รายการตรวจสอบเพื่อปิดช่องโหว่ด้านความปลอดภัย
รายการต่อไปนี้จะเสนอคำแนะนำในการปรับปรุงความปลอดภัย ("การปิดช่องโหว่") ในการติดตั้ง Tableau Server
กำลังมองหา Tableau Server สำหรับ Linux ใช่ไหม โปรดดู รายการตรวจสอบเพื่อปิดช่องโหว่ด้านความปลอดภัย(ลิงก์จะเปิดในหน้าต่างใหม่)
การติดตั้งการอัปเดตเพื่อความปลอดภัย
การอัปเดตเพื่อความปลอดภัยรวมอยู่ในเวอร์ชันล่าสุดและการเผยแพร่การบำรุงรักษา (MR) ของ Tableau Server แล้ว คุณจะไม่สามารถติดตั้งการอัปเดตเพื่อความปลอดภัยในลักษณะเป็นแพตช์ได้ แต่คุณต้องอัปเกรดเป็นเวอร์ชันปัจจุบันหรืออัปเดต MR เพื่ออัปเดต Tableau Server ด้วยการแก้ไขด้านความปลอดภัยล่าสุด
หลังจากอัปเกรดแล้ว โปรดหมั่นเข้ามาอ้างอิงเวอร์ชันล่าสุดของหัวข้อนี้อยู่เสมอ เวอร์ชันปัจจุบันจะมีคำว่า /current/ อยู่ใน URL หัวข้อ
ตัวอย่างเช่น URL ในเวอร์ชันสหรัฐอเมริกาคือ: https://help.tableau.com/current/server/th-th/security_harden.htm.
1. อัปเดตเป็นเวอร์ชันปัจจุบัน
เราขอแนะนำให้คุณใช้ Tableau Server เวอร์ชันล่าสุดเสมอ นอกจากนี้ Tableau ยังเผยแพร่การบำรุงรักษาสำหรับ Tableau Server เป็นระยะๆ ซึ่งจะมีการแก้ไขสำหรับช่องโหว่ด้านความปลอดภัยที่ทราบด้วย (คุณสามารถอ่านข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ทราบได้ที่หน้าข่าวสารด้านความปลอดภัยของ Tableau และหน้าคำแนะนำด้านความปลอดภัยของ Salesforce(ลิงก์จะเปิดในหน้าต่างใหม่)) เราขอแนะนำให้คุณตรวจสอบการแจ้งเตือนการเผยแพร่การบำรุงรักษาเพื่อพิจารณาว่าควรติดตั้งหรือไม่
หากต้องการดาวน์โหลดเวอร์ชันล่าสุดหรือการเผยแพร่การบำรุงรักษาของ Tableau Server โปรดไปที่หน้าพอร์ทัลลูกค้า(ลิงก์จะเปิดในหน้าต่างใหม่)
2. กำหนดค่า SSL/TLS ด้วยใบรับรองที่ถูกต้องและเชื่อถือได้
Secure Sockets Layer (SSL/TLS) เป็นสิ่งจำเป็นเพื่อช่วยปกป้องความปลอดภัยในการสื่อสารกับ Tableau Server กำหนดค่า Tableau Server ด้วยใบรับรองที่ถูกต้องและเชื่อถือได้ (ไม่ใช่ใบรับรองที่ลงนามเอง) เพื่อให้ Tableau Desktop, อุปกรณ์มือถือ และเว็บไคลเอ็นต์สามารถเชื่อมต่อกับเซิร์ฟเวอร์ผ่านการเชื่อมต่อที่ปลอดภัย หากต้องการข้อมูลเพิ่มเติม โปรดดู SSL
3. ปิดใช้งาน TLS เวอร์ชันเก่า
Tableau Server ใช้ TLS ในการตรวจสอบสิทธิ์และเข้ารหัสการเชื่อมต่อส่วนใหญ่ระหว่างส่วนประกอบต่างๆ และเชื่อมต่อกับไคลเอ็นต์ภายนอก ไคลเอ็นต์ภายนอก เช่น เบราว์เซอร์, Tableau Desktop, Tableau Mobile เชื่อมต่อกับ Tableau โดยใช้ TLS ผ่าน HTTPS Transport Layer Security (TLS) เป็น SSL เวอร์ชันที่ปรับปรุงแล้ว ที่จริงแล้ว SSL เวอร์ชันเก่า (SSL v2 และ SSL v3) ไม่ถือว่าเป็นมาตรฐานการสื่อสารที่มีความปลอดภัยมากพออีกต่อไปแล้ว ด้วยเหตุนี้ Tableau Server จึงไม่อนุญาตให้ไคลเอ็นต์ภายนอกใช้โปรโตคอล SSL v2 หรือ SSL v3 ในการเชื่อมต่อ
เราขอแนะนำให้คุณอนุญาตให้ไคลเอ็นต์ภายนอกเชื่อมต่อกับ Tableau Server โดยใช้ TLS v1.3 และ TLS v1.2
TLS v1.2 จะยังคงถือว่าเป็นโปรโตคอลที่ปลอดภัย และไคลเอ็นต์จำนวนมาก (รวมถึง Tableau Desktop) ยังไม่รองรับ TLS v1.3
ไคลเอ็นต์ที่รองรับ TLS v1.3 จะสื่อสารกับ TLS v1.3 แม้ว่าเซิร์ฟเวอร์จะรองรับ TLS v1.2 ก็ตาม
คำสั่ง tsm ต่อไปนี้จะเปิดใช้งาน TLS v1.2 และ v1.3 (โดยใช้พารามิเตอร์ "ทั้งหมด") และปิดใช้งาน SSL v2, SSL v3, TLS v1 และ TLS v1.1 (โดยเติมเครื่องหมายลบ [-] ไว้ข้างหน้าโปรโตคอลดังกล่าว) ส่วนประกอบต่างๆ ทั้งหมดของ Tableau Server ยังไม่รองรับ TLS v1.3
tsm configuration set -k ssl.protocols -v "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
tsm pending-changes apply
หากต้องการแก้ไขโปรโตคอลที่กำกับดูแล SSL สำหรับที่เก็บของ Tableau Server PostgreSQL โปรดดู pgsql.ssl.ciphersuite
คุณยังสามารถแก้ไขรายการเริ่มต้นของชุดการเข้ารหัสไซเฟอร์ที่ Tableau Server ใช้สำหรับเซสชัน SSL/TLS ได้อีกด้วย หากต้องการข้อมูลเพิ่มเติม โปรดดู ssl.ciphersuite และตัวเลือกการกำหนดค่า tsm ที่ตั้งค่าไว้
4. กำหนดค่าการเข้ารหัส SSL สำหรับการรับส่งข้อมูลภายใน
กำหนดค่า Tableau Server ให้ใช้ SSL เพื่อเข้ารหัสการรับส่งข้อมูลทั้งหมดระหว่างที่เก็บ Postgre และส่วนประกอบอื่นๆ ทั้งหมดของเซิร์ฟเวอร์ ตามค่าเริ่มต้น SSL จะปิดใช้งานไว้สำหรับการสื่อสารระหว่างส่วนประกอบของเซิร์ฟเวอร์และที่เก็บ เราขอแนะนำให้เปิดใช้งาน SSL ภายในสำหรับ Tableau Server ในทุกกรณี แม้กระทั่งการติดตั้งเซิร์ฟเวอร์เดียว การเปิดใช้งาน SSL ภายในมีความสำคัญเป็นอย่างยิ่งสำหรับการปรับใช้แบบหลายโหนด โปรดดูหัวข้อกำหนดค่า SSL สำหรับการสื่อสารภายใน Postgres
5. เปิดใช้งานการป้องกันด้วยไฟร์วอลล์
Tableau Server ได้รับการออกแบบมาเพื่อทำงานภายในเครือข่ายภายในที่มีการป้องกัน
สำคัญ: อย่าใช้งาน Tableau Server หรือส่วนประกอบใดๆ ของ Tableau Server บนอินเทอร์เน็ตหรือใน DMZ ทั้งนี้ ต้องใช้งาน Tableau Server ภายในเครือข่ายองค์กรที่ได้รับการป้องกันโดยอินเทอร์เน็ตไฟร์วอลล์ เราขอแนะนำให้กำหนดค่าโซลูชันพร็อกซีย้อนกลับ (Reverse Proxy) สำหรับไคลเอ็นต์อินเทอร์เน็ตที่ต้องเชื่อมต่อกับ Tableau Server โปรดดูการกำหนดค่าพร็อกซีและตัวจัดสรรภาระงานสำหรับ Tableau Server
ควรเปิดใช้งานไฟร์วอลในเครื่องบนระบบปฏิบัติการเพื่อป้องกัน Tableau Server ในการปรับใช้แบบเดี่ยวและแบบหลายโหนด ในการติดตั้ง Tableau Server แบบกระจาย (หลายโหนด) การสื่อสารระหว่างโหนดจะไม่ใช้การสื่อสารที่ปลอดภัย ดังนั้น คุณควรเปิดใช้งานไฟร์วอลบนคอมพิวเตอร์ที่โฮสต์ Tableau Server
คุณควรกำหนดค่า LAN เสมือนแบบแยกส่วนหรือใช้โซลูชันการรักษาความปลอดภัยเลเยอร์เครือข่ายอื่นๆ เพื่อป้องกันไม่ให้ผู้โจมตีแบบพาสซีฟสังเกตเห็นการสื่อสารระหว่างโหนด
โปรดดู พอร์ตของ Tableau Services Managerเพื่อทำความเข้าใจว่าพอร์ตและบริการใดที่ Tableau Server จำเป็นต้องใช้
6. จำกัดการเข้าถึงคอมพิวเตอร์เซิร์ฟเวอร์และไดเรกทอรีที่สำคัญ
ไฟล์การกำหนดค่าของ Tableau Server และไฟล์บันทึกอาจมีข้อมูลที่เป็นประโยชน์สำหรับผู้โจมตี ดังนั้น จึงควรจำกัดการเข้าถึงเครื่องที่กำลังใช้งาน Tableau Server อยู่ นอกจากนี้ ควรตรวจสอบว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตและเชื่อถือได้เท่านั้นที่สามารถเข้าถึงไฟล์ของ Tableau Server ในไดเรกทอรี C:\ProgramData\Tableau ได้
7. อัปเดตบัญชี “เรียกใช้งานในฐานะผู้ใช้” ของ Tableau Server
ตามค่าเริ่มต้น Tableau Server จะทำงานภายใต้บัญชี Windows Network Services (NT Authority\Network Service) ที่กำหนดไว้ล่วงหน้า การใช้บัญชีตามค่าเริ่มต้นนั้นเป็นเรื่องที่ยอมรับได้ในสถานการณ์ที่ Tableau Server ไม่จำเป็นต้องเชื่อมต่อกับแหล่งข้อมูลภายนอกที่ต้องมีการตรวจสอบสิทธิ์ของ Windows อย่างไรก็ตาม หากผู้ใช้ของคุณจำเป็นต้องเข้าถึงแหล่งข้อมูลที่ได้รับการตรวจสอบสิทธิ์โดย Active Directory ให้อัปเดตบัญชี “เรียกใช้งานในฐานะผู้ใช้” เป็นบัญชีโดเมน การลดจำนวนสิทธิ์ของบัญชีที่คุณใช้ในลักษณะ “เรียกใช้งานในฐานะผู้ใช้” ถือว่าเป็นเรื่องสำคัญ หากต้องการข้อมูลเพิ่มเติม โปรดดู เรียกใช้งานในฐานะบัญชีบริการ
8. สร้างข้อมูลลับและโทเค็นใหม่
ทุกบริการของ Tableau Server ที่สื่อสารกับที่เก็บหรือเซิร์ฟเวอร์แคชจะต้องตรวจสอบสิทธิ์ด้วยโทเค็นลับก่อน ระบบจะสร้างโทเค็นลับขึ้นระหว่างที่ตั้งค่า Tableau Server คีย์การเข้ารหัสที่ SSL ภายในใช้เพื่อเข้ารหัสการรับส่งข้อมูลไปยังที่เก็บ Postgres จะถูกสร้างขึ้นในระหว่างการตั้งค่าด้วยเช่นกัน
เราขอแนะนำว่าหลังจากที่ติดตั้ง Tableau Server แล้ว คุณควรสร้างคีย์การเข้ารหัสใหม่สำหรับใช้งานเอง
คุณสามารถสร้างองค์ประกอบด้านความปลอดภัยเหล่านี้ใหม่ได้ด้วยคำสั่ง tsm security regenerate-internal-tokens
เรียกใช้คำสั่งต่อไปนี้:
tsm security regenerate-internal-tokens
tsm pending-changes apply
9. ปิดใช้งานบริการที่คุณไม่ได้ใช้
เพื่อลดพื้นที่ที่ Tableau Server อาจถูกโจมตีได้ ให้ปิดใช้งานจุดเชื่อมต่อที่ไม่จำเป็น
บริการ JMX
JMX จะถูกปิดใช้งานโดยค่าเริ่มต้นอยู่แล้ว หากเปิดใช้งานไว้ แต่คุณไม่ได้ใช้งาน ก็ควรปิดใช้งานโดยใช้คำสั่งต่อไปนี้
tsm configuration set -k service.jmx_enabled -v false
tsm pending-changes apply
10. ยืนยันการกำหนดค่าอายุใช้งานของเซสชัน
ตามค่าเริ่มต้นแล้ว Tableau Server ไม่ได้กำหนดการหมดเวลาของเซสชันที่แน่นอน ซึ่งหมายความว่าเซสชันของไคลเอ็นต์บนเบราว์เซอร์ (การเขียนเว็บ) จะสามารถเปิดต่อไปได้โดยไม่มีกำหนด หากไม่เกินระยะหมดเวลาเนื่องจากไม่มีการใช้งานของ Tableau Server ระยะหมดเวลาเนื่องจากไม่มีการใช้งานตามค่าเริ่มต้นคือ 240 นาที
หากนโยบายความปลอดภัยของคุณกำหนดให้ต้องมีระยะหมดเวลา คุณสามารถกำหนดระยะหมดเวลาของเซสชันที่แน่นอนได้ อย่าลืมตั้งค่าระยะหมดเวลาของเซสชันที่แน่นอนในช่วงที่รองรับการอัปโหลดการแยกข้อมูลที่ใช้เวลานานที่สุดหรือการดำเนินการเผยแพร่เวิร์กบุ๊กในองค์กรของคุณ การตั้งค่าระยะหมดเวลาของเซสชันที่น้อยเกินไปอาจส่งผลให้การแยกข้อมูลและการเผยแพร่ล้มเหลวสำหรับการดำเนินการที่ใช้เวลานาน
วิธีการกำหนดระยะหมดเวลาของเซสชัน ให้เรียกใช้คำสั่งต่อไปนี้
tsm configuration set -k wgserver.session.apply_lifetime_limit -v true
tsm configuration set -k wgserver.session.lifetime_limit -v value โดยกำหนดให้ value เป็นจำนวนนาที ค่าเริ่มต้นคือ 1440 ซึ่งก็คือ 24 ชั่วโมง
tsm configuration set -k wgserver.session.idle_limit -v value โดยกำหนดให้ value เป็นจำนวนนาที ค่าเริ่มต้นคือ 240
tsm pending-changes apply
เซสชันสำหรับไคลเอ็นต์ที่เชื่อมต่อ (Tableau Desktop, Tableau Mobile, Tableau Prep Builder, Bridge และโทเค็นการเข้าถึงส่วนบุคคล) ให้ใช้โทเค็น OAuth เพื่อให้ผู้ใช้อยู่ในระบบต่อไปโดยสร้างเซสชันขึ้นมาอีกครั้ง คุณสามารถปิดใช้งานการทำงานนี้ได้หากต้องการให้เซสชันของไคลเอ็นต์ Tableau ทั้งหมดอยู่ภายใต้การควบคุมดูแลโดยขีดจำกัดของเซสชันบนเบราว์เซอร์ที่ควบคุมโดยคำสั่งข้างต้น โปรดดู ปิดใช้งานการตรวจสอบสิทธิ์ไคลเอ็นต์อัตโนมัติ
11. กำหนดค่ารายการที่อนุญาตของเซิร์ฟเวอร์สำหรับแหล่งข้อมูลแบบไฟล์
ตั้งแต่การเปิดตัว Tableau Server ในเดือนตุลาคม 2023 ลักษณะการเข้าถึงตามไฟล์ตามค่าเริ่มต้นมีการเปลี่ยนแปลง ก่อนหน้านี้ Tableau Server จะอนุญาตให้ผู้ใช้ Tableau Server ที่ได้รับสิทธิ์ในการสร้างเวิร์กบุ๊กที่ใช้ไฟล์ในเซิร์ฟเวอร์เป็นแหล่งข้อมูลแบบไฟล์ (เช่น สเปรดชีต) ในการเปิดตัวเดือนตุลาคม 2023 สิทธิ์เข้าถึงไฟล์ที่จัดเก็บไว้ใน Tableau หรือการแชร์ระยะไกลจะต้องได้รับการกำหนดค่าเป็นพิเศษบน Tableau Server โดยใช้การตั้งค่าที่อธิบายไว้ที่นี่
การตั้งค่านี้ช่วยให้คุณสามารถจำกัดสิทธิ์เข้าถึงโดยเรียกใช้งานในฐานะบัญชีบริการเฉพาะไดเรกทอรีที่คุณระบุเท่านั้น
หากต้องการกำหนดค่าสิทธิ์เข้าถึงไฟล์ที่แชร์ คุณต้องกำหนดค่าฟังก์ชันรายการที่อนุญาต ซึ่งจะช่วยให้คุณจำกัดบัญชี “เรียกใช้เป็นบริการ” ให้เหลือเพียงเส้นทางไดเรกทอรีในเครื่อง หรือไดเรกทอรีที่แชร์ซึ่งคุณโฮสต์ไฟล์ข้อมูลเท่านั้น
ในคอมพิวเตอร์ที่ Tableau Server ทำงานอยู่ ให้ระบุไดเรกทอรีที่คุณจะโฮสต์ไฟล์แหล่งข้อมูล
สำคัญ ตรวจสอบว่าเส้นทางไฟล์ที่คุณระบุในการตั้งค่านี้มีอยู่และเข้าถึงได้โดยบัญชีบริการ
เรียกใช้คำสั่งต่อไปนี้:
tsm configuration set -k native_api.allowed_paths -v "path"โดยให้เส้นทางเป็นไดเรกทอรีที่จะเพิ่มไปยังรายการที่อนุญาต ไดเรกทอรีย่อยทั้งหมดของเส้นทางที่ระบุจะเพิ่มไปยังรายการที่อนุญาต หากคุณต้องการระบุหลายเส้นทาง ให้แยกระหว่างแต่ละเส้นทางด้วยเครื่องหมายเซมิโคลอนดังเช่นตัวอย่างต่อไปนี้:tsm configuration set -k native_api.allowed_paths -v "c:\datasources;\\HR\data"tsm pending-changes apply
12. เปิดใช้งาน HTTP Strict Transport Security สำหรับไคลเอ็นต์เว็บเบราว์เซอร์
HTTP Strict Transport Security (HSTS) เป็นนโยบายที่กำหนดค่าไว้บนบริการเว็บแอปพลิเคชัน เช่น Tableau Server เมื่อเบราว์เซอร์ที่สอดคล้องกับนโยบายดังกล่าวตรวจพบเว็บแอปพลิเคชันที่ใช้งาน HSTS การสื่อสารทั้งหมดที่ติดต่อกับบริการดังกล่าวจะต้องใช้การเชื่อมต่อที่ปลอดภัย (HTTPS) เบราว์เซอร์หลักๆ ต่างรองรับ HSTS
หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทำงานของ HSTS และเบราว์เซอร์ที่รองรับ โปรดดู หน้าเว็บ The Open Web Application Security Project ในหัวข้อ HTTP Strict Transport Security Cheat Sheet(ลิงก์จะเปิดในหน้าต่างใหม่)
หากต้องการเปิดใช้งาน HSTS ให้เรียกใช้คำสั่งต่อไปนี้บน Tableau Server
tsm configuration set -k gateway.http.hsts -v true
ตามค่าเริ่มต้น นโยบาย HSTS จะถูกกำหนดไว้เป็นเวลาหนึ่งปี (31,536,000 วินาที) ช่วงเวลานี้ระบุระยะเวลาที่เบราว์เซอร์จะเข้าถึงเซิร์ฟเวอร์ผ่าน HTTPS คุณควรพิจารณาตั้งค่า “max-age” ให้สั้นในระหว่างที่เริ่มใช้งาน HSTS ครั้งแรก หากต้องการเปลี่ยนระยะเวลานี้ ให้เรียกใช้ tsm configuration set -k gateway.http.hsts_options -v max-age=<seconds> ตัวอย่างเช่น หากต้องการตั้งค่าระยะเวลาของนโยบาย HSTS เป็น 30 วัน ให้ป้อน tsm configuration set -k gateway.http.hsts_options -v max-age=2592000
tsm pending-changes apply
13. ปิดใช้งานการเข้าถึงสำหรับผู้เยี่ยมชม
ใบอนุญาตแบบตามคอร์ของ Tableau Server มีตัวเลือกสำหรับผู้ใช้ที่เป็นผู้เยี่ยมชม ซึ่งจะอนุญาตให้ผู้ใช้ทุกคนในองค์กรของคุณสามารถดูและโต้ตอบกับมุมมองของ Tableau ที่ฝังอยู่ในหน้าเว็บได้
ตามค่าเริ่มต้นแล้ว ระบบจะเปิดใช้งานการเข้าถึงสำหรับผู้เยี่ยมชมใน Tableau Server ที่มีการใช้งานการให้สิทธิ์อนุญาตแบบตามคอร์
การเข้าถึงสำหรับผู้เยี่ยมชมจะช่วยให้ผู้ใช้สามารถดูมุมมองที่ฝังอยู่ได้ ผู้ใช้ที่เป็นผู้เยี่ยมชมจะไม่สามารถเรียกดูอินเทอร์เฟซของ Tableau Server หรือดูองค์ประกอบอินเทอร์เฟซเซิร์ฟเวอร์ในมุมมองได้ เช่น ชื่อผู้ใช้ การตั้งค่าบัญชี ความคิดเห็น และอื่นๆ
หากองค์กรของคุณใช้งาน Tableau Server โดยให้สิทธิ์อนุญาตแบบตามคอร์และไม่จำเป็นต้องใช้การเข้าถึงสำหรับผู้เยี่ยมชม ให้ปิดใช้งานการเข้าถึงสำหรับผู้เยี่ยมชม
คุณสามารถปิดใช้งานการเข้าถึงสำหรับผู้เยี่ยมชมที่ระดับเซิร์ฟเวอร์หรือที่ระดับไซต์ก็ได้
ทั้งนี้ คุณต้องเป็นผู้ดูแลระบบเซิร์ฟเวอร์จึงจะปิดใช้งานบัญชีผู้เยี่ยมชมที่ระดับเซิร์ฟเวอร์หรือระดับไซต์ได้
วิธีปิดใช้งานการเข้าถึงสำหรับผู้เยี่ยมชมที่ระดับเซิร์ฟเวอร์มีดังนี้
ในเมนูของไซต์ ให้คลิกจัดการไซต์ทั้งหมด แล้วจึงคลิกการตั้งค่า > ทั่วไป
ในส่วนการเข้าถึงสำหรับผู้เยี่ยมชม ให้ยกเลิกการทำเครื่องหมายในช่องเปิดใช้งานบัญชีผู้เยี่ยมชม
คลิกบันทึก
วิธีปิดใช้งานการเข้าถึงแบบผู้เยี่ยมชมสำหรับไซต์มีดังนี้
ในเมนูของไซต์ ให้เลือกไซต์
คลิกการตั้งค่า และในหน้าการตั้งค่า ให้ยกเลิกการทำเครื่องหมายในช่องเปิดใช้งานบัญชีผู้เยี่ยมชม
หากต้องการข้อมูลเพิ่มเติม โปรดดู ผู้ใช้ที่เป็นผู้เยี่ยมชม
14. ตั้งค่าส่วนหัว HTTP ของ Referrer-policy เป็น 'same-origin'
ตั้งแต่รุ่น 2019.2 เป็นต้นไป Tableau Server จะมีความสามารถในการกำหนดค่าส่วนหัวของนโยบายตัวอ้างอิง Referrer-Policy HTTP นโยบายนี้จะเปิดใช้งานด้วยการทำงานตามค่าเริ่มต้นซึ่งจะรวม URL ต้นทางสำหรับการเชื่อมต่อที่ "ปลอดภัยในฐานะ" (no-referrer-when-downgrade) ซึ่งจะส่งข้อมูลผู้อ้างอิงต้นทางไปยังการเชื่อมต่อที่คล้ายกันเท่านั้น (HTTP to HTTP) หรือที่ปลอดภัยมากกว่า (HTTP to HTTPS)
อย่างไรก็ตาม เราขอแนะนำให้ตั้งค่านี้เป็น same-origin ซึ่งจะส่งข้อมูลผู้อ้างอิงไปยังต้นทางของไซต์เดียวกันเท่านั้น โดยคำขอจากภายนอกไซต์จะไม่ได้รับข้อมูลผู้อ้างอิง
หากต้องการอัปเดต Referrer-policy ให้เป็น same-origin ให้เรียกใช้คำสั่งต่อไปนี้
tsm configuration set -k gateway.http.referrer_policy -v same-origin
tsm pending-changes apply
หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่าส่วนหัวเพิ่มเติมเพื่อเพิ่มความปลอดภัย โปรดดู ส่วนหัวการตอบสนอง HTTP
15. กำหนดค่า TLS สำหรับการเชื่อมต่อ SMTP
ตั้งแต่รุ่น 2019.4 เป็นต้นไป Tableau Server จะมีความสามารถในการกำหนดค่า TLS สำหรับการเชื่อมต่อ SMTP Tableau Server รองรับเฉพาะ STARTTLS (TLS แบบตามโอกาสหรือแบบชัดแจ้ง)
คุณสามารถเลือกกำหนดค่าให้ Tableau Server เชื่อมต่อกับเซิร์ฟเวอร์เมลได้ หลังจากกำหนดค่า SMTP แล้ว คุณสามารถกำหนดค่าให้ Tableau Server ส่งอีเมลให้แก่ผู้ดูแลระบบเซิร์ฟเวอร์เกี่ยวกับข้อผิดพลาดของระบบ และส่งอีเมลให้แก่ผู้ใช้เซิร์ฟเวอร์เกี่ยวกับมุมมองที่สมัครใช้งานและการแจ้งเตือนเกี่ยวกับข้อมูลได้
วิธีการกำหนดค่า TLS สำหรับ SMTP มีดังนี้
- อัปโหลดใบรับรองที่ใช้ร่วมกันได้ไปยัง Tableau Server โปรดดู tsm security custom-cert add
- กำหนดค่าการเชื่อมต่อ TLS โดยใช้ TSM CLI
เรียกใช้คำสั่ง TSM ต่อไปนี้เพื่อเปิดใช้งานและบังคับการเชื่อมต่อ TLS กับเซิร์ฟเวอร์ SMTP และเพื่อเปิดใช้งานการตรวจสอบใบรับรอง
tsm configuration set -k svcmonitor.notification.smtp.ssl_enabled -v truetsm configuration set -k svcmonitor.notification.smtp.ssl_required -v truetsm configuration set -k svcmonitor.notification.smtp.ssl_check_server_identity -v trueตามค่าเริ่มต้นแล้ว Tableau Server จะรองรับ TLS เวอร์ชัน 1, 1.1 และ 1.2 แต่เราขอแนะนำให้คุณระบุ TLS เวอร์ชันสูงสุดที่เซิร์ฟเวอร์ SMTP รองรับ
เรียกใช้คำสั่งต่อไปนี้เพื่อกำหนดเวอร์ชัน ค่าที่ถูกต้องได้แก่
SSLv2Hello,SSLv3,TLSv1,TLSv1.1และTLSv1.2ตัวอย่างต่อไปนี้เป็นการตั้งค่าเวอร์ชันของ TLS เป็นเวอร์ชัน 1.2tsm configuration set -k svcmonitor.notification.smtp.ssl_versions -v "TLSv1.2"หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับตัวเลือกการกำหนดค่า TLS โปรดดู กำหนดค่าการตั้งค่า SMTP
- รีสตาร์ท Tableau Server เพื่อให้ระบบนำการเปลี่ยนแปลงมาใช้ เรียกใช้คำสั่งต่อไปนี้:
tsm pending-changes apply
16. กำหนดค่า SSL สำหรับ LDAP
หากคุณกำหนดค่าให้ Tableau Server ใช้ที่เก็บข้อมูลประจำตัวภายนอก LDAP ทั่วไป เราขอแนะนำให้กำหนดค่า SSL เพื่อป้องกันการตรวจสอบสิทธิ์ระหว่าง Tableau Server กับเซิร์ฟเวอร์ LDAP ของคุณ โปรดดู กำหนดค่าช่องทางที่เข้ารหัสไปยังที่เก็บข้อมูลประจำตัวภายนอก LDAP
หากคุณกำหนดค่าให้ Tableau Server ใช้ Active Directory เราขอแนะนำให้เปิดใช้งาน Kerberos เพื่อป้องกันการรับส่งข้อมูลในการตรวจสอบสิทธิ์ โปรดดู Kerberos
17. กำหนดขอบเขตสิทธิ์สำหรับตำแหน่งการติดตั้งที่ไม่ใช่ค่าเริ่มต้น
หากคุณติดตั้ง Tableau Server บน Windows ในตำแหน่งที่ไม่ใช่ค่าเริ่มต้น เราขอแนะนำให้กำหนดขอบเขตสิทธิ์ด้วยตนเองในไดเรกทอรีการติดตั้งแบบกำหนดเองเพื่อลดจำนวนการเข้าถึง
ตามค่าเริ่มต้น Tableau Server จะติดตั้งบนไดรฟ์ระบบ ไดรฟ์ที่ติดตั้ง Windows คือไดรฟ์ระบบ ส่วนใหญ่ ไดรฟ์ระบบคือไดรฟ์ C:\ ในกรณีค่าเริ่มต้นนี้ Tableau Server จะติดตั้งลงในไดเรกทอรีต่อไปนี้
C:\Program Files\Tableau\Tableau Server\packagesC:\ProgramData\Tableau\Tableau Server
อย่างไรก็ตาม ลูกค้าหลายรายติดตั้งบนไดรฟ์ที่ไม่ใช่ระบบหรือติดตั้งในไดเรกทอรีอื่น หากคุณเลือกไดรฟ์อื่นในการติดตั้งหรือเลือกตำแหน่งไดเร็กทอรีอื่นในระหว่างการติดตั้ง ไดเรกทอรีข้อมูลสำหรับ Tableau Server จะติดตั้งในพาธเดียวกัน
หากต้องการกำหนดขอบเขตสิทธิ์ในไดเรกทอรีการติดตั้งแบบกำหนดเอง เฉพาะบัญชีต่อไปนี้เท่านั้นที่ควรมีสิทธิ์ที่เกี่ยวข้องในโฟลเดอร์การติดตั้งและโฟลเดอร์ย่อยทั้งหมด
| ตั้งค่าสิทธิ์สำหรับบัญชีนี้ | จำเป็นต้องได้รับสิทธิ์ |
|---|---|
| บัญชีผู้ใช้ที่ใช้ติดตั้งและอัปเกรด Tableau Server | การควบคุมอย่างสมบูรณ์ |
| บัญชีผู้ใช้ที่ใช้เพื่อรันคำสั่ง TSM | การควบคุมอย่างสมบูรณ์ |
| บัญชีระบบ | การควบคุมอย่างสมบูรณ์ |
| รันเป็นบัญชีบริการ บริการเครือข่าย และบริการภายใน | อ่านและดำเนินการ |
คุณสามารถอ่านขั้นตอนการตั้งค่าสิทธิ์เหล่านี้ได้ที่การติดตั้งไปยังตำแหน่งที่ไม่ใช่ค่าเริ่มต้น
รายการการเปลี่ยนแปลง
| Date | Change |
|---|---|
| May 2018 | Added clarification: Do not disable REST API in organizations that are running Tableau Prep. |
| May 2019 | Added recommendation for referrer-policy HTTP header. |
| June 2019 | Removed recommendation to disable Triple-DES. As of version 2019.3, Triple-DES is no longer a default supported cipher for SSL. See มีอะไรเปลี่ยนไปบ้าง สิ่งที่ต้องรู้ก่อนจะอัปเกรด. |
| January 2020 | Added recommendation to configure TLS for SMTP. |
| February 2020 | Added recommendation to configure SSL for LDAP server. |
| May 2020 | Added TLS v1.3 to the disabled list of TLS ciphers. Added clarification to introduction about topic versioning. |
| August 2020 | Added scoped permissions for non-default installations on Windows |
| October 2020 | Added TLS v1.3 as a default supported cipher. |
| January 2021 | Added clarification: All products enabled by the Data Management license require REST API. |
| February 2021 | Removed recommendation to disable REST API. The API is now used internally by Tableau Server and disabling it may limit functionality. |