Conceitos de segurança equipe Foundation servidor

Artigo
08/25/2010

[Observação: Este tópico é pré-versão documentação e está sujeitas a alterações em versões futuras. Tópicos em branco são incluídos sistema autônomo espaços reservados.]

Para ajudar a proteger Team Foundation Server, você deve compreender como Team Foundation Server funciona e como ele se comunica com os outros Team Foundation componentes. A Team Foundation Server administrador deve estar familiarizado com a autenticação do Windows, protocolos de rede e o tráfego e a estrutura da rede comercial em que Team Foundation Server é instalado. O administrador também deve ter uma compreensão de Team Foundation Server os grupos e permissões.

Noções básicas sobre o Team Foundation servidor segurança

Team Foundation Server conceitos de segurança se dividem em três categorias Geral: topologia, autenticação e autorização.Topologia inclui onde e como Team Foundation os servidores são implantados, o tráfego de rede que passa entre Team Foundation Server e Team Foundation os clientes e os serviços que devem ser executado no Team Foundation Server. Autenticação inclui a determinação de validade de Team Foundation Server usuários, grupos e serviços. Autorização inclui a determinação se válido Team Foundation Server usuários, grupos e serviços tem as permissões apropriadas para executar ações. Além disso, você deve considerar Team Foundation Server dependências em outros componentes e serviços para otimizar a segurança do Team Foundation Server na rede.

Quando você considera Team Foundation Server segurança, você deve compreender a diferença entre autenticação e autorização. Autenticação é a verificação das credenciais de uma tentativa de conexão de um cliente, servidor ou processo.Autorização é a que a identidade que está tentando se conectar tem permissões para acessar o objeto ou o método de verificação.Sempre a autorização ocorre após a autenticação bem-sucedida.Se uma conexão não for autenticada, ele falha antes que qualquer verificação de autorização seja realizada.Se a autenticação de uma conexão for bem-sucedida, uma ação específica ainda pode ser desativada porque o usuário ou agrupar não tem autorização para executar essa ação.

Team Foundation servidor topologias, portas e serviços

O primeiro elemento de Team Foundation Server implantação e a segurança é se os componentes do seu Team Foundation implantação pode se conectar a um outro para se comunicar. Seu meta é permitir conexões entre Team Foundation os clientes e Team Foundation Servere limitar ou impedir que outras tentativas de conexão.

Team Foundation Server depende de determinadas portas e serviços para funcionar. Essas portas podem ser protegidas e monitoradas para atender às necessidades de segurança de negócios.Dependendo do seu Team Foundation implantação, você deve permitir Team Foundation Server tráfego de rede para passar entre Team Foundation clientes, os servidores que hospedam os componentes lógicos da Team Foundation aplicativo-nível e níveis de dados Team Foundation Build computadores de construção e remoto Team Foundation clientes que usam Team Foundation Server Proxy. Por padrão, Team Foundation Server é configurado para usar o HTTP para os serviços da Web. Para obter uma lista completa de Team Foundation Server portas e serviços e como eles são usados em Team Foundation Server arquitetura, consulte Arquitetura de segurança equipe Foundation servidor e O Team Foundation servidor, HTTPS e Secure Sockets camada (protocolo SSL).

Você pode implantar Team Foundation Server em um ativo diretório domínio ou em um grupo de trabalho. ativo diretório fornece recursos de segurança mais internos que grupos de trabalho que você pode usar para ajudar a proteger seu Team Foundation Server implantação. Por exemplo, você pode configurar ativo diretório para não permitir nomes de computadores duplicados para que um usuário mal-intencionado não poderá falsificar o nome do computador com um invasor Team Foundation Server. Para reduzir o efeito do mesmo tipo de ameaça em um grupo de trabalho, você teria que configurar certificados de computador.Para obter mais informações sobre o Team Foundation Server em um domínio do ativo diretório, ver Gerenciando o Team Foundation servidor em um domínio ativo diretório. Para obter mais informações sobre o Team Foundation Server no grupo de trabalho, consulte Gerenciando o Team Foundation servidor em um grupo de trabalho.

Há algumas restrições topologia Team Foundation Server implantações independentemente de você implantar Team Foundation Server em um grupo de trabalho ou domínio. Para obter mais informações sobre topologias de Team Foundation Server, consulte Team Foundation servidor Topologias, Noções básicas sobre produtos e tecnologias do SharePoint, e Noções básicas sobre SQL servidor e SQL servidor Reporting Services.

Team Foundation Server suporta totalmente o uso do protocolo de segurança Kerberos. Você pode configurar Team Foundation Serverpara oferecer suporte a Kerberos para autenticação mútua do cliente e o servidor após a instalar Team Foundation Server.

Autenticação

Team Foundation Server segurança está integrada e conta com autenticação integrada do Windows e os recursos de segurança do sistema operacional Windows. Você pode usar a autenticação integrada do Windows para autenticar contas para conexões entre Team Foundation os clientes e Team Foundation Server, para os serviços da Web em lógica Team Foundation Server servidores de camada de aplicativo e camada de dados e para conexões entre Team Foundation servidores de camada de aplicativo e próprios servidores de camada de dados.

Você não deve configurar as conexões de banco de dados SQL entre Team Foundation Server e o Windows SharePoint Services para usar a autenticação do SQL servidor. Autenticação do SQL servidor é menos segura.Quando você se conectar ao banco de dados, o nome de usuário e senha para a conta do administrador do banco de dados são enviados do servidor para servidor em formato não criptografado.Autenticação integrada do Windows não envia o nome de usuário e senha.Em vez disso, ele transfere informações de identidade de contas de serviço associadas ao host de pool de aplicativos do Serviços de Informações da Internet (Serviços de Informações da Internet) para SQL servidor usando protocolos de segurança de autenticação integrada do Windows.

Equipe Foundation servidor autorização

Team Foundation Server autorização se baseia Team Foundation usuários e grupos e as permissões atribuídas diretamente a esses usuários e grupos e permissões aos usuários e grupos podem herdam por pertencente a Outros Team Foundation Server grupos. Team Foundation os usuários e grupos podem ser usuários ou grupos, locais ativo diretório usuários e grupos ou ambos.

Team Foundation Server é pré-configurado com os grupos padrão no nível do servidor e o nível de projeto. Você pode popular esses grupos usando usuários individuais.No entanto, para facilitar o gerenciamento, convém para popular esses grupos usando grupos de segurança do ativo diretório.Esse método permite que você gerencie membros do agrupar e permissões com mais eficiência em vários computadores.

Específicas de implantação podem exigir que definir permissões de usuários e grupos em vários computadores bem sistema autônomo em vários aplicativos.Por exemplo, se desejar incluir relatórios e projeto portais sistema autônomo parte de sua implantação, é necessário configurar permissões para usuários e grupos no SQL Reporting Services, Windows SharePoint Services e dentro de Team Foundation Server. On Team Foundation Server, as permissões podem ser configuradas em um por-projeto base e em todo servidor. Além disso, certas permissões recebem por padrão para qualquer usuário ou agrupar adicionado a Team Foundation Server, pois esse usuário ou agrupar é automaticamente adicionado à Usuários válido do Team Foundation.Para obter mais informações sobre como configurar permissões, consulte Managing Permissions. Para obter mais informações sobre o Team Foundation Server usuários e grupos, consulte Gerenciando usuários e grupos.

Além de configurar permissões para autorização em Team Foundation Server, talvez seja necessário autorização dentro de controle do código-fonte e dentro de itens de trabalho. Essas permissões são gerenciadas separadamente na linha de comando, mas são integradas sistema autônomo parte do Team Explorer interface. Para obter mais informações sobre permissões de controle de fonte, consulte Team Foundation version Controlar. Para obter mais informações sobre a personalização do item de trabalho, consulte Trabalhando com itens de trabalho do Team Foundation.

Equipe Foundation servidor dependências

Além de seus próprios serviços, Team Foundation Server requer certos Windows e outros serviços de aplicativos em seus servidores de camada de aplicativo e a camada de dados. A tabela a seguir detalha os serviços necessários nos servidores que host a lógica Team Foundation camada de aplicativo.

Nome do serviço	Descrição
Serviço de pesquisa / aplicativo	Esse serviço é parte de uma infra-estrutura que permite aplicar correções a aplicativos para certificar-se de que ele é executado sobre recém-lançados sistemas operacionais do Windows ou pacotes de serviço.Esse serviço deve estar sendo executado para as correções de aplicativo trabalhar.
Coordenador de transações distribuídas	Esse serviço coordena transações que atualizam dois ou mais protegidos contra transação recursos, sistema autônomo bancos de dados, filas de mensagens e sistemas de arquivos.Esses recursos protegidos contra transação podem estar em um único computador ou distribuídos em vários computadores em rede.
Cliente DNS	Esse serviço é usado para resolver nomes de domínio DNS.
Log de Eventos	Esse serviço registra eventos no sistema operacional, escrevendo em um dos três logs padrão que pode ser lido no Visualizador de eventos: os logs de segurança, aplicativo e sistema.
Serviço de administração do IIS	Esse serviço gerencia a metabase do IIS.
Logon de rede	Esse serviço verifica solicitações de logon e controla a replicação de todo o domínio do banco de dados de contas de usuário.
Conexões de rede	Este serviço (também conhecido sistema autônomo o serviço NetMan) gerencia todas sistema autônomo conexões de rede que sejam criadas e configuradas em conexões de rede no painel de controle e é responsável por exibir o status da rede na área de notificação na área de trabalho.
Reconhecimento de locais de rede (NLA)	Esse serviço coleta e armazena informações de configuração da rede, sistema autônomo sistema autônomo alterações de nomes e locais dos endereços IP e nomes de domínio.
telefonar de procedimento remoto (RPC)	Esse serviço é um mecanismo seguro de comunicação entre processos (IPC) que permite trocar dados e invocação da funcionalidade que reside em um processo diferente.Esse processo diferente pode ser no mesmo computador, na rede local (LAN) ou pela Internet.O serviço de telefonar de procedimento remoto funciona sistema autônomo o RPC ponto de extremidade Mapper (EPM) e SCM (Gerenciador de controle de serviço).
Servidor de relatório (MSSSQLSERVER)	Este serviço lida com solicitações SOAP (Simple objeto acesso protocolo) e a URL, processa relatórios, fornece gerenciamento de cache de instantâneo e relatório e oferece suporte e impõe diretivas de segurança e autorização.
Gerenciador de contas de segurança	Esse serviço mantém dados da conta de usuário que inclui grupos aos quais um usuário pertence.
Windows Management instrumentação	Esse serviço inicia e pára o Gerenciador de objetos do modelo CIM (modelo de informação comum).
time do Windows	Este serviço (também conhecido sistema autônomo W32Time) sincroniza a data e time para todos sistema autônomo computadores que estão sendo executados em um Windows Server 2003 rede.
Serviço de publicação na World Wide Web	Esse serviço é um Gerenciador de configuração e o processo de modo de usuário que gerencia os componentes do IIS que processam solicitações HTTP e executam aplicativos da Web e verifica periodicamente a aplicativos da Web para determinar se eles tem sido interrompida inesperadamente.

A tabela a seguir detalha os serviços necessários nos servidores que hospedam o lógico Team Foundation camada de dados.

Nome do serviço	Descrição
Serviço de pesquisa / aplicativo	Esse serviço é parte de uma infra-estrutura que permite aplicar correções a aplicativos para certificar-se de que ele é executado sobre recém-lançados sistemas operacionais do Windows ou pacotes de serviço.Esse serviço deve estar sendo executado para as correções de aplicativo trabalhar.
Coordenador de transações distribuídas	Esse serviço coordena transações que atualizam dois ou mais protegidos contra transação recursos, sistema autônomo bancos de dados, filas de mensagens e sistemas de arquivos.Esses recursos protegidos contra transação podem estar em um único computador ou distribuídos em vários computadores em rede.
Cliente DNS	Esse serviço é usado para resolver nomes de domínio DNS.
Log de Eventos	Esse serviço registra eventos no sistema operacional, escrevendo em um dos três logs padrão que pode ser lido no Visualizador de eventos: os logs de segurança, aplicativo e sistema.
Logon de rede	Esse serviço verifica solicitações de logon e controla a replicação de todo o domínio do banco de dados de contas de usuário.
Conexões de rede	Este serviço (também conhecido sistema autônomo o serviço NetMan) gerencia todas sistema autônomo conexões de rede que sejam criadas e configuradas em conexões de rede no painel de controle e é responsável por exibir o status da rede na área de notificação na área de trabalho.
Reconhecimento de locais de rede (NLA)	Esse serviço coleta e armazena informações de configuração da rede, sistema autônomo sistema autônomo alterações de nomes e locais dos endereços IP e nomes de domínio.
telefonar de procedimento remoto (RPC)	Esse serviço é um mecanismo seguro de comunicação entre processos (IPC) que permite trocar dados e invocação da funcionalidade que reside em um processo diferente.Esse processo diferente pode ser no mesmo computador, na rede local (LAN) ou pela Internet.O serviço de telefonar de procedimento remoto funciona sistema autônomo o RPC ponto de extremidade Mapper (EPM) e SCM (Gerenciador de controle de serviço).
Gerenciador de contas de segurança	Esse serviço mantém dados da conta de usuário que inclui grupos aos quais um usuário pertence.
Servidor de análise SQL (MSSQLSERVER)	Esse serviço cria e gerencia cubos OLAP e modelos de mineração de dados.
SQL servidor FullText Pesquisar (MSSQLSERVER)	Esse serviço cria índices de texto completo no conteúdo e permite a Pesquisar de texto completo em itens de trabalho.
Windows Management instrumentação	Esse serviço inicia e pára o Gerenciador de objetos do modelo CIM (modelo de informação comum).
time do Windows	Este serviço (também conhecido sistema autônomo W32Time) sincroniza a data e time para todos sistema autônomo computadores que estão sendo executados em um Windows Server 2003 rede.