Conceptos de seguridad de Team Foundation Server

Artículo
10/07/2008

Actualización: noviembre 2007

Para proteger Team Foundation Server, debe saber cómo funciona Team Foundation Server y cómo se comunica con otros componentes de Team Foundation. Un administrador de Team Foundation Server debe estar familiarizado con la autenticación de Windows, los protocolos de red y tráfico, y la estructura de la red comercial en la que se instala Team Foundation Server. El administrador debe conocer también el funcionamiento de los grupos y permisos de Team Foundation Server.

Introducción a la seguridad de Team Foundation Server

Los conceptos de seguridad de Team Foundation Server se pueden dividir en tres categorías generales: topología, autenticación y autorización. La topología engloba dónde y cómo se implementan los servidores de Team Foundation, el tráfico de la red entre los clientes de Team Foundation Server y Team Foundation y los servicios que deben ejecutarse en Team Foundation Server. La autenticación engloba la determinación de la validez de los usuarios, grupos y servicios de Team Foundation Server. La autorización engloba la determinación de si los usuarios, grupos y servicios de Team Foundation Server válidos tienen los permisos adecuados para realizar determinadas acciones. Además, debe tener en cuenta las dependencias de Team Foundation Server con otros componentes y servicios para optimizar la seguridad de Team Foundation Server en la red.

Con respecto a la seguridad de Team Foundation Server, debe entender la diferencia entre autenticación y autorización. La autenticación es la comprobación de las credenciales de un intento de conexión desde un cliente, servidor o proceso. La autorización es la comprobación de que la identidad que intenta conectarse tiene los permisos para tener acceso al objeto o método. La autorización siempre se produce después de una autenticación correcta. Si no se autentica la conexión, se produce un error antes de realizar la comprobación de la autorización. Si la autenticación de la conexión se realiza correctamente, aún no se podrá realizar una acción específica puesto que el usuario o grupo no tiene autorización para realizar esa acción.

Topologías, puertos y servicios de Team Foundation Server

El primer elemento de la implementación y seguridad de Team Foundation Server es comprobar si los componentes de la implementación de Team Foundation pueden conectarse entre sí para comunicarse. Su objetivo es permitir las conexiones entre los clientes de Team Foundation y Team Foundation Server, y restringir o impedir otros intentos de conexión.

Team Foundation Server depende de determinados puertos y servicios para que funcione correctamente. Estos puertos pueden protegerse y supervisarse para cumplir los requisitos de seguridad empresarial. Dependiendo de la implementación de Team Foundation, debe permitir que el tráfico de red de Team Foundation Server pase entre los clientes de Team Foundation, los servidores que hospedan los componentes lógicos de los niveles de aplicación y datos de Team Foundation, los servidores de compilación de Team Foundation Build y los clientes remotos de Team Foundation que utilizan el servidor proxy de Team Foundation Server. De forma predeterminada, Team Foundation Server está configurado para utilizar HTTP en sus servicios web. Para obtener una lista completa de puertos y servicios de Team Foundation Server e información acerca de cómo se utilizan en la arquitectura de Team Foundation Server, vea Arquitectura de seguridad de Team Foundation Server y Team Foundation Server, HTTPS y Secure Sockets Layer (SSL).

Puede implementar Team Foundation Server en un grupo de trabajo o dominio de Active Directory. Active Directory proporciona más características de seguridad integradas que los grupos de trabajo, que ayudan a proteger la implementación de Team Foundation Server. Por ejemplo, puede configurar Active Directory para no permitir la duplicación de nombres de equipo, de modo que un usuario malintencionado no pueda suplantar el nombre del equipo con un Team Foundation Server dañino. Para atenuar el efecto de amenazas similares en un grupo de trabajo, debe configurar los certificados del equipo. Para obtener más información acerca de Team Foundation Server en un dominio de Active Directory, vea Administrar Team Foundation Server en un dominio de Active Directory. Para obtener más información acerca de Team Foundation Server en un grupo de trabajo, vea Administrar Team Foundation Server en un grupo de trabajo.

Existen algunas restricciones de topología en las implementaciones de Team Foundation Server independientemente de si implementa Team Foundation Server en un grupo de trabajo o en un dominio. Para obtener más información sobre las topologías de Team Foundation Server, vea Topologías de Team Foundation Server, Introducción a los productos y tecnologías de SharePoint y Introducción a SQL Server y SQL Server Reporting Services.

Team Foundation Server es totalmente compatible con el protocolo de seguridad Kerberos. Puede configurar Team Foundation Server para admitir Kerberos para la autenticación mutua entre el cliente y el servidor después de instalar Team Foundation Server.

Autenticación

La seguridad de Team Foundation Server está integrada y se basa en la autenticación integrada de Windows y en las características de seguridad del sistema operativo Windows. Puede utilizar la autenticación integrada de Windows para autenticar las cuentas para las conexiones entre los clientes de Team Foundation y Team Foundation Server, para los servicios web de los servidores de nivel lógico de aplicación y nivel de datos de Team Foundation Server y para las conexiones entre los propios servidores de nivel de aplicación y nivel de datos de Team Foundation.

No debe configurar ninguna conexión de base de datos SQL entre Team Foundation Server y Windows SharePoint Services para utilizar la autenticación de SQL Server. La autenticación de SQL Server es menos segura. Cuando se conecta a la base de datos, el usuario y la contraseña de la cuenta del administrador de la base de datos se envían de servidor a servidor en un formato no cifrado. La autenticación integrada de Windows no envía el nombre de usuario ni la contraseña. En su lugar, transfiere la información de identidad de la cuenta de servicio asociada al grupo de aplicaciones de Internet Information Services (IIS) host a SQL Server utilizando los protocolos de seguridad de autenticación integrados de Windows.

Autorización de Team Foundation Server

La autorización de Team Foundation Server se basa en los usuarios y grupos de Team Foundation, y en los permisos asignados directamente a esos usuarios y grupos y los que pueden heredar al pertenecer a otros grupos de Team Foundation Server. Los usuarios y grupos de Team Foundation pueden ser usuarios y grupos locales, usuarios y grupos de Active Directory o ambos.

Team Foundation Server está preconfigurado con grupos predeterminados en el nivel de servidor y en el nivel de proyecto. Puede rellenar estos grupos utilizando usuarios individuales. Sin embargo, para facilitar la administración, puede ser conveniente rellenar estos grupos mediante los grupos de seguridad de Active Directory. Este método permite administrar más eficazmente la pertenencia a grupos y los permisos en varios equipos.

Para su implementación específica podría ser necesario configurar usuarios, grupos y permisos en varios equipos y en varias aplicaciones. Por ejemplo, si desea incluir informes y portales de proyecto como parte de la implementación, debe configurar permisos para los usuarios y grupos de SQL Reporting Services, Windows SharePoint Services y en Team Foundation Server. En Team Foundation Server, los permisos se pueden establecer para cada proyecto y para cada servidor. Asimismo, algunos permisos se conceden de forma predeterminada a determinados usuarios o grupos agregados a Team Foundation Server, ya que estos usuarios o grupos se agregan automáticamente a Usuarios válidos de Team Foundation. Para obtener más información sobre cómo configurar permisos, consulte Administrar permisos. Para obtener más información sobre los usuarios y grupos de Team Foundation Server, vea Administrar usuarios y grupos.

Además de configurar los permisos para la autorización en Team Foundation Server, necesitará la autorización en el control de código fuente y en los elementos de trabajo. Estos permisos se administran de forma independiente en la línea de comandos, pero se integran en la interfaz de Team Explorer. Para obtener más información sobre los permisos del control de código fuente, vea Control de versiones de Team Foundation. Para obtener más información sobre la personalización de los elementos de trabajo, vea Trabajar con elementos de trabajo de Team Foundation.

Dependencias de Team Foundation Server

Además de sus propios servicios, Team Foundation Server requiere ciertos servicios de Windows y otros servicios de aplicaciones en los servidores de nivel de aplicación y de datos. En la siguiente tabla se describen los servicios necesarios en los servidores que hospedan el nivel lógico de aplicación de Team Foundation.

Nombre del servicio	Descripción
Servicio de búsqueda de experiencia de aplicación	Este servicio forma parte de una infraestructura que permite aplicar correcciones a aplicaciones para garantizar que se ejecutan en versiones o Service Packs nuevos del sistema operativo Windows. Este servicio debe ejecutarse para que funcionen las correcciones de la aplicación.
Coordinador de transacciones distribuidas	Este servicio coordina transacciones que actualizan dos o más recursos protegidos por transacción, como bases de datos, colas de mensajes y sistemas de archivos. Estos recursos protegidos por transacción se encuentran en un único equipo o distribuidos en varios equipos en red.
Cliente DNS	Este servicio se utiliza para resolver los nombres de dominio DNS.
Registro de eventos	Este servicio registra eventos en el sistema operativo escribiendo uno de tres registros predeterminados que se pueden leer en el Editor de eventos: el registro de seguridad, el registro de aplicaciones y el registro del sistema.
Servicio de administración de IIS	Este servicio administra la metabase de IIS.
Inicio de sesión en la red	Este servicio comprueba las solicitudes de inicio de sesión y controla la duplicación en el dominio de la base de datos de cuentas de usuario.
Conexiones de red	Este servicio (también denominado servicio NetMan) administra todas las conexiones de red creadas y configuradas en Conexiones de red del Panel de control y es responsable de mostrar el estado de la red en el área de notificaciones del escritorio.
Network Location Awareness (NLA)	Este servicio recoge y almacena información de configuración de red, como cambios en los nombres y ubicaciones de las direcciones IP y los nombres de dominio.
Llamada a procedimiento remoto (RPC)	Este servicio es un mecanismo de comunicación segura entre procesos (IPC) que permite el intercambio de datos y de invocación de funcionalidades que residen en procesos diferentes. Este proceso se puede realizar en el mismo equipo, en la red de área local (LAN) o a través de Internet. El servicio de llamada a procedimiento remoto sirve de Asignador de extremos de RPC y de Administrador de control de servicios.
Servidor de informes (MSSSQLSERVER)	Este servicio controla el Protocolo simple de acceso a objetos (SOAP) y solicitudes URL, procesa informes, proporciona capturas y administración de la caché de informes y es compatible e impone la autorización y las directivas de seguridad.
Administrador de cuentas de seguridad	Este servicio conserva la información de cuenta de usuario que incluye los grupos a los que pertenece el usuario.
Instrumental de administración de Windows	Este servicio inicia y detiene el Administrador de objetos CIM y el Modelo de información común.
Hora de Windows	Este servicio (también denominado W32Time) sincroniza la fecha y la hora para todos los equipos de una red de Windows Server 2003.
Servicio de publicación en World Wide Web	Este servicio es un administrador de procesos y de configuración de modo de usuario que administra los componentes de IIS que procesan las solicitudes HTTP y ejecutan las aplicaciones Web, y periódicamente comprueba las aplicaciones Web para determinar si se han detenido inesperadamente.

En la siguiente tabla se describen los servicios necesarios en los servidores que hospedan el nivel lógico de datos de Team Foundation.

Nombre del servicio	Descripción
Servicio de búsqueda de experiencia de aplicación	Este servicio forma parte de una infraestructura que permite aplicar correcciones a aplicaciones para garantizar que se ejecutan en versiones o Service Packs nuevos del sistema operativo Windows. Este servicio debe ejecutarse para que funcionen las correcciones de la aplicación.
Coordinador de transacciones distribuidas	Este servicio coordina transacciones que actualizan dos o más recursos protegidos por transacción, como bases de datos, colas de mensajes y sistemas de archivos. Estos recursos protegidos por transacción se encuentran en un único equipo o distribuidos en varios equipos en red.
Cliente DNS	Este servicio se utiliza para resolver los nombres de dominio DNS.
Registro de eventos	Este servicio registra eventos en el sistema operativo escribiendo uno de tres registros predeterminados que se pueden leer en el Editor de eventos: el registro de seguridad, el registro de aplicaciones y el registro del sistema.
Inicio de sesión en la red	Este servicio comprueba las solicitudes de inicio de sesión y controla la duplicación en el dominio de la base de datos de cuentas de usuario.
Conexiones de red	Este servicio (también denominado servicio NetMan) administra todas las conexiones de red creadas y configuradas en Conexiones de red del Panel de control y es responsable de mostrar el estado de la red en el área de notificaciones del escritorio.
Network Location Awareness (NLA)	Este servicio recoge y almacena información de configuración de red, como cambios en los nombres y ubicaciones de las direcciones IP y los nombres de dominio.
Llamada a procedimiento remoto (RPC)	Este servicio es un mecanismo de comunicación segura entre procesos (IPC) que permite el intercambio de datos y de invocación de funcionalidades que residen en procesos diferentes. Este proceso se puede realizar en el mismo equipo, en la red de área local (LAN) o a través de Internet. El servicio de llamada a procedimiento remoto sirve de Asignador de extremos de RPC y de Administrador de control de servicios.
Administrador de cuentas de seguridad	Este servicio conserva la información de cuenta de usuario que incluye los grupos a los que pertenece el usuario.
SQL Analysis Server (MSSQLSERVER)	Este servicio crea y administra cubos OLAP y modelos de extracción de datos.
Búsqueda de texto de SQL Server (MSSQLSERVER)	Este servicio crea índices de texto completo de contenido y habilita la búsqueda de texto completo en elementos de trabajo.
Instrumental de administración de Windows	Este servicio inicia y detiene el Administrador de objetos CIM y el Modelo de información común.
Hora de Windows	Este servicio (también denominado W32Time) sincroniza la fecha y la hora para todos los equipos de una red de Windows Server 2003.