圖 1 SQL Server 外圍應用配置器可幫助您找出可以禁用哪些組件和服務。

您還應該慎重考慮為 SQL Server 安全性選擇的身份驗證方法。盡管您可以選擇混合模式或 Windows 身份驗證模式，但是您應該盡可能將 SQL Server 配置為使用 Windows 身份驗證。Windows 模式比混合模式更安全，因為它在身份驗證過程中使用 Kerberos 安全協(xié)議。而且，由于 Windows 身份驗證使用域用戶帳戶，因此您在 Active Directory 中建立的任何密碼策略仍然生效。

服務帳戶

管理員在部署 SharePoint 2007 時犯的最大的安全錯誤之一是他們沒有正確配置服務帳戶。如果您曾經(jīng)安裝過 SharePoint 2007，您肯定知道，在部署和配置過程中會多次要求您提供服務帳戶。

管理員經(jīng)常會創(chuàng)建一個單獨的服務帳戶，然后在整個 SharePoint 安裝過程中使用該帳戶。盡管所獲得的 SharePoint 服務器能夠正常使用，但是此方法從安全角度來看是有風險的。

問題在于：只要您向 SharePoint 提供服務帳戶，都會向該帳戶授予執(zhí)行當前任務的權限。SharePoint 僅僅向帳戶提供執(zhí)行其工作所需的權限，而不會提供更多權限。但是如果您在整個部署過程中多次使用同一個服務帳戶，最終該帳戶就會擁有過多的權限，因為在您每次使用時，它都會獲得更多權限。以后就可能會有人利用這些過多的權限在 SharePoint 服務器上運行代碼，進而控制服務器。

對于如何規(guī)劃 SharePoint 所使用的帳戶結構，存在大量相互矛盾的信息，甚至很難確認哪些是推薦的最佳做法。毫無疑問，如果您執(zhí)行基本的 SharePoint 部署，建議最少使用五個單獨的帳戶。

此外，還建議您單獨創(chuàng)建一個特殊的用戶帳戶，專門用于安裝 SharePoint 和 SQL Server。管理員的常見做法是在部署 SharePoint 時，使用自己的個人帳戶或域管理員帳戶進行登錄。從安全角度來看，使用現(xiàn)有帳戶可能是一個錯誤，因為該帳戶將被授予更多權限，以便完成安裝過程。

如果您決定使用專用的安裝帳戶，則必須使該帳戶成為每臺 SharePoint 服務器上的本地管理員組的成員。您還必須使該帳戶成為 SQL Server 登錄組的成員，從而使該帳戶能夠登錄您的 SQL Server 實例。

最后，您需要向該帳戶授予 SQL Server 上的“SQL Server 數(shù)據(jù)庫創(chuàng)建者”和“SQL Server 安全管理員”角色。這些角色使得該帳戶有權創(chuàng)建和修改數(shù)據(jù)庫以及管理 SQL Server 的安全性。這些特殊權限是建議使用專用的用戶帳戶的根源。

除了創(chuàng)建專用于 SharePoint 安裝過程的帳戶以外，您還必須創(chuàng)建其他一些服務帳戶：

數(shù)據(jù)庫訪問帳戶。這是 SharePoint 用來與 SQL Server 數(shù)據(jù)庫通信的帳戶。

SharePoint 搜索服務帳戶。SharePoint 搜索服務將使用此帳戶把內容索引文件寫入索引服務器，以及把索引信息復制到服務器場中存在的任何查詢服務器。

內容訪問帳戶。此帳戶用于在特定的共享服務提供程序內遍訪內容。在有些情況下，您可能需要創(chuàng)建多個內容訪問帳戶，以便分別遍訪多個內容源。

應用程序池服務帳戶。此帳戶由 IIS 內的工作進程使用。池內的 Web 應用程序必須能夠訪問 SharePoint 內容數(shù)據(jù)庫，并且“應用程序池標識”帳戶也利用了此進程。

SQL Server 服務帳戶。SQL Server 也需要一個服務帳戶，您應該為此目的使用一個專用的帳戶。

更加高級的 SharePoint 部署可能需要使用更多服務帳戶。本文末尾的“相關內容”部分中有一個鏈接指向一篇 TechNet 文章，該文章提供了您可能需要的其他服務帳戶的相關詳細信息。

命名約定

到現(xiàn)在為止，您可以看到，在開始部署 SharePoint 之前就需要創(chuàng)建大量帳戶。確保順利完成部署的一項技巧是在您創(chuàng)建服務帳戶之前先確定它們的命名約定。

您可以使用不同的方法來建立服務帳戶命名約定，但是應該遵循一些基本的規(guī)則。建議盡可能使用描述性的名稱，并花時間記錄所選的名稱及其目標用途。例如，您可以將 SharePoint 搜索帳戶命名為類似 SPT_Search 的形式。

不拼寫出 SharePoint，是由于存在一些舊的限制。Windows 允許用戶名的總長度超過 100 個字符，但是每個用戶名的長度不能超過 16 個字符。長用戶名偶爾會由于舊的硬件或軟件而導致意外的問題。盡管這種情況很少見，但確實存在，因此最好堅持使用短用戶名。

請注意，盡管我建議使用描述性的服務帳戶名稱，而且這種名稱確實會使管理員的工作更加輕松，但是這么做并非總是能提供最佳安全性。服務帳戶是黑客中意的目標，因為它們比普通用戶帳戶擁有更高的權限。它們經(jīng)常使用靜態(tài)的、一成不變的密碼。對于這種情況，您可能需要考慮隱藏您的服務帳戶。如果您這么做，務必記錄服務帳戶的名稱和功能。

加密流量

在規(guī)劃 SharePoint 部署時，管理員花費大量時間來設計服務器的體系結構。有時候會忽略的一個要素是公鑰基礎結構 (PKI)。您需要在部署 SharePoint 之前準備好 PKI，這樣才能正確加密 SharePoint 流量。SharePoint 服務器與最終用戶之間的 HTTP 流量必須進行 SSL 加密(使用 HTTPS)。

同樣，SharePoint 服務器之間的流量也應該使用 IPSec 進行加密。這兩種加密均依賴于證書和基礎 PKI 結構。

這些最佳安全做法并不全面。但是，要盡可能保護 SharePoint 安裝的安全，它們是一個好的開頭。

liukai