اطمینان حاصل کنید که سرویس اکانت SharePoint farm (حساب دسترسی به پایگاه داده) با حداقل امتیازات برای سرور SQL پیکربندی شده است.(Scored)
Profile Applicability
• Level 1 (L1) – Corporate/Enterprise Environment (general use)
Description
SharePoint farm service account (database access account) باید با حداقل امتیازات برای سرور SQL پیکربندی شود.
Rationale
تفکیک وظایف، یک کنترل شایع فناوری اطلاعات است که در لایههای مختلف سیستم اطلاعات از جمله سیستم عامل و برنامهها اعمال میشود. این کار برای از بین بردن یا کاهش احتمال انجام یک فعالیت ممنوع توسط کاربر صورت میگیرد. تفکیک وظایف مستلزم آن است که شخص مسئول در تأیید عملی، همان شخصی نباشد که وظیفه اجرای آن را دارد.
این الزام برای محدود کردن میزان افشاء ناشی از اکانتهای کاربری است که از آنها برای کار داخل یک اکانت یا رول privileged استفاده میشود. محدود کردن دسترسی و permission های اکانتهای privileged به حداقل مورد نیاز باعث میشود افشاء اطلاعات زمانی که عملیاتی داخل این اکانتها اتفاق میافتد، به حداقل رسیده و forensic history ای مربوط به فعالیت این حسابها را ارائه میدهند.
این policy، privilege های Farm Account در AD را محدود میکند. با این حال، permission های پیشفرض برای این اکانت توسط SharePoint Products Configuration Wizard هنگام نصب محصول پیکربندی میشوند. از این اکانت در هنگام نصب به عنوان اکانت Database Access یاد میشود.
به طور پیشفرض، این اکانت به عنوان سرویس اکانت برای SharePoint Timer Service و SharePoint Central Administration Web Site Application Pool استفاده میشود. این تنظیمات نباید تغییر کند. علاوه بر این، این اکانت نباید به عنوان سرویس اکانت برای سرویسهای non-privileged، اپلیکیشنها یا application pool ها استفاده شود.
Audit
پیکربندی سرور شیرپوینت را بررسی کنید تا تأیید کنید farm service account (database access account) با حداقل privilege ها برای سرور SQL پیکربندی شده است.
1- SQL Server Management Console را اجرا کنید و به قسمت Security > Logins بروید.
2- SharePoint Setup User account را انتخاب کنید.
3- روی Server Roles کلیک کنید و بررسی کنید که فقط dbcreator و Securityadmin تیک خورده اند.
Remediation
4- SQL Server Management Console را اجرا کنید و به قسمت Security > Logins بروید.
5- SharePoint Setup User account را انتخاب کنید.
6- روی Server Roles کلیک کنید و بررسی کنید که فقط dbcreator و Securityadmin تیک خورده اند.
References
technet.microsoft.com/en-us/library/cc678863(v=office.16).aspx
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.