AX Server Sicherheit

AX-Server-Sicherheit

Beachten Sie die AX-Server-Sicherheitsempfehlungen, um den Zugriff auf Analytics Exchange zu kontrollieren und um sensible Prüfdaten zu schützen.

Allgemeiner Benutzerzugriff

Im Allgemeinen sollten Sie den AX Server Zugriff nur auf die unbedingt notwendigen Konten mit den minimal notwendigen Rechten und Berechtigungen gewähren.

Kontosicherheit für Windows-Benutzer

Windows-Benutzerkonto, das zur Ausführung des Analytics-Exchange-Dienstes verwendet wird

Verwenden Sie ein spezielles Domänen-Benutzerkonto, das nur zur Ausführung des „AX Service“-Kontos verwendet wird. Verwenden Sie nicht die folgenden Kontotypen:

Anmerkung

Das von Ihnen festgelegte dedizierte Domänenbenutzerkonto benötigt einen Zugriff auf den Domänencontroller von Active Directory, damit die Anwender, die sich bei Analytics Exchange anmelden, authentifiziert werden können. Wenn das von Ihnen angegebene Konto ein Passwort verwendet, das ablaufen kann, stellen Sie sicher, dass dieses Passwort regelmäßig aktualisiert wird.

Windows-Benutzerkonto zur Ausführung des AX Engine-Knotens

Verwenden Sie dasselbe Domänenbenutzerkonto, das Sie zur Ausführung des Analytics-Exchange-Dienstes verwenden.

Die Berechtigungen, die erforderlich sind, um den AX Engine-Knoten auszuführen, sind mit denen für den Analytics-Exchange-Dienst identisch. Wenn Sie für beide dasselbe Konto verwenden, müssen Sie lediglich ein Konto verwalten.

Einzelne Windows-Benutzerkonten

Verwalten Sie die Benutzerrechte und -berechtigungen auf AX Server, indem Sie zuerst einzelne Anwenderkonten einer Windows-Anwendergruppe hinzufügen. Bei der Erteilung von Rechten und Berechtigungen auf dem AX Server für einzelne Anwenderkonten gibt es zwei Optionen für Anwendergruppen:

Anmerkung

Die erste Option ist sicherer, weil:

Die Anmelderechte und Ordnerberechtigungen für beide Gruppentypen sind jeweils in den folgenden Abschnitten angegeben.

Anmeldeversuche

Deaktivieren Sie nicht die Anmeldedrosselung für Anmeldeversuche von Benutzern oder AX-Server-Administratoren. Um das Risiko von Brute-Force-Attacken zur Ermittlung von Kennwörtern zu verringern, ist in Analytics Exchange die Anmeldedrosselung standardmäßig aktiviert:

Sensible Installationsinformationen

Sichern Sie vertrauliche Informationen im Zusammenhang mit Ihrer Installation von AX Server. Wenn Sie während des Installationsvorgangs Dateien mit sensiblen Informationen wie beispielsweise Anmeldeinformationen oder Konfigurationseinstellungen erstellen, sollten Sie diese Dateien an einem sicheren Speicherort aufbewahren.

IP-Beschränkungen der Serverkonfiguration

Die folgenden Seiten der Serverkonfiguration setzen eine Authentifizierung mit dem Benutzernamen und dem Kennwort eines Administrators voraus:

Sie können die Sicherheit dieser Seiten auch erhöhen, indem Sie den Zugriff auf Seiten auf eine Untermenge an IP-Adressen beschränken.

Anmerkung

Wenn Sie den Zugriff auf localhost beschränken, müssen Sie beim Zugriff auf die Konfigurationsseiten „127.0.0.1“ als Ihre Browser-Adresse eingeben.

Um den Zugriff auf diese Seiten einzuschränken, fügen Sie im Verzeichnis ACL\App\Tomcat\conf\Catalina\localhost die folgenden Dateien hinzu und geben die Liste zulässiger abrufender IP-Adressen in einer durch Kommata getrennten Liste an:

Anmerkung

Um diese Änderung aufzuheben und die IP-Beschränkungen zu entfernen, müssen Sie Ihr Verzeichnis ACL\App\Tomcat\webapps\manager sichern, den Tomcat-Dienst stoppen und dann die Dateien löschen, die Sie ACL\App\Tomcat\conf\Catalina\localhost hinzugefügt haben. Sobald Sie diese Schritte durchgeführt haben, überschreiben Sie Ihren Ordner manager mit der Sicherung und starten den Dienst neu.

Kontoanmelderechte

Die folgende Tabelle stellt die notwendigen Anmelderechte für die Konten dar, die Zugriff auf den AX Server benötigen. Weisen Sie über die unten angeführten Anforderungen hinaus keinem Konto zusätzliche Anmelderechte zu. Anmelderechte werden in dem Bereich „Zuweisen von Benutzerrechten“ der Windows-Sicherheitsrichtlinie angegeben.

Eine Einschränkung von Anmelderechten verringert das Risiko, dass ein unberechtigter Zugriff auf den AX Server erfolgt.

Kontoanmelderechte

Anmelderecht

AX-Dienstkonto

(einschließlich Engine-Knoten)

PostgreSQL-Konto

(nicht verfügbar, wenn Oracle-Datenbankserver verwendet wird)

AX-Benutzergruppenkonto

(Windows-Benutzergruppe für Benutzer von AX Client, AX Webclient und AX Add-Ins)

AX-Connector-Konto

(ACL-Analytics-Benutzer)

Lokal anmelden zulassen

Nein

Nein

Nein

Ja

(muss manuell zugewiesen werden)

Lokal anmelden verweigern

Ja

(muss manuell zugewiesen werden)

Ja

(muss manuell zugewiesen werden)

Ja

(muss manuell zugewiesen werden)

Nein

Anmelden als Dienst

Ja

(automatisch durch AX-Installationsprogramm zugewiesen)

Ja

(automatisch durch AX-Installationsprogramm zugewiesen)

Nein

Nein

Ordnerberechtigungen

Achtung

Geben Sie einzelnen Anwendern oder Anwendergruppen keine Berechtigungen für das gesamte „ACL“-Verzeichnis auf dem AX Server oder auf die AX Server Betriebssystemverzeichnisse. Eine solche Konfiguration stellt ein beträchtliches Sicherheitsrisiko dar und wird nicht empfohlen.

Die folgende Tabelle stellt die notwendigen Ordnerberechtigungen dar, die Sie den Konten gewähren müssen, die einen Zugriff auf den AX Server benötigen. Weisen Sie über die unten angeführten Anforderungen hinaus keinem Konto zusätzliche Ordnerberechtigungen zu.

Eine Einschränkung des Zugriffs auf die benötigten Konten und die benötigten Ordner verringert das Risiko, dass ein unberechtigter Zugriff auf den AX Server erfolgt. Dadurch wird auch verhindert, dass ein ACL-Skript auf Dateien außerhalb der angemessenen Ordner zugreift und diese verändert.

AX Server Ordnerberechtigungen

Ordner des AX Server

AX-Dienstkonto

(einschließlich Engine-Knoten)

PostgreSQL-Konto

(nicht verfügbar, wenn Oracle-Datenbankserver verwendet wird)

AX-Benutzergruppenkonto

(Windows-Benutzergruppe für Benutzer von AX Client, AX Webclient und AX Add-Ins)

AX-Connector-Konto

(ACL-Analytics-Benutzer)

ACL\App

Lesen

Schreiben

Keine Berechtigungen

Keine Berechtigungen

Keine Berechtigungen

ACL\App\analytic_engine\aclse\conf

(der AX Connector Konfigurationsordner)

Lesen

Schreiben

Keine Berechtigungen

Keine Berechtigungen

Lesen

ACL\App\TomCat\conf

(der TomEE Anwendungsserver Konfigurationsordner)

Dieser Unterordner enthält Konfigurationsdateien, die die Funktionen von Analytics Exchange steuern. Nachdem der AX Server installiert wurde, können die Konfigurationsdateien sensible Informationen wie beispielsweise Hashwerte von Anmeldeinformationen und Hostnamen enthalten.

Lesen

Schreiben

Keine Berechtigungen

Keine Berechtigungen

Keine Berechtigungen

ACL\Data

Lesen

Schreiben

Keine Berechtigungen

Keine Berechtigungen

Keine Berechtigungen

ACL\Data\aclse\<Benutzername>

(wenn Sie eine Domänen-Benutzergruppe für AX-Benutzer verwenden)

Lesen

Schreiben

Keine Berechtigungen

Keine Berechtigungen

Vollzugriff für Benutzer für deren eigenen Unterordner

ACL\Data\aclse

(Wenn Sie die lokale Gruppe „Benutzer“ im AX Server für AX-Anwender verwenden)

Lesen

Schreiben

Keine Berechtigungen

Keine Berechtigungen

Vollzugriff, wenn nicht sicher

Keine Berechtigungen, wenn sicher

ACL\Data\jobs

Vollzugriff

Keine Berechtigungen

Keine Berechtigungen

Keine Berechtigungen

ACL\Data\savedfailedjobs

Vollzugriff

Keine Berechtigungen

Keine Berechtigungen

Keine Berechtigungen

ACL\Data\repository

Lesen

Schreiben

Keine Berechtigungen

Keine Berechtigungen

Lesen

ACL\Data\repository\datafiles

(enthält die in Analytics Exchange gespeicherten Quelldatendateien)

Lesen

Schreiben

Keine Berechtigungen

Keine Berechtigungen

Lesen

ACL\Data\repository\upload

Lesen

Schreiben

Keine Berechtigungen

Keine Berechtigungen

Lesen

freigegebener Ordner mit Datendateien

(wenn Sie Engine-Knoten oder einen separaten Server für Datendateien verwenden)

Lesen

Schreiben

Keine Berechtigungen

Keine Berechtigungen

Lesen

Ordner zur Archivierung und Wiederherstellung von Daten

Lesen

Schreiben

Keine Berechtigungen

Keine Berechtigungen

Keine Berechtigungen