提升 SharePoint Manager Plus 安装保护的指南

本文档提供了针对以下特定场景提升 SharePoint Manager Plus 实例安全性的步骤。

• 防止 Authenticated Users 组中的用户篡改 SharePoint Manager Plus bin 文件夹。
• 更改 SharePoint Manager Plus 默认管理员密码。
• 增强 SharePoint Manager Plus 登录安全。
• 安全加固。

防止 Authenticated Users 篡改 SharePoint Manager Plus bin 文件夹。

SharePoint Manager Plus 安装目录包含其正常运行所需的重要文件，包括用于启动和停止产品的文件及许可文件。在早期版本中，SharePoint Manager Plus 会安装在 C:\ManageEngine 文件夹下。这将赋予属于 Authenticated Users 组的非管理员用户对产品安装目录中的文件和文件夹的完全控制权限，意味着任何域用户都可以访问该文件夹并修改其中内容，可能导致产品无法使用。

仅从访问控制列表（ACL）中移除 Authenticated Users 并不能解决问题，因为这会导致他们甚至无法以服务或应用程序身份启动 SharePoint Manager Plus。

解决方案

为解决此问题，请根据 SharePoint Manager Plus 的安装位置，按照下述步骤操作。

• 如果 SharePoint Manager Plus 安装在 C:\ManageEngine 文件夹
• 如果 SharePoint Manager Plus 安装在 C:\Program Files 文件夹

i. 如果 SharePoint Manager Plus 安装在 C:\ManageEngine 文件夹，执行以下步骤。

默认情况下，Windows 客户端操作系统的 C: 目录对 Authenticated Users 具有修改权限，适用于子文件夹。但 Windows 服务器操作系统的 C: 目录 ACL 中则不包含 Authenticated Users。因此，步骤将根据 SharePoint Manager Plus 所安装的操作系统不同而有所区别。

• 如果 SharePoint Manager Plus 安装在客户端操作系统
• 如果 SharePoint Manager Plus 安装在服务器操作系统

a) 如果 SharePoint Manager Plus 安装在客户端操作系统：

1. 禁用继承 针对 C:\ManageEngine\SharePoint Manager Plus 文件夹。步骤详见 附录 。
2. 从文件夹的 ACL 中移除 Authenticated Users 。步骤详见 附录 。
3. 从产品安装目录中，移除下列文件夹的 Authenticated Users 权限。
• bin\licenses
• temp
• webapps\spmp
• ES\temp
• lib\license
4. 为可以启动产品的用户分配 修改（Modify） 权限，针对 C:\ManageEngine\SharePoint Manager Plus 文件夹。步骤详见 附录 。
5. 如果产品作为服务安装，确保该服务属性的“登录”选项卡下配置的帐户已被赋予该 修改（Modify） 文件夹的权限。

b. 如果 SharePoint Manager Plus 安装在服务器操作系统：

1. 从产品安装目录中，移除下列文件夹的 Authenticated Users 权限。
• bin\licenses
• temp
• webapps\spmp
• ES\temp
• lib\license
2. 为可以启动产品的用户分配 修改（Modify） 权限，针对 C:\ManageEngine\SharePoint Manager Plus 文件夹。步骤详见 附录 。
3. 如果产品作为服务安装，确保该服务属性 登录 选项卡下配置的帐户已被赋予 修改（Modify） 文件夹的权限。

ii. 如果 SharePoint Manager Plus 安装在 C:\Program Files 文件夹，执行以下步骤

1. 从产品安装目录中移除下列文件夹的 Authenticated Users 权限。详见 附录 。
• bin\licenses
• temp
• webapps\spmp
• ES\temp
• lib\license
2. 为可以启动产品的用户分配 修改（Modify） 为可以启动产品的用户分配权限，针对 C:\Program Files\SharePoint Manager Plus 文件夹。详见 附录 。
3. 如果产品作为服务安装，确保该服务属性的“登录”选项卡下配置的帐户已被赋予该 修改（Modify） 文件夹的权限。

更改 SharePoint Manager Plus 默认管理员密码

为什么需要这么做？

如果不更改 SharePoint Manager Plus 默认管理员密码，任何知晓默认密码的人都有可能登录产品，执行恶意更改或查看 SharePoint 对象的信息。

如何解决此问题？

我们建议您至少在从评估阶段进入部署阶段之前，更改默认管理员密码以确保安全。您可以在产品 Web 控制台右上角的 我的账户 部分更改默认密码。

SharePoint Manager Plus 登录的额外安全措施

SharePoint Manager Plus 支持多因素身份验证（MFA）、IP 限制，并允许在密码错误时阻止用户，以增强用户登录过程的安全性，防止未授权用户登录。点击以下链接，获取配置各种选项以保护用户登录流程的步骤。

• 强制多因素身份验证（MFA）
• 启用 IP 限制
• 配置用户阻止设置

安全加固

该选项允许您从单一位置查看并配置多种增强产品安全性的安全相关设置。为帮助您轻松判断 SharePoint Manager Plus 实例的安全程度，仪表板右侧会显示基于配置的各项安全设置影响计算得出的产品安全加固得分。

可用于强化 SharePoint Manager Plus 安全性的配置包括：

更改默认管理员密码：更改默认密码并使用强密码，将加强管理员账户密码安全，确保其不被泄露。

强制使用 HTTPS：在浏览器和 SharePoint Manager Plus Web 服务器间建立安全连接。

启用多因素身份验证：该设置可为登录 SharePoint Manager Plus 添加额外安全层。支持的认证选项包括邮箱验证、短信验证、Google 认证、Duo Security 等。

启用 IP 限制：仅允许来自已知或授权来源的通信，阻止未授权请求。

阻止无效的登录尝试：当特定技术支持账户连续多次登录失败后，将其阻止。

强制使用安全 LDAP：通过 SSL 保护 SharePoint Manager Plus 服务器和 AD 之间的 LDAP 连接。

自动安装热修复：配置自动热修复更新，及时修复关键漏洞。

强制使用安全 TLS：确保禁用较旧的 TLS 版本，如 v1.0、v1.1。

配置 SharePoint Manager Plus 安全加固设置的步骤：

1. 登录 SharePoint Manager Plus 控制台，导航至 管理 选项卡。
2. 在左侧面板的 常规设置中，点击 安全与隐私.
3. 导航到 安全加固 ，使用旁边的按钮配置相关安全设置。
4. 启用 即使未配置推荐设置，也不显示警报 选项，以隐藏安全加固警报，无论推荐设置状态如何。

附录

禁用继承的步骤

1. 右键点击文件夹，选择 属性.
2. 转到 安全 选项卡，点击 高级.
3. 点击 禁用继承.
4. 点击 应用 并 确定.

移除 Authenticated Users 的步骤

1. 右键点击文件夹，选择 属性.
2. 转到 安全 选项卡，点击 编辑.
3. 选择 Authenticated Users 组并点击 从文件夹的 ACL 中移除.
4. 点击 应用 并 确定.

分配修改权限的步骤

1. 右键点击文件夹，选择 属性.
2. 转到 安全 选项卡，点击 编辑.
3. 点击 添加.
4. 输入用户或组名称，点击 确定.
5. 在 用户权限 部分，在 允许 列中勾选允许 修改（Modify） 权限。
6. 点击 应用 并 确定.