密级：
文档编号：
项目代号：
中国移动SharePointPortalServer2003门户系统
安全配置手册
Version0.2
中国移动通信有限公司
二零零四年十二月
密级：
文档编号：
项目代号：
中国移动SharePointPortalServer2003门户系统
安全配置手册
Version0.2
中国移动通信有限公司
二零零四年十二月
拟制:
审核:
批准:
会签:
标准化:
版本控制
版本号
日期
参与人员
更新说明
分发控制
编号
读者
文档权限
与文档的主要关系创建、修改、读取
负责编制、修改、审核批准
负责本文档的批准程序标准化审核
作为本项目的标准化负责人，负责对本文档进行标准化审核读取读取
目录
第1章 SHAREPOINTPORTALSERVER2003安全概述 1
1.1 简介 1
1.2 工作原理 1
1.3 功能与定位 2
第2章 身份认证和授权-SPS2003资源的访问控制 4
2.1 身份认证 4
2.2 授权 4
2.3 授予访问门户网站的权限 5
2.4 更改系统访问帐户和密码 6
2.4.1 配置数据库管理帐户 6
2.4.2 更改配置数据库管理帐户 7
2.4.3 CentralAdminAppPool应用程序池帐户 11
2.4.4 更改CentralAdminAppPool应用程序池帐户 11
2.4.5 门户网站应用程序池标识 12
2.4.6 默认内容访问帐户 13
2.4.7 用于爬网的替代帐户 13
2.4.8 用户配置文件导入帐户 14
2.4.9 SingleSign-OnService帐户 15
2.5 管理用户和跨网站用户组 16
2.5.1 管理网站用户组和权限 22
2.6 控制用户权限和分配任务 32
2.6.1 限制可用权限 32
2.6.2 允许匿名访问 33
2.6.3 分配管理任务 \h33
2.7 创建网站用户组 35
2.7.1 创建网站用户组 35
2.8 编辑网站用户组的权限 36
2.9 修改网站用户组的成员资格 36
第3章 SHAREPOINTPORTALSERVER2003高级安全配置 38
3.1 启用SharePointPortalServer2003的安全套接字层 38
3.1.1 引言 38
3.1.2 第1步：确保可以访问门户站点的主页 39
3.1.3 第2步：使用证书向导创建服务器证书 39
3.1.4 第3步：向证书服务器请求服务器证书。 40
3.1.5 第4步：在主前端Web服务器上安装服务器证书 41
3.1.6 第5步：验证该证书为有效证书 42
3.1.7 第6步：测试门户站点的主页 43
3.1.8 第7步：需要SSL 43
3.1.9 第8步：测试门户站点的主页 44
3.1.10 第9步：在主前端Web服务器上导出服务器证书，以供使用 44
3.1.11 第10步：在剩余的网络负载平衡前端Web服务器上安装服务器证书 45
3.1.12 第11步：测试门户站点的主页 46
3.1.13 第12步：在索引管理服务器上测试SSL 47
3.1.14 第13步：修改设置以更新搜索 47
3.1.15 第14步：通过安全LDAP使用SSL为用户配置文件配置输入设置 50
3.1.16 疑难解答通过下载和安装证书颁发机构上层目录来修正错误 50
3.2 启用客户端证书并在SharePointPortalServer2003的内容搜索中使用客户端证书 54
3.2.1 简介 54
3.2.2 步骤1：在服务器场中的所有前端Web服务器上启用安全套接字层(SSL) 56
3.2.3 步骤2：获取客户端证书 56
3.2.4 步骤3：导出不带私钥的客户端证书(*.cer文件)以用于前端Web服务器。 58
3.2.5 步骤4：导出带有私钥(.pfx文件)的证书以用于其他客户端计算机和索引管理服务器。 58
3.2.6 步骤5：将客户端证书(.pfx文件)导入要从中访问门户站点的计算机中(可选) 59
K\l_Toc894789813.2.7 步骤6：启用前端Web服务器上映射的客户端证书 60
3.2.8 步骤7：检查所有证书授权 61
3.2.9 步骤8：创建证书信任列表 62
3.2.10 步骤9：测试客户端证书 62
3.2.11 步骤10：书导入到用于索引管理服务器的个人证书存储中 64
3.2.12 步骤11：确保将证书颁发机构列在受信任的根证书颁发机构证书存储中 64
3.2.13 步骤12：为证书指定权限 65
3.2.14 步骤13：配置包含或排除内容的规则 65
3.2.15 步骤14：安装补丁 66
3.2.16 步骤15：启动内容索引的完全更新 66
3.2.17 步骤16：检验更新是否成功 67
3.2.18 疑难解答 67
3.3 创建额外的PortalSiteApplicationPool保证更高级别的隔离以及安全性 69
1. 介绍 69
2. 隔离应用程序池 69
3. 隔离应用程序池步骤： 70
3.4 配置病毒防护 71
3.4.1 使用“HTML管理”页配置防病毒设置 72
3.4.2 使用命令行配置防病毒设置 73
第4章 保护WEB服务器 74
4.1 本模块内容 74
4.2 目标 74
4.3 概述 75
4.4 威胁与对策 75
4.4.1 配置处理 76
4.4.2 拒绝服务 77
4.4.3 未经授权的访问 77
4.4.4 随意代码执行 77
4.4.5 特权提升 78
4.4.6 病毒、蠕虫和特洛伊木马 78
4.5 确保Web服务器安全的方法 79
4.5.1 配置类别 79
4.5.2 修补程序和更新程序 80
4.5.3 服务 80
4.5.4 协议 80
4.5.5 帐户 80
4.5.6 文件和目录 80
4.5.7 共享 81
4.5.8 IIS和Framework安装注意事项 81
4.5.9 IIS安装了哪些组件？ 82
4.5.10 安装建议 84
4.6 确保Web服务器安全的步骤 86
4.6.1 步骤1：修补程序和更新程序 86
4.6.2 步骤2：IISLockdown 88
4.6.3 步骤3：服务 91
4.6.4 步骤4：协议 93
4.6.5 步骤5：帐户 95
4.6.6 步骤6：文件和目录 98
4.6.7 步骤7：共享 100
4.6.8 步骤8：端口 101
4.6.9 步骤9：注册表 102
4.6.10 步骤10：审核和日志记录 103
4.6.11 步骤11：站点和虚拟目录 105
4.6.12 步骤12：脚本映射 109
4.6.13 步骤13：ISAPI筛选器 112
4.6.14 步骤14：IIS元数据库 113
4.6.15 步骤15：服务器证书 114
4.6.16 步骤17：代码访问安全性 117
SharepointPortalServer2003安全概述
简介
微软SharepointPortalServer2003(以后简称SPS2003)是基于WindowsSharepointService和SQLServer2000开发的企业信息门户支撑平台，它必须运行在Windows2003Server操作系统上。WindowsSharepointService是Windows2003Server内置的一个组件，它依赖于IIS6.0和框架1.1版，为开发个性化协作网站应用提供底层支持。
由于SPS2003信息门户的所有内容都存储在SQLServer2000关系数据库中，因此，对SPS2003的安全管理和加固，重点应放在Web主机和应用的加固、网站内容访问权限的管理、用户认证和授权、安全的数据访问和加固数据库服务器等五个方面。
工作原理
SPS2003在Web主机上只存放SPS的系统文件，门户的用户、授权、页面、图片、文档等内容都保存在数据库中。当认证通过的用户访问门户时，Web主机进行转发，由SPS从数据库中获取有关内容，并渲染成Web页面展示到用户的浏览器上。具体软件体系架构如下图所示：
当安装SPS时，SPS会自动创建一个配置数据库。当创建一个SPS门户时，系统会自动在数据库服务器上创建三个库，他们分别是站点数据库，组件设置数据库和用户信息数据库，每个库的作用如下表所示：
数据库
作用
站点数据库
保存所有的门户和站点的内容，包括网页、文档、图片和样式表等
名称：门户名称+_SITEDB
组件设置数据库
存储门户的个性提醒、通知以及访问日志等
名称：门户名称+_SERVDB
用户信息数据库
存储用户的个人档案信息
名称：门户名称+_PROFDB