Team Foundation Server-Sicherheitskonzepte
Zum Sichern von Team Foundation Server ist es erforderlich, die Funktionsweise von Team Foundation Server zu kennen und zu verstehen, wie es mit anderen Team Foundation-Komponenten kommuniziert. Team Foundation Server-Administratoren sollten mit der Authentifizierung, den Netzwerkprotokollen und dem Netzwerkverkehr in Windows sowie der Struktur des Geschäftsnetzwerks, in dem Team Foundation Server installiert ist, vertraut sein und außerdem die Gruppen und Berechtigungen von Team Foundation Server kennen.
Grundlagen der Team Foundation Server-Sicherheit
Die Sicherheitskonzepte von Team Foundation Server können in drei allgemeine Kategorien unterteilt werden: Topologie, Authentifizierung und Autorisierung. Die Topologie umfasst Ort und Art der Bereitstellung der Team Foundation-Server, den Netzwerkverkehr zwischen den Team Foundation Server-Clients und den Team Foundation-Clients sowie die Dienste, die auf Team Foundation Server ausgeführt werden müssen. Die Authentifizierung schließt die Überprüfung der Gültigkeit von Team Foundation Server-Benutzern, -Gruppen und -Diensten ein. Die Autorisierung beinhaltet die Überprüfung, ob gültige Team Foundation Server-Benutzer, -Gruppen und -Dienste die entsprechenden Berechtigungen zur Ausführung von Aktionen besitzen. Darüber hinaus müssen Sie auch die Abhängigkeiten zwischen Team Foundation Server und den anderen Komponenten und Diensten beachten, um die Sicherheit von Team Foundation Server im Netzwerk zu optimieren.
Wenn Sie Einstellungen im Rahmen der Team Foundation Server-Sicherheit festlegen möchten, müssen Sie den Unterschied zwischen Authentifizierung und Autorisierung verstehen. Authentifizierung bezeichnet die Überprüfung der Anmeldeinformationen bei einem Verbindungsversuch durch einen Client, Server oder Prozess. Autorisierung ist die Überprüfung der Zulässigkeit des Verbindungsversuchs. Die Autorisierung erfolgt immer erst nach erfolgreicher Authentifizierung. Wenn eine Verbindung nicht authentifiziert werden kann, schlägt der Verbindungsversuch bereits vor der Autorisierung fehl. Nach erfolgreicher Authentifizierung kann eine bestimmte Aktion trotzdem unzulässig sein, weil der Benutzer oder die Gruppe nicht zum Durchführen der Aktion autorisiert ist.
Topologien, Anschlüsse und Dienste von Team Foundation Server
Zuerst muss bei der Bereitstellung und Sicherung von Team Foundation Server überprüft werden, ob die Komponenten der Team Foundation-Bereitstellung zum Zwecke der Kommunikation Verbindungen zueinander herstellen können. Normalerweise sollten Sie Verbindungen zwischen Team Foundation-Clients und Team Foundation Server zulassen, weitere Verbindungsversuche sollten jedoch eingeschränkt oder verhindert werden.
Die Funktion von Team Foundation Server ist von bestimmten Anschlüssen und Diensten abhängig. Diese Anschlüsse können zur Einhaltung der Sicherheitsanforderungen des Unternehmens gesichert und überwacht werden. In Abhängigkeit von der Team Foundation-Bereitstellung müssen Sie Team Foundation Server-Netzwerkverkehr zwischen Team Foundation-Clients, Team Foundation-Servern der Anwendungs- und der Datenebene, Team Foundation Build-Buildservern und Team Foundation-Remoteclients mit Team Foundation Server-Proxy zulassen. In der Standardeinstellung ist Team Foundation Server so konfiguriert, dass HTTP für die Webdienste verwendet wird. Eine vollständige Liste der Team Foundation Server-Anschlüsse und -Dienste sowie Informationen zu deren Verwendung innerhalb der Team Foundation Server-Architektur finden Sie unter Sicherheitsarchitektur von Team Foundation Server.
Sie können Team Foundation Server in einer Active Directory-Domäne oder einer Arbeitsgruppe bereitstellen. Im Vergleich zu Arbeitsgruppen bietet Active Directory mehr integrierte Sicherheitsfeatures, die Sie beim Sichern der Team Foundation Server-Bereitstellung unterstützen. Beispielsweise können Sie Active Directory so konfigurieren, dass keine doppelten Computernamen zulässig sind. Dadurch können Angreifer den Computernamen nicht mehr mit einem nicht autorisierten Team Foundation Server vortäuschen. Um dieselbe Gefahr in einer Arbeitsgruppe zu verringern, müssten Sie Computerzertifikate konfigurieren. Weitere Informationen zu Team Foundation Server in einer Active Directory-Domäne finden Sie unter Verwalten von Team Foundation Server in einer Active Directory-Domäne. Weitere Informationen zu Team Foundation Server in einer Arbeitsgruppe finden Sie unter Verwalten von Team Foundation Server in einer Arbeitsgruppe.
Unabhängig davon, ob Sie Team Foundation Server in einer Arbeitsgruppe oder einer Domäne bereitstellen, gibt es für Team Foundation Server-Bereitstellungen einige Einschränkungen hinsichtlich der Topologie. Weitere Informationen zu den Team Foundation Server-Topologien finden Sie unter Team Foundation Server-Topologien.
Authentifizierung
Team Foundation Server-Sicherheit ist in der integrierten Windows-Authentifizierung und den Sicherheitsfeatures von Windows Server 2003 integriert. Windows-Authentifizierung wird zur Authentifizierung von Konten für Verbindungen zwischen Team Foundation-Clients und Team Foundation Server, für Webdienste auf Team Foundation-Servern der Anwendungs- und der Datenebene, sowie für Verbindungen zwischen Team Foundation-Servern der Anwendungs- und der Datenebene untereinander verwendet.
Konfigurieren Sie keine SQL-Datenbankverbindungen zwischen Team Foundation Server und Windows SharePoint Services für die Verwendung der SQL Server-Authentifizierung. Die SQL Server-Authentifizierung ist unsicherer, da bei der Verbindung mit der Datenbank Benutzername und Kennwort für das Administratorkonto der Datenbank unverschlüsselt zwischen den Servern übertragen werden. Die integrierte Windows-Authentifizierung überträgt Benutzernamen und Kennwort nicht, sondern leitet diese Informationen über den IIS-Anwendungspool, was zu einer höheren Sicherheit führt.
Team Foundation Server-Autorisierung
Team Foundation-Autorisierung basiert auf Team Foundation-Benutzern und -Gruppen, sowie den Berechtigungen, die diesen Benutzern und Gruppen direkt zugewiesen sind, und den Berechtigungen, die diese Benutzer und Gruppen aufgrund ihrer Mitgliedschaft in anderen Team Foundation-Gruppen möglicherweise erben. Team Foundation-Benutzer und Gruppen können lokale Benutzer und Gruppen oder Active Directory-Benutzer und -Gruppen sein, oder beides zugleich.
Team Foundation Server ist auf Server- und auf Projektebene mit Standardgruppen vorkonfiguriert. Sie können individuelle Benutzer verwenden, um diese Gruppen aufzufüllen. Sie sollten jedoch diese Gruppen mithilfe von Active Directory-Sicherheitsgruppen auffüllen, da diese einfacher verwaltet werden können. Auf diese Weise können Sie computerübergreifende Gruppenmitgliedschaften und Berechtigungen leichter verwalten.
Möglicherweise müssen Sie in Ihrer Bereitstellung Benutzer, Gruppen und Berechtigungen auf mehreren Computern und in verschiedenen Anwendungen konfigurieren. Wenn Sie Ihre Bereitstellung z. B Berichte und Projektportale enthalten soll, müssen Sie Berechtigungen für Benutzer und Gruppen in SQL Reporting Services, Windows SharePoint Services und in Team Foundation Server konfigurieren. Auf Team Foundation Server können Berechtigungen auf nach Projekten und serverweit festgelegt werden. Darüber hinaus werden bestimmte Berechtigungen standardmäßig allen zu Team Foundation Server hinzugefügten Benutzern oder Gruppen gewährt, da dieser Benutzer oder diese Gruppe automatisch zur Gruppe Gültige Team-Foundation-Benutzer hinzugefügt wird. Weitere Informationen zum Festlegen von Berechtigungen finden Sie unter Verwalten von Berechtigungen. Weitere Informationen zu Team Foundation Server-Benutzern und -Gruppen finden Sie unter Verwalten von Benutzern und Gruppen.
Zusätzlich zum Festlegen von Berechtigungen für die Autorisierung in Team Foundation Server müssen Sie u. U. auch eine Autorisierung für die Quellcodeverwaltung und für Arbeitsaufgaben konfigurieren. Diese Berechtigungen werden separat in der Befehlszeile verwaltet, sind jedoch in das Team Explorer-Interface integriert. Weitere Informationen zu Berechtigungen für die Quellcodeverwaltung finden Sie unter Sicherheitsrechte und Berechtigungen für die Quellcodeverwaltung und Team Foundation-Quellcodeverwaltung. Weitere Informationen zur Anpassung von Arbeitsaufgaben finden Sie unter Verwalten von Team Foundation-Arbeitsaufgaben.
Abhängigkeiten bei Team Foundation Server
Für Team Foundation Server werden zusätzlich zu den eigenen Diensten auch bestimmte Windows-Dienste und Dienste anderer Anwendungen auf den Servern der Anwendungs- und der Datenebene benötigt. In der folgenden Tabelle werden die erforderlichen Dienste auf den Servern der Anwendungsebene aufgelistet.
| Dienstname | Beschreibung |
|---|---|
Application Experience Lookup Service |
Dieser Dienst ist Teil einer Infrastruktur, die für das Anwenden von Fixes auf Anwendungen sorgt und so sicherstellt, dass die Anwendungen mit neu veröffentlichen Windows-Versionen oder Service Packs ausgeführt werden. Dieser Dienst muss ausgeführt werden, damit die Anwendungsfixes wirksam werden. |
Distributed Transaction Coordinator |
Dieser Dienst koordiniert die Transaktionen zur Aktualisierung zweier oder mehrerer transaktionsgeschützter Ressourcen, z. B. Datenbanken, Nachrichtenwarteschlangen und Dateisysteme. Diese transaktionsgeschützten Ressourcen können auf einem einzelnen Computer vorhanden oder über mehrere vernetzte Computer verteilt sein. |
DNS-Client |
Dieser Dienst wird zur Auflösung von DNS-Domänennamen verwendet. |
Ereignisprotokoll |
Dieser Dienst zeichnet Betriebssystemereignisse auf, die in einem der drei in der Ereignisanzeige einsehbaren Standardprotokolle gespeichert werden: Sicherheitsprotokoll, Anwendungsprotokoll und Systemprotokoll. |
IIS Admin-Dienst |
Dieser Dienst verwaltet die IIS-Metabasis. |
Anmeldedienst |
Dieser Dienst überprüft die Anmeldeanforderungen und steuert die domänenweite Replikation der Benutzerkonten-Datenbank. |
Netzwerkverbindungen |
Dieser Dienst (auch als Netman-Dienst bezeichnet) verwaltet alle Netzwerkverbindungen, die in den Netzwerkverbindungen der Systemsteuerung erstellt und konfiguriert werden. Er ist für die Anzeige des Netzwerkstatus im Infobereich des Desktops verantwortlich. |
NLA (Network Location Awareness) |
Dieser Dienst erfasst und speichert Informationen zur Netzwerkkonfiguration, z. B. Änderungen an den Namen und Speicherorten der IP-Adressen sowie Änderungen an Domänennamen. |
Remoteprozeduraufruf (RPC) |
Dieser Dienst ist ein Mechanismus zur sicheren prozessübergreifenden Kommunikation (Interprocess Communication, IPC), der den Datenaustausch und den Aufruf von Funktionen anderer Prozesse ermöglicht. Die verschiedenen Prozesse können auf demselben Computer, im LAN (Local Area Network) oder an verschiedenen Orten im Internet ausgeführt werden. Der Remoteprozeduraufrufdienst fungiert als RPC Endpoint Mapper (EPM) und Service Control Manager (SCM). |
Berichtsserver (MSSSQLSERVER) |
Dieser Dienst behandelt SOAP- (Simple Object Access Protocol) und URL-Anforderungen, verarbeitet Berichte, stellt eine Snapshot- und Berichtscacheverwaltung bereit und unterstützt und erzwingt die Durchsetzung der Sicherheitsrichtlinien sowie der Autorisierung. |
Sicherheitskontenverwaltung |
Dieser Dienst verwaltet die Benutzerkontoinformationen, einschließlich der Informationen zu den Gruppen, denen ein Benutzer angehört. |
Microsoft SharePoint Timerdienst |
Dieser Dienst verarbeitet geplante Aufträge in Windows SharePoint Services. |
Windows-Verwaltungsinstrumentation (WMI) |
Dieser Dienst startet und beendet den Common Information Model-Objekt-Manager (CIM-Objekt-Manager). |
Windows-Zeitgeber |
Dieser Dienst (auch als W32Time bezeichnet) synchronisiert das Datum und die Uhrzeit aller Computer in einem Windows Server 2003-Netzwerk. |
WWW-Publishingdienst |
Dieser Dienst ist ein Konfigurations- und Prozess-Manager im Benutzermodus, der die IIS-Komponenten zur Verarbeitung von HTTP-Anforderungen verwaltet, Webanwendungen ausführt und regelmäßig überprüft, ob die Webanwendungen unerwartet beendet wurden. |
In der folgenden Tabelle werden die erforderlichen Dienste auf Servern der Datenebene aufgelistet.
| Dienstname | Beschreibung |
|---|---|
Application Experience Lookup Service |
Dieser Dienst ist Teil einer Infrastruktur, die für das Anwenden von Fixes auf Anwendungen sorgt und so sicherstellt, dass die Anwendungen mit neu veröffentlichen Windows-Versionen oder Service Packs ausgeführt werden. Dieser Dienst muss ausgeführt werden, damit die Anwendungsfixes wirksam werden. |
Distributed Transaction Coordinator |
Dieser Dienst koordiniert die Transaktionen zur Aktualisierung zweier oder mehrerer transaktionsgeschützter Ressourcen, z. B. Datenbanken, Nachrichtenwarteschlangen und Dateisysteme. Diese transaktionsgeschützten Ressourcen können auf einem einzelnen Computer vorhanden oder über mehrere vernetzte Computer verteilt sein. |
DNS-Client |
Dieser Dienst wird zur Auflösung von DNS-Domänennamen verwendet. |
Ereignisprotokoll |
Dieser Dienst zeichnet Betriebssystemereignisse auf, die in einem der drei in der Ereignisanzeige einsehbaren Standardprotokolle gespeichert werden: Sicherheitsprotokoll, Anwendungsprotokoll und Systemprotokoll. |
Microsoft SharePoint Timerdienst |
Dieser Dienst verarbeitet geplante Aufträge in Windows SharePoint Services. |
Anmeldedienst |
Dieser Dienst überprüft die Anmeldeanforderungen und steuert die domänenweite Replikation der Benutzerkonten-Datenbank. |
Netzwerkverbindungen |
Dieser Dienst (auch als Netman-Dienst bezeichnet) verwaltet alle Netzwerkverbindungen, die in den Netzwerkverbindungen der Systemsteuerung erstellt und konfiguriert werden. Er ist für die Anzeige des Netzwerkstatus im Infobereich des Desktops verantwortlich. |
NLA (Network Location Awareness) |
Dieser Dienst erfasst und speichert Informationen zur Netzwerkkonfiguration, z. B. Änderungen an den Namen und Speicherorten der IP-Adressen sowie Änderungen an Domänennamen. |
Remoteprozeduraufruf (RPC) |
Dieser Dienst ist ein Mechanismus zur sicheren prozessübergreifenden Kommunikation (Interprocess Communication, IPC), der den Datenaustausch und den Aufruf von Funktionen anderer Prozesse ermöglicht. Die verschiedenen Prozesse können auf demselben Computer, im LAN (Local Area Network) oder an verschiedenen Orten im Internet ausgeführt werden. Der Remoteprozeduraufrufdienst fungiert als RPC Endpoint Mapper (EPM) und Service Control Manager (SCM). |
Sicherheitskontenverwaltung |
Dieser Dienst verwaltet die Benutzerkontoinformationen, einschließlich der Informationen zu den Gruppen, denen ein Benutzer angehört. |
SQL-Analysis-Server (MSSQLSERVER) |
Dieser Dienst erstellt und verwaltet OLAP-Cubes und Data Mining-Modelle. |
SQL Server-Browser |
Dieser Dienst stellt Clientcomputern Informationen zur SQL Server-Verbindung zur Verfügung. |
SQL Server-Volltextsuche (MSSQLSERVER) |
Dieser Dienst erstellt Volltextindizes für Inhalte und aktiviert die Volltextsuche für Arbeitsaufgaben. |
Windows-Verwaltungsinstrumentation (WMI) |
Dieser Dienst startet und beendet den Common Information Model-Objekt-Manager (CIM-Objekt-Manager). |
Windows-Zeitgeber |
Dieser Dienst (auch als W32Time bezeichnet) synchronisiert das Datum und die Uhrzeit aller Computer in einem Windows Server 2003-Netzwerk. |
Siehe auch
Konzepte
Sicherheitsarchitektur von Team Foundation Server
Verwalten von Team Foundation Server in einer Arbeitsgruppe
Sicherheitsrechte und Berechtigungen für die Quellcodeverwaltung
Team Foundation-Quellcodeverwaltung
Verwalten von Team Foundation-Arbeitsaufgaben
Weitere Ressourcen
Verwalten von Team Foundation Server in einer Active Directory-Domäne
Verwalten von Berechtigungen
Verwalten von Benutzern und Gruppen