽程式IP位址]請在勾選[外部]項目點選[選取IP位址],來選擇一個發佈網站所要接聽的IP位址。

接著在[驗證設定]的頁面中,請注意務必選擇採用[HTML表單驗證]機制,然後如圖13所示請在[單一登入設定]的頁面中確認勾選[啟用以此網頁接聽程式發行的網站單一登入(SSO)],並且輸入後續共同對外發佈的DNS尾碼,例如cogate.com即可。

接下來如果您內部網站中有Exchange Server的OWA以及SharePoint網站,那麼便可以陸續新增兩個網站的發佈設定,過程中首先必須要注意不同網站發佈設定中的[公用名稱詳細資料]頁面設定,必須強制要求輸入個別已對外公開的FQDN網址,接著只要在過程中的[選取網頁接聽程式]的設定中選取剛剛啟用設定的SSO接聽程式即可,另外特別值得一提的是在Exchange Server的發佈網站的[選取服務]頁面設定中,也提供了最新Exchange Server 2007的發佈項目。


圖13 設定單一簽入的網域

一旦完成了SSO接聽程式的設定以及兩個以上相同網域網站的發佈之後,此刻您便可以嘗試從任一遠端用戶端電腦來進行連線登入,無論您先選擇登入OWA還是SharePoint網站,只要瀏覽器尚未關閉都可以立即在網址列中輸入另一個發佈網站的網址來進行連線,如果直接就進入了登入後的網頁那麼即表是單一簽入設定沒有問題。

憑證管理與驗證委派的使用

整合SSL安全加密機制的使用,是提供給遠端使用者從登入時的帳戶驗證到連線後資料傳輸上的最佳安全保證,不過呢如果想要讓ISA Server可以有效的應用此安全機制在內外網路之間的資料傳輸過程中,則首先除了企業內要有憑證單位的伺服器或是申請網際網路上第三方憑證授權單位所發放的憑證之外,還必在ISA Server主機以及內部啟用SSL網站上安裝憑證,由此可見一旦憑證部份發生了問題,勢必也將導致遠端網路連線上的問題,因此ISA Server 2006提供了以下幾項新的維護管理措施。

允許管理員在單一的網站接聽程式設定中,可以如圖14所示在[憑證]的設定中讓不同接聽的IP位址使用不同的數位憑證,像這樣的應用我們通常可以使用在前面所提到的單一簽入的規劃中,例如可以讓Exchange Server OWA網站的發佈與SharePoint網站的發佈各自選取獨立的憑證檔案,可以有效避免單一憑證出問題後影響其它網站的連線問題,不過請注意!如果原先您唯一只採用HTTP的連線,則在[連線]頁籤中必須將[在此連接埠上啟用SSL(HTTPS)連線]選項勾選。


圖14 接聽程式憑證設定


圖15憑證警示設定

*在ISA Server 2006的管理介面中即可檢視到每一個接聽程式憑證的狀態資訊。
*ISA Server 2006的警示管理項目中新增了一項憑證逾期與一項ISA Server上的憑證無效的警示通知,如圖15所示您可以在[警示定義]的頁面中勾選與設定[發行的伺服器憑證過期警告]項目,讓管理員可以即時的透過Email即可收到憑證逾期的問題。

驗證委派的使用

在ISA Server 2006以前的版本在進行網站的發佈之後,如果管理原啟用在ISA Server本身所提供的[基本委派]功能,而被發佈的網站也啟用了網站的基本驗證機制之後,則遠端使用者僅需要輸入一次登入時的帳號與密碼即可完成發佈網站的存取了,這是因為基本委派的功能解決了原本需要兩道驗證程序的問題。不過當時也僅限於基本驗證的整合部份而已,如今在ISA Server 2006中還額外提供了NTLM、Kerberos、SecurID等驗證方式。

以SharePoint網站的發佈來說,由於在預設的網站驗證設定中便是採用Windows整合式驗證,因此在發佈網站的設定中對於[驗證委派]的設定就必須選擇採用NTLM才可以,如果是其它非IIS網站的平台則必須預先在系統組態設定中確認已修改為接受NTLM驗證方法,如圖16所示此為筆者選擇進行表單驗證以及NTLM表單驗證時的回應訊息,在此筆者故意將其帳戶密碼輸入錯誤,可以發現錯誤的回應訊息便直接顯示在表單驗證之上,相反的如果我們在前面[驗證委派]的設定中選擇了[沒有委派,但用戶端端可以直接驗證]的項目時,則當完成了表單驗證的登入之後還會緊接著出現Windows驗證的訊息視窗,這時候您當然還得必須再一次輸入相同的帳戶密碼。


圖16表單驗證委派的回應


整合Forefront Security徹底抵禦病毒的威脅

採用Forefront Security多重掃毒引擎的優點在於可以將病毒入侵的機會降到最低,因為它可以有效防範單一失敗點(Single Point of Fail)的問題,也就是在發生單一掃毒引擎停擺或尚未取得最新一次更新時,以致於讓可能的最新病毒有機可乘,其次則是防毒的空窗期所可能引發的安全問題,舉例來說當我們手動或排程進行病毒更新時,便可能成為病毒或惡意程式大舉入侵的時段,此刻如果讓不同的掃毒引擎安排在不同的時段來進行自我更新,便可以有效防範這樣的問題發生了。

然而如果您選擇了不同廠商的防毒系統安裝在相同的執行系統上,根據以往的實務經驗往往容易造成防毒系統相互衝突的問題。
需要安裝的防毒軟體

無論您將MOSS 2007拆成幾部前後端的伺服器來部署,請記得務必在每一部伺服器上也加裝檔案伺服器類型的防毒系統,例如:Microsoft Forefront Client Security的Agent或其它協力廠商的防毒系統,如此一來才能夠真正裡外兼施的抵禦主機感染病毒的危機。

Forefront Security for SharePoint安裝指引

伺服器系統最低需求
Windows Server 2003
Windows SharePoint Services 3.0、SharePoint Server 2007
最少512的可用記憶體(建議1GB)、300MB的硬碟可用空間

接下來讓我們一同來看看有關於Forefront Security for SharePoint的安裝部分。請將安裝程式拿到MOSS 2007前端網站的伺服器中,執行之後首先會來到有關於[安裝位置]的設定頁面,如圖17所示如果您想要將此程式安裝在網路中的其它SharePoint電腦上,那麼請選擇[遠端安裝]否則請選擇[本機安裝]。


圖17 選擇安裝位置

接下來如圖18所示在[安裝類型]的頁面中,在伺服端的第一次安裝務必選擇[完整安裝],至於後續如果希望可以從自己用戶端的電腦上來直接連線管理,則可以選擇[用戶端-僅管理主控台]選項即可。


圖18 選擇安裝類型


圖19 設定預設啟用的防毒引擎

如圖19所示接著在[引擎]的設定頁面中,我們可以自由選擇其它四個防毒引擎來進行安全防護,當然啦!這一個選項設定在安裝後的Forefront Security管理界中,仍然可以隨時進行修改。

針對防毒引擎的自動線上自我檢查與更新部分,程式會自動為每個擁有授權的引擎進行預設排程的每一個小時檢查掃描引擎的更新,而每一次的開始時間會在Forefront Security for SharePoint 服務啟動5分鐘之後開始進行。


圖20 設定資料庫存取帳戶

接著如圖20所示在此您必須設定資料庫存取帳戶資訊。請注意!如果您後續變更了SharePoint資料庫存取帳戶的密碼,則必須開啟服務管理員來一併變更[FSSPController]服務的密碼。此外由於FSCController服務依存於NT排程服務,因此排程服務必須在能夠順利啟動之下Forefront Security for SharePoint服務也才能夠啟動。

Forefront Security for SharePoint使用說明

完成了Forefront Security for SharePoint的安裝之後,緊接著我們必須開啟SharePoint管理中心網站,來設定相關的防毒組態配置。如圖21所示請在切換到[作業]的頁面中之後點選[防毒]連結,在這個頁面中建議您分別勾選[掃描上載的文件]、[掃描下載的文件]、[嘗試清除受到感染的文件],必要的話您還可以額外修改[防毒逾時]的最長秒數以及[防毒執行緒]。


圖21 MOSS 2007防毒設定

除了即時診斷的病毒掃描之外,必要的話您也可以開啟[Forefront Server Security Administrator]管理面,來進行不定期的手動掃描。如圖22所示在[作業]選單中的[快速掃描]的頁面裡,首先您可以勾選所要掃描的URL位置,接著可以選取要用來進行掃毒的防毒引擎,然後在設定好處理的動作之後點選[開始]按鈕即可。


圖22 手動掃毒

請注意!Forefront Server Security Administrator不能用來管理執行10.0之前版本的伺服器。

除了一般病毒檔案的掃描功能之外,針對使用者所上傳的TXT、HTML、Word、Excel以及PowerPoint等文件內容中的關鍵字,管理員也可以依照實際企業的政策規範來進行篩選。如圖23所示您可以在[篩選]的選單區域中先設定好[篩選清單],然後在設定[關鍵字]中的處理動作即可。


圖23 關鍵字過濾設定

完成了防毒與關鍵字過濾的安全性設定之後,接下請切換到[報告]選單區域中的[通知]設定。如圖24所示在這個頁面中,我們可以各別定義不同的過濾通知所相對應的Email收件者,如此一來一但發生了病毒被偵測到或是文件內容關鍵字等被偵測到,相對的使用者便會收到郵件警示通知。


圖24通知設定


圖25 即時病毒掃描

至於在即時的病毒掃描部分,當使用者嘗試上傳或下載一個含有病毒的檔案時,在MOSS 2007的網站上將會出現如圖25所示的[發現病毒]的警示訊息頁面。
Forefront Security for SharePoint對於清除已存入文件庫的受感染檔案時並不會變更其副檔名,而是會移除該內容並以刪除後的預設替代文字來取代,不過如果是清除位在壓縮檔案中的中毒檔案,則會將其副檔名會變更為.txt。

關於整合SharePoint網頁組件的功能
如果您之前有使用過前一個版本的Antigen for SharePoint,可能會發現它有提供兩個整合在SharePoint網站中的網頁組件(Web Part),如今這兩項用以提供病毒事件通知的網頁組件,在新版的Forefront Security for SharePoint中已經不再提供。

對於所有偵測的病毒事件與其它違規事件,如圖26所示管理員都可以在[報告]選單區域中的[事件]選項頁面中,檢視到相關的事件記錄。舉例來說,對於診斷到的病毒郵件,管理員可以清楚看到病毒的名稱、上傳或下載的檔案名稱以及偵測到的病毒引擎。而對於被隔離的檔案檢視與下載,則可以在[隔離]的頁面中來進行管理。


圖26 檢視中毒事件

Forefront管理介面安裝問題

Q:Forefront Server Security Administrator管理介面,可以安裝在Windows XP作業系統之中嗎?

A:可以的,不過必須預先完成兩項作業系統上的安全性設定。首先請在[開始]\[執行]的命令列中輸入dcomcnfg來開啟[元件服務]管理介面,接著展開至[元件服務]\電腦]\[我的電腦]節點上,按下滑鼠右鍵選取[內容]。接著切換到[COM 安全性]頁面中點選[編輯限制]按鈕,然後如圖27所示在選取[Anonymous Logon]之後賦予給他[遠端存取]的權限即可。
至於在防火牆部分,則必須在Windows防火牆的例外頁面中,點選[新增程式]然後將Forefront Server Security Administrator選取進來,接著在點選[新增連接埠]之後輸入135並且選取TCP即可。


圖27 COM安全性設定

結 論
對於許多中大型以上的企業來說,在無須添購任何其它設備與系統的情況之下,直接運用這一些ISA Server 2006所內建的功能,來達到防護SharePoint網站所需要的管理目標,不僅大幅降低了許多資訊預算的編列,對於許多網管人員來說更是減少了許多部署上的複雜度以及管理上的負擔。而在進一步整合Forefront Security的防毒系統使用下,更可以確保整個SharePoint網站的資料庫,不會輕易遭到惡意程式的侵襲而造成商業損失。



搜尋相關Tags的文章: [ COM ] , [ 顧武雄 ] , [ SharePoint Server ] ,
本篇文章發表於2015-01-21 09:59
別忘捐VP感謝幫助你的人 新手會員瞧一瞧
目前尚無任何回覆
   

回覆
如要回應,請先登入.