Проверка работы IPsec в средстве просмотра событий

После включения локальных политик IPsec как на SQL1, так и на SP1 можно выполнять пересылку информации с помощью IPsec. Для проверки этой работы выполните либо пингование сервера с компьютера клиента, либо другие сетевые проверки, например, обратитесь к сайту SharePoint на SP1.

Беглый взгляд на монитор безопасности IP, который установлен в ММС на SP1, показывает, что трафик IPsec инициализирован и выполняет запись своих действий в журнал. После этого должны появиться и статистические данные по трафику, наподобие приведенных на рис. 15.10. Весь обмен данными между членами фермы SharePoint теперь надежно зашифрован и защищен.

Эти стандартные политики IPsec могут пригодиться для создания специального соединения по протоколу IPsec между клиентами SharePoint в сети, хотя они ограниченны в области действия. С помощью групповых политик можно создать политики IPsec для всего предприятия, но для эффективной защиты всей среды с помощью специальных политик IPsec необходимо правильное планирование реализации IPsec в предприятии.

ьс

лояш

JAIJSJ

^ г* миг «м nwBi ток

Hi'

PHwthi

- '3 ^SevTtiMnter В g)SPl

Pi HfKePeicy № CJ HaHMode £> jQudilbife

p GenercFften <7.1 SpsUkfUn ^Jffegetstlonvdto

<J Stage*

i 1 Security Лааоо*Оогч *• £ PSecuttyPotdaonLKjiConpute

Ж AcVvr Seaot} AMdBtam Ж¹Offloaded Scanty МясЫп ХМпдКеуОтИп XttyMdtm XbyEMrton XM«W ЖМпТилД Ж Bed 5И Packed Ж Packets Not IXryptad Ж¹Packed Not JkitfwMasd ЖРн^ОМ^Кц^уОсМоп ЖСвпМепШ Bytn Sent Жслпиепъ^ВгМвНесйуе^ X*u<hPibiatn)Byte* Sent ЖАи0кпЬсаЫВу1е*ЯесА'Е4 Ж Trarapert Bylec Sent XTranjportByto Received Ж Byte* Sent In Tmrcb ЖВ/tEi Receded 1л Титек Ж<МмМ0у(еа5вЧ Ж'Offloaded BytoReoewed

10207000

eesm

10207000

-U]

Fuc. 15.10. Статистика IPsec

Резюме

SharePoint полностью оснащен множеством различных механизмов безопасности, средств и техник, предназначенных для защиты и обеспечения безопасности данных в среде. Но защитить должным образом среду SharePoint 2010 без полного понимания этих возможностей трудно, а, может, и невозможно.

Использование многоуровневого подхода к защите SharePoint позволяет развернуть несколько линий обороны от хакеров, сценариев и других напастей. В SharePoint встроенная защита сочетается с возможностями обеспечения безопасности операционной системы Windows Server и возможностями блокировки мастера настройки безопасности. Все это обеспечивает надежную защиту на файловом, транспортном и физическом уровнях и делает SharePoint надежным продуктом, готовым для развертывания в предприятиях.

Кроме того, защита на транспортном уровне в виде IPsec может существенно повысить безопасность обмена данными между членами фермы SharePoint, что снижает риск перехвата и искажения данных.

Практические рекомендации

• Используйте многоуровневый подход к обеспечению безопасности с несколькими механизмами защиты от злоумышленников.

• Применяйте свежие патчи и обновления на серверах SharePoint (после проверки в прототипной среде), чтобы еще более защитить их от атак.

• Используйте средство Microsoft Baseline Security Analyzer (MBSA) для проверки безопасности серверов SharePoint.

• Используйте сертификаты уровня защищенных сокетов (SSL) для любого трафика SharePoint, который проходит по общедоступной сети вроде интернета.

Если не применяются сторонние сертификаты, то генерируйте сертификаты SSL для SharePoint, используя внутреннюю инфраструктуру открытых ключей в сочетании со службой сертификатов Active Directory.

Обеспечьте физическую защиту серверов SharePoint в надежных местах за замкнутыми дверями.

Используйте IPsec для шифрования трафика между серверами SharePoint. Используйте MSBA для аудита безопасности серверов SharePoint.

Включите аудит SQL для фиксирования неудачных или всех пыток обращения к данным.

Проектируйте работу SharePoint с учетом изолирующих подходов.

Для защиты операционной системы Windows Server, в которой выполняется SharePoint, используйте шаблоны безопасности сервера, но предварительно протестируйте все параметры безопасности.

Ограничьте возможность входа в серверы SharePoint.

Рассмотрите использование в SharePoint PKI-аутентификации пользователей с помощью смарт-карт.

Рассмотрите использование виртуальных частных сетей (VPN) для защиты удаленного доступа из интернета к внутренним сайтам SharePoint.

Ограничьте анонимный доступ к фермам SharePoint, если они не содержат конфиденциальной информации.

Разрешите вход в консоли серверов SharePoint только администраторам.

Активируйте политики блокировки паролей и учетных записей на серверах SharePoint.

ГЛАВА