SharePoint Server 2013數據安全管理實戰

在現今許多企業的私有云網絡之中，SharePoint Server 2013已成為小組團隊數據中心中的重要成員之一，它讓文件服務器、郵件服務器以及知識庫服務器，在實體架構上徹底劃分開來，形成了私有云數據中心基礎建設的三足鼎立。雖是三強分離卻也是彼此集成。今日就讓我們一同來學習一下，如何讓這擔任知識庫管理中心的SharePoint Server 2013，在面對龐大有價知識的管理上更加安全與安心。

部署考慮

由于云計算的火熱，因此筆者常在拜訪企業客戶的過程中，聽到IT部門對于究竟要把某系統選擇部署在公共云還是有私有云中的議題爭論不斷，其中對于SharePoint Server 2013的導入，也是目前讓許多IT單位陷入難以抉擇的目標系統之一。這是因為有廠商建議直接訂閱像Office 365這樣的SaaS云服務就好，因為這樣一來系統不用自己維護，IT人員可就輕松多了。

但也有廠商認為不妥，因為數據的隱密性以及管理彈性上的問題，所以最好還是架設在自家的私有云。當然也曾聽過部門的IT同仁建議不如就選擇自己架設SharePoint Server 2013，但系統卻是部署在大廠的云服務（IaaS）之中吧，如此一來就兼具減輕IT負擔及解決彈性管理上的問題。

上述問題就筆者的觀點而言，決定要把SharePoint Server 2013部署在公共云還是企業私有云中，最核心的考慮點應該是在系統集成的需求上。舉例來說，如果您希望SharePoint Server 2013入口網站部署可以集成企業現行的人資系統（HR）、電子簽核流程系統（Workflow）及客戶關系管理（CRM）等應用，那么選擇將它部署在私有云中肯定可以避開許多技術集成上的困難。

但無論如何在這樣的抉擇之下，IT部門便需要更熟悉SharePoint Server 2013在數據安全管理上的技巧，這包括了病毒等惡意程序的防治、數據訪問的審計管理、網站與數據的備份、匿名訪問的安全管制等等，如此才能夠在高安全性的基礎上，實踐高效率的知識管理系統于團隊的協同生產力之中。

接下來您將可以通過一連串的實戰講解，深度學習到SharePoint Server 2013在私有云架構中，針對數據訪問安全性的管理技巧，讓小組團隊對于數據的訪問與儲存更加放心與安心。

SharePoint防毒集成配置

許多導入SharePoint Server 2013的IT人員可能會疑惑究竟在SharePoint Server 2013主機上除了需要安裝文件型的防病毒軟件外，還需不需要加裝針對SharePoint Server 2013所設計的防病毒軟件呢？其實它的原理就好像搭建Exchange Server信息平臺一樣，若想徹底防止可能的惡意程序入侵，兩類型的防毒系統都安裝肯定是最理想的，畢竟一般文件型的防毒軟件是無法偵測儲存到后端數據庫中的各種文件是否夾帶有惡意程序。更何況如今用戶訪問SharePoint服務器的客戶端已不限于PC機及筆記本電腦了，還包括廣泛的各類智能手機與平板。

打從前幾個版本的SharePoint Server開始，就已經有許多第三方的信息安全廠商提供了SharePoint防毒系統的集成套裝軟件，甚至于就連Microsoft自家都有提供Forefront Protection for SharePoint的產品，而它們共同的基本功能就是偵測用戶上傳與下載的文件中，是否夾帶有可能的惡意程序碼，而一旦偵測到，就將可以立即進行清除、隔離或刪除，還可以第一時間通知相關的管理人員。

以第三方SharePoint防毒軟件集成來說，筆者較推 薦Symantec的Symantec Protection 6.0 for SharePoint Servers及Kaspersky的Security 8.0 for SharePoint Server。 接 下 來 實 戰SharePoint防毒集成應用。

在我們安裝設定任何針對SharePoint所設計的防毒軟件之前，可以先查閱一下在“SharePoint管理中心→安全性”的頁面中有關“管理防毒設定”的組態配置。

在此您可以自行決定對后續所安裝的防毒軟件是否要自動針對上傳或下載的文件進行掃毒操作，以及是否允許用戶下載可能已受到感染病毒的文件，對已經確定感染病毒的文件，是否要自動嘗試進行清除的任務。由于不同的文件類型與文件大小，進行實時病毒診斷的時間可能會有所差異，因此您可以進一步決定掃描逾時的長度，以及允許同時開啟的執行程序數目。

集成Kaspersky防毒系統

在KasperskySecurity 8.0 for SharePoint Server專屬管理界面中，這和其他第三方的SharePoint防毒軟件有些不同，因為一般通常會將自家的防毒管理功能，集成到“SharePoint管理中心網站”之中。無論如何像這樣獨立的管理界面設計，仍有它在管理上的便利性，它可以讓多個SharePoint執行中的管理任務，例如備份監視任務，完全與實時的掃毒任務監視區分開來互不影響。

在這個界面中，管理員可以在SharePoint正常運行的狀態下，執行諸如實時掃毒、常駐掃毒、內容過濾、防毒系統更新以及報告檢視等等。

集成Symantec防毒系統

至于如果您采用的是Symantec Protection 6.0 for SharePoint Servers防毒系統，則在完成安裝之后它并沒有像Kaspersky一樣，有特別設計的Windows管理界面，而是直接集成在“SharePoint管理中心”網站的“安全性”頁面之中，在此能夠設定的各項防毒功能應有盡有，包括了計劃掃毒與手動掃毒、Email通知設定、隔離管理、實時報表與計劃報表等等。

當我們在“SharePoint管理中心”啟用了Symantec的防毒集成之后，其下的各個網站還可以在“網站設定”的“網站功能”頁面中，來選擇性決定是否要啟動“防毒”功能。

若管理人員進一步從SharePoint管理中心開啟了它的管理頁面，將可以從如圖1所示的頁面中，來完成四項最重要區塊組態的配置。

其中筆者會建議您先完成位在“Management”區域中的“Email Notification Settings”的設定，以便讓相關的管理人員可以在第一時間獲悉病毒的警示信息。

圖1 Symantec防毒管理頁面

在“Email Notification Settings”的設定頁面，必須先完成“Global Email Settings”區域中的各項設定，這包括了SMTP主機的地址、登錄的帳密信息以及發件人的地址與顯示名稱。緊接著則是開始設定有關于發現病毒時的通知方式，在此您還可以手動加入多位的收件者。

在SharePoint Server防毒正常運作的狀況下，當有人員通過計算機或任何行動裝置上傳文件至網站時，將會在第一時間遭到攔截，并且顯示發現病毒的警示信息，此時當然相關的管理人員也會收到病毒通知的Email。

至于如果是本來就已經存在在網站中的病毒文件呢？

其實基本上只要通過手動或計劃的掃毒任務，也都可以馬上發現并進行清除或是隔離。然而如果您既沒有執行手動掃毒任務，也沒有設定計劃掃毒，那么當用戶不小心下載到有病毒的文件時怎么辦呢？別擔心！

因為只要您在前面的“防毒”設定頁面中，有勾選“掃描下載的文件”設定，便會立即出現發現病毒的信息，通知您目前準備下載的文件已發現病毒而無法下載。

如此一來即便客戶端的計算機沒有安裝防毒軟件，或是防毒引擎與病毒特征沒有更新，也無須擔心感染病毒的問題。

注意：無論是Kaspersky還是Symantec的SharePoint防毒軟件，都可以在其官方網站下載試用版。