Product Documentation

Sichere Konfiguration

Dec 08, 2016

Dieser Abschnitt enthält Anleitungen um zu gewährleisten, dass die Komponenten von Self-Service-Kennwortzurücksetzung sicher bereitgestellt und konfiguriert werden.

  • Erstellen eines Domänenbenutzerkontos mit Berechtigungen zum Zurücksetzen des Benutzerkennworts und Entsperren des Benutzerkontos
  • Konfigurieren der Firewalleinstellungen

Erstellen eines Self-Service-Kontos

Wenn Sie die Features zum Zurücksetzen des Kennworts oder Entsperren des Kontos von Self-Service-Kennwortzurücksetzung verwenden, geben Sie bei der Dienstkonfiguration ein Self-Service-Konto an, das vom Self-Service-Modul zum Zurücksetzen und Entsperren verwendet wird. Dieses Konto muss ausreichende Privilegien haben, aber es sollte kein Konto der Domänenadministratorgruppe für Produktionsbereitstellungen sein. Empfohlene Kontoberechtigungen:

  • Domänenmitglied
  • Berechtigung zum Zurücksetzen des Kennworts und Entsperren des Kontos für die relevanten Domänenbenutzer

Erstellen Sie in Active Directory-Benutzer und -Computer eine Gruppe oder ein Benutzerkonto mit den Rechten zum Zurücksetzen des Benutzerkennworts und Entsperren von Benutzerkonten.

  1. Klicken Sie unter Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die Domäne und dann im Menü auf Objektverwaltung zuweisen.
  2. Der Assistent zum Zuweisen der Objektverwaltung wird angezeigt. Klicken Sie im Willkommensdialogfeld auf Weiter.
  3. Klicken Sie im Dialogfeld Benutzer und Gruppen auf Hinzufügen. Wählen Sie in der Liste die Gruppe aus, der Sie das Recht zum Entsperren von Konten geben möchten, und klicken Sie dann auf OK. Klicken Sie im Dialogfeld Benutzer und Gruppen auf Weiter.
  4. Klicken Sie im Dialogfeld Zuzuweisende Aufgaben auf Benutzerdefinierte Aufgaben zum Zuweisen erstellen und klicken Sie dann auf Weiter.
  5. Klicken Sie im Dialogfeld Active Directory-Objekttyp auf "Folgenden Objekten im Ordner:" > "Benutzerobjekte" und klicken Sie dann auf Weiter.
  6. Aktivieren Sie im Dialogfeld Berechtigungen die Kontrollkästchen Allgemein und Eigenschaftenspezifisch Wählen Sie in der Liste Berechtigungen folgende Kontrollkästchen aus: lockoutTime lesen, lockoutTime schreiben, Kennwort zurücksetzen, Kennwort ändern, userAccountControl lesen, userAccountControl schreiben, pwdLastSet lesen sowie pwdLastSet schreiben. Klicken Sie dann auf Weiter.
  7. Klicken Sie im Dialogfeld Fertigstellen des Assistenten auf Fertig stellen.
     

Konfigurieren der Firewalleinstellungen

Da die Serverkomponenten Self-Service-Kennwortzurücksetzungsserver und zentraler Speicher Benutzerkennwörter verwalten, empfiehlt es sich, diese Komponenten auf einem vertrauenswürdigen Netzwerk bereitzustellen und den Zugriff auf bestimmte vertrauenswürdige Komponenten zu beschränken. In diesem Abschnitt werden die Schritte beschrieben, die zur richtigen Konfiguration der Windows-Firewall für diese Server erforderlich sind. Darüber hinaus sollten Sie die vorhandene Netzwerkinfrastruktur so konfigurieren, dass diese Server von nicht vertrauenswürdigem Netzwerkdatenverkehr isoliert sind.

Wenn Sie diese Konfigurationen in der Bereitstellung abgeschlossen haben, kann auf die Server des zentralen Speichers von Self-Service-Kennwortzurücksetzung nur von Self-Service-Kennwortzurücksetzungsservern aus zugegriffen werden, die Server Message Block (SMB) verwenden, und auf die Self-Service-Kennwortzurücksetzungsserver kann nur von StoreFront-Servern aus über HTTPS-Verbindungen zugegriffen werden.

Bereitstellung einer Remotedateifreigabe für Windows 2012 R2

localized image

Umgebung

  • Stellen Sie die Komponenten für Self-Service-Kennwortzurücksetzung auf dedizierten Servern bereit. Stellen Sie diese Komponenten nicht auf den Servern bereit, auf denen sich bereits vorhandene StoreFront- oder Delivery Controller-Komponenten befinden, da die unten dargestellte Firewallkonfiguration den StoreFront- oder Controller-Datenverkehr möglicherweise blockiert.
  • Zwischen StoreFront und dem Self-Service-Kennwortzurücksetzungsserver ist kein nicht transparenter HTTP/HTTPS-Proxy.

Wenn zwischen StoreFront und dem Self-Service-Kennwortzurücksetzungsserver ein nicht transparenter Proxy ist, konfigurieren Sie die Firewallregeln so, dass auf den Self-Service-Kennwortzurücksetzungsserver nur über den Proxyserver zugegriffen wird.

  • Die Konfigurationen in diesen Schritten basieren auf den Windows-Standardfirewallregeln.

Konfigurieren der Firewall für den zentralen Speicher von Self-Service-Kennwortzurücksetzung

Nach dem Abschluss der Konfiguration kann auf den SMB-Dienst, der vom zentralen Speicher von Self-Service-Kennwortzurücksetzung bereitgestellt wird, nur über eine eingehende Verbindung über die Self-Service-Kennwortzurücksetzungsserver zugegriffen werden, und der Server des zentralen Speichers von Self-Service-Kennwortzurücksetzung kann auf Dienste im Unternehmensnetzwerk nur über ausgehende Verbindungen zugreifen.

1. Öffnen Sie den Server-Manager und wählen Sie im Menü Extras auf der oberen Navigationsleiste die Option Windows-Firewall mit erweiterter Sicherheit.

2. Wählen Sie im mittleren Bereich von Windows-Firewall mit erweiterter Sicherheit die Option Windows-Firewalleigenschaften. Es gibt drei Firewallprofile: Domänenprofil, Privates Profil und Öffentliches Profil. Wählen Sie die Registerkarte Domänenprofil. Stellen Sie sicher, dass folgende Einstellungen festgelegt sind: Firewallstatus auf Ein, Eingehende Verbindungen auf Blocken und Ausgehende Verbindungen auf Zulassen.

localized image

3. Wählen Sie die Registerkarten Privates Profil und Öffentliches Profil stellen Sie sicher, dass Firewallstatus auf Ein und Eingehende Verbindungen und Ausgehende Verbindungen auf Blocken festgelegt sind. Übernehmen Sie die Änderungen und speichern Sie sie.

4. Klicken Sie auf Eingehende Regeln, wählen Sie Datei- und Druckerfreigabe (SMB eingehend) und stellen Sie sicher, dass diese Regel aktiviert ist und Verbindung zulassen für Aktion festgelegt ist.

localized image

5. Klicken Sie in Eigenschaften von Datei- und Druckerfreigabe (SMB eingehend) auf die Registerkarte Bereich, wählen Sie Diese IP-Adressen und fügen Sie alle IP-Adressen von Self-Service-Kennwortzurücksetzungsservern der Liste hinzu. Beispiel: Self-Service-Kennwortzurücksetzungsserver A (192.168.1.10) und Self-Service-Kennwortzurücksetzungsserver B (192.168.1.11).

6. Klicken Sie in Eigenschaften von Datei- und Druckerfreigabe (SMB eingehend) auf die Registerkarte Erweitert, aktivieren Sie Domänenprofil, Privates Profil und Öffentliches Profil und speichern Sie die Änderungen dieser Regel.

7. Wiederholen Sie diese Schritte unter Eingehende Regeln für Dateiserver-Remoteverwaltung (SMB eingehend) und Datei- und Druckerfreigabe (NB-Sitzung eingehend).

Konfigurieren der Firewall für den Self-Service-Kennwortzurücksetzungsserver

Nach dem Abschluss der Konfiguration können auf den Webdienst, der von den Self-Service-Kennwortzurücksetzungsservern bereitgestellt wird, nur die StoreFront-Server über HTTPS zugreifen und die Self-Service-Kennwortzurücksetzungsserver können auf Dienste im Unternehmensnetzwerk zugreifen.

1. Öffnen Sie den Server-Manager und wählen Sie im Menü Extras auf der oberen Navigationsleiste die Option Windows-Firewall mit erweiterter Sicherheit.

2. Wählen Sie im mittleren Bereich von Windows-Firewall mit erweiterter Sicherheit die Option Windows-Firewalleigenschaften. Es gibt drei Firewallprofile: Domänenprofil, Privates Profil und Öffentliches Profil. Wählen Sie die Registerkarte Domänenprofil. Stellen Sie sicher, dass folgende Einstellungen festgelegt sind: Firewallstatus auf Ein, Eingehende Verbindungen auf Blocken und Ausgehende Verbindungen auf Zulassen.  

localized image

3. Wählen Sie die Registerkarten Privates Profil und Öffentliches Profil stellen Sie sicher, dass Firewallstatus auf Ein und Eingehende Verbindungen und Ausgehende Verbindungen auf Blocken festgelegt sind. Übernehmen Sie die Änderungen und speichern Sie sie.

4. Klicken Sie auf Eingehende Regeln, wählen Sie WWW-Dienste (Eingehender HTTP-Datenverkehr) und stellen Sie sicher, dass diese Regel aktiviert ist und Verbindung blockieren für Aktion festgelegt ist.

5. Klicken Sie in Eigenschaften von WWW-Dienste (Eingehender HTTP-Datenverkehr) auf die Registerkarte Erweitert, aktivieren Sie Domänenprofil, Privates Profil und Öffentliches Profil und speichern Sie die Änderungen dieser Regel.

6. Klicken Sie auf Eingehende Regeln, wählen Sie WWW-Dienste (Eingehender HTTPS-Datenverkehr) und stellen Sie sicher, dass diese Regel aktiviert ist und Verbindung zulassen für Aktion festgelegt ist.

localized image

7. Klicken Sie in Eigenschaften von WWW-Dienste (Eingehender HTTPS-Datenverkehr) auf die Registerkarte Bereich, wählen Sie Diese IP-Adressen und fügen Sie alle IP-Adressen von StoreFront-Servern der Liste hinzu. Beispiel: StoreFront A (192.168.1.50) und StoreFront B (192.158.1.51).

8. Klicken Sie in Eigenschaften von WWW-Dienste (Eingehender HTTPS-Datenverkehr) auf die Registerkarte Erweitert, aktivieren Sie Domänenprofil, Privates Profil und Öffentliches Profil und speichern Sie die Änderungen dieser Regel.

Bereitstellung einer lokalen Dateifreigabe für Windows 2008 R2

Nach dem Abschluss der Konfiguration ist der SMB-Zugriff über einen Remoteclient blockiert. Auf die SMB-Dateifreigabe kann nur lokal zugegriffen werden und auf den Self-Service-Kennwortzurücksetzungsdienst kann nur über StoreFront-Server mit einer HTTPS-Verbindung zugegriffen werden.

1. Öffnen Sie den Server-Manager und wählen Sie im Menü Extras auf der oberen Navigationsleiste die Option Windows-Firewall mit erweiterter Sicherheit.

2. Wählen Sie im mittleren Bereich von Windows-Firewall mit erweiterter Sicherheit die Option Windows-Firewalleigenschaften. Es gibt drei Firewallprofile: Domänenprofil, Privates Profil und Öffentliches Profil. Wählen Sie die Registerkarte Domänenprofil. Stellen Sie sicher, dass folgende Einstellungen festgelegt sind: Firewallstatus auf Ein, Eingehende Verbindungen auf Blocken und Ausgehende Verbindungen auf Zulassen.

localized image

3. Wählen Sie die Registerkarten Privates Profil und Öffentliches Profil und stellen Sie sicher, dass Firewallstatus auf Ein und Eingehende Verbindungen und Ausgehende Verbindungen auf Blocken festgelegt sind. Übernehmen Sie die Änderungen und speichern Sie sie.

4. Wählen Sie aus Eingehende Regeln die Option Neue Regeln, um eine neue eingehende Regel zu erstellen. Wählen Sie Sie im Assistent für neue eingehende Regel Regeltyp, wählen Sie Port als Typ für die neue Regel und klicken Sie auf Weiter.

localized image

5. Wählen Sie im Assistenten für neue eingehende Regel Protokoll und Ports, wählen Sie TCP > Bestimmte lokale Ports, geben Sie 445 in das Textfeld ein und klicken Sie auf Weiter

6. Wählen Sie im Assistenten für neue eingehende Regel, Aktion > Verbindung blockieren und klicken Sie auf Weiter.

7. Wählen Sie im Assistenten für neue eingehende Regel Profil, dann Domäne, Privat und Öffentlich, und klicken Sie auf Weiter.

8. Wählen Sie im Assistenten für neue eingehende Regel das Feld Name aus, geben Sie einen Namen und eine Beschreibung ein und klicken Sie auf Weiter.

9. Klicken Sie auf Eingehende Regeln, wählen Sie WWW-Dienste (Eingehender HTTP-Datenverkehr) und stellen Sie sicher, dass für diese Regel Aktiviert und für Aktion die Option Verbindung blockieren festgelegt ist.

localized image

10. Klicken Sie in Eigenschaften von WWW-Dienste (Eingehender HTTP-Datenverkehr) auf die Registerkarte Erweitert, aktivieren Sie Domänenprofil, Privates Profil und Öffentliches Profil und speichern Sie die Änderungen dieser Regel.

11. Klicken Sie auf Eingehende Regeln, wählen Sie WWW-Dienste (Eingehender HTTPS-Datenverkehr) und stellen Sie sicher, dass für diese Regel Aktiviert und für Aktion die Option Verbindung zulassen festgelegt ist.

12. Klicken Sie in Eigenschaften von WWW-Dienste (Eingehender HTTP-Datenverkehr) auf die Registerkarte Bereich. Wählen Sie im Bereich Remote-IP-Adresse die Option Diese IP-Adressen und fügen Sie der Liste alle IP-Adressen für StoreFront-Server hinzu. Beispiel: StoreFront A (192.168.1.13) und StoreFront B (192.158.1.14).

13. Klicken Sie in Eigenschaften von WWW-Dienste (Eingehender HTTP-Datenverkehr) auf die Registerkarte Erweitert, aktivieren Sie Domänenprofil, Privates Profil und Öffentliches Profil und speichern Sie die Änderungen dieser Regel.