Понятия о безопасности Team Foundation Server

Статья
11/05/2008

Обновлен: Ноябрь 2007

Для обеспечения безопасности Team Foundation Server необходимо понимать, как работает Team Foundation Server и как он связывается с другими компонентами Team Foundation. Администратор Team Foundation Server должен быть знаком с проверкой подлинности Windows, сетевыми протоколами и трафиком, а также со структурой бизнес-сети, в которой установлен Team Foundation Server. Администратору также следует иметь понятие о группах и разрешениях Team Foundation Server.

Понимание безопасности Team Foundation Server

Понятия безопасности Team Foundation Server разделяются на три общих категории: топология, проверка подлинности и авторизация. Топология означает, где и как развертываются серверы Team Foundation; сетевой трафик, проходящий между Team Foundation Server и клиентами Team Foundation; а также службы, которые должны быть запущены на Team Foundation Server. Проверка подлинности означает определение допустимости пользователей, групп и служб Team Foundation Server. Авторизация означает определение, имеют ли пользователи, группы и службы Team Foundation Server соответствующие разрешения на выполнение действий. Также следует учитывать зависимости Team Foundation Server от других компонентов и служб для оптимизации безопасности Team Foundation Server в сети.

При рассмотрении безопасности Team Foundation Server необходимо понимать различие между проверкой подлинности и авторизацией. Проверка подлинности — это верификация учетных данных при попытке подключения клиента, сервера или процесса. Авторизация — это верификация наличия у удостоверения, которое пытается подключиться, разрешений на доступ к объекту или методу. Авторизация всегда происходит после успешной проверки подлинности. Если проверка подлинности соединения не состоялась, оно завершается с ошибкой перед какой бы то ни было проверкой авторизации. Если проверка подлинности соединения выполнена успешно, определенное действие все равно может быть запрещено, так как пользователь или группа не имеют авторизации на его выполнение.

Топологии, порты и службы Team Foundation Server

Первым элементом развертывания и безопасности Team Foundation Server является возможность подключения компонентов развертывания Team Foundation друг к другу для обмена данными. Целью является разрешение подключений между клиентами Team Foundation и Team Foundation Server, а также ограничение или предотвращение других попыток подключения.

Функционирование Team Foundation Server зависит от определенных портов и служб. Эти порты могут быть защищены и находиться под наблюдением для соответствия потребностям бизнеса в безопасности. В зависимости от развертывания Team Foundation, необходимо разрешить прохождение сетевого трафика Team Foundation Server между клиентами Team Foundation, серверами, на которых размещены логические компоненты уровня приложений и уровня данных Team Foundation, компьютерами построения Team Foundation Build и удаленными клиентами Team Foundation с использованием прокси-сервера Team Foundation Server. По умолчанию Team Foundation Server настроен на использование для веб-служб протокола HTTP. Полный список портов и служб Team Foundation Server и описание их использования в архитектуре Team Foundation Server см. в разделах Архитектура безопасности Team Foundation Server и Team Foundation Server, HTTPS и SSL.

Team Foundation Server можно развернуть в домене Active Directory или в рабочей группе. Active Directory содержит больше встроенных функций безопасности, чем рабочие группы, и их можно использовать в обеспечении безопасности развертывания Team Foundation Server. Например, можно запретить в Active Directory дублирующиеся имена компьютеров, что помешает злоумышленному пользователю подменить имя компьютера фальшивым Team Foundation Server. Чтобы снизить эффект от подобных угроз в рабочей группе, может потребоваться настроить сертификаты компьютеров. Дополнительные сведения о Team Foundation Server в домене Active Directory см. в разделе Управление Team Foundation Server в домене Active Directory. Дополнительные сведения о Team Foundation Server в рабочей группе см. в разделе Управление Team Foundation Server в рабочей группе.

Топология развертываний Team Foundation Server имеет некоторые ограничения, не зависящие от того, где развертывается Team Foundation Server — в рабочей группе или домене. Дополнительные сведения о топологиях Team Foundation Server см. в разделах Топологии Team Foundation Server, Понятие о продуктах и технологиях SharePoint и Понимание сервера SQL и служб отчетов сервера SQL.

Team Foundation Server полностью поддерживает использование протокола безопасности Kerberos. Можно настроить Team Foundation Server на поддержку протокола Kerberos для взаимной проверки подлинности как клиента, так и сервера после установки Team Foundation Server.

Проверка подлинности

Безопасность Team Foundation Server интегрирована с функциями безопасности и проверки подлинности операционной системы Windows и полагается на них. Интегрированную проверку подлинности Windows можно применять для проверки подлинности учетных записей подключений клиентов Team Foundation и Team Foundation Server, для веб-служб на серверах логических уровней приложений и данных Team Foundation Server и для подключений между самими серверами уровня приложений и уровня данных Team Foundation.

Не следует настраивать какие-либо подключения баз данных SQL между Team Foundation Server и службами Windows SharePoint Services на использование проверки подлинности SQL Server. Проверка подлинности SQL Server менее безопасна. При подключении к базе данных имя пользователя и пароль для учетной записи администратора базы данных отправляются от сервера к серверу в незашифрованном формате. Встроенная проверка подлинности Windows не передает имя пользователя и пароль. Вместо этого она передает идентификационную информацию об учетной записи службы, связанную с пулом приложений IIS, на SQL Server, используя интегрированные протоколы безопасности для проверки подлинности Windows.

Авторизация Team Foundation Server

Авторизация Team Foundation Server основана на пользователях и группах Team Foundation, а также на разрешениях, которые назначаются непосредственно этим пользователям и группам или же наследуются ими вследствие принадлежности к другим группам Team Foundation Server. Пользователи и группы Team Foundation могут быть локальными, пользователями и группами Active Directory или как теми, так и другими.

Team Foundation Server предварительно настроен с группами по умолчанию на уровне сервера и на уровне проекта. Эти группы можно заполнить индивидуальными пользователями. Однако для упрощения управления их можно заполнить с помощью групп безопасности Active Directory. Этот метод позволяет управлять членством в группах и разрешениями на множестве компьютеров более эффективно.

Конкретное развертывание может потребовать настройки пользователей, групп и разрешений на множестве компьютеров, а также в нескольких приложениях. Например, если в развертывание нужно включить отчеты и порталы проектов, необходимо настроить разрешения для пользователей и групп в службах отчетов SQL, службах Windows SharePoint Services, а также в Team Foundation Server. На Team Foundation Server разрешения можно задавать для отдельных проектов или для всего сервера. Кроме того, некоторые разрешения предоставляются по умолчанию любому пользователю или группе, добавленным на Team Foundation Server, так как они автоматически добавляются в группу Допустимые пользователи Team Foundation. Дополнительные сведения о настройке разрешений см. в разделе Управление разрешениями. Дополнительные сведения о пользователях и группах Team Foundation Server см. в разделе Управление пользователями и группами.

Помимо настройки разрешений для авторизации в Team Foundation Server, может потребоваться авторизация в системе управления версиями и в рабочих элементах. Управление этими разрешениями осуществляется отдельно в командной строке, но они интегрированы в интерфейс Сред. Командный обозреватель. Дополнительные сведения о разрешениях системы управления версиями см. в разделе Система управления версиями Team Foundation. Дополнительные сведения о настройке рабочих элементов см. в разделе Работа с рабочими элементами Team Foundation.

Зависимости Team Foundation Server

Помимо собственных служб, для Team Foundation Server требуются определенные службы Windows и других приложений на серверах уровня приложений и уровня данных. В следующей таблице описаны необходимые службы на серверах, на которых размещен логический уровень приложений Team Foundation.

Имя службы	Описание
Служба поиска опыта приложения	Эта служба является частью инфраструктуры, позволяющей применять исправления приложений, обеспечивая их выполнение в новых операционных системах Windows или пакетах обновления. Для работы исправлений приложений служба должна быть запущена.
Координатор распределенных транзакций	Эта служба координирует транзакции, обновляющие два или несколько защищенных транзакцией ресурсов, например баз данных, очередей сообщений или файловых систем. Такие защищенные транзакцией ресурсы могут располагаться на одном компьютере или распределяться по множеству сетевых компьютеров.
DNS-клиент	Эта служба используется для разрешений доменных DNS-имен.
Журнал событий	Эта служба записывает события операционной системы в один из трех журналов по умолчанию, которые можно просмотреть в средстве просмотра событий: это журнал безопасности, журнал приложений и системный журнал.
Служба администратора IIS	Эта служба управляет метабазой IIS.
Сетевой вход в систему	Эта служба проверяет запросы на вход в систему и управляет репликацией базы данных пользовательских учетных записей по всему домену.
Сетевые подключения	Эта служба (известная также как NetMan) управляет всеми сетевыми подключениями, создаваемыми и настраиваемыми в разделе "Сетевые подключения" Панели управления, и отвечает за отображение сетевого статуса в области уведомлений на рабочем столе.
Служба сведений о подключенных сетях (NLA)	Эта служба собирает и хранит информацию о конфигурации сетей, например, изменения в именах и расположениях IP-адресов и доменных имен.
Удаленный вызов процедур (RPC)	Эта служба представляет собой защищенный механизм межпроцессного взаимодействия (IPC), делающий возможным обмен данными и вызов функций из другого процесса. Другой процесс может быть запущен на том же компьютере, в локальной сети (LAN) или в Интернете. Служба удаленного вызова процедур служит в качестве средства сопоставления конечных точек RPC (EPM) и диспетчера служб (SCM).
Сервер отчетов (MSSSQLSERVER)	Эта служба обрабатывает протокол SOAP и запросы URL, отчеты о процессах, предоставляет кэш управления моментальными снимками и отчетами, а также поддерживает и принудительно применяет политики безопасности и авторизацию.
Диспетчер учетных записей безопасности	Эта служба поддерживает информацию об учетных записях пользователей, включая группы, к которым пользователь принадлежит.
Инструментарий управления Windows (WMI)	Эта служба запускает и останавливает диспетчер объектов модели Common Information Model (CIM).
Служба времени Windows	Эта служба (также известная как W32Time) синхронизирует дату и время для всех компьютеров, запущенных в сети Windows Server 2003.
Служба веб-публикаций	Эта служба представляет собой пользовательский диспетчер конфигураций и процессов, управляющий компонентами IIS, которые обрабатывают HTTP-запросы и запускают веб-приложения, и периодически проверяющий веб-приложения для выявления их непредвиденной остановки.

В следующей таблице описаны необходимые службы на серверах, на которых размещен логический уровень данных Team Foundation.

Имя службы	Описание
Служба поиска опыта приложения	Эта служба является частью инфраструктуры, позволяющей применять исправления приложений, обеспечивая их выполнение в новых операционных системах Windows или пакетах обновления. Для работы исправлений приложений служба должна быть запущена.
Координатор распределенных транзакций	Эта служба координирует транзакции, обновляющие два или несколько защищенных транзакцией ресурсов, например баз данных, очередей сообщений или файловых систем. Такие защищенные транзакцией ресурсы могут располагаться на одном компьютере или распределяться по множеству сетевых компьютеров.
DNS-клиент	Эта служба используется для разрешений доменных DNS-имен.
Журнал событий	Эта служба записывает события операционной системы в один из трех журналов по умолчанию, которые можно просмотреть в средстве просмотра событий: это журнал безопасности, журнал приложений и системный журнал.
Сетевой вход в систему	Эта служба проверяет запросы на вход в систему и управляет репликацией базы данных пользовательских учетных записей по всему домену.
Сетевые подключения	Эта служба (известная также как NetMan) управляет всеми сетевыми подключениями, создаваемыми и настраиваемыми в разделе "Сетевые подключения" Панели управления, и отвечает за отображение сетевого статуса в области уведомлений на рабочем столе.
Служба сведений о подключенных сетях (NLA)	Эта служба собирает и хранит информацию о конфигурации сетей, например, изменения в именах и расположениях IP-адресов и доменных имен.
Удаленный вызов процедур (RPC)	Эта служба представляет собой защищенный механизм межпроцессного взаимодействия (IPC), делающий возможным обмен данными и вызов функций из другого процесса. Другой процесс может быть запущен на том же компьютере, в локальной сети (LAN) или в Интернете. Служба удаленного вызова процедур служит в качестве средства сопоставления конечных точек RPC (EPM) и диспетчера служб (SCM).
Диспетчер учетных записей безопасности	Эта служба поддерживает информацию об учетных записях пользователей, включая группы, к которым пользователь принадлежит.
Сервер аналитики SQL (MSSQLSERVER)	Эта служба создает OLAP-кубы и модели интеллектуального анализа данных, а также управляет ими.
Полнотекстовый поиск в SQL Server (MSSQLSERVER)	Эта служба создает полнотекстовые индексы содержимого и делает возможным полнотекстовый поиск рабочих элементов.
Инструментарий управления Windows (WMI)	Эта служба запускает и останавливает диспетчер объектов модели Common Information Model (CIM).
Служба времени Windows	Эта служба (также известная как W32Time) синхронизирует дату и время для всех компьютеров, запущенных в сети Windows Server 2003.