Freigeben über

Bewährte Methoden für Excel Services

  • Artikel

Letzte Änderung: Mittwoch, 14. April 2010

Gilt für: SharePoint Server 2010

Inhalt dieses Artikels
Reduzieren von Bedrohungsrisiken
Benutzerdefinierte Funktionen (UDFs) in Excel Services
Allgemeines

Dieses Thema enthält eine Liste von Empfehlungen zu bewährten Methoden für das Arbeiten mit Excel Services.

Reduzieren von Bedrohungsrisiken

Anonymer Zugriff und Veröffentlichung von Informationen

Die Kombination der folgenden Einstellungen ermöglicht anonymen Benutzern den Zugriff auf alle Dateien in der Freigabe, auf die das Prozesskonto Zugriff hat. Deshalb wird aufgrund der Möglichkeit der Veröffentlichung von Informationen von der folgenden Kombination von Einstellungen abgeraten:

  • Anonymer Zugriff auf Microsoft SharePoint Foundation ist aktiviert.

  • Sie verfügen über einen vertrauenswürdigen UNC-Speicherort, und das Prozesskonto ist aktiviert.

HinweisHinweis

Das Prozesskonto ist eine globale Excel Services-Einstellung, die alle vertrauenswürdigen Speicherorte betrifft.

So zeigen Sie die Option für das Prozesskonto an

  1. Klicken Sie im Startmenü auf Alle Programme.

  2. Zeigen Sie auf Microsoft SharePoint 2010-Produkte, und klicken Sie dann auf SharePoint-Zentraladministration.

  3. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.

  4. Klicken Sie auf der Seite Dienstanwendungen verwalten auf Excel Services-Anwendung.

  5. Klicken Sie auf der Seite Excel Services-Anwendung auf Globale Einstellungen.

  6. Suchen Sie im Abschnitt Sicherheit unter Dateizugriffsmethode nach der Option Prozesskonto.

Denial-of-Service-Angriff

Bei einem Denial-of-Service-Angriff gegen einen Webdienst generiert ein Angreifer eine große Anzahl von Einzelanforderungen für den Webdienst. Dadurch soll versucht werden, die Belastungsgrenze für einen oder mehrere Eingabewerte eines Webdiensts zu überschreiten.

Es wird empfohlen, mithilfe der Einstellung von Microsoft Internet Information Services (Internetinformationsdienste, IIS) die maximale Anforderungsgröße für den Webdienst festzulegen.

Verwenden Sie das maxRequestLength-Attribut des httpRuntime-Elements im system.web-Element, um Denial-of-Service-Angriffe zu verhindern, welche durch Benutzer verursacht werden, die große Dateien an den Server senden. Die Standardgröße beträgt 4096 KB (4 MB).

Weitere Informationen finden Sie unter <httpRuntime> Element und <maxRequestLength> Element.

Ermittlung zwischen der aufrufenden Anwendung und dem Webdienstcomputer

Wenn die aufrufende Anwendung und Excel-Webdienste auf unterschiedlichen Computern bereitgestellt werden, kann ein Angreifer den Netzwerkverkehr im Hinblick auf die Datenübertragung zwischen der aufrufenden Anwendung und dem Webdienst abhören. Diese Bedrohung wird auch als "Schnüffeln" (Sniffing) oder "Lauschangriff" bezeichnet.

Zur Reduzierung dieses Bedrohungsrisikos wird Folgendes empfohlen:

  • Richten Sie mit SSL (Secure Sockets Layer) einen sicheren Kanal zum Schutz der Datenübertragung zwischen dem Client und dem Server ein. Das SSL-Protokoll schützt Daten vor dem Paket-Sniffing durch Personen mit physikalischem Zugriff auf das Netzwerk.

  • Schützen Sie das entsprechende Netzwerk physikalisch, falls eine benutzerdefinierte Anwendung, die Excel-Webdienste verwendet, in einem begrenzten Netzwerk ausgeführt wird. Beispielsweise, wenn Excel-Webdienste auf einem Web-Front-End-Computer innerhalb des Unternehmens bereitgestellt wird.

Weitere Informationen finden Sie unter Securing Your Network und SOAP-Sicherheit.

Weitere Informationen zur Topologie, Skalierbarkeit, Leistung und Sicherheit von Excel Services finden Sie im Microsoft SharePoint Server 2010 TechCenter.

Spoofing

Die Verwendung von SSL wird empfohlen, um Bedrohungen durch abgefangene Webdienst-IP-Adressen und -Ports zu reduzieren und Angreifer am Empfangen von Anforderungen und am Antworten im Namen des Webdiensts zu hindern.

Für das SSL-Zertifikat wird anhand von ein paar Eigenschaften nach einer Übereinstimmung gesucht. Eine dieser Eigenschaften ist die IP-Adresse, von der die Nachricht stammt. Der Angreifer kann die IP-Adresse nicht mehr spoofen (vortäuschen), wenn diese nicht das SSL-Zertifikat des Webdiensts aufweist.

Weitere Informationen finden Sie unter Securing Your Network.

Benutzerdefinierte Funktionen (UDFs) in Excel Services

Abhängigkeiten von einem starken Namen

In manchen Fällen hängt eine UDF-Assembly (User-Defined Function, benutzerdefinierte Funktion) von anderen Assemblys ab, die mit der UDF-Assembly bereitgestellt werden. Diese abhängigen DLLs werden erfolgreich geladen, wenn sie sich im globalen Assemblycache oder aber im selben Ordner wie die UDF-Assembly befinden.

Im letzteren Fall kann das Laden jedoch fehlschlagen, wenn Dienste für Excel-Berechnungen bereits eine andere gleichnamige Assembly geladen hat. (Der Fehler ist darauf zurückzuführen, dass die Assembly keinen starken Namen aufweist oder dass eine andere gleichnamige Version bereitgestellt und geladen wurde).

Stellen Sie sich das folgende Szenario mit der folgenden Verzeichnisstruktur vor:

  1. C:\Udfs\Udf01

    Der Ordner Udf01 enthält Folgendes:

    • Udf01.dll

    • dependent.dll (ohne starken Namen)

    Die Datei Udf01.dll ist von der Datei dependent.dll abhängig.

  2. C:\Udfs\Udf02

    Der Ordner Udf02 enthält Folgendes:

    • Udf02.dll (abhängig von Interop.dll)

    • dependent.dll (ohne starken Namen)

    Die Datei Udf02.dll ist von der Datei dependent.dll abhängig. Die Dateien, von der Udf01.dll und Udf02.dll abhängig sind, haben den gleichen Namen. Die Datei dependent.dll von Udf02.dll bzw. Udf01.dll ist jedoch nicht identisch.

Stellen Sie sich folgenden Workflow vor:

  1. Udf01.dll wird als erste DLL geladen. Dienste für Excel-Berechnungen sucht nach dependent.dll und lädt die Datei, von der Udf01.dll abhängig ist, in diesem Fall dependent.dll.

  2. Udf02.dll wird nach Udf01.dll geladen. Dienste für Excel-Berechnungen stellt fest, dass Udf02.dll von dependent.dll abhängig ist. Eine DLL mit dem Namen dependent.dll ist jedoch bereits geladen. Deshalb wird die Datei dependent.dll von Udf02.dll nicht geladen, und stattdessen wird die aktuell geladene Datei dependent.dll verwendet.

Folglich wird das Objekt – in diesem Fall die von Udf02.dll benötigte Datei dependent.dll – nicht in den Arbeitsspeicher geladen.

Zur Vermeidung von Namenskonflikten wird empfohlen, für Abhängigkeiten starke Namen zu verwenden und sie eindeutig zu benennen.

Allgemeines

Benennen von DLLs mit verwaltetem Code

Verwenden Sie den vollqualifizierten Klassennamen gemäß den Namespace Naming Guidelines, um sicherzustellen, dass Ihre Assemblynamen eindeutig sind.

Verwenden Sie z. B. CompanyName.Hierarchichal.Namespace.ClassName anstelle von Namespace.ClassName.

Siehe auch

Aufgaben

Gewusst wie: Festlegen eines Speicherorts als vertrauenswürdig

Konzepte

Excel Services-Architektur

Zugreifen auf die SOAP-API

Excel Services Alerts

Bekannte Probleme und Tipps für Excel Services

Excel Services - Blogs, Foren und Ressourcen