Checkliste für die Absicherung

Die folgende Liste enthält Empfehlungen zur Verbesserung der Sicherheit ("Absicherung") Ihrer Tableau Server-Installation.

Installieren von Sicherheitsupdates

Sicherheitsupdates sind in den neuesten Versionen und Wartungsversionen (MR) von Tableau Server enthalten. Sicherheitsupdates können nicht als Patches installiert werden. Stattdessen müssen Sie ein Upgrade auf eine aktuelle Version oder MR durchführen, um Tableau Server mit den neuesten Sicherheitsupdates zu aktualisieren.

Beziehen Sie sich nach dem Upgrade immer auf die aktuellste Version dieses Themas. Die aktuelle Version enthält /current/ in der Themen-URL.

Beispielsweise lautet die URL der US-Version: https://help.tableau.com/current/server/de-de/security_harden.htm.

1. Aktualisieren auf die neueste Version

Es wird empfohlen, immer die neueste Version von Tableau Server auszuführen. Außerdem veröffentlicht Tableau regelmäßig Wartungsversionen von Tableau Server, mit denen bekannte Sicherheitslücken geschlossen werden. (Informationen zu bekannten Sicherheitslücken finden Sie auf der Seite Security Bulletins.) Lesen Sie die Hinweise zu den Wartungsversionen, um zu entscheiden, ob Sie sie installieren.

Um die neueste Version oder Wartungsversion von Tableau Server zu erhalten, besuchen Sie das Kundenportal(Link wird in neuem Fenster geöffnet).

2. Konfigurieren von SSL/TLS mit einem gültigen, vertrauenswürdigen Zertifikat

Secure Sockets Layer (SSL/TLS) ist für den Schutz der Kommunikation mit Tableau Server wesentlich. Konfigurieren Sie Tableau Server mit einem gültigen, vertrauenswürdigen (nicht selbst signierten) Zertifikat, sodass Tableau Desktop, mobile Geräte und Webclients eine sichere Verbindung zum Server herstellen können. Weitere Informationen finden Sie unter SSL.

3. Deaktivieren älterer TLS-Versionen

Tableau Server verwendet TLS zur Authentifizierung und Verschlüsselung zahlreicher Verbindungen zwischen Komponenten und mit externen Clients. Externe Clients wie Browser, Tableau Desktop und Tableau Mobile stellen mithilfe von TLS über HTTPS eine Verbindung zu Tableau her. Transport Layer Security (TLS) ist eine verbesserte Version von SSL. Ältere Versionen von SSL (SSL v2 und SSL v3) gelten als Kommunikationsstandards, die nicht mehr genug Sicherheit bieten. Daher erlaubt Tableau Server externen Clients nicht, die Protokolle SSL v2 oder SSL v3 zu verwenden.

Es wird empfohlen, externen Clients das Herstellen einer Verbindung mit Tableau Server mit TLS v1.3 und TLS v1.2 zu gestatten.

TLS v1.2 gilt immer noch als sicheres Protokoll und viele Clients (einschließlich Tableau Desktop) unterstützen TLS v1.3 noch nicht.

TLS v1.3-fähige Clients handeln TLS v1.3 aus, auch wenn TLS v1.2 vom Server unterstützt wird.

Der folgende tsm-Befehl aktiviert TLS v1.2 und v1.3 (mit dem Parameter "all" ) und deaktiviert SSL v2, SSL v3, TLS v1 sowie TLS v1.1 (indem dem angegebenen Protokoll ein Minuszeichen [-] vorangestellt wird). TLS 1.3 wird noch nicht von allen Komponenten von Tableau Server unterstützt.

tsm configuration set -k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm pending-changes apply

Sie können außerdem die Standardliste der Verschlüsselungssätze ändern, die Tableau Server für SSL/TLS-Sitzungen verwendet. Weitere Informationen finden Sie im Abschnitt ssl.ciphersuite unter tsm configuration set-Optionen.

4. Konfigurieren der SSL-Verschlüsselung für internen Datenverkehr

Konfigurieren Sie Tableau Server so, dass für den gesamten Datenverkehr zwischen dem Postgres-Repository und anderen Serverkomponenten die SSL-Verschlüsselung (Secure Sockets Layer) verwendet wird. Standardmäßig ist SSL für die Kommunikation zwischen Serverkomponenten und dem Repository deaktiviert. Es wird empfohlen, internes SSL für alle Instanzen von Tableau Server, auch Einzelserver-Installationen, zu aktivieren. Das Aktivieren von internem SSL ist besonders für Bereitstellungen auf mehreren Knoten wichtig. Weitere Informationen finden Sie unter Konfigurieren von SSL für die interne Postgres-Kommunikation.

5. Aktivieren des Firewall-Schutzes

Tableau Server wurde für den Betrieb in einem geschützten internen Netzwerk entwickelt.

Wichtig: Führen Sie Tableau Server oder Komponenten von Tableau Server nicht im Internet oder in einer DMZ aus. Tableau Server muss innerhalb eines Unternehmensnetzwerks ausgeführt werden, das durch eine Internet-Firewall geschützt wird. Wir empfehlen die Konfiguration einer Reverse-Proxy-Lösung für Internet-Clients, die eine Verbindung mit Tableau Server herstellen müssen. Siehe Konfigurieren von Proxys für Tableau Server.

Auf dem Betriebssystem sollte eine lokale Firewall aktiviert werden, um Tableau Server in Bereitstellungen auf einem einzelnen oder mehreren Knoten zu schützen. In einer verteilten Installation von Tableau Server (auf mehreren Knoten) wird keine sichere Kommunikationsmethode zwischen den Knoten verwendet. Daher sollten Sie Firewalls auf den Computern, die Tableau Server hosten, aktivieren.

Um zu verhindern, dass die Kommunikation zwischen Knoten von einem passiven Angreifer abgehört wird, konfigurieren Sie ein getrenntes virtuelles LAN oder eine andere Sicherheitslösung auf Netzwerkebene.

Welche Ports und Dienste für Tableau Server erforderlich sind, erfahren Sie im Abschnitt Tableau Services Manager-Ports.

6. Beschränken des Zugriffs auf den Servercomputer und auf wichtige Verzeichnisse

Tableau Server-Konfigurationsdateien und -Protokolldateien können Informationen enthalten, die für einen Angreifer wertvoll sind. Beschränken Sie daher den physischen Zugang zum Rechner, auf dem Tableau Server ausgeführt wird. Stellen Sie außerdem sicher, dass nur autorisierte und vertrauenswürdige Benutzer Zugang zu Tableau Server-Dateien im Verzeichnis C:\ProgramData\Tableau haben.

7. Aktualisieren des Tableau Server-Kontos "Als Benutzer ausführen"

Tableau Server wird standardmäßig unter dem vordefinierten Windows-Konto "Network Service (NT Authority\Network Service)" ausgeführt. Die Verwendung des Standardkontos ist in Szenarios geeignet, in denen Tableau Server keine Verbindung zu externen Datenquellen herstellen muss, die eine Windows-Authentifizierung erfordern. Wenn Ihre Benutzer jedoch auf Datenquellen zugreifen müssen, die durch Active Directory authentifiziert werden, aktualisieren Sie das Konto "Als Benutzer ausführen" auf ein Domänenkonto. Es ist wichtig, die Rechte des Kontos, das Sie als Konto "Als Benutzer ausführen" verwenden, auf ein Minimum zu reduzieren. Weitere Informationen finden Sie unter "Ausführen als"-Dienstkonto.

8. Generieren neuer Geheimnisse und Token

Jeder Tableau Server-Dienst, der mit dem Repository oder dem Cache-Server kommuniziert, muss sich zunächst mit einem geheimen Token authentifizieren. Das geheime Token wird während der Tableau Server-Einrichtung generiert. Der Verschlüsselungsschlüssel, der vom internen SSL zur Verschlüsselung des Datenverkehrs an das Postgres-Repository verwendet wird, wird ebenfalls während der Einrichtung generiert.

Es wird empfohlen, dass Sie nach der Installation von Tableau Server neue Verschlüsselungsschlüssel für die Bereitstellung generieren.

Mit dem Befehl tsm security regenerate-internal-tokens können diese Sicherheitsressourcen erneut generiert werden.

Führen Sie die folgenden Befehle aus:

tsm security regenerate-internal-tokens

tsm pending-changes apply

9. Deaktivieren ungenutzter Dienste

Um die Angriffsmöglichkeiten in Bezug auf Tableau Server zu reduzieren, deaktivieren Sie ungenutzte Verbindungspunkte.

JMX-Dienst

JMX ist standardmäßig aktiviert. Wenn der Dienst aktiviert ist, Sie ihn jedoch nicht nutzen, sollten Sie ihn wie folgt deaktivieren:

tsm configuration set -k service.jmx_enabled -v false

tsm pending-changes apply

10. Überprüfen der konfigurierten Sitzungsdauer

Standardmäßig gibt es in Tableau Server kein absolutes Zeitüberschreitungslimit für Sitzungen. Das bedeutet, dass browserbasierte Client-Sitzungen (Webdokumenterstellung) unendlich lange geöffnet bleiben können, solange das Zeitüberschreitungslimit für Inaktivität in Tableau Server nicht überschritten wird. Standardmäßig ist das Zeitüberschreitungslimit auf 240 Minuten eingestellt.

Sie können ein absolutes Zeitüberschreitungslimit für Sitzungen festlegen, wenn Ihre Sicherheitsrichtlinien dies erfordern. Stellen Sie sicher, dass Sie das absolute Zeitüberschreitungslimit für Sitzungen in einem Bereich festlegen, der den Extrakt-Upload oder die Arbeitsmappenveröffentlichungsvorgänge mit der längsten Ausführungszeit in Ihrer Organisation ermöglicht. Wenn Sie das Zeitüberschreitungslimit für Sitzungen auf einen zu geringen Wert festlegen, kann dies bei Vorgängen mit langer Ausführungszeit zu Extrakt- und Veröffentlichungsfehlern führen.

Führen Sie zum Festlegen des Zeitüberschreitungslimits für Sitzungen die folgenden Befehle aus:

tsm configuration set -k wgserver.session.apply_lifetime_limit -v true

tsm configuration set -k wgserver.session.lifetime_limit -v value, wobei value der Anzahl von Minuten entspricht. Die Standardeinstellung ist 1.440 Minuten (24 Stunden).

tsm configuration set -k wgserver.session.idle_limit -v value, wobei value der Anzahl von Minuten entspricht. Der Standardwert ist 240.

tsm pending-changes apply

Sitzungen für verbundene Clients (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge und persönliche Zugriffstokens) verwenden OAuth-Token, damit sich Benutzer durch erneutes Einrichten einer Sitzung anmelden können. Sie können dieses Verhalten deaktivieren, wenn Sie möchten, dass alle Tableau-Clientsitzungen ausschließlich den browserbasierten Sitzungsbeschränkungen unterliegen, die von den oben genannten Befehlen gesteuert werden. Siehe Deaktivieren der automatischen Client-Authentifizierung.

11. Konfigurieren einer Server-Zulassungsliste für sichere dateibasierte Datenquellen

Standardmäßig gestattet Tableau Server autorisierten Tableau Server-Benutzern, Arbeitsmappen zu erstellen, die Dateien (wie z. B. Kalkulationstabellen) auf dem Server als dateibasierte Datenquellen nutzen. In diesem Szenario erfolgt der Zugriff auf die Dateien mit dem Konto "Ausführen als"-Dienstkonto.

Um unerwünschten Zugriff auf die Dateien zu verhindern, wird empfohlen, eine Zulassungsliste zu konfigurieren. Dadurch können Sie das Konto "Als Dienst ausführen" auf die Verzeichnisse beschränken, in denen Sie Datendateien hosten.

  1. Stellen Sie auf dem Computer, auf dem Tableau Server ausgeführt wird, fest, in welchen Verzeichnissen Sie Datenquelldateien hosten möchten.

    Wichtig Achten Sie darauf, dass die Dateipfade, die Sie bei diesem Vorgang angeben, auch wirklich auf dem Server vorhanden sind. Wenn die Pfade beim Hochfahren des Computers nicht vorhanden sind, wird Tableau Server nicht gestartet.

  2. Führen Sie die folgenden Befehle aus:

    tsm configuration set -k native_api.allowed_paths -v "path", wobei path das Verzeichnis ist, das der Zulassungsliste hinzugefügt wird. Alle Unterverzeichnisse des angegebenen Pfads werden der Zulassungsliste hinzugefügt. Wenn Sie mehrere Pfade angeben möchten, trennen Sie sie durch ein Semikolon, wie in dem folgenden Beispiel:

    tsm configuration set -k native_api.allowed_paths -v "c:\datasources;c:\HR\data"

    tsm pending-changes apply

12. HTTP Strict Transport Security für Webbrowser-Clients aktivieren

HTTP Strict Transport Security (HSTS) ist eine Richtlinie, die für Webanwendungsdienste wie Tableau Server konfiguriert wird. Wenn ein konformer Browser auf eine Webanwendung trifft, die HSTS ausführt, muss die gesamte Kommunikation mit dem Dienst über eine gesicherte Verbindung (HTTPS) ausgeführt werden. HSTS wird von den wichtigsten Browsern unterstützt.

Weitere Informationen darüber, wie HSTS funktioniert, und welche Browser es unterstützen, finden Sie auf der Website "Open Web Application Security Project", HTTP Strict Transport Security Cheat Sheet(Link wird in neuem Fenster geöffnet).

Um HSTS zu aktivieren, führen Sie die folgenden Befehle auf Tableau Server aus:

tsm configuration set -k gateway.http.hsts -v true

Standardmäßig ist die HSTS-Richtlinie auf ein Jahr (31.536.000 Sekunden) festgelegt. Dieser Zeitraum legt die Zeit fest, in der der Browser über HTTPS auf den Server zugreift. Es ist empfehlenswert, während der Ersteinführung von HSTS einen kurzen Maximalzeitraum festzulegen. Um diesen Zeitraum anzupassen, führen Sie tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds> aus. Um den Zeitraum der HSTS-Richtlinie beispielsweise auf 30 Tage festzulegen, geben Sie tsm configuration set -k gateway.http.hsts_options -v max-age=2592000 ein.

tsm pending-changes apply

12. Gastzugriff deaktivieren

Core-basierte Lizenzen von Tableau Server umfassen eine Gastbenutzeroption, mit deren Hilfe alle Benutzer in Ihrer Organisation in Webseiten eingebettete Tableau-Ansichten anzeigen und mit ihnen interagieren können.

Der Zugriff für Gastbenutzer ist auf mit core-basierten Lizenzen bereitgestellten Tableau Servern standardmäßig aktiviert.

Der Gastzugriff ermöglicht Benutzern das Anzeigen eingebetteter Ansichten. Der Gastbenutzer kann nicht in der Benutzeroberfläche von Tableau Server blättern und kann in der Ansicht keine Elemente der Benutzeroberfläche des Servers anzeigen (Benutzername, Kontoeinstellungen, Anmerkungen usw.).

Deaktivieren Sie den Gastzugriff, wenn Tableau Server in Ihrer Organisation mit Core-Lizenzierung bereitgestellt wird und der Gastzugriff nicht erforderlich ist.

Sie können den Gastzugriff auf der Server- oder Site-Ebene deaktivieren.

Sie müssen ein Serveradministrator sein, um das Gastkonto auf der Server- oder Site-Ebene deaktivieren zu können.

So können Sie den Gastzugriff auf der Server- oder Site-Ebene deaktivieren:

  1. Klicken Sie im Menü "Site" auf die Option Alle Sites verwalten und dann auf Einstellungen > Allgemein.

  2. Deaktivieren Sie für Gastzugriff das Kontrollkästchen Gastkonto aktivieren.

  3. Klicken Sie auf Speichern.

So deaktivieren Sie den Gastzugriff für eine Site:

  1. Wählen Sie im Site-Menü eine Site.

  2. Klicken Sie auf Einstellungen, und deaktivieren Sie auf der Seite "Einstellungen" das Kontrollkästchen Gastkonto aktivieren.

Weitere Informationen finden Sie unter Gastbenutzer.

14. Setzen Sie die HTTP-Kopfzeile der Referrer-Richtlinie auf 'same-origin'

Ab 2019.2 bietet Tableau Server die Möglichkeit, das HTTP-Header-Verhalten der Referrer-Policy zu konfigurieren. Diese Richtlinie ist standardmäßig mit einem Verhalten aktiviert, das die Herkunfts-URL für alle "sicher als"-Verbindungen (no-referrer-when-downgrade) enthält, die Herkunfts-Referrerinformationen nur an Verbindungen sendet, die gleichartig (HTTP zu HTTP) oder sicherer (HTTP zu HTTPS) sind.

Wir empfehlen jedoch, diesen Wert auf den Wert same-origin zu setzen, der nur Referrerinformationen an die gleiche Herkunft sendet. Anfragen von außerhalb der Site erhalten keine Referrerinformationen.

Um die Referrer-Richtlinie auf same-origin zu aktualisieren, führen Sie die folgenden Befehle aus:

tsm configuration set -k gateway.http.referrer_policy -v same-origin

tsm pending-changes apply

Für weitere Informationen zur Konfiguration zusätzlicher Kopfzeilen zur Verbesserung der Sicherheit, siehe HTTP-Response-Header.

15. Konfigurieren von TLS für die SMTP-Verbindung

Ab 2019.4 kann in Tableau Server TLS für die SMTP-Verbindung konfiguriert werden. Tableau Server unterstützt nur STARTTLS (Opportunistic oder Explicit TLS).

Optional kann Tableau Server für die Verbindung mit einem Mailserver konfiguriert werden. Nach dem Konfigurieren von SMTP kann Tableau Server so konfiguriert werden, dass Serveradministratoren E-Mails zu Systemfehlern erhalten und dass Serverbenutzer E-Mails zu abonnierten Ansichten und datengesteuerten Warnungen erhalten.

So konfigurieren Sie TLS für SMTP:

  1. Laden Sie ein kompatibles Zertifikat auf Tableau Server hoch. Siehe tsm security custom-cert add.
  2. Konfigurieren Sie die TLS-Verbindung an der TSM-Befehlszeile.

    Führen Sie die folgenden TSM-Befehle aus, um TLS-Verbindungen zum SMTP-Server zu aktivieren und zu erzwingen und die Zertifikatüberprüfung zu aktivieren.

    tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true

    tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true

    Tableau Server unterstützt standardmäßig die TLS-Versionen 1, 1.1 und 1.2. Es wird jedoch empfohlen, die höchste TLS-Version anzugeben, die vom SMTP-Server unterstützt wird.

    Führen Sie zum Festlegen der Version den folgenden Befehl aus. SSLv2Hello, SSLv3, TLSv1, TLSv1.1 und TLSv1.2 sind gültige Werte. Im folgenden Beispiel wird die TLS-Version auf Version 1.2 festgelegt:

    tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"

    Weitere Informationen zu anderen TLS-Konfigurationsoptionen finden Sie unter Konfigurieren des SMTP-Setups.

  3. Starten Sie Tableau Server neu, um die Änderungen zu übernehmen. Führen Sie den folgenden Befehl aus:

    tsm pending-changes apply

16. Konfigurieren von SSL für LDAP

Wenn Ihre Tableau Server-Bereitstellung für die Verwendung eines generischen externen LDAP-Identitätsspeichers konfiguriert ist, wird empfohlen, SSL zum Schutz der Authentifizierung zwischen Tableau Server und Ihrem LDAP-Server zu konfigurieren. Siehe Konfigurieren des verschlüsselten Kanals für den externen LDAP-Identitätsspeicher.

Wenn Ihre Tableau Server-Bereitstellung für die Verwendung von Active Directory konfiguriert ist, wird empfohlen, Kerberos zum Schutz des Authentifizierungsdatenverkehrs zu aktivieren. Siehe Kerberos.

17. Bereichsberechtigungen für nicht standardmäßige Installationsspeicherorte

Wenn Sie Tableau Server für Windows an einem nicht standardmäßigen Speicherort installieren, wird empfohlen, die Berechtigungen für das benutzerdefinierte Installationsverzeichnis manuell zu begrenzen, um den Zugriff zu reduzieren.

Tableau Server wird standardmäßig auf dem Systemlaufwerk installiert. Das Systemlaufwerk ist das Laufwerk, auf dem Windows installiert ist. In den meisten Fällen lautet das Systemlaufwerk "C:\". In diesem Standardfall wird Tableau Server in den folgenden Verzeichnissen installiert:

  • C:\Program Files\Tableau\Tableau Server\packages

  • C:\ProgramData\Tableau\Tableau Server

Viele Kunden installieren jedoch auf einem Nicht-Systemlaufwerk oder in einem anderen Verzeichnis. Wenn Sie bei der Einrichtung ein anderes Installationsverzeichnis oder einen anderen Verzeichnispfad auswählen, wird das Datenverzeichnis von Tableau Server in demselben Pfad installiert.

Um die Berechtigungen für das benutzerdefinierte Installationsverzeichnis zu einzugrenzen, sollten nur die folgenden Konten über die entsprechenden Berechtigungen für den Installationsordner und alle Unterordner verfügen:

Berechtigungen für dieses Konto festlegen: Erforderliche Berechtigungen
Das Benutzerkonto, das zum Installieren und Aktualisieren von Tableau Server verwendet wird Volle Kontrolle
Das Benutzerkonto, das zum Ausführen von TSM-Befehlen verwendet wird Volle Kontrolle
Systemkonto Volle Kontrolle
Dienstkonto "Ausführen als", Netzwerkdienst und lokaler Dienst Lesen und Ausführen

Ein Verfahren zum Festlegen dieser Berechtigungen finden Sie unter Installation an einem nicht standardmäßigen Speicherort.

Änderungsliste

Date Change
May 2018 Added clarification: Do not disable REST API in organizations that are running Tableau Prep.
May 2019 Added recommendation for referrer-policy HTTP header.
June 2019 Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See Änderungen – Wissenswertes vor dem Upgrade.
January 2020 Added recommendation to configure TLS for SMTP.
February 2020 Added recommendation to configure SSL for LDAP server.
May 2020 Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning.
August 2020 Added scoped permissions for non-default installations on Windows
October 2020 Added TLS v1.3 as a default supported cipher.
January 2021 Added clarification: All products enabled by the Data Management license require REST API.
February 2021 Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality.
Vielen Dank für Ihr Feedback!