Freigeben über

Überprüfen der Sicherheitsüberlegungen

  • Artikel

Bevor Sie Visual Studio Team System für IhrTeam bzw. Ihr Unternehmen bereitstellen, sollten Sie die folgenden Sicherheitsrichtlinien überprüfen. Durch die Einhaltung dieser Richtlinien sorgen Sie dafür, dass die Konfiguration reibungslos und konsistent funktioniert und außerdem die Integrität Ihrer Daten geschützt wird.

Zulassen des Zugriffs auf von Team Foundation Server-Komponenten verwendete Anschlüsse

Die zahlreichen Komponenten von Team Foundation Server verwenden verschiedene Ports zur Kommunikation. Diese Ports müssen in Firewalls freigegeben sein, damit Team Foundation Server ordnungsgemäß funktionieren kann.

Die Anzahl der zu überprüfenden Computer ist abhängig von der für die Installation ausgewählten Servertopologie. Weitere Informationen finden Sie unter Unterstützte Topologien für Team Foundation Server.

Clientcomputer und die Team Foundation-Anwendungsebene

Die Clientebene besteht aus den Instanzen von Visual Studio Team System, die mit Team Foundation Server kommunizieren. Auf dieser Ebene können Entwickler, Tester, Architekten und Manager an ihren Projekten arbeiten und die Fortschritte verfolgen. Die Team Foundation Server-Anwendungsebene antwortet auf Clientanforderungen.

Zur Berichterstellung und zum Zugriff auf das Projektportal müssen Clients auf den Port 80 des Anwendungsebenenservers zugreifen können. Zudem müssen Clients auf den Port 8080 zugreifen können, der vom Anwendungsebenenserver für die Webdienste verwendet wird, die das Projekt auf dem Datenebenenserver verwalten.

Die Team Foundation-Datenebene

Die Team Foundation Server-Datenebene umfasst die SQL Server-Instanz, die für die Speicherung der eigentlichen Projektdaten zuständig ist. Dazu gehören alle Projektmetadaten, Quellcodedateien und Projektarbeitsprodukte.

Die Kommunikation der Team Foundation Server-Anwendungsebene mit der Team Foundation Server-Datenebene erfolgt standardmäßig über den SQL Server-TCP-Anschluss 1443 und -UDP-Anschluss 1444.

Weitere Informationen über die Kommunikation zwischen den Team Foundation-Ebenen finden Sie unter Sicherheitsarchitektur von Team Foundation Server.

Buildcomputer

Ein Buildcomputer ist der dedizierte Computer zum Erstellen der letzten Version eines von Team Foundation Server verwalteten Projekts. Aus Sicherheitsgründen sollten die Computer der Anwendungs- und Datenebenen nie als Buildcomputer verwendet werden. Ein Clientcomputer der Clientebene kann jedoch sicher zu diesem Zweck verwendet werden.

Die Kommunikation der Team Foundation Server-Anwendungsebene mit den Buildcomputern erfolgt über den .NET Remoting zugewiesenen Anschluss 9191.

Konfigurieren der Authentifizierung

In Team Foundation Server gibt es zwei grundlegende Benutzerkontentypen: Windows-Benutzer und -Gruppen, sowie Team Foundation Server-Benutzer und -Gruppen. Team Foundation Server-Benutzer und -Gruppen sind entweder global dem Server oder einem bestimmten Projekt zugehörig.

Weitere Informationen zum Konfigurieren der Authentifizierung für die verschiedenen Komponenten einer Team Foundation Server-Installation finden Sie unter Team Foundation Server-Sicherheit für Benutzer und Gruppen.

Konfigurieren des Servers zur Verwendung in einer Arbeitsgruppe

Sie können Team Foundation Server zum Ausführen in einer Arbeitsgruppe konfigurieren. In diesem Fall können Benutzer lokale Computerkonten verwenden, um auf den Server zuzugreifen. Teams, die ihre Server in einer Arbeitsgruppe ausführen, müssen die Anwendung und die Datenebenen auf demselben Computer speichern.

Sichern von Dateiübertragungen

Dateiübertragungen werden für alle Vorgänge der Quellcodeverwaltung mit HTTP ausgeführt. Alle Dateien werden in SQL Server gespeichert. Dabei wird vorausgesetzt, dass auf dem Client ein ausreichender Virenschutz vorhanden ist und alle Dateien auf Viren überprüft werden.

Die einzige Möglichkeit zum Entfernen einer infizierten Datei aus Team Foundation Server besteht darin, alle infizierten Versionen aus SQL Server zu entfernen. Weitere Informationen zum Entfernen infizierter Dateien finden Sie unter Gewusst wie: Dauerhaftes Löschen von verwaisten Dateien.

Buildcomputersicherheit

Der Buildcomputer muss unter einem speziellen Benutzerkonto ausgeführt werden, das der Gruppe Builddienste zugewiesen ist und daher über die erforderlichen Berechtigungen zum Verwalten von Buildprojekten in Team Foundation Server verfügt. Eine solche Gruppe wird durch die Prozessmethodik sowohl von MSF for Agile Software Development als auch von MSF for CMMI Process Improvement vordefiniert und mit den entsprechenden Berechtigungen vorkonfiguriert. Weitere Informationen zum Konfigurieren von Buildcomputern finden Sie unter Einrichten eines Buildcomputers.

Bei der Konfiguration eines Buildcomputers geben Sie einen Ablagespeicherort für das Buildprodukt an. Das Benutzerkonto, unter dem das Build ausgeführt wird, muss über Lese- und Schreibberechtigungen für den Ablagespeicherort verfügen.

Webdienstsicherheit

Jeglicher Zugriff auf Webdienste wird durch Team Foundation Server-Gruppenberechtigungen und durch IIS gesichert.

Siehe auch

Konzepte

Übersicht über die Team Foundation-Sicherheit
Sicherheitsarchitektur von Team Foundation Server
Team Foundation Server-Berechtigungen

Weitere Ressourcen

Client- und Serverplanung
Verwalten von Benutzern und Gruppen