Exemplarische Vorgehensweise: Erstellen einer Sicherheitszone, Teil 1

Aktualisiert: November 2007

Diese exemplarische Vorgehensweise baut Exemplarische Vorgehensweise: Erstellen von Diagrammen für logische Datencenter auf.

In dieser exemplarischen Vorgehensweise wird gezeigt, wie Sie mit benutzerdefinierten Einschränkungen und Einschränkungen für Zonenendpunkte äußerst spezifische Anforderungen für logische Server in der Zone zu erstellen. Sie lernen außerdem, wie Sie einen wiederverwendbaren Prototyp der Zone erstellen, den Sie in der Toolbox speichern können. Im ersten Schritt wird der Typ der in der Zone zulässigen Kommunikation eingeschränkt. In dieser exemplarischen Vorgehensweise arbeiten Sie mit der PerimeterNetwork-Sicherheitszone, die Sie in Exemplarische Vorgehensweise: Erstellen von Diagrammen für logische Datencenter erstellt haben.

So lassen Sie eingehenden HTTPS-Datenverkehr der Zone nur an Anschluss 443 zu

  1. Klicken Sie mit der rechten Maustaste auf den Zonenendpunkt für eingehende Kommunikation Internet, und klicken Sie auf Einstellungen und Einschränkungen, um den Einstellungs- und Einschränkungs-Editor anzuzeigen.

  2. Deaktivieren Sie unter Zonenkommunikationseinschränkungen die Kontrollkästchen DatabaseServerEndpoint und GenericServerEndpoint.

    Hierdurch wird verhindert, dass Datenbankserver oder generische Server mit dem Zonenendpunkt für eingehende Kommunikation verbunden werden.

  3. Aktivieren Sie unter WebSiteEndpoint das Kontrollkästchen Benutzerdefiniert.

  4. Erweitern Sie Benutzerdefiniert, und aktivieren Sie das Kontrollkästchen WebSite unter Benutzerdefiniert.

    Dies ermöglicht Ihnen das Erstellen von Einschränkungen für Websites, die mit dem Zonenendpunkt für eingehende Kommunikation kommunizieren (mit diesem verbunden sind).

  5. Klicken Sie im linken Bereich des Editors auf die Überschrift WebSite. Erweitern Sie im rechten Bereich die Struktur Authentifizierung, und aktivieren Sie das Kontrollkästchen SecureBindings.

  6. Wählen Sie unter Operator die Option Contains One aus.

  7. Klicken Sie auf das Feld Wert und dann auf das Auslassungszeichen (...).

    Der ComplexSetting-Auflistungs-Editor wird angezeigt.

  8. Klicken Sie auf Hinzufügen.

  9. Geben Sie unter Anschluss den Wert 443 ein.

  10. Lassen Sie das Feld IPAddress leer.

  11. Klicken Sie auf OK.

Sie haben nun den über den Zonenendpunkt für eingehende Kommunikation übertragenen Datenverkehr auf Anschluss 443 eingeschränkt, der HTTPS-Datenverkehr behandelt. Im nächsten Schritt werden die Typen von logischen Servern eingeschränkt, die in der Zone vorhanden sein dürfen.

So schränken Sie die Elemente ein, die in der Zone vorhanden sein dürfen

  1. Wählen Sie die Zonenform aus, und zeigen Sie den Einstellungs- und Einschränkungs-Editor an.

  2. Deaktivieren Sie unter Zonenkapselungseinschränkungen die Kontrollkästchen GenericServer, WindowsClient und Zone.

Hierdurch schränken Sie die Zone ein und verhindern, dass sie generische Server (Server, die jede Art von Anwendung hosten können), Windows-Server (Server, die Windows-Clients hosten können) oder andere Zonen enthält. Wenn Sie versuchen, eines dieser Elemente aus der Toolbox oder von anderen Stellen im Diagramm für ein logisches Datencenter in der Zone abzulegen, werden Sie feststellen, dass dies nicht möglich ist.

Im nächsten Schritt wird der Zone ein Datenbankserver hinzugefügt.

So fügen Sie der Zone einen Datenbankserver hinzu

  1. Ziehen Sie einen DatabaseServer aus der Toolbox in das Diagramm, und platzieren Sie ihn in der PerimeterNetwork-Zone.

  2. Nennen Sie den Server SessionStore.

    Dieser Server wird zum Speichern von SQL-Sitzungszustandsinformationen vom HardenedIIS-Webserver verwendet.

  3. Wählen Sie den Anbieterendpunkt in SessionStore aus, drücken Sie die ALT-Taste, und verbinden Sie ihn mit HardenedIIS.

Im nächsten Schritt wird eine Zoneneinschränkung erstellt, die das Hosten von Webdiensten auf Webservern verhindert.

So verhindern Sie das Hosten von Webdiensten auf Webservern

  1. Klicken Sie auf die Zone.

  2. Erweitern Sie unter Zonenkapselungseinschränkungen den Knoten IISWebServer, aktivieren Sie das Kontrollkästchen Benutzerdefiniert, aktivieren Sie das Kontrollkästchen InternetInformationServices und schließlich das Kontrollkästchen WebSites.

  3. Klicken Sie im linken Bereich auf den Knoten WebSites, und erweitern Sie im rechten Bereich des Einstellungs- und Einschränkungs-Editors den Knoten Inhalt.

  4. Wählen Sie ScriptMaps aus.

    Hinweis:

    Wenn Sie im linken Bereich des Editors WebSite statt WebSites ausgewählt haben, wird unter Inhalt nicht der Abschnitt ScriptMaps angezeigt.

  5. Wählen Sie unter Operator im Listenfeld die Option Contains None aus.

  6. Klicken Sie auf das Feld Wert und dann auf das Auslassungszeichen (...).

    Der ComplexSetting-Auflistungs-Editor wird angezeigt.

  7. Klicken Sie auf Hinzufügen.

  8. Geben Sie unter FileExtension den Wert .asmx ein.

  9. Geben Sie unter IncludedVerbs den Wert GET,HEAD,POST,DEBUG ein.

    Hinweis:

    Geben Sie diese Zeichenfolge genau wie angegeben ein. Wenn Sie Leerzeichen hinzufügen oder die Reihenfolge der Verben ändern, wird diese Einschränkung nicht angewendet.

  10. Legen Sie Script auf True fest.

  11. Geben Sie unter ScriptProcessor den Pfad zur Datei aspnet_isapi.dll ein. (%WINDIR%\Microsoft.NET\Framework\v2.0.40420\aspnet_isapi.dll)

  12. Klicken Sie auf OK.

Diese Einschränkung verhindert, dass auf den Webservern im Perimeternetzwerk Webdienste gehostet werden. Das Hosten von Websites, die die Ausführung bestimmter Skriptzuordnungen ermöglichen, wird auf keinem Webserver zugelassen. Da diese Einschränkung in der Zone selbst erstellt wird, werden jeder in die Zone eingefügte Webserver sowie die auf dem Webserver gehosteten Einschränkungen anhand dieser Einschränkung evaluiert.

Im letzten Schritt wird eine wiederverwendbare Version dieser Zone erstellt, auf die in der Toolbox zugegriffen werden kann und die Sie gemeinsam mit anderen Mitgliedern der Organisation verwenden können.

So erstellen Sie einen wiederverwendbaren Prototyp der PerimeterNetwork-Zone

  1. Klicken Sie auf die Zone.

  2. Wählen Sie im Menü Diagramm die Option Zur Toolbox hinzufügen aus.

    Das Dialogfeld Zur Toolbox hinzufügen wird angezeigt.

  3. Geben Sie unter Name den Wert PerimeterNetwork ein, und klicken Sie auf OK.

    Das Dialogfeld Datei speichern wird angezeigt. Die Datei wird mit der Erweiterung .lddprototype gespeichert. Dies bedeutet, dass es sich um einen Prototyp handelt, der im Designer für logisches Datencenter verwendet werden kann.

  4. Klicken Sie auf Speichern.

  5. Öffnen Sie die Toolbox, und ziehen Sie PerimeterNetwork in das Diagramm.

Durch das Erstellen dieses Prototyps haben Sie eine angepasste Version der PerimeterNetwork-Zone erstellt, die Sie in jedem Diagramm für logisches Datencenter wieder verwenden können, das Sie erstellen oder bearbeiten. Dieser Prototyp wird bei jedem Erstellen einer neuen verteilten Systemprojektmappe angezeigt. Er ist eine Funktion der Designer und nicht der Projektmappe, die bei seiner Erstellung geöffnet war.

Andere Benutzer des Designers für verteilte Systeme können diesen Prototyp ebenfalls nutzen. Dazu muss eine Kopie der LDDPROTOTYPE-Datei im Standardordner für Prototypen abgelegt werden, der i. d. R. folgenden Pfad aufweist: %ProgramFiles%\Microsoft Visual Studio <versionNumber>\Common7\Tools\DesignerPrototypes\Prototypes. Weitere Informationen über das Erstellen von wiederverwendbaren Prototypen im Designer für logisches Datencenter finden Sie unter Gewusst wie: Erstellen von benutzerdefinierten Prototypen aus konfigurierten Zonen und logischen Servern. Weitere Informationen über die Weitergabe dieser Prototypen an andere Benutzer finden Sie unter Gewusst wie: Importieren oder Installieren neuer benutzerdefinierter Prototypen.

Nächste Schritte

Im zweiten Teil dieser exemplarischen Vorgehensweise wird gezeigt, wie Sie folgende Schritte ausführen:

  • Legen Sie Richtlinien für Anwendungen fest, die auf HardenedIIS gehostet werden.

  • Importieren Sie Einstellungen aus einem vorhandenen, konfigurierten IIS-Server auf HardenedIIS.

  • Werten Sie die Bereitstellung eines Webdiensts auf HardenedIIS aus.

Siehe auch

Aufgaben

Exemplarische Vorgehensweise: Erstellen einer Sicherheitszone, Teil 2

Weitere Ressourcen

Exemplarische Vorgehensweisen zum Entwerfen und Konfigurieren eines logischen Datencenters