Tableau Server i Windows-hjälp

1. Uppdatera till aktuell version

Du bör alltid köra den senaste versionen av Tableau Server. Dessutom släpper Tableau regelbundet underhållsversioner av Tableau Server, och dessa innehåller korrigeringar av kända säkerhetshål. (Information om kända säkerhetsrisker finns på Tableau-sidan Security Bulletins och på sidan Salesforce Security Advisories(Länken öppnas i ett nytt fönster).) Du bör kontrollera informationen om underhållsversionerna för att avgöra om du ska installera dem eller inte.

Om du vill hämta den senaste versionen eller underhållsversionen av Tableau Server går du till sidan Kundportal(Länken öppnas i ett nytt fönster).

2. Konfigurera SSL/TLS med ett giltigt, betrott certifikat

SSL (Secure Sockets Layer)/TLS är avgörande för att skydda kommunikationen med Tableau Server. Konfigurera Tableau Server med ett giltigt betrott certifikat (inte ett självsignerat certifikat) så att Tableau Desktop, mobila enheter och webbklienter kan ansluta till servern via en säker anslutning. Mer information finns i SSL.

3. Inaktivera äldre versioner av TLS

Tableau Server använder TLS för att autentisera och kryptera många anslutningar mellan komponenter och med externa klienter. Externa klienter, som webbläsare, Tableau Desktop och Tableau Mobile, ansluter till Tableau med TLS över HTTPS. TLS (Transport Layer Security) är en förbättrad version av SSL. Faktum är att äldre versioner av SSL (SSL v2 och SSL v3) inte längre anses vara tillräckligt säkra kommunikationsstandarder. Därför tillåter Tableau Server inte att externa klienter använder SSL v2- eller SSL v3-protokoll för att ansluta.

Du bör tillåta externa klienter att ansluta till Tableau Server med TLS v1.3 och TLS v1.2.

TLS v1.2 anses fortfarande vara ett säkert protokoll och många klienter (bland annat Tableau Desktop) har inte stöd för TLS v1.3 än.

TLS v1.3-kompatibla klienter utför TLS v1.3-förhandling även om TLS v1.2 stöds av servern.

Följande tsm-kommandon aktiverar TLS v1.2 och v1.3 (med parametern ”alla”) och inaktiverar SSL v2, SSL v3, TLS v1 samt TLS v1.1 (genom att lägga till ett minustecken [-] först i protokollnamnet). TLS v1.3 stöds inte än av alla komponenter i Tableau Server.

tsm configuration set -k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm pending-changes apply

För att ändra protokollen som styr SSL för Tableau Server PostgreSQL-lagringsplatsen går du till pgsql.ssl.ciphersuite .

Du kan också ändra den standardlista med chiffersviter som Tableau Server använder för SSL/TLS-sessioner. Mer information finns i avsnittet ssl.ciphersuite i Alternativ för tsm configuration set.

4. Konfigurera SSL-kryptering för intern trafik

Konfigurera Tableau Server att använda SSL för att kryptera all trafik mellan Postgres-lagringsplatsen och andra serverkomponenter. Som standard är SSL inaktiverat för kommunikation mellan serverkomponenter och lagringsplatsen. Du bör aktivera intern SSL för alla instanser av Tableau Server, även enserverinstallationer. Det är särskilt viktigt att aktivera intern SSL för driftsättningar med flera noder. Läs mer i Konfigurera SSL för intern Postgres-kommunikation.

5. Aktivera brandväggsskydd

Tableau Server har utformats för att fungera i ett skyddat internt nätverk.

Viktigt: Kör inte Tableau Server, eller någon annan komponent i Tableau Server, på internet eller i en DMZ. Tableau Server måste köras i företagsnätverket, som skyddas av en brandvägg mot internet. Du bör konfigurera en lösning med omvänd proxy för internetklienter som måste ansluta till Tableau Server. Läs mer i Konfigurera proxyservrar och belastningsutjämnare för Tableau Server.

En lokal brandvägg bör aktiveras på operativsystemet för att skydda Tableau Server i driftsättningar med en och flera noder. I en distribuerad installation (flera noder) av Tableau Server är kommunikationen mellan noder inte skyddad. Därför bör du aktivera brandväggar på de datorer som används som värdar för Tableau Server.

För att förhindra att en passiv angripare avlyssnar kommunikation mellan noder konfigurerar du ett segregerat, virtuellt lokalt nätverk (LAN) eller använder någon annan säkerhetslösning för nätverk.

Avsnittet Tableau Services Manager-portar innehåller mer information om vilka portar och tjänster som krävs i Tableau Server.

6. Begränsa tillgången till serverdatorn och viktiga kataloger

Konfigurationsfiler och loggfiler för Tableau Server kan innehålla information som är värdefull för en angripare. Därför bör du begränsa den fysiska tillgången till den dator som kör Tableau Server. Dessutom bör du se till att bara auktoriserade och betrodda användare har tillgång till Tableau Server-filer i katalogen C:\ProgramData\Tableau.

7. Uppdatera Kör som användare-kontot för Tableau Server

Tableau Server körs som standard med Windows fördefinierade konto för nätverkstjänster (NT Authority\Network Service). Standardkontot kan användas i scenarier där Tableau Server inte behöver ansluta till externa datakällor som kräver Windows-autentisering. Men om användarna behöver komma åt datakällor som autentiseras via Active Directory uppdaterar du Kör som användare-kontot till ett domänkonto. Det är viktigt att minimera behörigheterna för det konto som du använder för Kör som användare. Mer information finns i Kör som tjänst-konto.

8. Skapa nya hemligheter och token

Alla Tableau Server-tjänster som kommunicerar med lagringsplatsen eller cacheservern måste autentiseras med en hemlig token. Denna hemliga token genereras under konfigurationen av Tableau Server. Den krypteringsnyckel som intern SSL använder för att kryptera trafiken till Postgres-lagringsplatsen genereras också under konfigurationen.

När du har installerat Tableau Server bör du generera nya krypteringsnycklar för driftsättningen.

De här säkerhetsresurserna kan genereras om med kommandot tsm security regenerate-internal-tokens.

Kör följande kommandon:

tsm security regenerate-internal-tokens

tsm pending-changes apply

9. Inaktivera tjänster som du inte använder

För att minimera möjligheterna till intrång på Tableau Server kan du inaktivera alla anslutningspunkter som inte behövs.

JMX-tjänst

JMX är som standard inaktiverat. Om det är aktiverat, men du inte använder det, bör du inaktivera det enligt följande:

tsm configuration set -k service.jmx_enabled -v false

tsm pending-changes apply

10. Verifiera konfiguration av sessionens livslängd

Tableau Server har som standard ingen absolut sessionstidsgräns. Det betyder att webbläsarbaserade klientsessioner (webbredigering) kan förbli öppna på obestämd tid om tidsgränsen för inaktivitet i Tableau Server inte överskrids. Standardvärdet för inaktivitet är 240 minuter.

Om säkerhetspolicyn kräver det kan du ange en absolut sessionstidsgräns. Se till att du anger en absolut sessionstidsgräns som räcker för att de längsta extraktöverföringarna eller arbetsbokspubliceringarna i organisationen ska hinnas med. Om du anger en för kort sessionstidsgräns kan det ge upphov till extrakt- och publiceringsfel för tidskrävande åtgärder.

Ange sessionstidsgränsen genom att köra följande kommandon:

tsm configuration set -k wgserver.session.apply_lifetime_limit -v true

tsm configuration set -k wgserver.session.lifetime_limit -v value, där value (värde) är antalet minuter. Standardvärdet är 1 440, som motsvarar 24 timmar.

tsm configuration set -k wgserver.session.idle_limit -v value, där value (värde) är antalet minuter. Standardvärdet är 240.

tsm pending-changes apply

Sessioner för anslutna klienter (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge och personliga åtkomsttoken) använder OAuth-token för att hålla användare inloggade genom att återupprätta en session. Du kan inaktivera det här beteendet om du vill att alla Tableaus klientsessioner enbart ska regleras av de webbläsarbaserade sessionsgränser som styrs med ovannämnda kommandon. Läs mer i Inaktivera automatisk klientautentisering.

12. Aktivera HTTP Strict Transport Security för webbläsarklienter

HTTP Strict Transport Security (HSTS) är en policy som konfigureras för webbprogramtjänster, som Tableau Server. När en kompatibel webbläsare stöter på ett webbprogram som kör HSTS måste alla kommunikation med tjänsten ske via en säker anslutning (HTTPS). HSTS stöds av de vanligaste webbläsarna.

Mer information om hur HSTS fungerar och vilka webbläsare som har stöd för det finns på OWASP:s webbplats (Open Web Application Security Project) i HTTP Strict Transport Security Cheat Sheet(Länken öppnas i ett nytt fönster).

Om du vill aktivera HSTS kör du följande kommandon på Tableau Server:

tsm configuration set -k gateway.http.hsts -v true

Som standard är HSTS-policyn inställd på ett år (31 536 000 sekunder). Den här tidsperioden anger hur länge webbläsaren ansluter till servern via HTTPS. Du bör överväga att ange en kort maximal åldersgräns under den inledande distributionen av HSTS. Om du vill ändra den här tidsgränsen kör du tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds>. Om du till exempel vill ange tidsperioden för HSTS-policyn till 30 dagar anger du tsm configuration set -k gateway.http.hsts_options -v max-age=2592000.

tsm pending-changes apply

13. Inaktivera gäståtkomst

Kärnbaserade licenser för Tableau Server inkluderar en gästanvändare, med vilken en användare i organisationen kan se och interagera med Tableau-vyer som bäddats in på webbsidor.

Gästanvändaråtkomst är aktiverat som standard när Tableau Server driftsätts med kärnbaserad licensiering.

Med gäståtkomst kan användarna se inbäddade vyer. Gästanvändare kan inte bläddra i Tableau Server-gränssnittet eller se servergränssnittets element i vyn, till exempel användarnamn, kontoinställningar, kommentarer och så vidare.

Om organisationen har driftsatt Tableau Server med kärnlicenser och gäståtkomst inte behövs inaktiverar du gäståtkomsten.

Du kan inaktivera gäståtkomst på server- eller platsnivå.

Du måste vara serveradministratör för att inaktivera gästkontot på antingen server- eller platsnivå.

Så här inaktiverar du gäståtkomst på servernivå:

1. Klicka på Hantera alla platser på platsmenyn och klicka sedan på Inställningar > Allmänt.

2. Vid Gäståtkomst avmarkerar du kryssrutan Aktivera gäståtkomst.

3. Klicka på Spara.

Så här inaktiverar du gäståtkomst för en plats:

1. Välj en plats på platsmenyn.

2. Klicka på Inställningar och avmarkera kryssrutan Aktivera gäståtkomst på sidan Inställningar.

Mer information finns i Gästanvändare.

14. Ange HTTP-huvudet referrer-policy som 'same-origin’

Från och med 2019.2 inkluderar Tableau Server en funktion som kan konfigurera beteende för HTTP-rubriker för hänvisningspolicy. Den här policyn aktiveras med ett standardbeteende som inkluderar ursprungs-URL för alla ”säkra” anslutningar (no-referrer-when-downgrade), som skickar information om ursprungshänvisare enbart till likadana anslutningar (HTTP till HTTP) eller sådana som är säkrare (HTTP till HTTPS).

Du bör dock ange det här värdet som same-origin, vilket bara skickar information om hänvisare till ursprung inom samma plats. Begäranden från utanför platsen får ingen hänvisarinformation.

Om du vill uppdatera hänvisningspolicyn till same-origin kör du följande kommandon:

tsm configuration set -k gateway.http.referrer_policy -v same-origin

tsm pending-changes apply

Mer information om hur du konfigurerar fler sidhuvuden för att förstärka säkerheten finns i HTTP-svarsrubriker.

15. Konfigurera TLS för SMTP-anslutningar

Från och med 2019.4 inkluderar Tableau Server en funktion för konfiguration av TLS för SMTP-anslutningar. Tableau Server har endast stöd för STARTTLS (opportunistisk eller explicit TLS).

Du kan också konfigurera Tableau Server att ansluta till en e-postserver. Efter SMTP-konfigurationen kan Tableau Server konfigureras att skicka mejl till serveradministratörerna om systemfel och till serveranvändarna om prenumerationsvyer och datadrivna aviseringar.

Så här konfigurerar du TLS för SMTP:

1. Ladda upp ett kompatibelt certifikat till Tableau Server. Läs mer i tsm security custom-cert add.
2. Konfigurera TLS-anslutningen med TSM CLI.

   Kör följande TSM-kommandon för att aktivera och tvinga fram TLS-anslutningar till SMTP-servern och för att aktivera certifikatverifiering.

   tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v true

   tsm configuration set -k svcmonitor.notification.smtp.ssl_required -v true

   tsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v true

   Tableau Server har som standard stöd för TLS versions 1, 1.1 och 1.2, men du bör ange den senaste TLS-versionen som SMTP-servern har stöd för.

   Kör följande kommando för att ange version. Giltiga värden är SSLv2Hello, SSLv3, TLSv1, TLSv1.1 samt TLSv1.2. I följande exempel anges TLS-versionen som version 1.2:

   tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"

   Mer information om andra alternativ för TLS-konfiguration finns i Konfigurera SMTP-inställningar.

3. Starta om Tableau Server för att använda ändringarna. Kör följande kommando:

   tsm pending-changes apply

16. Konfigurera SSL för LDAP

Om Tableau Server-driftsättningen har konfigurerats för att använda ett allmänt, externt LDAP-identitetsregister bör du konfigurera SSL för att skydda autentiseringen mellan Tableau Server och LDAP-servern. Läs mer i Konfigurera den krypterade kanalen till LDAP:s externa identitetsregister.

Om Tableau Server-driftsättningen har konfigurerats för att använda Active Directory bör du aktivera Kerberos för att skydda autentiseringstrafiken. Läs mer i avsnittet om Kerberos.

Ändringslista