Team Foundation Server-Sicherheitskonzepte

Artikel
08/20/2008

Aktualisiert: November 2007

Zum Sichern von Team Foundation Server müssen Sie mit der Funktionsweise von Team Foundation Server vertraut sein und wissen, wie die Kommunikation mit anderen Team Foundation-Komponenten abläuft. Team Foundation Server-Administratoren müssen mit der Authentifizierung, den Netzwerkprotokollen und dem Netzwerkverkehr in Windows sowie mit der Struktur des Geschäftsnetzwerks, in dem Team Foundation Server installiert ist, vertraut sein. Des Weiteren sollten Administratoren sich mit Gruppen und Berechtigungen in Team Foundation Server auskennen.

Grundlagen der Team Foundation Server-Sicherheit

Die Sicherheitskonzepte von Team Foundation Server können in drei allgemeine Kategorien unterteilt werden: Topologie, Authentifizierung und Autorisierung. Die Topologie umfasst Ort und Art der Bereitstellung der Team Foundation-Server, den Netzwerkverkehr zwischen Team Foundation Server und den Team Foundation-Clients sowie die Dienste, die auf Team Foundation Server ausgeführt werden müssen. Zur Authentifizierung gehört die Überprüfung der Gültigkeit von Team Foundation Server-Benutzern, -Gruppen und -Diensten. Die Autorisierung beinhaltet die Überprüfung, ob gültige Team Foundation Server-Benutzer, -Gruppen und -Dienste über die entsprechenden Berechtigungen zur Ausführung von Aktionen verfügen. Darüber hinaus müssen Sie auch die Team Foundation Server-Abhängigkeiten von anderen Komponenten und Diensten beachten, um die Sicherheit von Team Foundation Server im Netzwerk zu optimieren.

Im Rahmen der Team Foundation Server-Sicherheit müssen Sie den Unterschied zwischen Authentifizierung und Autorisierung kennen. Authentifizierung bezeichnet die Überprüfung der Anmeldeinformationen bei einem Verbindungsversuch durch einen Client, Server oder Prozess. Bei der Autorisierung wird überprüft, ob der Benutzer, der eine Verbindung herstellt, über Berechtigungen für den Zugriff auf das Objekt oder die Methode verfügt. Die Autorisierung erfolgt immer erst nach erfolgreicher Authentifizierung. Wenn eine Verbindung nicht authentifiziert werden kann, schlägt der Verbindungsversuch bereits vor der Autorisierung fehl. Nach erfolgreicher Authentifizierung kann eine bestimmte Aktion trotzdem unzulässig sein, weil der Benutzer oder die Gruppe nicht zum Durchführen der Aktion autorisiert ist.

Topologien, Anschlüsse und Dienste von Team Foundation Server

Das erste Element bei der Bereitstellung und Sicherung von Team Foundation Server ist die Kommunikation zwischen den einzelnen Komponenten der Team Foundation-Bereitstellung. Verbindungen zwischen Team Foundation-Clients und Team Foundation Server müssen ermöglicht werden, andere Verbindungen sollten jedoch eingeschränkt oder verhindert werden.

Team Foundation Server ist abhängig von bestimmten Ports und Diensten. Diese Anschlüsse können zur Einhaltung der Sicherheitsanforderungen des Unternehmens gesichert und überwacht werden. Je nach Ihrer Team Foundation-Bereitstellung müssen Sie Team Foundation Server-Netzwerkverkehr zwischen Team Foundation-Clients, den Servern mit den logischen Komponenten der Team Foundation-Anwendungs- und -Datenebene, Team Foundation Build-Buildcomputern und Team Foundation-Remoteclients mit Team Foundation Server Proxy zulassen. In der Standardeinstellung ist Team Foundation Server so konfiguriert, dass HTTP für die Webdienste verwendet wird. Eine vollständige Liste der Team Foundation Server-Ports und -Dienste sowie Informationen zu deren Verwendung innerhalb der Team Foundation Server-Architektur finden Sie unter Sicherheitsarchitektur von Team Foundation Server und Team Foundation Server, HTTPS und SSL (Secure Sockets Layer).

Sie können Team Foundation Server in einer Active Directory-Domäne oder einer Arbeitsgruppe bereitstellen. Im Vergleich zu Arbeitsgruppen bietet Active Directory mehr integrierte Sicherheitsfeatures, die beim Sichern der Team Foundation Server-Bereitstellung hilfreich sind. Beispielsweise können Sie Active Directory so konfigurieren, dass keine doppelten Computernamen zulässig sind. Dadurch können Angreifer den Computernamen nicht mehr mit einem nicht autorisierten Team Foundation Server vortäuschen. Um dieselbe Gefahr in einer Arbeitsgruppe zu verringern, müssten Sie Computerzertifikate konfigurieren. Weitere Informationen zu Team Foundation Server in einer Active Directory-Domäne finden Sie unter Verwalten von Team Foundation Server in einer Active Directory-Domäne. Weitere Informationen zu Team Foundation Server in einer Arbeitsgruppe finden Sie unter Verwalten von Team Foundation Server in einer Arbeitsgruppe.

Unabhängig davon, ob Sie Team Foundation Server in einer Arbeitsgruppe oder einer Domäne bereitstellen, gibt es für Team Foundation Server-Bereitstellungen einige Einschränkungen hinsichtlich der Topologie. Weitere Informationen Topologien für Team Foundation Server finden Sie unter Team Foundation Server-Topologien, unter SharePoint-Produkte und -Technologien und unter SQL Server und SQL Server Reporting Services.

Team Foundation Server bietet vollständige Unterstützung für die Verwendung des Kerberos-Sicherheitsprotokolls. Sie können Team Foundation Server so konfigurieren, dass nach der Installation von Team Foundation Server Kerberos für die gegenseitige Authentifizierung von Client und Server verwendet wird.

Authentifizierung

Die Team Foundation Server-Sicherheit basiert auf der integrierten Windows-Authentifizierung und den Sicherheitsfeatures des Windows-Betriebssystems. Sie können die integrierte Windows-Authentifizierung zur Authentifizierung von Konten für Verbindungen zwischen Team Foundation-Clients und Team Foundation Server, für Webdienste auf dem Team Foundation Server der logischen Anwendungs- und Datenebene sowie für Verbindungen zwischen den Team Foundation-Servern der Anwendungs- und der Datenebene untereinander verwenden.

Konfigurieren Sie keine SQL-Datenbankverbindungen zwischen Team Foundation Server und Windows SharePoint Services für die Verwendung der SQL Server-Authentifizierung. Die SQL Server-Authentifizierung bietet weniger Sicherheit. Bei der Verbindung mit der Datenbank werden Benutzername und Kennwort für das Administratorkonto der Datenbank unverschlüsselt zwischen den Servern übertragen. Bei der integrierten Windows-Authentifizierung werden Benutzername und Kennwort nicht gesendet. Stattdessen werden Dienstkontoinformationen, die mit dem Host-IIS-Anwendungspool verknüpft sind, über Sicherheitsprotokolle der integrierten Windows-Authentifizierung an SQL Server übertragen.

Team Foundation Server-Autorisierung

Die Team Foundation Server-Autorisierung basiert auf Team Foundation-Benutzern und -Gruppen sowie den Berechtigungen, die diesen Benutzern und Gruppen direkt zugewiesen sind, und den Berechtigungen, die diese Benutzer und Gruppen aufgrund ihrer Mitgliedschaft in anderen Team Foundation Server-Gruppen möglicherweise erben. Team Foundation-Benutzer und -Gruppen können lokale Benutzer und Gruppen und/oder Active Directory-Benutzer und -Gruppen sein.

Team Foundation Server ist auf Server- und auf Projektebene mit Standardgruppen vorkonfiguriert. Sie können diesen Gruppen einzelne Benutzer zuweisen. Sie sollten diese Gruppen jedoch mithilfe von Active Directory-Sicherheitsgruppen auffüllen, da diese einfacher verwaltet werden können. Auf diese Weise können Sie computerübergreifende Gruppenmitgliedschaften und Berechtigungen einfacher verwalten.

Möglicherweise müssen Sie in Ihrer Bereitstellung Benutzer, Gruppen und Berechtigungen auf mehreren Computern und in verschiedenen Anwendungen konfigurieren. Wenn Ihre Bereitstellung z. B Berichte und Projektportale enthalten soll, müssen Sie Berechtigungen für Benutzer und Gruppen in SQL Reporting Services, Windows SharePoint Services und in Team Foundation Server konfigurieren. In Team Foundation Server können Berechtigungen auf Projektbasis und serverweit festgelegt werden. Darüber hinaus werden bestimmte Berechtigungen standardmäßig allen zu Team Foundation Server hinzugefügten Benutzern oder Gruppen gewährt, da dieser Benutzer oder diese Gruppe automatisch zur Gruppe Gültige Team Foundation-Benutzer hinzugefügt wird. Weitere Informationen zum Festlegen von Berechtigungen finden Sie unter Verwalten von Berechtigungen. Weitere Informationen zu Benutzern und Gruppen in Team Foundation Server finden Sie unter Verwalten von Benutzern und Gruppen.

Zusätzlich zum Festlegen von Berechtigungen für die Autorisierung in Team Foundation Server müssen Sie u. U. auch eine Autorisierung für die Quellcodeverwaltung und für Arbeitsaufgaben konfigurieren. Diese Berechtigungen werden separat in der Befehlszeile verwaltet, sind jedoch in Team Explorer integriert. Weitere Informationen zu Berechtigungen für die Quellcodeverwaltung finden Sie unter Team Foundation-Versionskontrolle. Weitere Informationen zur Anpassung von Arbeitsaufgaben finden Sie unter Arbeiten mit Team Foundation-Arbeitsaufgaben.

Abhängigkeiten bei Team Foundation Server

Für Team Foundation Server werden zusätzlich zu den eigenen Diensten auch bestimmte Windows-Dienste und Dienste anderer Anwendungen auf den Servern der Anwendungs- und der Datenebene benötigt. Die folgende Tabelle enthält die Dienste, die auf den Servern mit der logischen Team Foundation-Anwendungsebene erforderlich sind.

Dienstname	Beschreibung
Application Experience Lookup Service	Dieser Dienst ist Teil einer Infrastruktur, die für das Anwenden von Fixes auf Anwendungen sorgt und so sicherstellt, dass die Anwendungen mit neu veröffentlichen Windows-Versionen oder Service Packs ausgeführt werden. Dieser Dienst muss ausgeführt werden, damit die Anwendungsfixes wirksam werden.
Distributed Transaction Coordinator	Dieser Dienst koordiniert die Transaktionen zur Aktualisierung zweier oder mehrerer transaktionsgeschützter Ressourcen, z. B. Datenbanken, Nachrichtenwarteschlangen und Dateisysteme. Diese transaktionsgeschützten Ressourcen können auf einem einzelnen Computer vorhanden oder über mehrere vernetzte Computer verteilt sein.
DNS-Client	Dieser Dienst wird zur Auflösung von DNS-Domänennamen verwendet.
Ereignisprotokoll	Dieser Dienst zeichnet Betriebssystemereignisse auf, die in einem der drei in der Ereignisanzeige einsehbaren Standardprotokolle gespeichert werden: Sicherheitsprotokoll, Anwendungsprotokoll und Systemprotokoll.
IIS Admin-Dienst	Dieser Dienst verwaltet die IIS-Metabasis.
Anmeldedienst	Dieser Dienst überprüft die Anmeldeanforderungen und steuert die domänenweite Replikation der Benutzerkonten-Datenbank.
Netzwerkverbindungen	Dieser Dienst (auch als Netman-Dienst bezeichnet) verwaltet alle Netzwerkverbindungen, die in den Netzwerkverbindungen der Systemsteuerung erstellt und konfiguriert werden. Er ist für die Anzeige des Netzwerkstatus im Infobereich des Desktops verantwortlich.
NLA (Network Location Awareness)	Dieser Dienst erfasst und speichert Informationen zur Netzwerkkonfiguration, z. B. Änderungen an den Namen und Speicherorten der IP-Adressen sowie Änderungen an Domänennamen.
Remoteprozeduraufruf (RPC)	Dieser Dienst ist ein Mechanismus zur sicheren prozessübergreifenden Kommunikation (Interprocess Communication, IPC), der den Datenaustausch und den Aufruf von Funktionen anderer Prozesse ermöglicht. Die verschiedenen Prozesse können auf demselben Computer, im LAN (Local Area Network) oder an verschiedenen Orten im Internet ausgeführt werden. Der Remoteprozeduraufrufdienst fungiert als RPC Endpoint Mapper (EPM) und Service Control Manager (SCM).
Berichtsserver (MSSSQLSERVER)	Dieser Dienst behandelt SOAP- (Simple Object Access Protocol) und URL-Anforderungen, verarbeitet Berichte, stellt eine Snapshot- und Berichtscacheverwaltung bereit und unterstützt und erzwingt die Durchsetzung der Sicherheitsrichtlinien sowie der Autorisierung.
Sicherheitskontenverwaltung	Dieser Dienst verwaltet die Benutzerkontoinformationen, einschließlich der Informationen zu den Gruppen, denen ein Benutzer angehört.
Windows-Verwaltungsinstrumentation (WMI)	Dieser Dienst startet und beendet den Common Information Model-Objekt-Manager (CIM-Objekt-Manager).
Windows-Zeitgeber	Dieser Dienst (auch als W32Time bezeichnet) synchronisiert das Datum und die Uhrzeit aller Computer in einem Windows Server 2003-Netzwerk.
WWW-Publishingdienst	Dieser Dienst ist ein Konfigurations- und Prozess-Manager im Benutzermodus, der die IIS-Komponenten zur Verarbeitung von HTTP-Anforderungen verwaltet, Webanwendungen ausführt und regelmäßig überprüft, ob die Webanwendungen unerwartet beendet wurden.

Die folgende Tabelle enthält die Dienste, die auf den Servern mit der logischen Team Foundation-Datenebene erforderlich sind.

Dienstname	Beschreibung
Application Experience Lookup Service	Dieser Dienst ist Teil einer Infrastruktur, die für das Anwenden von Fixes auf Anwendungen sorgt und so sicherstellt, dass die Anwendungen mit neu veröffentlichen Windows-Versionen oder Service Packs ausgeführt werden. Dieser Dienst muss ausgeführt werden, damit die Anwendungsfixes wirksam werden.
Distributed Transaction Coordinator	Dieser Dienst koordiniert die Transaktionen zur Aktualisierung zweier oder mehrerer transaktionsgeschützter Ressourcen, z. B. Datenbanken, Nachrichtenwarteschlangen und Dateisysteme. Diese transaktionsgeschützten Ressourcen können auf einem einzelnen Computer vorhanden oder über mehrere vernetzte Computer verteilt sein.
DNS-Client	Dieser Dienst wird zur Auflösung von DNS-Domänennamen verwendet.
Ereignisprotokoll	Dieser Dienst zeichnet Betriebssystemereignisse auf, die in einem der drei in der Ereignisanzeige einsehbaren Standardprotokolle gespeichert werden: Sicherheitsprotokoll, Anwendungsprotokoll und Systemprotokoll.
Anmeldedienst	Dieser Dienst überprüft die Anmeldeanforderungen und steuert die domänenweite Replikation der Benutzerkonten-Datenbank.
Netzwerkverbindungen	Dieser Dienst (auch als Netman-Dienst bezeichnet) verwaltet alle Netzwerkverbindungen, die in den Netzwerkverbindungen der Systemsteuerung erstellt und konfiguriert werden. Er ist für die Anzeige des Netzwerkstatus im Infobereich des Desktops verantwortlich.
NLA (Network Location Awareness)	Dieser Dienst erfasst und speichert Informationen zur Netzwerkkonfiguration, z. B. Änderungen an den Namen und Speicherorten der IP-Adressen sowie Änderungen an Domänennamen.
Remoteprozeduraufruf (RPC)	Dieser Dienst ist ein Mechanismus zur sicheren prozessübergreifenden Kommunikation (Interprocess Communication, IPC), der den Datenaustausch und den Aufruf von Funktionen anderer Prozesse ermöglicht. Die verschiedenen Prozesse können auf demselben Computer, im LAN (Local Area Network) oder an verschiedenen Orten im Internet ausgeführt werden. Der Remoteprozeduraufrufdienst fungiert als RPC Endpoint Mapper (EPM) und Service Control Manager (SCM).
Sicherheitskontenverwaltung	Dieser Dienst verwaltet die Benutzerkontoinformationen, einschließlich der Informationen zu den Gruppen, denen ein Benutzer angehört.
SQL-Analysis-Server (MSSQLSERVER)	Dieser Dienst erstellt und verwaltet OLAP-Cubes und Data Mining-Modelle.
SQL Server-Volltextsuche (MSSQLSERVER)	Dieser Dienst erstellt Volltextindizes für Inhalte und aktiviert die Volltextsuche für Arbeitsaufgaben.
Windows-Verwaltungsinstrumentation (WMI)	Dieser Dienst startet und beendet den Common Information Model-Objekt-Manager (CIM-Objekt-Manager).
Windows-Zeitgeber	Dieser Dienst (auch als W32Time bezeichnet) synchronisiert das Datum und die Uhrzeit aller Computer in einem Windows Server 2003-Netzwerk.