| |||||
| |||||
Per garantire la protezione dei siti Web, Microsoft Windows SharePoint Services si avvale delle seguenti tecnologie:
In Windows SharePoint Services l'autenticazione utente è basata sui metodi di autenticazione di Internet Information Services (IIS). È possibile utilizzare Windows SharePoint Services con le seguenti forme di autenticazione utente:
Il metodo di autenticazione viene scelto durante l'installazione del server Web. Non è possibile cambiarlo utilizzando gli strumenti di amministrazione di Windows SharePoint Services. Per cambiare metodo di autenticazione è necessario utilizzare lo strumento di amministrazione di Internet Information Services per il computer server in uso.
L'autenticazione anonima consente l'accesso agli utenti privi di account di Windows nel computer server, ad esempio ai visitatori del sito Web. IIS crea l'account anonimo per i servizi Web, spesso denominato IUSR_nomecomputer. Quando IIS riceve una richiesta anonima, rappresenta l'account anonimo.
È possibile consentire o negare l'accesso anonimo in IIS per un server virtuale specifico e consentire o negare l'accesso anonimo per un sito di tale server virtuale utilizzando Amministrazione centrale SharePoint. L'accesso anonimo può essere attivato per un sito Web del server virtuale solo è stato attivato in IIS.
L'autenticazione di base è un protocollo di autenticazione supportato dalla maggior parte dei server Web e dei browser. Sebbene i nomi utente e le password vengano trasmessi in formato testo non crittografato facilmente decodificabile, questo tipo di autenticazione presenta comunque alcuni vantaggi rispetto ad altri metodi di autenticazione più sicuri, in quanto opera attraverso un firewall del server proxy e garantisce che praticamente tutti i browser possano accedere a un sito Web. Se si utilizza l'autenticazione di base insieme alla protezione SSL (Secure Sockets Layer), è possibile proteggere nomi utente e password in misura maggiore rispetto a quanto consentito dalla sola autenticazione di base.
Autenticazione integrata di Windows
Con l'autenticazione integrata di Windows (detta anche Windows NT Challenge Response) i nomi utente e le password vengono crittografati in un'interazione di più transazioni tra client e server e ciò rende questo metodo più sicuro dell'autenticazione di base. Gli svantaggi sono rappresentati dal fatto che questo metodo non può essere impiegato tramite un firewall del server proxy e non è supportato da alcuni browser, ad esempio Netscape Navigator. La maggior parte dei browser scelgono l'opzione che garantisce la maggiore protezione. Se, ad esempio, sono attivate sia l'autenticazione di base sia l'autenticazione integrata di Windows, Microsoft Internet Explorer prova a utilizzare per prima l'autenticazione integrata di Windows.
Autenticazione con certificati (SSL)
L'autenticazione con certificati (detta anche protezione SSL) garantisce la riservatezza delle comunicazioni, l'autenticazione e l'integrità dei messaggi per le connessioni TCP/IP. Utilizzando il protocollo SSL, i client e i server possono comunicare in modo protetto, evitando intercettazioni e alterazioni dei messaggi. Per quanto riguarda Windows SharePoint Services, SSL contribuisce a proteggere l'accesso attraverso i firewall e a garantire una maggiore protezione dell'amministrazione remota di Windows SharePoint Services. È possibile, inoltre, specificare che deve essere utilizzato SSL quando viene aperto un sito Web basato su Windows SharePoint Services.
Gruppo di amministratori di SharePoint
Per installare Windows SharePoint Services è necessario essere membro del gruppo di amministratori locali nel computer server. Questo gruppo concede agli utenti anche le autorizzazioni necessarie per controllare le impostazioni nella pagina Amministrazione centrale SharePoint ed eseguire lo strumento della riga di comando Stsadm.exe. È possibile, inoltre, scegliere un gruppo di dominio specifico a cui consentire l'accesso amministrativo a Windows SharePoint Services, oltre al gruppo degli amministratori locali. Nella Guida in linea di Prodotti e tecnologie SharePoint questo gruppo di dominio viene detto gruppo di amministratori di SharePoint. È consigliabile aggiungere gli utenti a questo gruppo anziché al gruppo degli amministratori locali per mantenere distinto l'accesso amministrativo a Windows SharePoint Services dall'accesso amministrativo al computer server locale.
I membri del gruppo di amministratori di SharePoint non hanno la possibilità di accedere alla metabase di IIS e pertanto non possono eseguire le seguenti operazioni per Windows SharePoint Services:
Nota I membri di questo gruppo possono creare siti Web principali e modificare le impostazioni del server virtuale.
I membri del gruppo di amministratori di SharePoint possono eseguire tutte le altre operazioni amministrative utilizzando Amministrazione centrale SharePoint o il modello di oggetti di Windows SharePoint Services.
I membri del gruppo di amministratori di SharePoint e del gruppo di amministratori locali dispongono dei diritti necessari per visualizzare e gestire tutti i siti creati nei loro server. Questo significa che un amministratore del server può leggere documenti o elementi di elenchi, modificare le impostazioni dei sondaggi, eliminare un sito o eseguire in un sito tutte le altre operazioni che un amministratore del sito può eseguire.
In Windows SharePoint Services sono disponibili i gruppi del sito, che consentono di assegnare diritti specifici a utenti e gruppi intersito. Grazie ai gruppi del sito non è necessario controllare separatamente le autorizzazioni di file e cartelle, né preoccuparsi di mantenere la sincronizzazione fra i gruppi locali e l'elenco degli utenti Web. Per assegnare agli utenti autorizzazioni per il sito Web si utilizzano i gruppi del sito e per aggiungere gli utenti ai gruppi si utilizzano gli strumenti di amministrazione di Windows SharePoint Services.
In effetti, la gestione degli utenti viene delegata dagli amministratori del server ai proprietari e agli amministratori del sito. Gli amministratori del sito controllano l'accesso al sito e per impostazione predefinita hanno i diritti per aggiungere, eliminare o modificare i membri dei gruppi del sito. In un'organizzazione questo significa, di norma, che gli amministratori del sito selezionano gli utenti dall'elenco degli utenti dell'organizzazione e concedono loro vari gradi di accesso. Se, ad esempio, il sito Web è stato creato per consentire la condivisione di documenti e informazioni tra i membri di un gruppo di lavoro specifico, l'amministratore del sito aggiungerà i membri di tale gruppo di lavoro al sito e li assegnerà al gruppo Collaboratore, in modo che possano aggiungere documenti e aggiornare gli elenchi.
In un ambiente ISP o extranet, il proprietario di un sito può aggiungere utenti e creare account, magari utilizzando elenchi di utenti distinti per ogni raccolta siti. L'amministratore del sito aggiunge gli utenti al sito Web e Windows SharePoint Services aggiunge automaticamente tali utenti al servizio directory di Active Directory.
I membri del gruppo del sito Amministratore di un sito Web principale possono controllare un numero maggiore di opzioni rispetto agli amministratori di un sito secondario. Gli amministratori di un sito Web principale possono eseguire azioni quali specificare impostazioni per le discussioni Web o per gli avvisi, visualizzare dati sull'uso e sulle quote e modificare le impostazioni per l'accesso anonimo.
Nota Il proprietario e il proprietario secondario di un sito Web principale possono essere membri del gruppo del sito Amministratore, ma vengono anche identificati separatamente come proprietari della raccolta siti nel database di configurazione. Il flag di proprietario può essere modificato solo utilizzando la pagina Gestisci proprietari raccolta siti oppure utilizzando l'operazione siteowner con Stsadm.exe. Se si rimuove un proprietario dal gruppo del sito Amministratore del sito in questione, il flag di proprietario non viene rimosso dal database e l'utente può continuare a eseguire attività amministrative sulla raccolta siti.
Protezione della porta utilizzata per l'accesso ad Amministrazione centrale SharePoint
Se un pirata informatico riesce ad accedere alla porta utilizzata per accedere ad Amministrazione centrale SharePoint, può impedire che altri utenti accedano al sito, può modificare il contenuto del sito o addirittura può disattivare completamente un server Web. È importante limitare l'accesso alla porta utilizzata da Amministrazione centrale SharePoint. A questo scopo si consiglia di adottare le misure seguenti:
Se si desidera poter gestire Windows SharePoint Services mediante una connessione Internet, utilizzare SSL per garantire la protezione delle comunicazioni tra il computer client e il server, anche su Internet. Per poter utilizzare SSL, è necessario innanzitutto configurare SSL in Internet Information Services (IIS) e quindi utilizzare la riga di comando per configurare Windows SharePoint Services.
Nota Quando si utilizza SSL, l'URL di Amministrazione centrale SharePoint cambia da http:// a https://.
Se non è necessario consentire l'accesso ad Amministrazione centrale SharePoint da Internet, è opportuno utilizzare le impostazioni del firewall per bloccare l'accesso alla porta utilizzata da Amministrazione centrale SharePoint oppure consentire l'accesso alla porta solo a determinati domini. Utilizzare l'operazione stsadm -o setadminport per impostare lo stesso numero di porta per ogni server di una server farm e configurare il firewall in modo da proteggere tale porta in tutti i server. In alternativa è possibile utilizzare le limitazioni sugli indirizzi IP e sui nomi di dominio di IIS per limitare l'accesso a determinati domini. A questo scopo è necessario specificare le limitazioni per ogni server virtuale per cui si desidera limitare l'accesso.
Utilizzare il gruppo di amministratori di SharePoint per stabilire quali utenti possono accedere ad Amministrazione centrale SharePoint. Solo il gruppo di dominio specificato e gli amministratori locali possono accedere alla porta utilizzata da Amministrazione centrale SharePoint. Consentire l'accesso amministrativo solo a pochi operatori.
Se si utilizza l'autenticazione integrata di Windows si evita che le password vengano inviate in formato non crittografato, come avviene con l'autenticazione di base. Quest'ultima è meno sicura proprio perché il testo non viene crittografato.
L'attivazione dell'accesso anonimo riduce inevitabilmente il livello di protezione di un server. Se utenti anonimi riescono ad accedere a un server e a modificare le impostazioni o il contenuto, non è possibile risalire a un account utente reale. Per impostazione predefinita l'accesso anonimo è disattivato per la porta utilizzata da Amministrazione centrale SharePoint.
Protezione delle connessioni di SQL Server
Se per i database si utilizza SQL Server anziché Microsoft SQL Server Desktop Engine (Windows) 2000 (WMSDE), per proteggere le interazioni tra Windows SharePoint Services e i server database che eseguono SQL Server è possibile scegliere tra i due metodi di protezione seguenti:
Nota Se si utilizza SQL Server in un server di database diverso da quello in cui è in esecuzione Windows SharePoint Services, è necessario utilizzare un account di dominio (o l'account Sistema locale o Servizio di rete) come account del pool di applicazioni di IIS. Se si utilizza un account locale, questo non potrà accedere al computer in cui viene eseguito SQL Server. Per il server virtuale amministrativo, l'account del pool di applicazioni di IIS deve avere i diritti per creare database in SQL Server. Se si utilizza l'account Sistema locale o Servizio di rete, è necessario concedere i privilegi del server di database all'account computer del server Web. Non è necessario concedere diritti per la creazione di database agli account dei pool di applicazioni per altri server virtuali; per creare database possono, infatti, basarsi sul server virtuale amministrativo.
Informazioni sull'autenticazione integrata di Windows NT
Con l'autenticazione integrata di Windows NT si utilizzano le credenziali delle applicazioni di Internet Information Services (IIS) e un pool di applicazioni per stabilire la connessione ai database di SQL Server. Le credenziali vengono memorizzate in modo protetto nella metabase di IIS con altri processi di lavoro di IIS. Quando Windows SharePoint Services si connette ai database, viene eseguito nel suo processo solito e utilizza il processo di IIS per la connessione. In presenza di una server farm, è necessario verificare che le modifiche apportate alle credenziali vengano trasmesse a tutti i server. Se, ad esempio, nel dominio vige la politica di modificare spesso la password, è necessario modificare la password in IIS per ogni computer server della server farm.
È possibile avere un unico processo per tutti i server virtuali di un'installazione oppure è possibile isolare ogni server virtuale con il proprio pool di applicazioni. L'utilizzo di processi distinti è più sicuro. Uno script personalizzato eseguito per un server virtuale potrebbe, ad esempio, accedere alle pagine di un altro server virtuale se condividessero un pool di applicazioni. Se i pool di applicazioni fossero distinti, lo script non potrebbe venire autenticato per il database attraverso i server virtuali.
Informazioni sull'autenticazione di SQL Server
L'autenticazione di SQL Server utilizza un account e una password di amministratore (spesso l'account predefinito sa) memorizzati nel database di SQL Server per stabilire la connessione tra Windows SharePoint Services e i database. Questo nome utente e password vengono utilizzati per tutti gli aggiornamenti ai database, indipendentemente da quale server della server farm o da quale server virtuale di un server singolo o di una server farm richieda l'aggiornamento.
Importante Quando si utilizza l'autenticazione di SQL Server, la password dell'account dell'amministratore viene inviata lungo la rete e potrebbe essere rilevata da pirati informatici. Si consiglia di utilizzare l'autenticazione integrata di Windows per le connessioni tra Windows SharePoint Services e i database di SQL Server. Si osservi, inoltre, che quando si utilizza l'autenticazione di SQL Server, il nome utente e la password specificati sono disponibili per tutti i membri del gruppo STS_WPG, che può includere account associati con altre applicazioni presenti nel server.
Windows SharePoint Services supporta la connettività tramite firewall. A seconda della configurazione è necessario verificare che il firewall sia aperto per le porte HTTP 80 e 443 standard. Quando si utilizza un firewall, è necessario configurare i siti di SharePoint con l'autenticazione di base, perché l'autenticazione integrata di Windows non è ammessa con i firewall.
Mostra tutto
Nascondi tutto