In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

AppScan Enterprise Server 8.7.0.1 Planungs- und

Werbung 
AppScan Enterprise Server 8.7.0.1
Planungs- und Installationshandbuch
Inhaltsverzeichnis
Kapitel 1. Einführung zu IBM Security AppScan Enterprise . . . . . . . . . . . . . . 1
Einführung zu AppScan Enterprise . . .
Funktionen zur barrierefreien Bedienung .
Veraltete Funktionen. . . . . . . .
Bestimmung für gute Sicherheitsmethoden
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1
1
3
4
Kapitel 2. Hinweise zur Implementierung. . . . . . . . . . . . . . . . . . . . . . 5
Hardware- und Softwarevoraussetzungen . . .
Prüfliste zur Installationsvorbereitung . . . .
Erforderliche Benutzeraccountdaten bei Installation
Lizenzen verwalten . . . . . . . . . . .
Produktlizenzen . . . . . . . . . . .
Benutzerlizenzen . . . . . . . . . .
Bereits vorhandene Umgebung prüfen . . . .
. . . . . . .
. . . . . . .
und Konfiguration
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 5
10
10
12
12
15
16
Kapitel 3. SQL Server-Datenbank für AppScan Enterprise vorbereiten . . . . . . . . 17
SQL Server-Datenbank konfigurieren . . . . . . . . . . . . . . . . .
Strategien zur SQL Server-Datenbankpflege. . . . . . . . . . . . . . .
Verwendung der SQL Server-Datenbank . . . . . . . . . . . . . . . .
Assistent-Benutzeraccount zum Ausführen gespeicherter Prozeduren erstellen . . .
Transparente Datenverschlüsselung (TDE) auf SQL Server-Datenbanken aktivieren .
Aktivieren von TDE auf SQL Server über das Script . . . . . . . . . . .
TDE-geschützte Datenbank auf einen anderen SQL Server verschieben . . . .
SQL Server-Datenbank mit EFS verschlüsseln, sichern und wiederherstellen . . . .
Durch EFS verschlüsselte Datenbank sichern und wiederherstellen . . . . . .
Datenbank mit EFS bei gleichzeitiger Verfügbarkeit von SQL Server verschlüsseln .
Kapitel 4. Einfache Installationsimplementierung
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
17
18
20
21
22
23
24
25
27
27
. . . . . . . . . . . . . . . . . 29
Allgemeines Implementierungsszenario . . . . . . . . . . . . . .
E-Assemblys zu AppScan Enterprise herunterladen . . . . . . . . . .
AppScan Enterprise Server auf Maschine A installieren . . . . . . . . .
Serverkonfigurationassistenten für die Komponenten "Unternehmenskonsole"
ausführen . . . . . . . . . . . . . . . . . . . . . . .
Lizenzserver . . . . . . . . . . . . . . . . . . . . .
Serverkomponenten . . . . . . . . . . . . . . . . . .
Benutzeradministration . . . . . . . . . . . . . . . . .
Instanzname . . . . . . . . . . . . . . . . . . . . .
Datenbankverbindung . . . . . . . . . . . . . . . . . .
Service-Account . . . . . . . . . . . . . . . . . . . .
Authentifizierungsverfahren der Unternehmenskonsole. . . . . . .
Serverzertifikat . . . . . . . . . . . . . . . . . . . .
Produktadministrator . . . . . . . . . . . . . . . . . .
Assistenten für Standardeinstellungen ausführen . . . . . . . . . .
Unternehmenskonsole konfigurieren . . . . . . . . . . . . . .
Gebräuchliche Ports für Infrastrukturscans konfigurieren . . . . . .
Server und Domänen in Ihrer Installation angeben . . . . . . . .
Ausfallzeit für eine Domäne planen . . . . . . . . . . . . .
Integration der Fehlerverfolgung konfigurieren . . . . . . . . .
Sicherheitsregeln aktualisieren . . . . . . . . . . . . . . .
Agentenservice und Alertausgabeservice überprüfen . . . . . . .
Dynamic Analysis Scanner auf Maschine B installieren . . . . . . . . .
Serverkonfigurationassistenten für Dynamic Analysis Scanner ausführen . .
Lizenzserver . . . . . . . . . . . . . . . . . . . . .
Serverkomponenten . . . . . . . . . . . . . . . . . .
Service-Account . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
und "Benutzeradministration"
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. 29
. 32
. 32
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
33
35
35
36
36
36
36
38
38
39
39
40
41
42
43
44
44
45
45
46
48
48
48
iii
Instanzname . . . .
Datenbankverbindung .
Produktadministrator .
Server deinstallieren . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
50
50
50
52
Kapitel 5. Erweiterte Installationsszenarios und -themen . . . . . . . . . . . . . . 53
LDAP-Benutzermanagementverfahren zu WebSphere Application Server . . . . . . . . . . . . . . .
WebSphere Application Server zur Verwendung mit AppScan Enterprise Server installieren . . . . . . .
LDAP auf WebSphere Application Server aktivieren . . . . . . . . . . . . . . . . . . . . .
WebSphere Application Server für das Hosting der Appscan Enterprise-Benutzeradministration vorbereiten . .
Jazz Team Server auf WebSphere Application Server implementieren . . . . . . . . . . . . . . .
Jazz Team Server-Authentifizierung zur Verwendung des WebSphere Application Server-Benutzerrepositorys
konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Benutzer zu AppScan Enterprise bei Verwendung einer externen Registry, die nicht auf LDAP beruht, hinzufügen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LDAP-Benutzermanagementverfahren zu Apache Tomcat . . . . . . . . . . . . . . . . . . . .
AppScan Enterprise Jazz Server zur Verwendung von LDAP für die Authentifizierung unter Tomcat konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
AppScan Enterprise für die Verwendung von Jazz-Authentifizierung auf einem fernen Tomcat-Server konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
LDAP mit Benutzerinformationen aus dem Repository von Jazz Team Server synchronisieren . . . . . . . .
Befehlszeile zum manuellen Synchronisieren von Benutzern mit dem LDAP-Benutzerverzeichnis. . . . . .
Sichere AppScan Enterprise-Instanz implementieren . . . . . . . . . . . . . . . . . . . . . .
Schlüsselspeicherkennwort ändern. . . . . . . . . . . . . . . . . . . . . . . . . . .
x.509-Zertifikate für den Jazz Team Server importieren . . . . . . . . . . . . . . . . . . . .
Java SDK-Richtliniendateien aktualisieren . . . . . . . . . . . . . . . . . . . . . . .
Selbst signiertes Zertifikat für Jazz Team Server generieren . . . . . . . . . . . . . . . . . .
Jazz Team Server-Zertifikat für eine Verwendung mit IIS exportieren . . . . . . . . . . . . . . .
Jazz Team Server-Zertifikat in IIS importieren . . . . . . . . . . . . . . . . . . . . . . .
Zertifizierungsstelle vertrauen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fixpackinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Installationsplan für AppScan Source-Implementierung . . . . . . . . . . . . . . . . . . . . .
AppScan Source-Oracle-Datenbank mit AppScan Enterprise Server konfigurieren . . . . . . . . . . .
53
53
54
56
58
60
62
63
63
65
66
67
68
68
69
69
70
71
71
72
72
73
74
Kapitel 6. Konformität mit FIPS 140-2 aktivieren . . . . . . . . . . . . . . . . . . 75
Konformität
Konformität
Konformität
Konformität
mit
mit
mit
mit
FIPS
FIPS
FIPS
FIPS
140-2
140-2
140-2
140-2
in der Unternehmenskonsole aktivieren . . . . . . . . . . . .
auf einem auf Tomcat ausgeführten AppScan Server aktivieren. . . . .
auf einem auf WebSphere Application Server ausgeführten AppScan Server
auf Ihrem Betriebssystem aktivieren. . . . . . . . . . . . . .
. . . .
. . . .
aktivieren
. . . .
75
75
78
80
Kapitel 7. Upgrades und Migrationen durchführen . . . . . . . . . . . . . . . . . 81
Upgrade von einer Vorgängerversion durchführen . . . . . . . . . . . . . . . . . .
Fixpackinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
SQL Server-Datenbank sichern . . . . . . . . . . . . . . . . . . . . . . . . .
Informationen zum Datenschutz . . . . . . . . . . . . . . . . . . . . . . .
TDE auf SQL Server Enterprise Edition aktivieren . . . . . . . . . . . . . . . . .
Transparente Datenverschlüsselung (TDE) auf SQL Server-Datenbanken aktivieren . . . . .
TDE-geschützte Datenbank auf einen anderen SQL Server verschieben . . . . . . . . .
EFS (Encrypting File System) auf SQL Server Standard Edition verwenden . . . . . . . . .
SQL Server-Datenbank mit EFS verschlüsseln, sichern und wiederherstellen . . . . . . . .
Datenbank mit EFS bei gleichzeitiger Verfügbarkeit von SQL Server verschlüsseln . . . . . .
Upgrade planen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Upgrade installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Upgrade für AppScan Enterprise durchführen, wenn Jazz Team Server unter WebSphere gehostet wird
LDAP-Benutzer von Tomcat zu WebSphere migrieren . . . . . . . . . . . . . . . . .
Von der Windows-Authentifizierung zur Jazz-/LDAP-Authentifizierung migrieren . . . . . . .
Veraltete Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
81
82
83
83
84
84
87
88
88
90
91
92
93
94
95
98
Kapitel 8. Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Server verwalten
iv
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 99
Benutzer verwalten . . . . . . . . . . . . . . . .
Zugriffsberechtigungen . . . . . . . . . . . . .
Benutzertypen . . . . . . . . . . . . . . .
Benutzerrollen . . . . . . . . . . . . . . .
Benutzer und Gruppen . . . . . . . . . . . .
Angepasste Benutzertypen definieren . . . . . . . .
Benutzer erstellen . . . . . . . . . . . . . . .
Benutzer mit der Vorlage für den voreingestellten Benutzer
Benutzer importieren . . . . . . . . . . . . . .
LDAP-Benutzergruppen importieren . . . . . . . .
Auswirkung von Benutzertypen auf Benutzergruppen. .
Auswahl der richtigen Benutzerrolle. . . . . . . . .
Nutzung der Anwendung überwachen . . . . . . . .
Leistungsoptimierung . . . . . . . . . . . . .
.
.
.
.
.
.
. . . .
. . . .
. . . .
. . . .
. . . .
erstellen .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 99
. 99
. 100
. 102
. 103
. 104
. 104
. 105
. 106
. 106
. 107
. 108
. 108
. 109
Bemerkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Inhaltsverzeichnis
v
vi
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Kapitel 1. Einführung zu IBM Security AppScan Enterprise
Einführung zu AppScan Enterprise
IBM Security AppScan Enterprise ermöglicht eine zentrale Steuerung mit neuen,
erweiterten Funktionen zum Scannen von Anwendungen und für Korrekturen, Sicherheitskennzahlen und -dashboards für Führungskräfte, zur Berichterstellung zur
Konformität mit wichtigen Vorschriften und zur nahtlosen Integration mit AppScan
Standard und bietet Benutzeradministrationsfunktionen für AppScan Source.
AppScan Enterprise bietet:
v Eine skalierbare Unternehmensarchitektur, die das gleichzeitige zentralisierte
Scannen mehrerer Anwendungen ermöglicht.
v Intelligente Korrekturempfehlungen, um den Korrekturprozess zu erleichtern,
nachdem die Sicherheitslücken bestimmt und geprüft wurden.
v Fähigkeit, Websites auf eingebettete Malware und Links zu heimtückischen oder
unerwünschten Sites zu scannen, um sicherzustellen, dass die Besucher von Ihrer Website nicht infiziert oder ohne ihr Wissen auf unerwünschte oder gefährliche Sites gelenkt werden.
v Unterbrechungsfreie Überprüfung und Aggregation von Messdaten, um mit der
Zeit eine Korrektur- und Trendverbesserung sicherzustellen.
v Hinzufügen einer Web-Services-API, um die Integration in IBM Rational Insight
zu ermöglichen.
v Hoch entwickelte Dashboards und flexible Berichtsansichten, um eine unternehmensweite Sichtbarkeit der Risiken und des Korrekturfortschritts bereitzustellen.
Dies bietet die in der Branche niedrigste Anzahl von falschen positiven Werten,
während die schwerwiegendsten Sicherheitsprobleme gefunden werden.
v Fähigkeit, sequenzielle Geschäftslogik zu testen, wie zum Beispiel das Öffnen eines neuen Accounts oder das Abwickeln eines Onlineeinkaufs.
v Mehr als 40 einsatzbereite Berichte zur Einhaltung von Sicherheitsbestimmungen, einschließlich PCI Data Security Standard, Payment Application Data Security (PA-DSS), ISO 27001 und ISO 27002, HIPAA, GLBA und Basel II.
v Rollenbasierte Zugriffs- und Scanberechtigungen für die Berichterstellung, um
das Erzwingen von Testrichtlinien zu unterstützen und das Scannen von Sicherheitslücken zu zentralisieren.
Funktionen zur barrierefreien Bedienung
Funktionen zur barrierefreien Bedienung helfen behinderten Benutzern, z. B. sehbehinderten oder hörgeschädigten Personen, Softwareprodukte erfolgreich zu verwenden.
Die folgenden Funktionen zur barrierefreien Bedienung werden angeboten:
v Tastaturnavigation über die Benutzerschnittstelle
v Navigation über Sprachausgabeprogramme
v QuickInfo-Hilfe für Links, Schaltflächen, Nachrichten und andere Optionen
v Alle dem Benutzer präsentierten Inhalte, bei denen es sich nicht um Text handelt, verfügen über Textalternativen
1
v Es werden Methoden zum Überspringen von Navigationslinks bereitgestellt, um
zum Hauptinhalt der Seite zu gelangen
v Für vorher aufgezeichnete Audioinhalte in synchronisierten Medien werden Beschriftungen bereitgestellt
v Für vorher aufgezeichnete Multimedia-Inhalte wird eine Audiobeschreibung der
Videos bereitgestellt
v Visuelle Hervorhebungsanzeigen durch Cursor in bearbeitbaren Objekten und
hervorgehobenen Schaltflächen, Menüoptionen und anderen Optionen
v Inhalt kann in starkem Kontrast und großer Schrift angezeigt werden
v Auf der Seite werden Markierungen zur Kennzeichnung häufig vorkommender
Elemente wie Banner, Navigationspfade und Registerkarten benutzt.
v Automatisch erkannte Eingabefehler werden bestimmt und in Textform beschrieben
v Webseiten enthalten keinen Inhalt, der länger als drei Sekunden lang blinkt
v Farbe ist nicht die einzige visuelle Form, mit der Informationen kommuniziert
werden
v Dokumentation umfasst Kontextinformationen mit Abbildungsbeschreibungen
Anmerkung:
1. Verwenden Sie beim manuellen Durchsuchen oder beim aufgezeichneten Anmelden die Tabulatortaste zum Navigieren zwischen den Links, die Sie durchsuchen und aufzeichnen möchten. Verwenden Sie die Tastenkombination
ALT+F4, um das Fenster des Aufzeichnungsbrowsers zu verlassen. Das Anhalten oder Wiederaufnehmen der Aufzeichnungssitzung wird über Tastaturkurzbefehle nicht unterstützt.
2. Erkannte Eingabefehler werden dem Benutzer durch Textbeschreibungen angegeben: wenn erforderliche Felder nicht ausgefüllt sind (bei der Übergabe),
wenn eine Benutzereingabe außerhalb der erforderlichen Werte erfolgt und
wenn Eingabedaten nicht in der Liste der zugelassenen Werte enthalten sind.
Erforderliche Felder verfügen möglicherweise nicht immer über Kennungen.
3. Das DOM (Document Object Model) wurde mit WAI-ARIA-Kennungen (Web
Accessibility Initiative - Accessible Rich Internet Applications) markiert, wodurch die Tastaturnavigation für die folgenden Optionen erheblich verbessert
wird: Datengruppierung, Accordion-Twisty, Regular-Twisty, Navigationspfade,
Navigationsschaltflächen sowie Registerkarten für Quickscan, Hilfe, ViewHTTPRequest, Berichtsraster, Informationen zu diesem Dokument, Informationen zu
diesem Formular, Informationen zu diesem Problem, Informationen zu dieser
Seite, Dashboard, Trend, Layout der Berichtspaketzusammenfassung und Dashboard für Sicherheit.
Tastaturkurzbefehle für das Hilfesystem
In der folgenden Tabelle sind die Kurzbefehle aufgeführt, mit denen das Hilfesystem über die Tastatur gesteuert werden kann.
2
Tastenkombination
Kontext
Funktion
Rechtspfeil oder Linkspfeil
Navigationsstruktur
Erweitern oder komprimieren
Abwärtspfeil oder
Tabulatortaste
Navigationsstruktur
Zum nächsten
Themenknoten
Aufwärtspfeil oder
Umschalt+Tabulatortaste
Navigationsstruktur
Zum vorherigen
Themenknoten
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Tastenkombination
Kontext
Funktion
Tabulatortaste
Inhaltsframe
Nächste Verknüpfung oder
Schaltfläche in der Symbolleiste
Pos1 oder Ende
Inhaltsframe
Zum Anfang oder zum Ende
Alt+Linkspfeil
Inhaltsframe
Zurück
Alt+Rechtspfeil
Inhaltsframe
Vorwärts
Strg+P
Inhaltsframe
Drucken
Strg+Tabulatortaste
Beliebige Stelle im HilfeBrowser
Hervorhebung im nächsten
Frame
Strg+Umschalt+Tabulatortaste Beliebige Stelle im HilfeBrowser
Hervorhebung im vorherigen
Frame
Veraltete Funktionen
Wenn Sie eine Migration aus einem früheren Release von AppScan Enterprise Server durchführen, sollten Sie wissen, dass verschiedene Funktionen in diesem Release veraltet sind.
In Version 8.7 veraltete Funktionen
Die folgende Tabelle enthält eine Übersicht über veraltete Funktionen nach Version
und Release. In der Tabelle ist angegeben, was veraltet ist, z. B. Tools, Sicherheitsscantests, Integrationen und Berichte. Die Tabellen zeigen, wo möglich, auch
die empfohlene Migrationsaktion an.
Tabelle 1. In Version 8.7 veraltete Funktionen
Zeitplan
für das
Entfernen
Veraltete Funktion
N=v8.7
Migrationsplan für veraltete Funktion
Job zum Scannen der Infrastruktur N+1
(Netz-/Port-Scanner) und zugehörige Berichte
Keine. Entspricht nicht mehr der
Produktanweisung.
Malwareanalyse der
Webanwendungsdatei
Keine. Entspricht nicht mehr der
Produktanweisung.
N+1
Import von Analyseergebnissen von N+2
IBM Rational AppScan Developer
Edition (Produkt wurde eingestellt)
Verwenden Sie IBM Security AppScan
Source.
Traditionelle Bestandsberichte Websitetechnologien,
Webanwendungen, serverseitige
Imagemaps, fehlende Alt-Attribute,
Multimediainhalt, Imagekatalog
N+2
Keine. Entspricht nicht mehr der
Produktanweisung.
Interaction Tool zum Aufzeichnen
einer Anmeldesequenz
N+2
Verwenden Sie das Tool "IBM Security
Manual Explorer", das Sie über die
Benutzerschnittstelle herunterladen
können.
Kapitel 1. Einführung zu IBM Security AppScan Enterprise
3
Bestimmung für gute Sicherheitsmethoden
Die IT-Systemsicherheit beinhaltet das Schützen von Systemen und Informationen
mittels Vorbeugung und Erkennung von falschem Zugriff sowie Intervention bei
falschem Zugriff durch Personen innerhalb oder außerhalb Ihres Unternehmens.
Durch falschen Zugriff können Informationen geändert, zerstört und falsch oder
unsachgemäß verwendet werden. Auch können Ihre Systeme dadurch beschädigt
oder missbraucht werden, um z. B. andere zu attackieren. Kein IT-System oder Produkt sollte als vollkommen sicher betrachtet werden. Und kein einziges Produkt,
kein einziger Service oder keine einzige Sicherheitsmaßnahme kann einen falschen
Gebrauch oder Zugriff vollständig verhindern. IBM Systeme, Produkte und Services stellen einen Teil eines umfassenden Sicherheitsansatzes dar, der notwendigerweise mit weiteren betrieblichen Verfahren einhergeht und für den möglicherweise
andere Systeme, Produkte oder Services erforderlich sind, um eine größtmögliche
Effizienz zu gewährleisten. IBM ERTEILT KEINE GEWÄHRLEISTUNG DAFÜR,
DASS SYSTEME, PRODUKTE ODER SERVICES VOR HEIMTÜCKISCHEM ODER
UNZULÄSSIGEM VERHALTEN ANDERER VOLLKOMMEN GESCHÜTZT SIND
ODER DASS SIE IHR UNTERNEHMEN VOLLKOMMEN DAVOR SCHÜTZEN:
4
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Kapitel 2. Hinweise zur Implementierung
Hardware- und Softwarevoraussetzungen
In der folgenden Tabelle finden Sie eine Zusammenfassung der für den Betrieb der
Software erforderlichen Hardware und Software.
Anforderungen für Implementierungen durchschnittlichen Umfangs
Diese Konfiguration unterstützt eine Implementierung mittlerer Größe: 3 bis 4 Dynamic Analysis Scanner (4 gleichzeitig ablaufende Scan-Jobs je Scanner). Größere
Implementierungen oder Arbeitslasten erfordern möglicherweise mehr Ressourcen.
Anmerkung: Sie können die Installation in einer virtuellen Umgebung (VM - virtuelle Maschine) durchführen. Die Datenbank sollte jedoch auf einem physischen
System installiert werden, um einen Leistungsverlust zu vermeiden.
Maschine, die als Host für Maschine, die als Host für Maschine, die als Host für
die SQL Server-Datenbank AppScan Enterprise Server Dynamic Analysis Scanner
dient
dient
dient
Betriebssystem
64-Bit-Windows-Server 2008 64-Bit-Windows-Server 2008
R2
R2
Anmerkung: Die folgenden
Anmerkung: Details zu
Umgebungskomponenten
unterstützten SQL Serverwerden bei der Installation
Versionen finden Sie im Abautomatisch installiert:
schnitt "Datenbank".
v .NET 4 Framework
v IIS 7.5 und zugehörige
Abhängigkeiten
v Rational License Server
Prozessor
4 CPUs
2 CPUs
4 CPUs
RAM
16 GB
8 GB
16 GB
Festplattenspezifisch
Schnelle Ein-/Ausgabe
Festplattenlaufwerkgröße
1 TB
Laufwerk "C"
v 64-Bit-Windows-Server
2008 R2 SP2 (64-Bit)
Schnelle Ein-/Ausgabe
200 GB
500 GB
Minimum 10 GB
Minimum 10 GB
5
Optionen zu Softwareanforderungen
Software
Betriebssystem
Voraussetzung
v Windows 2003 Server SP2 (Standard) x8632, x64
v Windows 2003 Server SP2 (Enterprise)
x86-32, x64
v Windows 2003 Server R2 SP2 (Standard)
x86-32
v Windows 2003 Server R2 SP2 (Enterprise)
x86-32
v Windows 2008 Server SP1 / SP2 (Standard) x86-32
v Windows 2008 Server SP1 / SP2
(Enterprise) x86-32
v Windows 2008 Server SP1 / SP2 (Standard) x64
v Windows 2008 Server SP1 / SP2
(Enterprise) x64
v Windows 2008 Server R2 (Standard) IA64,
x64
v Windows 2008 Server R2 (Enterprise)
IA64, x64
v Windows 2008 Server R2 SP1 (Standard,
Enterprise) IA64, x64
v Red Hat Enterprise Linux Version 6.0, 6.2
und 6.3 (AppScan Enterprise Server, nur
Komponente zur JazzBenutzeradministration. Gilt nicht für den
Dynamic Analysis Scanner.)
Achtung: AppScan Enterprise ist ein 32Bit-Produkt. Führen Sie die Pakete
glibc.i686 und libgcc.i686 aus, um die 32Bit-Kompatibilität für eine 64-Bit-LinuxMaschine zu aktivieren.
v Die folgenden Windows-Betriebssysteme
sind nur für eine clientseitige Verwendung von AppScan Enterprise Server und
Dynamic Analysis Scanner vorgesehen:
– Windows 7 Enterprise, Professional
und Ultimate
– Windows Vista, Enterprise und
Ultimate
– Windows XP Professional SP3
6
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Software
Fortsetzung
Voraussetzung
Anmerkung:
1. Das Installationsprogramm für den
Dynamic Analysis Scanner und den
AppScan Enterprise Server sucht nach
.Net 4 Framework und installiert das
Programm, wenn es nicht vorhanden ist.
2. Die besten Ergebnisse erzielen Sie, wenn
Sie alle wichtige Software von Microsoft
installieren.
3. Wenn die zu scannende Website Technologien wie Flash, Windows Media oder
zusätzliche Zeichensätze verwendet,
müssen diese Technologien auch auf den
Agentenserversystemen installiert sein.
Web-Server
v IIS6 (Windows 2003 Server)
Anmerkung: IIS6 muss unter Windows
2003 Server aktiviert sein, damit der Server ordnungsgemäß installiert werden
kann.
v IIS7 (Windows 2008 Server)
Anmerkung: IIS7 muss unter Windows
2008 Server aktiviert sein, damit der Server ordnungsgemäß installiert wird (nicht
erforderlich für Server, auf denen nur
Scanagenten ausgeführt werden):
– Common HTTP Features (alle Komponenten mit Ausnahme von HTTP
Redirection)
– Application Development (ASP.NET,
ISAPI Extensions, ISAPI Filters)
– Health and Diagnostics (HTTP
Logging, Request Monitor)
– Security (Basic und Windows
Authentication)
– Performance (Static Content
Compression)
– Management Tools (IIS ManagementKonsole)
– IIS 6 Management Compatibility (alle)
Jazz Team Server
v Tomcat 7.0.32 (gebündelt)
v WebSphere Application Server Versionen
7.0.0.9 und 8.0.0.3
Lesen Sie hierzu Version 4.0 (system
requirements) (Version 4.0
(Systemvoraussetzungen))
Kapitel 2. Hinweise zur Implementierung
7
Software
Datenbank
Voraussetzung
Anmerkung:
1. Für die folgenden SQL Server-Versionen
werden die Enterprise Edition und die
Standard Edition unterstützt, die
Enterprise Edition beinhaltet jedoch leistungsfähigere Funktionen zur
Skalierbarkeit und zur Aktivierung der
Sicherheit, wie z. B. integrierte Unterstützung für transparente
Datenverschlüsselung (TDE - Transparent Data Encryption). Die Standard Edition kann mithilfe von MS Windows
Encrypting File System (EFS) oder sonstigen Verschlüsselungsmethoden anderer
Anbieter gesichert werden.
2. Sowohl die 64-Bit- als auch die 32-BitVersion von SQL Server werden unterstützt, die Verwendung der 64-BitVersion von SQL Server kann jedoch zu
einer besseren Leistung führen. Die 32Bit-Version eignet sich am besten für
Evaluierungsimplementierungen und
kleine Implementierungen.
v Microsoft SQL Server 2008 SP3
v Microsoft SQL Server 2008 R2 SP2
v Microsoft SQL Server SQL Server 2012
v Die Systemvoraussetzungen für Microsoft
SQL Server erhalten Sie von Microsoft.
Andere Voraussetzungen
v Stellen Sie sicher, dass ASP.Net installiert
und in IIS aktiviert ist.
Unterstützte Browser
v Microsoft Internet Explorer 7.0, 8.0, 9.0
und 10
v Mozilla Firefox 17 (ESR)
v Google Chrome (nur für das Tool "Manual Explore Desktop"
Rational License Key Server
Version 8.1.1, 8.1.2, 8.1.3
Unterstützte Integrationen
v Rational Quality Manager 3.0.1.6, 4.02
v Rational Team Concert 2.0.0.2, 3.0, 3.0.1,
4.0 und 4.0.1
v AppScan Source ab Version 7.0
v AppScan Standard ab Version 7.7
v IBM Security SiteProtector 2.9
v IBM Security QRadar SIEM 7.1 MR1
v QRadar SIEM 7.0 MR5
v WebSphere Portal ab Version 6.0.1.4
8
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Zusätzliche Softwarevoraussetzungen für Dynamic Analysis
Scanner
Wenn Sie Adobe Flash ausführen, muss das Flash Player-Plug-in für den Internet
Explorer-Browser auf der Maschine installiert sein, auf der Dynamic System Analysis ausgeführt wird. Die unterstützten Versionen von Adobe Flash können von der
folgenden Website heruntergeladen werden: http://get.adobe.com/flashplayer/.
Version 8 und höher wird unterstützt, aber nur Version 9 und höher verfügt über
die ActionScript 3-Funktionen.
Glass-Box-Sicherheitstestvoraussetzungen
Die Glass-Box-Software muss dort installiert sein, wo AppScan Enterprise Server
installiert ist.
Software
™
Details
Java EEContainer
JBoss 6, Tomcat 6.0/7.0, WebLogic 11, WebSphere 7.0 und 8.0
Betriebssysteme
Unterstützte Windows-Systeme:
v Windows XP Professional, SP3
v Windows 7 SP1
v Windows 2008 Server R2 mit und ohne SP1
Unterstützte Linux-Systeme:
v Linux RHEL 5, 6, 6.1, 6.2 und 6.3
v Linux Ubuntu Server LTS 10.04
v Linux SLES 10 SP4
v Linux SLES 11 SP2
Unterstützte UNIX-Systeme:
v UNIX AIX 6.1
v UNIX Solaris 10 (SPARC)
v UNIX Solaris 11 Express
Übersetzte Sprachen
Die AppScan Enterprise-Benutzerschnittstellen sind in den folgenden Sprachen verfügbar:
v Deutsch
v Englisch
v Französisch
v
v
v
v
v
v
v
Italienisch
Japanisch
Koreanisch
Portugiesisch (Brasilien)
Russisch
Spanisch
Traditionelles Chinesisch
v Vereinfachtes Chinesisch
Kapitel 2. Hinweise zur Implementierung
9
Prüfliste zur Installationsvorbereitung
Vor dem Installieren der Anwendung müssen Sie bestimmte Schritte ausführen.
1. Lesen Sie die Informationen zu den Hardware- und Softwarevoraussetzungen.
2. Prüfen Sie die erforderlichen Benutzerkontoinformationen.
3. Lesen Sie die Informationen in den Themen Upgrade und Migration durchführen.
4. Prüfen Sie die Produkt- und Benutzerlizenzvoraussetzungen.
5. Prüfen Sie Ihre vorhandene Umgebung.
6. Laden Sie die E-Assemblys von Passport Advantage herunter.
Erforderliche Benutzeraccountdaten bei Installation und Konfiguration
In den verschiedenen Phasen der Installation und der Konfiguration müssen Sie
die folgenden Benutzeraccountdaten eingeben:
Tabelle 2. Service-Account
Berechtigungen
Beschreibungen
Beim Service-Account muss es
sich weder um einen Administrator noch um den Benutzer, der
das Produkt installiert hat, handeln. Es sind die folgenden Berechtigungen in der lokalen
Sicherheitsrichtlinie für die Maschine erforderlich:
Anmerkung: Bei Implementierung eines
Gruppenrichtlinientyps auf dem Server, der nach der
Installation und Konfiguration des Produkts die lokale
Sicherheitsrichtlinie der Maschine ändert und eine dieser Berechtigungen widerruft, funktioniert das Produkt
nicht.
v Auf diesen Computer vom
Netz aus zugreifen
v Als Service anmelden (dies
wird über den
Konfigurationsassistenten gewährt, der von einem lokalen
Administrator ausgeführt wird)
Bei einer SQL Server-Datenbank
können Sie einen einzigen Service-Account oder mehrere Service-Accounts verwenden, je
nachdem, wie Sie bei der Installation vorgehen möchten.
10
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Tabelle 2. Service-Account (Forts.)
Berechtigungen
Beschreibungen
Bei der Konfiguration der von
Ihnen installierten Komponenten
müssen Sie Daten für den Service-Account eingeben. Mit diesem Service-Account können die
Agenten auf den
Datenbankserver zugreifen. Einzelne Benutzer benötigen keine
Datenbankberechtigungen.Die
Kennwörter der ServiceAccounts, die für die Agenten
und die Datenbank verwendet
werden, sollten nicht ablaufen.
Wenn die Kennwörter jedoch regelmäßig geändert werden müssen, können Sie den
Konfigurationsassistenten auf allen AppScan Enterprise Serverund Dynamic Analysis ScannerMaschinen erneut ausführen und
das neue Kennwort eingeben.
Anmerkung: Der Benutzeraccount für das lokale System und der Service-Account können identisch sein, d.
h. den gleichen Benutzernamen und das gleiche Kennwort verwenden.
Der Service-Account erhält die
Berechtigung "db_owner" für die
Datenbank und muss über die
Berechtigung zum Erstellen einer
Datenbank, zum Erstellen von
Tabellen, zum Hinzufügen von
Benutzern, zum Ausführen gespeicherter Prozeduren und zum
Gewähren von Berechtigungen
verfügen.
Anmerkung: Wenn die Sicherheitsrichtlinien Ihres Unternehmens nicht zulassen, dass Sie dem Service-Account die Berechtigung "db_owner" zuweisen, können
Sie eine Rolle für das Ausführen gespeicherter Prozeduren erstellen. Siehe „Assistent-Benutzeraccount zum
Ausführen gespeicherter Prozeduren erstellen” auf Seite
21.
Zeichenfolgen
Alle Zeichenfolgen in der Datenbank sind verschlüsselt,
damit SQL Server-Sicherungen und -Daten nicht von
den Datenbankadministratoren eingesehen werden können. Durch dieses Verfahren können
Datenbankadministratoren ihre Wartungsarbeiten an
der Datenbank vornehmen, aber nicht die Daten in den
Tabellen anzeigen.
Datei- und Ordnerberechtigungen Der Service-Account muss im Ordner "Laufwerk:\\
Installationsordner\IBM\Produktname\" und allen
Unterordnern dieses Ordners die folgenden Berechtigungen haben:
v Lesen und ausführen
v Schreiben
v Löschen
v Dateien und Unterordner löschen
v Dateien und Unterordner erstellen
Anmerkung: Mit diesen Berechtigungen kann der Service-Account in die Protokolldateien schreiben. Außerdem können die Scanagenten damit temporäre Dateien
schreiben, ohne die der Scan nicht funktionieren würde.
Der Konfigurationsassistent erstellt diese Berechtigungen automatisch; ändern Sie sie nicht.
Kapitel 2. Hinweise zur Implementierung
11
Tabelle 2. Service-Account (Forts.)
Berechtigungen
Beschreibungen
Lokale Sicherheitsrichtlinien
Der Service-Account muss über die Berechtigung zur
lokalen Anmeldung auf der Zielmaschine verfügen, damit er die Identität des Benutzers annehmen und sich
mit dem Berechtigungsnachweis des Benutzers anmelden kann. Er muss auch über die Berechtigung für die
Anmeldung als Dienst verfügen.
Registry-Berechtigungen
Der Service-Account muss über die folgenden Berechtigungen verfügen:
v Lesen und ausführen
v Schreiben
v Löschen
Tabelle 3. Andere Benutzeraccounts
Account
Beschreibung
Benutzeraccount für das lokale
System
Bei der Installation muss es sich beim Benutzeraccount
für das lokale System um einen lokalen Administrator
auf der Maschine handeln. In der lokalen
Sicherheitsrichtlinie für diese Maschine muss dieser Benutzer über die folgenden Berechtigungen verfügen:
v Auf diesen Computer vom Netz aus zugreifen
v Lokales Anmelden zulassen
ASPNET-Account
Der ASPNET-Account muss im Ordner "Laufwerk:\\
Installationsordner\IBM\Produktname\" und allen
Unterordnern dieses Ordners die folgenden Berechtigungen haben:
v Lesen und ausführen
v Schreiben
v Löschen
v Identität eines Clients nach der Authentifizierung annehmen
Internet-Gastaccount
Der Internet-Gastaccount muss im Ordner
"Laufwerk:\\Installationsordner\IBM\Produktname\"
und allen Unterordnern dieses Ordners die folgenden
Berechtigungen haben:
v Lesen und ausführen
v Schreiben
Zugehörige Informationen:
Das Anzeigen eines Berichts in AppScan Enterprise führt zu einem Fehler
Lizenzen verwalten
Als Administrator sind Sie für die Verwaltung der Lizenzen verantwortlich.
Produktlizenzen
Dies ist eine Übersicht über die Lizenzen, die Sie für AppScan Enterprise benötigen.
12
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Produkt
AppScan Enterprise-Implementierung
AppScan Source-Implementierung
(standalone und verteilt)
Serverlizenz
v AppScanServerBasic
v AppScanServerBasic
v AppScanServerPremium
v AppScanServerPremium
Suchsoftwarelizenz
AppScanEnterpriseScanner
Nicht erforderlich
Benutzerlizenz
v AppScanEnterpriseFLT*
v AppScanEnterpriseReportingFLT*
v AppScanEnterpriseReportingFLT*
v AppScanEnterpriseReportingAU
v AppScanEnterpriseAU
v AppScanEnterpriseReportingAU
* Token oder Nicht-Token
Beim tokenbasierten Lizenzmodell können Sie eine bestimmte Anzahl an Tokenlizenzen erwerben. Wenn Sie IBM Produkte verwenden, die eine tokenbasierte Lizenz auschecken, gibt die Lizenzdatei die Anzahl der ausgecheckten Tokens an.
Tokenbasierte Lizenzen können ausschließlich mit Floating-Lizenzen verwendet
werden. Sie können nicht für Lizenzen für einen berechtigten Benutzer verwendet
werden. Weitere Details zur Tokenlizenzierung erhalten Sie von Ihrem lokalen IBM
Vertriebsbeauftragten.
Benutzer mit einer Lizenz zum Scannen können Scans, Berichte und Berichtspakete
erstellen, bearbeiten und ausführen. Benutzer mit einer Lizenz zur Berichterstellung können Scans nicht erstellen, bearbeiten oder ausführen. Sie können Jobs zum
Importieren von DAST- und SAST-Ergebnissen ausführen sowie Berichte und Berichtspakete erstellen, bearbeiten oder ausführen.
In der folgenden Tabelle sind die Lizenznamen in LKAD den Lizenztypen in
AppScan Enterprise zugeordnet.
AppScan Enterprise Dynamic Analysis Scan- Dynamic Analysis Scanner
ner Per Install License Key (AppScan
Enterprise Dynamic Analysis Scanner Lizenzschlüssel je Installation)
AppScan Enterprise Dynamic Analysis User Scannen für berechtigte Benutzer
Authorized User Single Install License Key
(AppScan Enterprise Dynamic Analysis User
- berechtigter Benutzer - Lizenzschlüssel für
einzelne Installation)
AppScan Enterprise Dynamic Analysis User Scannen für Floating-Benutzer
Floating User Single Install License Key
(AppScan Enterprise Dynamic Analysis User
- Floating-Benutzer - Lizenzschlüssel für einzelne Installation)
AppScan Enterprise Svr Basic Per Install
Enterprise Server Basic
License Key (AppScan Enterprise Svr Basic Lizenzschlüssel je Installation)
AppScan Enterprise Svr Per Install License
Key (AppScan Enterprise Svr Lizenzschlüssel je Installation)
Enterprise Server Premium
Kapitel 2. Hinweise zur Implementierung
13
Appscan Enterprise Edition Reporting Only
User Authorized User Single Install License
Key (Appscan Enterprise Edition - Nur
Berichterstellung - Berechtigter Benutzer Lizenzschlüssel für einzelne Installation)
Berichterstellung für berechtigte Benutzer
AppScan Enterprise Edition Reporting Only
User Authorized User Single Install License
Key (AppScan Enterprise Edition - Nur
Berichterstellung - Floating-Benutzer Lizenzschlüssel für einzelne Installation)
Berichterstellung für Floating-Benutzer
Legende
v Basic: 10 gleichzeitig bestehende Verbindungen
v Premium: Unbegrenzte Anzahl Verbindungen
14
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Benutzerlizenzen
Es gibt vier Typen von Benutzerlizenzen: Floating-Benutzerlizenz (Scannen und
Berichterstellung), Berechtigter Benutzer (Scannen und Berichterstellung), ServiceAccount und Produktadministrator.
Floating-Benutzerlizenz
Eine IBM Security Floating-Lizenz ist eine Lizenz für ein einzelnes Softwareprodukt, das von mehreren Teammitgliedern gemeinsam verwendet werden kann. Die
Gesamtzahl der gleichzeitig angemeldeten Benutzer darf die Anzahl der erworbenen Floating-Lizenzen jedoch nicht überschreiten. Wenn Sie beispielsweise eine
Floating-Lizenz für ein Sicherheitssoftware-Produkt erwerben, darf jeder Benutzer
in Ihrem Unternehmen das Produkt jederzeit verwenden. Eine andere Person, die
das Produkt verwenden möchte, muss warten, bis sich der aktuelle Benutzer abgemeldet hat.
Anmerkung: Benutzer müssen sich ordnungsgemäß abmelden, um die Lizenz freizugeben. Durch das Schließen des Browsers wird die Lizenz erst nach zwei Stunden freigegeben.
Zur Verwendung von Floating-Lizenzen müssen Sie sich Floating-Lizenz-Schlüssel
besorgen und diese auf einem Rational License Server installieren. Der Server antwortet auf Anforderungen von Endbenutzern für den Zugriff auf Lizenzschlüssel;
er erteilt Zugriff für die Anzahl gleichzeitig angemeldeter Benutzer, die der Anzahl
der von dem Unternehmen erworbenen Lizenzen entspricht.
Anmerkung: Floating-Lizenzen sind nicht für SaaS-Kunden (Software as a Service)
verfügbar.
Lizenz für einen berechtigten Benutzer
Die Lizenz für einen berechtigten Benutzer begrenzt die Anzahl von Benutzern, die
auf der Seite "Benutzer und Gruppen" der Registerkarte "Administration" aufgeführt sind, auf die in der Lizenz verfügbare Anzahl. Die folgenden Benutzerkonten
zählen bei der Lizenzbeschränkung für berechtigte Benutzer nicht: Benutzergruppen, Standardbenutzer, Service-Account und Produktadministrator.
Service-Account
Mit dem Service-Account können die Agenten auf den Datenbankserver zugreifen.
Weitere Informationen zum Service-Account finden Sie im Thema „Erforderliche
Benutzeraccountdaten bei Installation und Konfiguration” auf Seite 10.
Produktadministrator
Die Produktadministrator-Lizenz zählt bei der Beschränkung für die Floating-Lizenz und die Lizenz für berechtigte Benutzer nicht. Sie umfasst die üblichen Systemadministratorberechtigungen.
Kapitel 2. Hinweise zur Implementierung
15
Bereits vorhandene Umgebung prüfen
Um die bei der Installation erforderlichen Schritte zu bestimmen, müssen Sie ihre
bereits vorhandene Umgebung kennen. Die Websitestruktur, die Unternehmensstruktur und die physische Umgebung wirken sich auf Ihre Entscheidungen aus.
Websitestruktur
Wie wurde Ihre Website erstellt? Verwenden Sie einen einzigen Web-Server oder
eine Reihe von Web-Servern? Wo befinden sich die Web-Server? Sind sie nahe beieinander oder physisch getrennt (in verschiedenen Gebäuden oder Ländern)? Diese
Aspekte sind wichtig, um zu bestimmen, wie viele Server Sie verwenden werden
und wo Sie die Serverkomponenten installieren.
Wenn Sie z. B. über eine Reihe von Web-Servern verfügen, die jeweils für einen bestimmten Unternehmensbereich verwendet werden, können Sie eine separate Serverinstallation für jeden davon in Betracht ziehen. In diesem Fall können Sie eine
separate Datenbank für jede Installation verwenden.
Physische Umgebung
Welche technischen Daten weisen die Server auf, die der Installation zugeordnet
sind? Im Idealfall stellen Sie Ihre leistungsstärksten Systeme für die Anwendung
bereit. Die verfügbaren Systeme bestimmen, wie Sie die einzelnen Komponenten
installieren und konfigurieren.
Die technischen Daten Ihres Netzes bleiben der Anwendung im Wesentlichen verborgen. Einige Aspekte können jedoch die Leistung beeinträchtigen. Sie müssen
folgende Faktoren beachten:
v Netzswitches: Der Typ der verwendeten Verkabelung kann die Ausführungsgeschwindigkeit von Jobs beeinträchtigen.
v Firewalls: Wenn Sie Websites scannen, die sich außerhalb des Netzes befinden,
beeinträchtigt das Vorhandensein der Firewall und deren Konfiguration die Ausführungsgeschwindigkeit von Jobs und die ordnungsgemäße Ausführung von
Sicherheitstests. Die Firewall bewertet den HTTP-Datenverkehr möglicherweise
als Virus und blockiert die Testanforderungen, bevor sie den Server erreichen.
Sie sollten die Firewall während der Ausführung von Sicherheitstests ausschalten, um ein gründliches und umfassendes Testen Ihrer Webanwendungen sicherzustellen.
v
: Veraltete Funktion: Die Funktion zum Scannen der Infrastruktur ist veraltet.
Damit Suchen nach IP-Adressen bei Jobs zum Scannen der Infrastruktur funktionieren, benötigt der Computer, auf dem sich der Infrastrukturagent befindet, einen Zugriff auf Port 43 für mindestens die IP-Adresse des WHOIS-Servers, die
der Region des Hosts entspricht. Wenn sich Ihr Host in Nordamerika befindet,
ist dies der Server "whois.arin.net". Wenn sich Ihr Host an einem anderen Standort befindet, ist dies "whois.arin.net" plus der WHOIS-Server für Ihre Weltregion,
d. h. eine der folgenden Adressen: "whois.ripe.net", "whois.apnic.net" oder
"whois.lacnic.net".
v Proxy-Server: Wenn Sie in Ihrem Netz einen Proxy-Server für den Internetzugriff
verwenden, müssen Sie die Proxy-Einstellungen für den Web-Browser angeben,
den der Service-Account verwendet.
16
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Kapitel 3. SQL Server-Datenbank für AppScan Enterprise vorbereiten
SQL Server-Datenbank konfigurieren
Für die Konfiguration von AppScan Enterprise Server sind Informationen zu SQL
Server erforderlich. Konfigurieren Sie zuerst den SQL Server, um bei der AppScanKonfiguration Zeit zu sparen.
Datenbankeigenschaften
So definieren Sie Datenbankeigenschaften:
1. Wählen Sie den Servernamen aus.
2. Erweitern Sie Datenbanken und klicken Sie mit der rechten Maustaste auf den
Datenbanknamen.
Mit den Optionen, die auf dem Eigenschaftenblatt "Optionen" unter "Datenbankeigenschaften" verfügbar sind, definieren Sie die Merkmale der ausgewählten Datenbank. Die optimalen Einstellungen für diese Optionen lauten:
Optionen
Wiederherstellungsmodell: Setzen Sie diese Option auf Einfach. Diese Einstellung
wird standardmäßig während der Konfiguration vorgenommen. Die Datenbank
kann nur mit dem Stand der letzten Gesamtsicherung oder der letzten Teilsicherung der SQL Server-Datenbank wiederhergestellt werden.
Automatisch
Statistiken automatisch erstellen: Setzen Sie diese Option auf True. Durch diese
Option werden Anfragen optimiert, um die Leistung zu verbessern.
Statistiken automatisch aktualisieren: Setzen Sie diese Option auf True. Statistiken
sind möglicherweise nicht auf dem neuesten Stand, wenn sich die Daten in den Tabellen geändert haben. Durch diese Option können vorhandene Statistiken aktualisiert werden, um Anfragen zu optimieren.
Servereigenschaften
So definieren Sie Servereigenschaften:
1. Klicken Sie mit der rechten Maustaste auf den Servernamen und wählen Sie die
Optionen Eigenschaften > Sicherheit aus.
2. Wählen Sie im Abschnitt "Serverauthentifizierung" entweder den Modus für die
Windows-Authentifizierung oder den Modus für die SQL Server- und die Windows-Authentifizierung aus und klicken Sie auf OK.
Anmerkung: Es können zwar beide Modi verwendet werden, es wird aber nur
die Windows-Authentifizierung unterstützt.
17
Zugehörige Informationen:
Secure ASP.NET-Anwendungen erstellen: Authentifizierung, Berechtigung und
sichere Datenübertragung
Strategien zur SQL Server-Datenbankpflege
Sie können die Datenintegrität erhalten und die Leistung verbessern, indem Sie
beim Konfigurieren der Datenbank und der Protokolldateien die folgenden Aspekte beachten.
1. Sie können die Leistung verbessern, indem Sie den erforderlichen Speicherplatz
für Datenbankdateien und Protokolldateien vorher zuweisen. Diese Optionen
sind auf den Registerkarten "Datendateien" und "Transaktionsprotokoll" im
Fenster "Datenbankeigenschaften" von SQL Server Enterprise Manager verfügbar.
2. Sie können unerwartete Fehler vermeiden, indem Sie zulassen, dass die Protokolldateien automatisch wachsen (um 10 %).
3. Sie können die Leistung deutlich steigern, indem Sie die Datendateien und Protokolldateien auf separaten physischen Plattenlaufwerken ablegen. Stellen Sie
sicher, dass diese physischen Plattenlaufwerke genug freien Speicherbereich für
das Datenbankwachstum aufweisen.
Sicherung und Wartung für die SQL Server-Datenbank
Wie alle Unternehmensanwendungen muss auch die Datenbank regelmäßig gesichert werden, und von Zeit zu Zeit müssen andere Wartungstasks für die Datenbank ausgeführt werden. Microsoft SQL Server Management Studio bietet einen
Assistenten für die Wartungsplanung, mit dem Sie diese Tasks automatisieren können. Erstellen Sie mit diesem Assistenten die erforderlichen geplanten Tasks.
Anmerkung: Das Erstellen einer Sicherung der Datenbank unterscheidet sich vom
Kopieren der Datenbankdatei und Speichern dieser Datei in einer anderen Position.
Verwenden Sie die Sicherungsfunktion in Microsoft SQL Server Management Studio, um die SQL Server-Datenbank zu sichern. Anweisungen zur Vorgehensweise
finden Sie in der zugehörigen Dokumentation.
Sicherungsstrategie
Da sich die Größe der Datenbankprotokolldateien von einer SQL Server-Sicherung
zur nächsten ändern kann, sollten Sie die Datenbank täglich sichern. Abhängig von
der Häufigkeit, mit der Aktivitäten ausgeführt werden (z. B. Generieren von Berichtspaketen und Dashboards oder Importjobs), empfiehlt es sich möglicherweise,
in kurzen Abständen nur Teilsicherungen vorzunehmen und in längeren Abständen SQL Server.Gesamtsicherungen auszuführen. Wenn die Datenbank nicht verwendet wird, sind Sicherungen unnötig. Sie sollten jedoch Sicherungsvorgänge für
die Zeiten planen, in denen die Datenbank weniger in Anspruch genommen wird.
Wenn es in Ihrem Unternehmen ein Zeitfenster für die regelmäßige Wartung von
Servern gibt, kann dies der optimale Zeitpunkt für die SQL Server-Sicherung sein.
In großen Unternehmen, bei denen die Datenbank immer oder fast immer verwendet wird, empfiehlt sich kommerzielle Sicherungssoftware, die für SQL-Teilsicherungen konfiguriert ist.
18
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Datenbankwiederherstellung
Im Falle eines schwerwiegenden Hardwarefehlers kann die Datenbank mithilfe der
letzten SQL Server-Sicherung wiederhergestellt werden. Dazu verwenden Sie den
Befehl "Datenbank wiederherstellen" in Microsoft SQL Server Management Studio.
Datenbankverkleinerung
Das Datenbankwachstum kann problematisch werden, insbesondere nach dem Löschen großer Jobs zum Scannen von Inhalten. Mit dem Befehl "Datenbank verkleinern" können Sie den leeren Speicherplatz entfernen. Am effektivsten lässt sich die
Datenbank auf Dateiebene verkleinern. Wählen Sie im Fenster "Datenbank verkleinern" die Option "Dateien" aus.
Alternativ können Sie den Assistenten für die Datenbankpflege verwenden, um
eine Datenbank in regelmäßigen Abständen zu verkleinern.
Datenbankpflege
Nach der Installation der Anwendung müssen Sie einen Plan für die Datenbankpflege aufstellen. Mit dem Assistenten für Wartungspläne können Sie den Plan erstellen und terminieren. Wählen Sie im Assistenten die Optionen für folgende Vorgänge aus:
v
v
v
v
v
Datenbankintegrität überprüfen
Datenbank verkleinern
Index reorganisieren
Statistiken aktualisieren
Gesamtsicherung der Datenbank ausführen
Defragmentierung der Platte
Im Laufe der Zeit kommt es zu Plattenfragmentierung, weil Dateien erstellt und
gelöscht werden oder ihre Größe ändern. Sie können die Windows-Tools verwenden, um die Platten in regelmäßigen Abständen zu defragmentieren, wenn die Datenbank gerade nicht verwendet wird und für Wartungszwecke inaktiviert werden
kann.
Wartungsplan zur Reorganisation des Index
Eine Indexfragmentierung kann aufgrund einer großen Anzahl an Seitenaufteilungen eine verringerte Datenbankleistung verursachen. Dies führt zu einer hohen
Nachverarbeitungszeit, zu einer länger dauernden Generierung von Berichtspaketen und zu einer verringerten Leistung der Webanwendung.
Der Wiederherstellungsvorgang kann nicht ausgeführt werden, wenn Benutzer auf
die Datenbank zugreifen. Aus diesem Grund ist es erforderlich, Benutzer während
der Wiederherstellung vom Zugriff auf die Datenbank abzuhalten.
Im Folgenden sind mögliche Lösungen aufgelistet:
v Für SQL Standard ist eine Wiederherstellung der Indizes notwendig. Hierzu
müssen die Indizes offline sein.
v Führen Sie ein Upgrade auf SQL Enterprise durch, so dass Indexwiederherstellungen zulässig sind, während der Index online ist.
Kapitel 3. SQL Server-Datenbank für AppScan Enterprise vorbereiten
19
v Passen Sie den Füllfaktor des SQL Server an, um eine interne Fragmentierung
von vornherein zu reduzieren.
Ein Upgrade auf SQL Enterprise würde Administratoren helfen, Indexwiederherstellungen abzuschließen, ohne den Zugriff auf die Datenbank zu stoppen. Erstellen Sie einen Wartungsplan mit den folgenden Eigenschaften:
Stoppt alle Services
Stoppt IIS und zugehörige Services
Beendet alle derzeit ausgeführten ausführbaren Dateien des Agent Host
Wartet, bis alle Agent Hosts die Bearbeitung fertigstellen
Überprüft die Stufe der Indexfragmentierung und protokolliert sie in einer Datei
6. Stellt die Indizes mithilfe eines Füllfaktors von 80 wieder her (20% freier
Speicherbereich pro Seite)
1.
2.
3.
4.
5.
7. Überprüft erneut die Stufe der Indexfragmentierung und hängt diese an die
Protokolldatei an
8. Startet IIS und zugehörige Services
9. Startet alle Services
Verwendung der SQL Server-Datenbank
Die Datenbank enthält alle Administrations-, Konfigurations- und Berichtsdaten.
Diese Datenbank enthält alle Tabellendefinitionen, Indizes, Integritätsbedingungen
und in der Datenbank gespeicherten Prozeduren, die die Anwendung verwendet.
Die Anwendung verwendet Datenbanktabellen für fünf Zwecke:
1. Zum Speichern von Daten, die zu keinem bestimmten Job zum Scannen von Inhalten gehören.
Diese Tabellentypen werden mit Namen mit gemischter Groß-/Kleinschreibung
benannt, die angeben, welche Daten in der Tabelle gespeichert sind, z. B. Job,
UserInfo.
2. Als Tabellenvorlagen, die zum Erstellen von Tabellen verwendet werden, in denen die Daten für einen bestimmten Job zum Scannen von Inhalten gespeichert
werden.
Diese Tabellen tragen das Suffix _JII_, _NSI_ oder _SJI_ im Namen, z. B. RepEntity_JII_, Vulnerability_JII_.
3. Zum Speichern von Daten für eine bestimmte Iteration eines Jobs zum Scannen
von Inhalten.
Diese Tabellen werden je nach Definition der entsprechenden Vorlagentabelle
erstellt, wenn der Job zum ersten Mal ausgeführt wird. Der Tabellenname entspricht dem Namen der Vorlagentabelle, wobei das Suffix _JII_ oder _NSI_
oder _SJI_ durch die Job-ID und die Jobiteration ersetzt wird, z. B. RepEntity_32_0, Vulnerability_32_1. Die in diesen Tabellen gespeicherten Daten sind
temporäre Daten.
4. Zum Speichern zusammengefasster Daten aus mehreren Scan-Jobs.
Der Job "Tabellenname_JR" in der Referenztabelle gibt den Scan-Job an, der das
Objekt gefunden hat.
5. Zum Speichern von Standardoptionen für einen bestimmten Job zum Scannen
von Inhalten.
20
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Dabei handelt es sich um eine einzelne Tabelle pro Ordnerelement, die erstellt
wird, wenn das Ordnerelement erstellt wird. Der Name der Tabelle lautet FolderItemOption, gefolgt von der Element-ID und der Zeichenfolge _D, z. B.
FolderItemOption_310_D.
Entsprechend gibt es drei Arten von gespeicherten Prozeduren:
1. Gespeicherte Prozeduren, die Vorgänge ausführen, die zu keinem bestimmten
Job zum Scannen von Inhalten gehören
Die Namen dieser gespeicherten Prozeduren beginnen mit dem Präfix wp_ und
werden nach dem Vorgang benannt, den sie ausführen, z. B. wp_FolderItem_Delete, wp_Folder_Select.
2. Vorlagen für gespeicherte Prozeduren, die zum Erstellen von gespeicherten Prozeduren verwendet werden, die einen Vorgang mit den Daten für einen bestimmten Job zum Scannen von Inhalten ausführen
Die Namen dieser gespeicherten Prozeduren beginnen mit dem Präfix "wt_", z.
B. wt_RepEntityInsert, wt_VulnerabilityInsert.
3. Gespeicherte Prozeduren, die einen Vorgang mit den Daten für eine bestimmte
Jobiteration ausführen
Diese gespeicherten Prozeduren werden aus den Vorlagen für gespeicherte Prozeduren erstellt, wenn ein Element zum ersten Mal ausgeführt wird. Der Name
dieser gespeicherten Prozedur beginnt mit dem Präfix wi_, gefolgt von der
Element-ID, der Elementiteration und der Vorgangsbezeichnung, z. B.
wi_21_0_RepEntityInsert, wi_21_1_VulnerabilityInsert.
Die referenzielle Integrität in der Anwendung wird auf Datenbankebene hergestellt. Alle Integritätsbedingungen über Fremdschlüssel werden in der Datenbank
definiert.
Assistent-Benutzeraccount zum Ausführen gespeicherter Prozeduren
erstellen
Wenn die Sicherheitsrichtlinien Ihres Unternehmens nicht zulassen, dass Sie dem
Service-Account die Berechtigung "db_owner" zuweisen, können Sie eine Rolle für
das Ausführen gespeicherter Prozeduren erstellen.
Vorgehensweise
1. Klicken Sie im SQL Server Management Studio auf Neue Abfrage und wählen
Sie in der Liste die Datenbank aus.
2. Geben Sie die folgenden beiden SQL-Anweisungen ein:
a. Create role db_executor
b. Grant execute to db_executor
3. Klicken Sie auf Ausführen.
4. Wechseln Sie zu Datenbanken > Name der ASE-Datenbank > Sicherheit > Benutzer.
5. Klicken Sie mit der rechten Maustaste auf Service-Account > Eigenschaften.
6. Fügen Sie im Dialogfenster "Datenbankbenutzer" unter "Mitgliedschaft in Datenbankrollen" die folgenden Rollen zum Service-Account hinzu:
v db_datareader
v db_datawriter
v db_ddladmin
v db_executor
7. Wählen Sie OK aus.
Kapitel 3. SQL Server-Datenbank für AppScan Enterprise vorbereiten
21
Transparente Datenverschlüsselung (TDE) auf SQL Server-Datenbanken aktivieren
AppScan Enterprise verwendet keine proprietäre Verschlüsselungsmechanismen
mehr, um unberechtigte Übertragungen der zugehörigen Datenbanken zu verhindern, da es andere Mechanismen von anderen Herstellern gibt, die dafür ausschließlich entworfen wurden, physikalische Schichten mit einem geringeren Einfluss auf die Leistung zu verschlüsseln. Dieser Verschlüsselungstyp wird
normalerweise auf der Datenbankserverebene angewendet. SQL Server verfügt beispielsweise über einen integrierten TDE-Verschlüsselungsmechanismus (TDE Transparent Data Encryption). TDE verschlüsselt Daten, die sich in der Datenbank
oder in Sicherungen auf physischen Datenträgern befinden.
Vorbereitende Schritte
TDE ist nur auf der Enterprise Edition von Microsoft SQL Server ab 2008 verfügbar. Informationen zur Standard Edition-Option finden Sie im Abschnitt „SQL Server-Datenbank mit EFS verschlüsseln, sichern und wiederherstellen” auf Seite 25.
Informationen zu diesem Vorgang
Zum Aktivieren von TDE auf SQL Server müssen Sie über die normalen Berechtigungen zum Erstellen eines Datenbankmasterschlüssels und von Zertifikaten in der
Masterdatenbank verfügen. Sie müssen zudem über Steuerungsberechtigungen auf
der Benutzerdatenbank verfügen.
Das Aktivieren der Verschlüsselung ist eine allgemeine Task für Datenbankadministratoren. Einfachheitshalber haben wir ein SQL-Script bereitgestellt, das sich für
eine typische SQL Server-Konfiguration eignet: EnableTDE.zip
Anmerkung: Für Upgrade-Benutzer:
1. Um die Leistung des Datenbankupgrades zu verbessern, aktivieren Sie TDE
nach Abschluss des Datenbankupgrades.
2. Während Sie diese Schritte jederzeit ausführen können, wird die Datenbank
erst verschlüsselt, wenn Sie die Schritte ausgeführt haben. Wenn Sie TDE vor
dem Upgradeprozess aktivieren, wird Ihre Datenbank während des Upgrades
und danach geschützt.
Vorgehensweise
1. Öffnen Sie das SQL Management Studio Ihrer Installation von SQL Server 2008
oder 2012.
2. Stellen Sie eine Verbindung zu der Datenbank her, die Sie verschlüsseln möchten. Auf diese Weise wird sichergestellt, dass die Datenbank erstellt wurde und
verfügbar ist.
3. Wechseln Sie zu der Position, an der Sie die heruntergeladene Datei EnableTDE.zip gespeichert haben. Dekomprimieren Sie die Datei und öffnen Sie das Script.
(Datei > Öffnen > Datei). Sie werden mehrere Befehle erkennen, die auf dem
Server ausgeführt werden.
4. Bevor Sie das Script ausführen, müssen Sie drei Felder für Ihre Umgebung festlegen. Diese sind im Kommentarabschnitt des Scripts alle mit ‘ACTION REQUIRED’ (Erforderliche Aktion) markiert:
a. DECLARE @MKPassword (@MKPassword festlegen): Das Masterschlüsselkennwort, mit dem der Masterschlüssel in der [Master-] Datenbank erstellt
wird.
22
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
b. DECLARE @DatabaseName (@DatabaseName festlegen): Der Name der Datenbank, auf der Sie die Verschlüsselung aktivieren möchten.
c. (Optional) DECLARE @BackupPassword (@BackupPassword festlegen): Das
Kennwort zum Sichern des Zertifikats. Dieses Kennwort wird verwendet,
um die Zertifikatssicherung zu sichern. Es ist erforderlich, um das Zertifikat
in einer anderen Maschine wiederherzustellen.
5. Starten Sie das Script nach dem Aktualisieren der Felder (Abfrage >Ausführen).
„Aktivieren von TDE auf SQL Server über das Script”.
6. Nachdem das Script ausgeführt wurde, wird das Ergebnis im Fenster ‘Nachrichten’ von SQL Management Studio angezeigt.
Anmerkung: Sie können die Prüfung auch über SQL Management Studio
durchführen. Klicken Sie mit der rechten Maustaste auf “Database Name>Tasks->Manage Database Encryption” (Datenbankname-> Tasks-> Datenbankverschlüsselung verwalten). Das Kontrollkästchen für ‘Set Database Encryption
On’ (Datenbankverschlüsselung aktivieren) ist ausgewählt.
Ergebnisse
Wichtig: Stellen Sie sicher, dass Sie nach Abschluss die Kennwörter notieren, die in
diesem Script verwendet werden, und erstellen Sie eine Kopie der Zertifikatssicherung. Die Zertifikatssicherung besteht aus zwei Dateien, AppScanEntCert.bak und
AppScanEntCert.pvk. Sie werden in der .mdf-Datei der Datenbank gespeichert,
standardmäßig in folgendem Ordner:
v (SQL 2012) C:\Programme\Microsoft SQL Server\MSSQL11.MSSQLSERVER\
MSSQL\DATA
v (SQL 2008) C:\Programme\Microsoft SQL Server\MSSQL10.MSSQLSERVER\
MSSQL\DATA
v (SQL 2008 R2) C:\Programme\Microsoft SQL Server\
MSSQL10_50.MSSQLSERVER\MSSQL\DATA
Zugehörige Tasks:
„TDE-geschützte Datenbank auf einen anderen SQL Server verschieben” auf Seite
24
Führen Sie die folgenden Schritte aus, wenn Sie eine TDE-geschützte Datenbank
auf einem anderen Server wiederherstellen oder auf diesen verschieben müssen.
Zugehörige Informationen:
Transparente Datenverschlüsselung (TDE)
Aktivieren von TDE auf SQL Server über das Script
Das Script ist eine komfortable Methode, umfassende Schritte auszuführen, die
zum Konfigurieren von TDE auf einer Benutzerdatenbank erforderlich sind.
1. Erstellen Sie bei Bedarf einen Masterschlüssel.
TDE erfordert die Erstellung eines Masterschlüssels in der [Master-] Datenbank.
Jeder Datenbankserver kann nur über einen Masterschlüssel verfügen, der von
allen Benutzerdatenbanken gemeinsam genutzt wird.In diesem Schritt muss
das Kennwort im Script bereitgestellt werden. Wenn der Masterschlüssel noch
nicht vorhanden ist, wird er mit dem angegebenen Kennwort erstellt.
2. Öffnen Sie den Masterschlüssel.
Der Masterschlüssel muss geöffnet sein, um die nachfolgenden Schritte durchzuführen. Dieser Schritt stellt sicher, dass der Masterschlüssel vor dem Fortfahren geöffnet ist. Falls ein Masterschlüssel bereits auf dem Datenbankserver vorKapitel 3. SQL Server-Datenbank für AppScan Enterprise vorbereiten
23
handen ist, prüft dieser Schritt, ob das eingegebene Kennwort mit dem
Kennwort übereinstimmt, das zu Beginn zum Erstellen des Masterschlüssels
verwendet wurde.
3. Erstellen Sie das Zertifikat "AppScan".
Es wird ein Zertifikat erstellt, das von allen AppScan Enterprise-Datenbanken
auf diesem Datenbankserver verwendet werden soll. Der Name des Zertifikats
lautet "APPSCAN_ENT_CERT".
Das Zertifikat wird sofort nach seiner Erstellung gesichert. Dieser Schritt erstellt
zwei Dateien: AppScanEntCert.bak und AppScanEntCert.pvk. Die Dateien werden mit der .mdf-Datenbankdatei an der entsprechenden Position gespeichert:
v (SQL 2012) C:\Programme\Microsoft SQL Server\
MSSQL11.MSSQLSERVER\MSSQL\DATA
v (SQL 2008) C:\Programme\Microsoft SQL Server\
MSSQL10.MSSQLSERVER\MSSQL\DATA
v (SQL 2008 R2) C:\Programme\Microsoft SQL Server\
MSSQL10_50.MSSQLSERVER\MSSQL\DATA
4. Ordnen Sie das AppScan-Zertifikat der AppScan Enterprise-Datenbank zu.
Dieser Schritt erstellt basierend auf dem in Schritt 3 erstellten Zertifikat einen
Chiffrierschlüssel auf der Datenbank.
5. Aktivieren Sie die Verschlüsselung.
Dieser Schritt aktiviert die Verschlüsselung auf der AppScan Enterprise-Datenbank.
6. Testen Sie die Ergebnisse und zeigen Sie sie an
Eine Nachricht wird in der Ansicht ‘Nachrichten’ in SQL Management Studio
ausgegeben. Sie gibt an, ob die vorherigen Schritte erfolgreich waren, und zeigt
an, zu wie viel Prozent die transparente Datenverschlüsselung abgeschlossen
ist.
TDE-geschützte Datenbank auf einen anderen SQL Server verschieben
Führen Sie die folgenden Schritte aus, wenn Sie eine TDE-geschützte Datenbank
auf einem anderen Server wiederherstellen oder auf diesen verschieben müssen.
Vorbereitende Schritte
Laden Sie die ZIP-Datei auf die SQL Server-Maschine herunter: RestoreDBCertificate.zip
Vorgehensweise
1. Kopieren Sie die zwei Zertifikatsdateien (AppScanEntCert.bak und AppScanEntCert.pvk), die Sie in der Task „Transparente Datenverschlüsselung (TDE)
auf SQL Server-Datenbanken aktivieren” auf Seite 22 erstellt haben, an eine Position auf Ihrer Maschine (zum Beispiel: C:\Certificate\).
2. Öffnen Sie das SQL Management Studio Ihrer Installation von SQL Server 2008
oder 2012.
3. Wechseln Sie zu der Position, an der Sie die heruntergeladene Datei RestoreTDECertificate.zip gespeichert haben. Dekomprimieren Sie die Datei und öffnen
Sie das Script. (Datei > Öffnen > Datei). Sie werden mehrere Befehle erkennen,
die auf dem Server ausgeführt werden.
24
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
4. Bevor Sie das Script ausführen, müssen Sie drei Felder für Ihre Umgebung festlegen (sie sind im Kommentarabschnitt des Scripts alle mit ‘ACTION REQUIRED’ (Erforderliche Aktion) markiert):
v DECLARE @MKPassword (@MKPassword festlegen): Das Masterschlüsselkennwort, das zum Erstellen des Masterschlüssels in der [Master-] Datenbank verwendet wurde, in der Sie TDE aktiviert haben
v DECLARE @BackupPassword (@BackupPassword festlegen): Das Kennwort,
das zum Sichern des Zertifikats verwendet wurde, wenn dieses sich von
@MKPassword unterscheidet
v DECLARE @Path (@Path festlegen): Der Pfad der Position, an der Sie die
Kopien der zwei Dateien AppScanEntCert.bak und AppScanEntCert.pvk gespeichert haben
5. Klicken Sie nach dem Aktualisieren der Felder auf Abfrage > Ausführen, um
das Script zu starten.
Ergebnisse
Nachdem das Script ausgeführt wurde, wird das Ergebnis im Fenster ‘Nachrichten’
von SQL Management Studio angezeigt. Wenn die folgende Nachricht angezeigt
wird, sollten Sie die Datenbank auf diesem SQL Server wiederherstellen können:
"The certificate is restored successfully, you can restore the database." (Das Zertifikat wurde erfolgreich wiederhergestellt. Sie können die Datenbank wiederherstellen.)
SQL Server-Datenbank mit EFS verschlüsseln, sichern und wiederherstellen
EFS (Encrypting File System) ist eine Funktion von Microsoft Windows, mit der Sie
Informationen auf Ihrer Festplatte in einem verschlüsselten Format speichern können. EFS ermöglicht eine transparente Verschlüsselung sowie die Entschlüsselung
von Dateien durch Verwendung erweiterter, standardmäßiger Verschlüsselungsalgorithmen. Verwenden Sie diese Methode zum Verschlüsseln der Datenbankdatei,
wenn Sie über SQL Server Standard Edition 2008, 2008 SP3, 2008 R2 SP2 und 2012
verfügen.
Vorbereitende Schritte
Diese Task setzt voraus, dass:
1. Sie einen Service-Account für den SQL Server-Service ausgewählt haben, der:
v für die Laufzeit der verschlüsselten Datenbank und der zugehörigen Sicherung verfügbar bleibt.
v bei Bedarf zum Übertragen der Datenbank oder der zugehörigen Sicherung
im gesamten Netz verwendet werden kann.
Anmerkung:
v Bei dem Service-Account kann es sich um denselben oder um einen anderen
Service-Account als den Service-Account handeln, den Sie für AppScan
Enterprise verwenden.
v Verwenden Sie einen Service-Account, um sich beim SQL Server-Service anzumelden und jede über den Service gehostete Datenbank zu verschlüsseln.
v Der SQL Server-Service-Account wird in diesen Anweisungen als "der Service-Account" bezeichnet.
Kapitel 3. SQL Server-Datenbank für AppScan Enterprise vorbereiten
25
2. Sie den Dateipfad der Datenbank lokalisiert haben, wenn er sich von den hier
aufgelisteten Standardpositionen unterscheidet. Sie benötigen diese Informationen für Schritt 3. Öffnen Sie Microsoft SQL Server Management Studio, um die
Standardposition anzuzeigen. Klicken Sie mit der rechten Maustaste auf den
SQL Server, der die Datenbank hostet. Klicken Sie auf Eigenschaften > Datenbankeinstellungen > Standardpositionen der Datenbank.
Vorgehensweise
1. Rufen Sie Start > Administrationstools > Services auf und stoppen Sie den
SQL Server-Service, der als Host für die AppScan Enterprise-Datenbank dient,
die Sie verschlüsseln möchten. Der Standardservice ist SQL Server (MSSQLSERVER).
2. Klicken Sie mit der rechten Maustaste auf den Namen des Service, um das Dialogfenster für die Eigenschaften zu öffnen. Wählen Sie auf der Registerkarte
Log on (Anmelden) Dieser Account aus, geben Sie die Berechtigungsnachweise
des Service-Accounts ein und klicken Sie anschließend auf OK.
3. Klicken Sie im Windows Explorer mit der rechten Maustaste auf den Ordner, in
dem sich die Datenbank befindet, und wechseln Sie zu Eigenschaften > Sicherheit, um dem Service-Account Lese- und Ausführberechtigungen sowie Leseberechtigungen für die Datei <Datenbankname.mdf> und den übergeordneten Ordner
zu erteilen.
Anmerkung: Die Berechtigungsnachweise des angemeldeten Benutzers werden
zum Verschlüsseln der Datenbank verwendet. Wenn Sie nicht beim Service-Account angemeldet sind, melden Sie sich jetzt an.
4. Klicken Sie mit der rechten Maustaste auf die Datei <Datenbankname.mdf>, rufen Sie Properties > General > Advanced > Encrypt contents to secure data
(Eigenschaften > Allgemein > Erweitert > Inhalte zum Sichern von Daten verschlüsseln) auf und klicken Sie auf OK.
Anmerkung: Wenn der übergeordnete Ordner noch nicht verschlüsselt ist,
wählen Sie Encrypt the file and the parent folder (Datei und übergeordneten
Ordner verschlüsseln), wenn Sie dazu aufgefordert werden. Andernfalls können
Sie in SQL Server Management-Tools und in AppScan Enterprise nicht auf die
Datenbank zugreifen.
5. Wiederholen Sie die Schritte 3 und 4 für die Datei <Datenbankname.ldf>.
6. Starten Sie in der Anzeige "Services" den SQL Server, der als Host für die
AppScan Enterprise-Datenbank dient.
Ergebnisse
Alle verschlüsselten Daten werden im Windows Explorer grün angezeigt.
Anmerkung: Nur der Benutzer, der die Datei verschlüsselt hat, kann sie entschlüsseln. Im Abschnitt "Details" in der Anzeige Properties > Advanced Attributes (Eigenschaften > Erweiterte Attribute) können Sie festlegen, wer die jeweiligen Dateien verschlüsselt hat. Die Sicherung der verschlüsselten Datenbank wird NICHT
automatisch verschlüsselt. Führen Sie die Schritte im Abschnitt Durch EFS verschlüsselte Datenbank sichern und wiederherstellen aus.
26
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Durch EFS verschlüsselte Datenbank sichern und wiederherstellen
Sie können eine verschlüsselte Datenbanksicherungsdatei an eine im Netz gemeinsam genutzte Position verschieben, die auf derselben Windows-Version gehostet
wird, um die Dateiverschlüsselung zu erhalten. Sie können die Datenbank von jeder Position aus, an der die verschlüsselte Datenbankdatei gespeichert ist, wiederherstellen. Wenn Sie die Datei auf einem SQL Server wiederherstellen, sollte der
Service dieses Servers mit den Service-Account-Berechtigungsnachweisen des Benutzers ausgeführt werden, der die Datenbank verschlüsselt hat. Eine wiederhergestellte Datenbank ist jedoch NICHT verschlüsselt. Sie müssen sie daher mithilfe der
Schritte in der oben aufgeführten Task verschlüsseln.
Vorgehensweise
1. Erweitern Sie im Windows Explorer den Ordner, in dem sich die Datenbanksicherung befindet, und erteilen Sie dem Service-Account Lese- und Ausführberechtigungen sowie Leseberechtigungen für die Datei <Datenbankname.bak>.
Anmerkung: Die Berechtigungsnachweise des angemeldeten Benutzers werden
zum Verschlüsseln der Datenbank verwendet. Wenn Sie nicht beim Service-Account angemeldet sind, melden Sie sich jetzt an.
2. Klicken Sie mit der rechten Maustaste auf die Datei <Datenbankname.bak>, rufen Sie Properties > General > Advanced > Encrypt contents to secure data
(Eigenschaften > Allgemein > Erweitert > Inhalte zum Sichern von Daten verschlüsseln) auf und klicken Sie auf OK.
Datenbank mit EFS bei gleichzeitiger Verfügbarkeit von SQL
Server verschlüsseln
Sie können vermeiden, dass SQL Server während eines bestimmten Datenbankverschlüsselungsprozesses inaktiviert wird. Stattdessen können Sie die Datenbank abhängen, verschlüsseln und anhängen, während der SQL Server weiterhin aktiv ist.
Vorgehensweise
1. Rufen Sie Start > Administrationstools > Services auf und stoppen Sie den
SQL Server-Service, der als Host für die AppScan Enterprise-Datenbank dient,
die Sie verschlüsseln möchten. Der Standardservice ist SQL Server (MSSQLSERVER).
2. Klicken Sie mit der rechten Maustaste auf den Namen des Service, um das
Dialogfenster für die Eigenschaften zu öffnen. Wählen Sie auf der Registerkarte Log on (Anmelden) Dieser Account aus, geben Sie die Berechtigungsnachweise des Service-Accounts ein und klicken Sie anschließend auf OK.
3. Starten Sie in der Anzeige "Services" den SQL Server, der als Host für die
AppScan Enterprise-Datenbank dient.
4. Öffnen Sie Microsoft SQL Server Management Studio und stellen Sie eine Verbindung zum SQL Server her, auf dem diese Datenbank bereitgestellt wird.
5. Klicken Sie in der Baumstruktur "Datenbanken" mit der rechten Maustaste auf
die Datenbank, die Sie verschlüsseln möchten, und klicken Sie auf Tasks >
Abhängen.
6. Wenn im Fenster zum Abhängen der Datenbanken offene Verbindungen vorhanden sind, wählen Sie das Kontrollkästchen Drop Connections (Verbindungen löschen) aus und klicken Sie auf OK.
Kapitel 3. SQL Server-Datenbank für AppScan Enterprise vorbereiten
27
7. Erweitern Sie im Windows Explorer den Ordner, in dem sich die Datenbank
befindet, und erteilen Sie dem Service-Account Lese- und Ausführberechtigungen
sowie Leseberechtigungen für die Datei <Datenbankname.mdf> und den übergeordneten Ordner.
Anmerkung: Die Berechtigungsnachweise des angemeldeten Benutzers werden zum Verschlüsseln der Datenbank verwendet. Wenn Sie nicht beim Service-Account angemeldet sind, melden Sie sich jetzt an.
8. Klicken Sie im Windows Explorer mit der rechten Maustaste auf die Datei
<Datenbankname.mdf>, rufen Sie Properties > General > Advanced > Encrypt contents to secure data (Eigenschaften > Allgemein > Erweitert > Inhalte
zum Sichern von Daten verschlüsseln) auf und klicken Sie auf OK.
Anmerkung: Wenn der übergeordnete Ordner noch nicht verschlüsselt ist,
wählen Sie Encrypt the file and the parent folder (Datei und übergeordneten
Ordner verschlüsseln) aus, wenn Sie dazu aufgefordert werden. Andernfalls
können Sie in SQL Server Management-Tools und in AppScan Enterprise nicht
auf die verschlüsselte Datenbank zugreifen.
9. Wiederholen Sie die Schritte 7 und 8 für die Datei <Datenbankname.ldf>.
10. Klicken Sie in Microsoft SQL Server Management Studio mit der rechten
Maustaste auf die Baumstruktur Datenbanken und wählen Sie Attach (Anhängen) aus.
11. Klicken Sie im Fenster zum Anhängen von Datenbanken auf Hinzufügen und
navigieren Sie zur verschlüsselten Datei <Datenbankname.mdf>. Wählen Sie
sie aus und klicken Sie auf OK > OK
28
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Kapitel 4. Einfache Installationsimplementierung
Allgemeines Implementierungsszenario
Die Anzahl der erforderlichen Server und die verwendete Konfiguration hängen
davon ab, auf welche Weise Sie die Anwendung nutzen möchten. Die optimale
Konfiguration für Ihre Situation hängt von einer Reihe von Faktoren ab, darunter
Benutzeranzahl, Größe der Site, ausgeführte Jobtypen und benötigte Berichte.
AppScan Enterprise besteht aus diesen Schlüsselkomponenten:
v SQL Server-Datenbank
v AppScan Enterprise Dynamic Analysis Scanner
v AppScan Enterprise Server
v Rational License Server (wird mit zusammen mit AppScan Enterprise Server installiert)
Anmerkung: Die Anweisungen in diesem Szenario gehen von folgender Situation
aus:
1. Jede Anwendungskomponente wird auf einer eigenen Maschine installiert. Dies
ist das gebräuchlichste Installationsszenario. Es spielt keine Rolle, ob Sie zuerst
Dynamic Analysis Scanner oder AppScan Enterprise Server installieren. Es ist
jedoch einfacher, die SQL Server-Datenbank zu konfigurieren, bevor Sie
AppScan Enterprise Server installieren, da für den Server im Verlauf der Konfiguration Informationen zu SQL Server erforderlich sind.
2. Sie verfügen über Administratorberechtigungen auf der Maschine oder den Maschinen, auf denen Sie die AppScan Enterprise-Komponenten installieren.
Diese Konfiguration unterstützt eine Implementierung mittlerer Größe: 3 bis 4 Dynamic Analysis Scanner (4 gleichzeitig ablaufende Scan-Jobs je Scanner). Größere
Implementierungen oder Arbeitslasten erfordern möglicherweise mehr Ressourcen.
Anmerkung: Sie können die Installation in einer virtuellen Umgebung (VM - virtuelle Maschine) durchführen. Die Datenbank sollte jedoch auf einem physischen
System installiert werden, um einen Leistungsverlust zu vermeiden.
29
Weitere Details hierzu finden Sie im Thema Systemvoraussetzungen.
SQL Server-Datenbank
Die SQL Server-Datenbank bildet das zentrale Repository für die folgenden Informationen, die bei einem Job erfasst werden: Statistikdaten, Scanprotokolle und Abfragen für Aktivitätsereignisse. Unabhängig davon, ob Sie den Server oder den
Scanner installieren, erstellen Sie eine Datenbank auf einem SQL Server, der in Ihrer Umgebung installiert ist. Die Datenbank sollte zuerst konfiguriert werden, sodass die Schlüsselinformationen, die für AppScan Enterprise Server im Verlauf der
Konfiguration erforderlich sind, bereitstehen und verfügbar sind. Die Datenbank
enthält die folgenden Daten:
v Alle von den Agenten erfassten Daten
v Informationen zum Umfang der Berichtsdaten
v Zusammenfassung von Daten aus Langzeitberichten
v Informationen zu Agentenkonfiguration, Zeitplanung, Status und Alertausgabe
v Informationen zu Benutzerkonfiguration und Benutzerberechtigungen
AppScan Enterprise Server
Diese Komponente besteht aus folgenden Teilen:
v Benutzeradministration: Die Komponente "Benutzeradministration" des Enterprise Server wird zur Benutzerauthentifizierung auf dem Jazz Team Server verwendet.
Anmerkung: Wenn Sie ein AppScan Source-Benutzer sind, müssen Sie nur diese
Komponente installieren, es sei denn, Sie möchten korrelierte Berichte aus Ergebnissen anzeigen, die Sie auf dem Enterprise Server veröffentlichen. In diesem
Fall müssen Sie auch die Unternehmenskonsole installieren.
30
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
v Unternehmenskonsole: Die Unternehmenskonsole ist ein Satz von ASP.NETSeiten, die die Benutzerschnittstelle darstellen. Die Berichterstellung erfolgt über
einen Web-Browser.Sie bildet die wichtigste Benutzerschnittstelle und unterstützt
die Administration, Scankonfiguration und Berichterstellung. Je nach Ihren Anforderungen können Sie eine oder mehrere Instanzen der Unternehmenskonsole
auf einem einzelnen Server installieren.
Dynamic Analysis Scanner
Eine lokale Datenbankdatei wird zu Beginn jedes Scans erstellt. Eine lokale Datenbank verbessert die Leistung und die Skalierbarkeit, da die Ressourcenauslastung
auf der zentralen SQL-Datenbank freigegeben wird.
Die lokale Datenbank enthält die Informationen für jeden Job, den der Scanner
ausführt, und sendet die Daten nach Abschluss des Scans an die SQL ServerHauptdatenbank. Die lokale Datenbankdatei bleibt auf dem Scanner, bis ein zugehöriges Berichtspaket, falls vorhanden, das erste Mal automatisch ausgeführt wurde. Wenn kein automatisch ausgeführtes Berichtspaket vorhanden ist, wird die Datenbankdatei bei Abschluss des Scans gelöscht. Wenn der Scan jedoch ausgesetzt
wird, bleibt die Datenbankdatei auf dem Scanner, bis der Job abgeschlossen oder
abgebrochen wird.
Anmerkung: Die lokale Datenbank ist unverschlüsselt. Das Installationsverzeichnis
von Dynamic Analysis Scanner sollte gesichert sein.
Der Scanner besteht aus zwei Services:
v Agentenservice und Agenten: Der Agentenservice überwacht die SQL ServerDatenbank auf auszuführende Jobs. Ein Agent ist ein Windows-Prozess, der von
einem Agentenservice gestartet wird, wenn ein Job zur Ausführung ansteht.
Während der Ausführung eines Scan-Jobs erfasst der Agent die Scaninformationen in der Datenbank. Falls Alerts konfiguriert wurden, werden die betroffenen
Benutzer vom Alertausgabeservice informiert, wenn bestimmte Ereignisse während des Jobs auftreten.
Anmerkung:
1. Inhalts- und Infrastrukturagenten können immer nur einen Job auf einmal
ausführen; auf einem einzigen Scanner können jedoch mehrere Agenten
gleichzeitig ausgeführt werden. Auf einem bestimmten Computer können
mehrere Jobs desselben Typs gleichzeitig ausgeführt werden, wobei jeder Job
einen eigenen Agentenprozess aufweist.
2. Die Anzahl ausgeführter Jobs kann größer als die maximale Anzahl an Agenten sein, die dem Scanner zugewiesen wurden, da die Anzahl ausgeführter
Jobs auch Jobs umfasst, die sich in der Nachverarbeitungs- oder Berichterstellungsphase befinden. Für diese Jobs wird kein Agent auf dem Scanner mehr
verwendet.
3. Wenn die Anzahl wegen Ausfallzeit ausgesetzter Jobs die Anzahl verfügbarer
Agenten auf dem Scanner übersteigt, erhalten die wegen Ausfallzeit ausgesetzten Jobs Priorität, sobald der nächste Job ausgeführt werden kann.
v Alertausgabeservice: Der Alertausgabeservice sorgt für das Senden von Alerts
an die jeweiligen Benachrichtigungseinheiten. Obwohl Sie so viele Agenten und
Agentenservices verwenden können, wie Sie benötigen, können Sie nur einen
Alertausgabeservice für jede Datenbank installieren.
Kapitel 4. Einfache Installationsimplementierung
31
E-Assemblys zu AppScan Enterprise herunterladen
Vorgehensweise
1. Rufen Sie Passport Advantage auf und melden Sie sich mithilfe Ihrer IBM ID
und Ihres Kennworts an.
2. Geben Sie im Feld Find by search text (Nach Suchbegriff suchen) AppScan
Enterprise Server v8.7 ein und laden Sie diese E-Assembly für Ihr jeweiliges
Betriebssystem herunter: IBM Security AppScan Enterprise Server V8.7 Multiplatform, Multilingual.
3. (Optional): Wenn Sie WebSphere Application Server Version 8.0 verwenden, laden Sie die entsprechenden E-Assemblys für Ihr Betriebssystem aus der erweiterten Liste herunter.
4. Kehren Sie zur Suchseite zurück und geben Sie im Feld Find by search text
(Nach Suchbegriff suchen) AppScan Enterprise Dynamic Analysis Scanner v8.7
ein. Laden Sie diese E-Assembly für Ihr jeweiliges Betriebssystem herunter:
IBM Security AppScan Enterprise Dynamic Analysis Scanner V8.7 Windows
Multilingual.
AppScan Enterprise Server auf Maschine A installieren
Gehen Sie nach dieser Prozedur vor, um die Komponente "Benutzeradministration"
(Jazz-Authentifizierung), die Unternehmenskonsole zur Berichterstellung und Tasks
zur Benutzeradministration zu installieren.
Vorbereitende Schritte
Installieren und konfigurieren Sie die SQL Server-Datenbank, sodass die Schlüsselinformationen während der Konfiguration von AppScan Enterprise Server verfügbar sind.
Vorgehensweise
1. Wechseln Sie zu dem Verzeichnis, in das Sie die ausführbare Datei
(AppScanEnterpriseServerSetup_<Version>.exe) heruntergeladen haben, und
klicken Sie doppelt auf die Datei.
2.
3.
4.
5.
Anmerkung: Es dauert möglicherweise einen Moment, bis die nächste Anzeige
geöffnet wird.
Wenn Rational License Key Server nicht in Ihrem Netz installiert ist, installieren
Sie die Anwendung, wenn Sie dazu aufgefordert werden.
Klicken Sie in der Begrüßungsanzeige des Installationsassistenten auf Weiter.
Wählen Sie im Fenster "Lizenzvereinbarung" die Option Ich stimme den Bedingungen des Lizenzvertrags zu und klicken Sie auf Weiter.
Führen Sie im Fenster "Zielordner" eine der folgenden Aktionen aus und klicken Sie auf Weiter:
a. Klicken Sie auf Weiter, um die Standardinstallationsposition zu akzeptieren.
b. Klicken Sie auf Ändern, um eine andere Installationsposition auszuwählen.
6. Klicken Sie im Fenster "Bereit zum Installieren des Programms" auf Installieren, um mit der Installation fortzufahren.
7. Wählen Sie in der Anzeige "Installationsassistent beendet" das Kontrollkästchen
zum Starten des Konfigurationsassistenten aus und klicken Sie auf Fertigstellen.
32
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Nächste Schritte
„Serverkonfigurationassistenten für die Komponenten "Unternehmenskonsole" und
"Benutzeradministration" ausführen”
Serverkonfigurationassistenten für die Komponenten "Unternehmenskonsole" und "Benutzeradministration" ausführen
Wenn Sie den Assistenten nach dem Installieren von AppScan Enterprise Server
ausführen, wird die Datenbank auf dem SQL Server eingerichtet und die Erstkonfiguration der Komponente ausgeführt.
Vorbereitende Schritte
Anmerkung:
1. Bei der Konfiguration definieren Sie den Namen und den Speicherort der zu
verwendenden SQL Server-Datenbank sowie den Namen und das Kennwort für
den Service-Account. Der Benutzer, der den Konfigurationsassistenten ausführt,
muss eine Datenbank erstellen und Berechtigungen zuweisen können.
Vorgehensweise
1. Starten Sie den Konfigurationsassistenten nach einer der folgenden Methoden:
a. Wählen Sie nach der Installation im Fenster "Installationsassistent beendet"
das Kontrollkästchen Konfigurationsassistenten starten aus.
b. Wählen Sie im Windows-Startmenü Konfigurationsassistent aus.
2. Klicken Sie in der Eingangsanzeige auf Weiter.
3. Geben Sie im Fenster "Lizenzserver" den Rational License Server an, der für
Lizenzen verwendet werden soll. Siehe „Lizenzserver” auf Seite 35.
4. Wählen Sie im Fenster zu den Serverkomponenten die Komponenten aus, die
Sie konfigurieren möchten. Die verfügbaren Komponenten richten sich nach
der Lizenz. Siehe „Serverkomponenten” auf Seite 35.
5. Geben Sie im Fenster "Service-Account" die Domäne/den Benutzernamen des
Service-Accounts und das zugehörige Kennwort ein, und klicken Sie auf Weiter. Siehe „Service-Account” auf Seite 36.
6. Geben Sie im Fenster "Instanzname" den Namen der Instanz an, die Sie konfigurieren möchten. Siehe „Instanzname” auf Seite 36.
7. (AppScan Enterprise Server): Wählen Sie im Fenster zum Authentifizierungsverfahren für die Unternehmenskonsole den Authentifizierungstyp aus, der
zum Anmelden bei der Unternehmenskonsole verwendet werden soll. Siehe
„Authentifizierungsverfahren der Unternehmenskonsole” auf Seite 38.
a. Wenn Sie sich dafür entscheiden, einen lokalen AppScan Enterprise Server
zu verwenden, öffnet sich die Anzeige zur Benutzeradministration. Geben
Sie den Hostnamen an, der für den Fernzugriff auf diesen AppScan Enterprise Server verwendet werden soll. Tomcat wird erneut gestartet und mithilfe des Service-Account-Berechtigungsnachweises so ausgeführt, dass
eine Windows-Authentifizierung für den Zugriff auf SQL Server unterstützt wird.
Anmerkung: Nach der Konfiguration können Sie den Hostnamen nicht
mehr ändern, es sei denn, Sie führen zusätzliche Umbenennungsvorgänge
auf dem Jazz Team Server aus.
Ändern Sie das Standardkennwort in ein Kennwort, das sicherer ist. Lassen Sie die Felder leer, wenn Sie das Standardadministratorkennwort beiKapitel 4. Einfache Installationsimplementierung
33
behalten möchten. Stellen Sie sicher, dass der Hostname vollständig qualifiziert und zugänglich ist, damit Benutzer ihn für den Zugriff auf den Jazz
Team Server verwenden können. Für eine Standalone-Implementierung
von AppScan Source ist <localhost> ausreichend.
8. Geben Sie im Fenster "Datenbankverbindung" den Namen des Datenbankservers ein oder wählen Sie einen Namen aus der Liste Name des SQL Servers
oder der Serverinstanz aus.
Anmerkung: Wenn Sie ein Upgrade für eine bereits vorhandene Datenbank
einer vorherigen Version durchführen, geben Sie in der nächsten Anzeige das
Kennwort für Masterschlüssel der Datenbank ein, um darauf zuzugreifen.
Bewahren Sie dieses Kennwort sorgfältig auf.
9. Klicken Sie im Fenster zu Änderungen bei der Datenbankverschlüsselung auf
Learn how to enable TDE (Gehen Sie zum Aktivieren von TDE wie folgt vor),
um den SQL Server zu schützen, auf dem sich die Datenbank befindet. Wenn
Sie TDE nicht aktivieren möchten, wählen Sie das Kontrollkästchen aus, damit
Sie fortfahren können.
Anmerkung: AppScan Enterprise verwendet eine Technologie zur transparenten Datenverschlüsselung (TDE - Transparent Data Encryption), die für SQL
Server ab Version 2008 verfügbar ist. TDE verschlüsselt Daten, die sich in der
Datenbank oder in Sicherungen auf physischen Datenträgern befinden. Wenn
Sie eine ältere Version von SQL Server verwenden, können alle in dieser Datenbank enthaltenen Daten durch unbefugten Zugriff beschädigt werden.
10. (AppScan Enterprise Server): Aktivieren Sie im Fenster "Serverzertifikat" HTTPS für die Unternehmenskonsole, um die Sicherheit zu erhöhen, und wählen
Sie ein Zertifikat Ihrer Organisation aus. Durch diese Maßnahmen können Sie
AppScan Enterprise sicher in Ihrer Umgebung implementieren.
11. (AppScan Enterprise Server): Geben Sie im Fenster "Produktadministrator" einen Benutzer als Produktadministrator an. Dieser Benutzer wird separat lizenziert. Wenn Sie die Lizenz für den Produktadministrator neu zuordnen möchten, müssen Sie den Konfigurationsassistenten erneut ausführen. Siehe
„Produktadministrator” auf Seite 39.
12. Stellen Sie sicher, dass niemand auf die Datenbank zugreift, und klicken Sie
im Fenster "Spezifikationen vollständig" auf Fertigstellen, um die Konfiguration abzuschließen. Dieser Prozess kann einige Zeit dauern.
Anmerkung:
a. Einstellungen für IIS AppPool unter Windows 2008 Server R2 werden
während der Konfiguration festgelegt:
v Für das erneute Starten von IIS (dem sogenannten "Recycling") wird 2.00
Uhr festgelegt
v Für das Inaktivitätszeitlimit werden 120 Minuten festgelegt
b. Wenn eine Fehlernachricht angezeigt wird, die angibt, dass das Proxy-Server-Zertifikat nicht konfiguriert werden kann, ist es möglicherweise abgelaufen. Wenden Sie sich zur weiteren Überprüfung an Ihren Administrator.
13. (Optional) Wählen Sie das Kontrollkästchen Services starten aus, um die Services automatisch zu starten.
Anmerkung: Wenn Sie nicht auswählen, dass der Agentenservice automatisch
gestartet werden soll, werden eventuell von Benutzern erstellte Jobs von den
Agenten nicht berücksichtigt. Mithilfe der Administrationstools können Sie
34
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
den Service manuell starten. Informationen hierzu finden Sie im Abschnitt
„Agentenservice und Alertausgabeservice überprüfen” auf Seite 45.
14. (AppScan Enterprise Server): Führen Sie den Assistenten für Standardeinstellungen aus. Dieser Assistent hilft Ihnen dabei, Musterdaten zu installieren, indem er Standardwerte für eine Reihe konfigurierbarer Optionen bereitstellt.
15. Klicken Sie auf Beenden.
Lizenzserver
Geben Sie den Rational License Server an, der für Lizenzen verwendet werden soll.
1. Wenn Sie während der Installation einen lokalen Lizenzserver installiert haben,
wird das Feld mit <localhost> vorausgefüllt.
2. Wenn Sie einen einzelnen Lizenzserver und einen Port im Port-Standardbereich
(27000-27009) verwenden, geben Sie den Namen des Lizenzservers im Feld "Lizenzserver" ein. Klicken Sie andernfalls auf die Schaltfläche Erweitert, um die
erweiterte Lizenzserveransicht anzuzeigen.
3. Geben Sie in der erweiterten Lizenzserveransicht den Namen des Lizenzservers
im Feld "Server" ein. Wenn Sie redundante Lizenzserver verwenden, können Sie
bis zu drei Namen redundanter Server, getrennt durch Kommas, eingeben (z. B.
Server1,Server2,Server3).
Anmerkung:
v Die Portnummer ist nicht erforderlich, wenn die Lizenzserver im Feld "Server" einen Port im Port-Standardbereich verwenden. Geben Sie andernfalls
die durch die Lizenzserver verwendete Portnummer ein.
v Nach Lizenzen wird auf den Lizenzservern in der Reihenfolge gesucht, in
der sie in der Liste für die Suchreihenfolge der Lizenzserver erscheinen.
v Die Lizenzserver, die Sie während der Konfiguration auswählen, gelten für
alle Instanzen, die auf diesem Server konfiguriert sind.
Serverkomponenten
Wählen Sie die Komponenten aus, die Sie konfigurieren möchten. Die verfügbaren
Komponenten richten sich nach der Lizenz.
Tabelle 4. Serverkomponenten
Komponente
Beschreibung
Benutzeradministration
Benutzeradministration über einen Jazz
Team Server. Wählen Sie diese Komponente
für AppScan Enterprise sowie für
Standalone- und verteilte AppScan SourceImplementierungen aus. Sie können eine lokale oder eine ferne Installation von Jazz
Team Server verwenden.
Unternehmenskonsole
Berichterstellung und
Onlinezusammenarbeit im Unternehmen
und die Funktionalität zum Durchführen
dynamischer Analysebewertungen. Wählen
Sie diese Komponente für AppScan
Enterprise sowie für verteilte AppScan
Source-Implementierungen aus.
Dynamischer Scanner
Scannen und Testen von Webanwendungen.
Wählen Sie diese Komponente für eine
AppScan Enterprise-Implementierung aus.
Kapitel 4. Einfache Installationsimplementierung
35
Benutzeradministration
Melden Sie sich bei AppScan Server an, um den Hostnamen zu registrieren, der für
diesen Server verwendet werden soll.
Anmerkung: Nach der Konfiguration können Sie den Hostnamen nicht mehr ändern, es sei denn, Sie führen zusätzliche Umbenennungsvorgänge auf dem Jazz
Team Server aus.
Ändern Sie das Standardkennwort in ein Kennwort, das sicherer ist. Lassen Sie die
Felder leer, wenn Sie das Standardadministratorkennwort beibehalten möchten.
Stellen Sie sicher, dass der Hostname vollständig qualifiziert und zugänglich ist,
damit Benutzer ihn für den Zugriff auf den Jazz Team Server verwenden können.
Für eine Standalone-Implementierung von AppScan Source ist <localhost> ausreichend.
Zugehörige Informationen:
Ändern der allgemein zugänglichen URL durch Serverumbenennung
Instanzname
Geben Sie den Namen der Instanz an, die Sie konfigurieren möchten.
1. Wenn Sie auf diesem Computer nur eine Instanz installieren, wählen Sie das
Kontrollkästchen Standardinstanz auswählen oder erstellen aus und klicken
Sie anschließend auf Weiter.
2. Wenn Sie auf diesem Computer mehrere Instanzen installieren, wählen Sie das
Kontrollkästchen Standardinstanz auswählen oder erstellen ab, geben Sie einen Namen für die Instanz ein und klicken Sie anschließend auf Weiter. Nach
Beendigung des Assistenten wird Ihnen angeboten, eine weitere Instanz zu
konfigurieren.
Datenbankverbindung
Geben Sie den Namen des SQL Servers und der Datenbank ein.
Wenn Sie über eine vorhandene Datenbank verfügen, geben Sie ein Kennwort für
den Masterschlüssel ein, um bei der nächsten Anzeige auf sie zugreifen zu können.
Das Kennwort für Masterschlüssel wird zum Verschlüsseln der Daten in der Datenbank verwendet. Legen Sie ein möglichst komplexes Kennwort fest, um eine
hohe Sicherheit zu erreichen. Verwenden Sie eine Kombination aus Sonderzeichen,
Klein- oder Großbuchstaben und Buchstaben oder Ziffern. Bewahren Sie das Kennwort für die folgenden Fälle an einem sicheren Ort auf:
v Das Kennwort muss an die IBM® Softwareunterstützung gesendet werden.
v Sie müssen den Konfigurationsassistenten erneut ausführen.
Service-Account
Geben Sie den Service-Account an, der von den Services verwendet werden wird.
Bei der Konfiguration der von Ihnen installierten Komponenten müssen Sie Daten
für den Service-Account eingeben. Mit diesem Service-Account können die Agenten auf den Datenbankserver zugreifen. Einzelne Benutzer benötigen keine Datenbankberechtigungen.Die Kennwörter der Service-Accounts, die für die Agenten
und die Datenbank verwendet werden, sollten nicht ablaufen. Wenn die Kennwörter jedoch regelmäßig geändert werden müssen, können Sie den Konfigurationsassistenten auf allen AppScan Enterprise Server- und Dynamic Analysis Scanner-Maschinen erneut ausführen und das neue Kennwort eingeben.
36
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Anmerkung: Der Benutzeraccount für das lokale System und der Service-Account
können identisch sein, d. h. den gleichen Benutzernamen und das gleiche Kennwort verwenden.
Der Service-Account erhält die Berechtigung "db_owner" für die Datenbank und
muss über die Berechtigung zum Erstellen einer Datenbank, zum Erstellen von Tabellen, zum Hinzufügen von Benutzern, zum Ausführen gespeicherter Prozeduren
und zum Gewähren von Berechtigungen verfügen.
Anmerkung: Wenn die Sicherheitsrichtlinien Ihres Unternehmens nicht zulassen,
dass Sie dem Service-Account die Berechtigung "db_owner" zuweisen, können Sie
eine Rolle für das Ausführen gespeicherter Prozeduren erstellen. Siehe „AssistentBenutzeraccount zum Ausführen gespeicherter Prozeduren erstellen” auf Seite 21.
Bei einer SQL Server-Datenbank können Sie einen einzigen Service-Account oder
mehrere Service-Accounts verwenden, je nachdem, wie Sie bei der Installation vorgehen möchten.
Alle Zeichenfolgen in der Datenbank sind verschlüsselt, damit SQL Server-Sicherungen und -Daten nicht von den Datenbankadministratoren eingesehen werden
können. Durch dieses Verfahren können Datenbankadministratoren ihre Wartungsarbeiten an der Datenbank vornehmen, aber nicht die Daten in den Tabellen anzeigen.
Datei- und Ordnerberechtigungen
Der Service-Account muss im Ordner "Laufwerk:\\Installationsordner\IBM\
Produktname\" und allen Unterordnern dieses Ordners die folgenden Berechtigungen haben:
v Lesen und ausführen
v Schreiben
v Löschen
v Dateien und Unterordner löschen
v Dateien und Unterordner erstellen
Anmerkung: Mit diesen Berechtigungen kann der Service-Account in die Protokolldateien schreiben. Außerdem können die Scanagenten damit temporäre Dateien
schreiben, ohne die der Scan nicht funktionieren würde. Der Konfigurationsassistent erstellt diese Berechtigungen automatisch; ändern Sie sie nicht.
Lokale Sicherheitsrichtlinien
Der Service-Account muss über die Berechtigung zur lokalen Anmeldung auf der
Zielmaschine verfügen, damit er die Identität des Benutzers annehmen und sich
mit dem Berechtigungsnachweis des Benutzers anmelden kann. Er muss auch über
die Berechtigung für die Anmeldung als Dienst verfügen.
Registry-Berechtigungen
Der Service-Account muss über die folgenden Berechtigungen verfügen:
v Lesen und ausführen
v Schreiben
v Löschen
Kapitel 4. Einfache Installationsimplementierung
37
Authentifizierungsverfahren der Unternehmenskonsole
Wählen Sie einen Authentifizierungstyp aus, der zum Anmelden bei der Unternehmenskonsole verwendet werden soll.
Tabelle 5. Authentifizierungsverfahren
Lokalen AppScan Enterprise Server verwenden (Jazz-basierte Authentifizierung)
Überprüfen Sie die Server-URL und klicken
Sie auf Weiter. Der Konfigurationsassistent
überprüft, ob der Server gültig ist und ob
die Version des Servers und die Version, die
die Unternehmenskonsole erwartet, kompatibel sind. Der AppScan-Server sollte durch
ein gültiges Zertifikat gesichert sein. Ist dies
nicht der Fall, können Sie das
Kontrollkästchen aktivieren, über das Verbindungen mit ungültigen oder nicht vertrauenswürdigen Zertifikaten ermöglicht
werden. Allerdings wird dies nicht empfohlen.
Anmerkung: Wenn Sie diesen
Authentifizierungstyp auswählen, können
sich nur Benutzer, die bereits zum Jazz-Server hinzugefügt wurden, bei der
Unternehmenskonsole anmelden.
Fernen AppScan Enterprise Server verwenden (Jazz-basierte Authentifizierung)
Überprüfen Sie die Server-URL und klicken
Sie auf Weiter. Der Konfigurationsassistent
überprüft, ob der Server gültig ist und ob
die Version des Servers und die Version, die
die Unternehmenskonsole erwartet, kompatibel sind. Der AppScan-Server sollte durch
ein gültiges Zertifikat gesichert sein. Ist dies
nicht der Fall, können Sie das
Kontrollkästchen aktivieren, über das Verbindungen mit ungültigen oder nicht vertrauenswürdigen Zertifikaten ermöglicht
werden. Allerdings wird dies nicht empfohlen.
Anmerkung: Wenn Sie diesen
Authentifizierungstyp auswählen, können
sich nur Benutzer, die bereits zum Jazz-Server hinzugefügt wurden, bei der
Unternehmenskonsole anmelden.
Integrierte Windows-Authentifizierung verwenden
Wählen Sie diese Option aus und klicken Sie
auf Weiter.
Anmerkung: Diese Option funktioniert
nicht in Verbindung mit AppScan SourceClients.
Serverzertifikat
Aktivieren Sie HTTPS für die Unternehmenskonsole, um die Sicherheit zu erhöhen,
und wählen Sie ein Zertifikat Ihrer Organisation aus. Durch diese Maßnahmen
können Sie AppScan Enterprise sicher in Ihrer Umgebung implementieren.
Wenn Sie Jazz Team Server für die Benutzerauthentifizierung verwenden, stehen
verschiedene Themen zum Konfigurieren von AppScan Server mit SSL-Zertifikaten
bereit:
v „Schlüsselspeicherkennwort ändern” auf Seite 68
v „x.509-Zertifikate für den Jazz Team Server importieren” auf Seite 69
38
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
v „Java SDK-Richtliniendateien aktualisieren” auf Seite 69
v „Selbst signiertes Zertifikat für Jazz Team Server generieren” auf Seite 70
v „Jazz Team Server-Zertifikat für eine Verwendung mit IIS exportieren” auf Seite
71
v „Jazz Team Server-Zertifikat in IIS importieren” auf Seite 71
v „Zertifizierungsstelle vertrauen” auf Seite 72
Produktadministrator
Dieser Benutzer wird separat lizenziert. Wenn Sie die Lizenz für den Produktadministrator neu zuordnen möchten, müssen Sie den Konfigurationsassistenten erneut
ausführen.
Tabelle 6. Authentifizierungstypen
Integrierte Windows-Authentifizierung
Geben Sie den Domänen-/Benutzernamen
und den vollständigen Namen des Benutzers
ein.
Jazz-basierte Authentifizierung
Geben Sie den Benutzernamen und das
Kennwort des Jazz-Benutzers ein. Der
Konfigurationsassistent überprüft, ob der
Produktadministrator ein gültiger Jazz-Benutzer ist und ob sich der Benutzer beim
Server anmelden kann.
Anmerkung: Bei dieser Überprüfung wird
nicht sichergestellt, dass der
Produktadministrator ein gültiger Jazz-Administrator ist, sondern nur, dass er ein gültiger Jazz-Benutzer ist.
Die Produktadministrator-Lizenz zählt bei der Beschränkung für die Floating-Lizenz und die Lizenz für berechtigte Benutzer nicht. Sie umfasst die üblichen Systemadministratorberechtigungen.
Assistenten für Standardeinstellungen ausführen
Dieser Assistent unterstützt Sie beim Installieren von Musterdaten, indem er für einige konfigurierbare Optionen Standardwerte bereitstellt. Sie können Benutzer erstellen, Sicherheitstestrichtlinien hinzufügen, Scanvorlagen erstellen, vorab erstellte
Dashboards hinzufügen und die Integration der Fehlerverfolgung mit Rational
Quality Manager konfigurieren.
Informationen zu diesem Vorgang
Stellen Sie sicher, dass das Kontrollkästchen Assistent für Standardeinstellungen
starten aktiviert ist, wenn der Konfigurationsassistent abgeschlossen wurde.
Vorgehensweise
1. Wählen Sie auf der Begrüßungsseite die Instanz aus, die Sie aktualisieren
möchten, und klicken Sie auf Weiter.
2. Wählen Sie im Fenster "Initialisierungstyp" eine der verfügbaren Initialisierungen aus und klicken Sie auf Weiter.
3. Konfigurieren Sie im Fenster "Standardeinstellung" die folgenden Optionen und
klicken Sie auf Weiter:
Kapitel 4. Einfache Installationsimplementierung
39
a. Instanz: Wählen Sie den Instanznamen für diese Konfiguration aus; z. B.
ASE. Die im Konfigurationsassistenten konfigurierte Instanz wird hier standardmäßig ausgewählt.
b. Ansprechpartner: Der Name oder Ansprechpartner für die vom Assistenten
erstellten Elemente. Sie können diese Elemente bei Bedarf später bearbeiten.
c. Stammordnername: Geben Sie einen Namen für den Standardstammordner
ein. Der Standardordner dient als Stammordner für alle anderen Ordner, die
Sie erstellen.
d. URL-Adresse der Anwendung: Geben Sie die URL-Adresse der Anwendung ein, die Benutzer für den Zugriff auf die Anwendung benötigen (z. B.
http://myserver/mydomain/appscan/). Standardmäßig ist dies der vollständig qualifizierte Domänenname des aktuellen Computers.
4. (Nur Windows-Authentifizierung): Wählen Sie auf der Seite "LDAP-Einstellungen" das Kontrollkästchen LDAP aktivieren aus, wenn Sie einen LDAP-Server
verwenden.
a. Geben Sie in das Feld Servername den LDAP-Gruppennamen ein.
b. Geben Sie in das Feld Gruppenabfrage den Pfad der Gruppenabfrage ein,
der zum Abrufen von Benutzergruppeninformationen verwendet wird. Sie
können einen LDAP-Server oder einen Active Directory-Server verwenden.
c. (Optional) Wählen Sie das Kontrollkästchen Anonymer Zugriff aus, wenn
Sie eine Integration mit dem LDAP-Server unter Verwendung des anonymen Zugriffs wünschen. Diese Option ist standardmäßig inaktiviert.
d. Klicken Sie auf LDAP testen, um zu überprüfen, ob die Konfiguration funktioniert.
Anmerkung: Wenn Sie die Jazz-Authentifizierung verwenden und LDAP auf
Jazz Team Server konfiguriert ist, werden diese Einstellungen automatisch verwendet.
5. Konfigurieren Sie auf der Seite "IP-Sicherheitsberechtigungen" die zum Scannen
zulässigen IP-Adressen und -Bereiche. IPv4-Bereiche werden mit einem Gedankenstrich definiert (z. B. 1.2.3.4-), während IPv6-Bereiche mit einen Präfix definiert werden (z. B. fe80::/10).
6. Aktivieren Sie auf der Seite "Datenbank mit Musterdaten auffüllen" das Kontrollkästchen Musterdaten auffüllen. Dadurch wird die Datenbank mit Scanvorlagen, vorab erstellten Dashboards, Servergruppen und Testrichtlinien gefüllt.
7. Klicken Sie auf Weiter. Die Seite "Fortschritt des Assistenten für Standardeinstellungen" wird geöffnet. Dort wird der Fortschritt der Konfiguration angezeigt.
8. Wenn der Assistent abgeschlossen ist, wird die Seite "Assistent für Standardeinstellungen abgeschlossen" geöffnet.
9. Klicken Sie auf Beenden, um den Assistenten zu schließen.
Nächste Schritte
„Unternehmenskonsole konfigurieren”
Unternehmenskonsole konfigurieren
Die Unternehmenskonsole ist die Hauptbenutzerschnittstelle, die die Administration, die Konfiguration von Elementen und die Berichterstellung unterstützt.
40
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Vorbereitende Schritte
Die Einstellungen der Unternehmenskonsole müssen so konfiguriert werden, dass
Benutzer Folgendes können:
v Alerts für Job-, Berichtspaket- oder Dashboardereignisse empfangen
v Vom Server abhängige Komponenten, wie z. B. "Manuell durchsuchen" oder
"Aufgezeichnete Anmeldung", verwenden
Vorgehensweise
1. Melden Sie sich über Ihren Web-Browser bei der Unternehmenskonsole an.
2. Rufen Sie die Seite "Allgemeine Einstellungen" auf der Registerkarte "Administration" auf und klicken Sie im Abschnitt für die Einstellungen der Unternehmenskonsole auf Bearbeiten.
3. Geben Sie einen SMTP-Servernamen und einen SMTP-Server-Port ein (in der Regel 25).
4. Geben Sie die URL der Instanz der Unternehmenskonsole ein, wie z. B. http://
<Servername>/<Produktname>/.
Anmerkung: Verwenden Sie nicht den lokalen Host "127.0.0.1" als Servernamen
in der Instanz-URL. Andernfalls funktionieren die Optionen "Manuell durchsuchen" und "Aufgezeichnete Anmeldung" nicht.
5. (Windows-Authentifizierung): Geben Sie für LDAP-Server oder -Domäne und
LDAP-Gruppenabfrage einen Namen an, der zum Abrufen von Informationen
zur Benutzergruppe verwendet werden soll.
Anmerkung: Wenn Sie die Jazz-Authentifizierung verwenden und LDAP auf
Jazz Team Server konfiguriert ist, werden diese Einstellungen automatisch verwendet.
6. Geben Sie an, wie lange die Problemdaten in der Datenbank gespeichert werden sollen.
7. (Optional) Erweiterte Sicherheit aktivieren. Diese Option erzwingt Konformität
mit FIPS 140-2.
Anmerkung: Wenn diese Option aktiviert ist, funktionieren einige Funktionen,
die nicht konform mit FIPS 140-2 sind, nicht erwartungsgemäß oder sind inaktiviert, darunter das Interaction Tool und das Plug-in "Manuell durchsuchen".
Alle zuvor vorhandenen Infrastrukturscans werden ausgesetzt. Es können keine
neuen Infrastrukturscans erstellt werden.
8. Klicken Sie auf Fertig.
Gebräuchliche Ports für Infrastrukturscans konfigurieren
Die gebräuchlichen Ports können Sie je nach den Anforderungen Ihres Unternehmens selbst ändern und erstellen. In Ihrem Unternehmen ist möglicherweise vorgegeben, dass für alle HTTP-Anwendungsserver Port 80 verwendet werden soll, außer für Lotus Notes (ebenfalls ein Anwendungsserver), der für Port 53
empfangsbereit sein soll. In dieser Situation ist es sinnvoll, die Ports 53 und 80 als
gebräuchlich für HTTP-Anwendungsserver einzustellen. Beachten Sie jedoch, dass
dann ein Lotus Notes-Anwendungsserver, der als empfangsbereit für Port 80 erkannt wird, als empfangsbereit für einen gebräuchlichen Port kategorisiert wird.
Informationen zu diesem Vorgang
: Veraltete Funktion: Die Funktion zum Scannen der Infrastruktur ist veraltet.
Kapitel 4. Einfache Installationsimplementierung
41
Für die folgenden Zwecke werden gebräuchliche Ports für Jobs zum Scannen der
Infrastruktur konfiguriert und von diesen verwendet:
v Anzeigen der Server, die auf gebräuchlichen Ports und auf ungebräuchlichen
Ports empfangsbereit sind, in den Berichten Web-Server und Info zu diesem
Web-Server
v Beschränken des Scans auf die gebräuchlichen Ports, die auf dieser Seite aufgeführt sind (Seite "Zu Scannendes" des Jobs zum Scannen der Infrastruktur verwenden)
Anmerkung: Um beim Scannen von Ports ein besseres Leistungsverhalten zu erreichen, können Sie die Anzahl der gleichzeitig aufgebauten TCP-Verbindungen anpassen. Verwenden Sie dazu die Seite "Verbindungen" eines Jobs zum Scannen der
Infrastruktur.
Vorgehensweise
1. Wechseln Sie zur Seite "Gebräuchliche Ports" der Registerkarte "Administration"
).
und klicken Sie auf Gebräuchlichen Port erstellen (
2. Geben Sie auf der Seite "Gebräuchlichen Port erstellen" die Portnummer ein
und wählen Sie die Rollen für die Serverplattform aus. Standardmäßig scannt
der Infrastrukturjob die folgenden gebräuchlichen Ports:
v Port 21 für FTP-Server
v Port 80 für HTTP-Server und -Anwendungen
v Port 443 für HTTPS-Server und -Anwendungen
3. Klicken Sie auf Erstellen.
Server und Domänen in Ihrer Installation angeben
Server und Domänen werden als globale Eigenschaften betrachtet. Wenn Sie eine
Start-URL zu einem Job zum Scannen von Inhalten hinzufügen, wird ihre Domäne
automatisch zur Seite "Server und Domänen" der Registerkarte "Administration"
hinzugefügt. Jeder Job, der diese Domäne verwendet, wendet dieselben Eigenschaften und Regeln auf die URLs an, die er findet.
Informationen zu diesem Vorgang
Erstellen Sie hier in der globalen Liste zusätzliche Domänen, damit sie aus der Perspektive der Berichterstellung als interne Domänen betrachtet werden. Wenn ein
Job zum Scannen von Inhalten eine Domäne aus der globalen Liste findet, erscheint diese in Ihren Berichten als interne Domäne, für die Ihr Unternehmen verantwortlich ist. Eine Domäne auf der globalen Liste erscheint in Berichten nie als
externe Domäne, die Ihrem Unternehmen nicht gehört. Durch das Erstellen dieser
Domänenarten verhindern Sie, dass in Ihren Berichten Fehlalarme erscheinen, da
sie als intern betrachtet werden. Diese Fehlalarme können die Ergebnisse von
Dashboards und Berichten verfälschen.
Anmerkung: Die globale Liste ist sowohl für Jobadministratoren (über die Seite
"Zu Scannendes" des Jobs zum Scannen von Inhalten) als auch für Administratoren
verfügbar. Sie ermöglicht es ihnen, die Server und Domänen von einer der beiden
Positionen aus (von einem Job oder von der Registerkarte "Administration" aus)
global zu verwalten. Zu den Eigenschaften von Servern und Domänen gehören zusätzliche Lastausgleichsserver und Pläne für Ausfallzeiten.
42
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Vorgehensweise
1. Wechseln Sie zur Seite "Server und Domänen" der Registerkarte "Administration" und klicken Sie auf Erstellen (
).
2. Geben Sie auf der Seite "Domäne erstellen" einen Namen für die neue Domäne
ein und klicken Sie auf Erstellen.
3. Machen Sie auf der Seite "Domäne erstellen" die erforderlichen Angaben in den
zutreffenden Abschnitten (Domänendetails, Lastausgleichsserver und Unterbrechungszeiten).
4. Klicken Sie auf Speichern.
Ausfallzeit für eine Domäne planen
Wenn Sie in regelmäßigen Abständen Zeiten für die Siteverwaltung planen, verwenden Sie eine Ausfallzeit, um den Job zum Scannen von Inhalten auszusetzen,
damit Ihre Site nicht während der Durchführung von Wartungsaufgaben gescannt
wird. Sie können eine Ausfallzeit auch für Zeiten verwenden, in denen Ihre Website ein hohes Frequentierungsvolumen erlebt. Job- und Systemadministratoren können Ausfallzeiten bei Bedarf planen und außer Kraft setzen.
Vorbereitende Schritte
Weitere Informationen zu Ausfallzeiten:
1. Ausfallzeiten können auf jede Domäne angewendet werden, die Sie in einer Instanz konfiguriert haben. Jobs zum Scannen von Inhalten werden nur in Domänen ausgesetzt, die für den Job intern sind; sie werden nicht auf andere Domänen angewendet, die damit verknüpft sind. Sie müssen alle verknüpften
Domänen, für die eine Ausfallzeit eingerichtet werden soll, auf der Seite "Zu
Scannendes" > "Zusätzliche Server und Domänen" hinzufügen und den Plan
für die Ausfallzeit auf sie anwenden.
2. Sie müssen Ausfallzeiten planen, bevor der Job startet, entweder auf der Registerkarte "Administration" oder auf den Konfigurationsseiten eines bestimmten
Jobs zum Scannen von Inhalten. Der Job wird automatisch ausgesetzt, sobald
für die erste interne Domäne eine Ausfallzeit auftritt. Nach dem Ende der Ausfallzeit wird der Job wieder automatisch aufgenommen. Wenn Sie eine Ausfallzeit für eine interne Domäne planen, wirkt sich dies auf alle Jobs aus, die diese
Domäne scannen.
3. Wenn Sie die Ausfallzeit einer Domäne ändern, die für einen ausgesetzten oder
aktiven Job intern ist, werden die Änderungen von dem Job erst beim Start eine
neuen Scans berücksichtigt.
4. Ein Scan-Job wird während einer Ausfallzeit nicht automatisch fortgesetzt.
5. Wenn Sie eine Ausfallzeit für eine bestimmte Domäne manuell überschreiben,
werden alle Ausfallzeiten für den Job, zu dem die Domäne gehört, ignoriert.
Vorgehensweise
1. Rufen Sie die Seite "Zu Scannendes" des Jobs zum Scannen von Inhalten auf.
2. Wählen Sie eine der folgenden Optionen aus und erstellen Sie eine Domäne
oder fügen Sie sie hinzu:
v In den Start-URLs enthaltene Domänen
v Zusätzliche Server und Domänen
3. Klicken Sie auf der Seite "Domäne bearbeiten" des Jobs auf das Symbol Hinzufügen (
) im Bereich Ausfallzeiten.
Kapitel 4. Einfache Installationsimplementierung
43
4. Wählen Sie einen Zeitpunkt für den Beginn und die Dauer (in Minuten) der
Ausfallzeit. Diese Zeiten verwenden die Zeitzone der Domäne.
5. Wählen Sie die Häufigkeit der Ausfallzeit aus.
6. Wählen Sie das Vorkommen der Ausfallzeit aus.
7. Geben Sie ein Startdatum ein. Die Ausfallzeit kann eingeschaltet werden und
für unbestimmte Zeit aktiv bleiben (sofern kein Endtermin festgelegt wird) oder
durch Angabe eines bestimmten Endtermins begrenzt werden.
8. Aktivieren Sie dieses Kontrollkästchen und legen Sie durch Angabe eines Endtermins fest, wie lange die Ausfallzeit aktiv sein soll. Wenn Sie keinen Endtermin eingeben, ist die Unterbrechung für unbestimmte Zeit aktiv.
9. Klicken Sie auf Ausfallzeit hinzufügen, um die Ausfallzeit zur globalen Liste
hinzuzufügen.
Integration der Fehlerverfolgung konfigurieren
Wenn Sie Rational Team Concert oder Rational Quality Manager verwenden, können Sie die Integration der Fehlerverfolgung so konfigurieren, dass Probleme als
Fehler verfolgt und verwaltet werden.
Informationen zu diesem Vorgang
Zum Ausführen dieser Task muss das Fehlerverfolgungssystem in Ihrem Netz installiert sein.
Vorgehensweise
1. Rufen Sie die Registerkarte "Administration" auf.
2. Klicken Sie im Abschnitt "Integration des Fehlerverfolgungssystems" der Seite
"Allgemeine Einstellungen" auf Bearbeiten.
3. Wählen Sie auf der Seite "Integration der Fehlerverfolgung" ein Verfolgungssystem aus der Liste aus.
4. Geben Sie die Basis-URL für den Host und die empfangsbereite HTTP/HTTPSPortnummer ein. Die Standardeinstellung für den HTTP-Port lautet in der Regel 80 oder 9080. Die Standardeinstellung für den HTTPS-Port lautet in der Regel 443 oder 9443.
Anmerkung: Der AppScan-Server sollte durch ein gültiges Zertifikat gesichert
sein. Ist dies nicht der Fall, können Sie das Kontrollkästchen aktivieren, über
das Verbindungen mit ungültigen oder nicht vertrauenswürdigen Zertifikaten
ermöglicht werden. Allerdings wird dies nicht empfohlen. Stellen Sie außerdem
sicher, dass der Server mit einem gültigen SSL-Zertifikat gesichert ist. Andernfalls können Ihre Berechtigungsnachweise und andere Sicherheitsinformationen
von Dritten abgefangen werden.
5. Tragen Sie in die Felder Benutzer und Kennwort die ID-Zeichenfolge oder den
Namen ein, die oder den der Server als Ihren Berechtigungsnachweis für die
Anmeldung verwenden soll.
6. Geben Sie den Namen des Projektbereichs in dem Fehlerverfolgungssystem
ein, dem Fehler zugeordnet werden, und klicken Sie auf Testverbindung
7. Geben Sie den Eigenschaftsnamen und Eigenschaftswert des Fehlerverfolgungssystems ein.
8. Klicken Sie auf Fertig.
Sicherheitsregeln aktualisieren
AppScan Enterprise Server sucht auf der IBM Website regelmäßig nach Aktualisierungen der Sicherheitsregeln und benachrichtigt Sie, wenn neue Aktualisierungen
44
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
zur Verfügung stehen. Sie können auch eine Suche nach Aktualisierungen einleiten.
Nachdem neue verfügbare Aktualisierungen entdeckt wurden, haben Sie die Möglichkeit, die neuen Aktualisierungsdateien auf Ihr System herunterzuladen und
dort zu installieren.
Informationen zu diesem Vorgang
Sie müssen über die neueste Version von AppScan Enterprise (einschließlich Fixpacks und iFixes) verfügen, um die neuesten Sicherheitsregelaktualisierungen zu
erhalten.
Vorgehensweise
1. Rufen Sie die Seite "Sicherheitsregelaktualisierung" der Registerkarte "Administration" auf und führen Sie einen der folgenden Schritte aus:
a. Aktivieren Sie das Kontrollkästchen Automatisch täglich auf Sicherheitsregeln überprüfen und diese ggf. installieren.
b. Klicken Sie auf Jetzt auf Aktualisierungen überprüfen.
2. (Optional) Konfigurieren Sie die Daten für den benutzerdefinierten Proxy-Server, die für den Zugang zum Internet erforderlich sind.
3. (Optional) Installieren Sie die Aktualisierungen von der Datei, die von der IBM
Fix Central-Website heruntergeladen wurden, manuell.
Agentenservice und Alertausgabeservice überprüfen
Während der Installation werden zwei Services installiert: der Agenten- und der
Alertausgabeservice. Sie müssen sicherstellen, dass diese Services installiert und
gestartet wurden. Wenn der Agentenservice nicht gestartet wird, werden Jobs, die
Benutzer erstellen, vom Server nicht aufgenommen und nicht ausgeführt. Wenn
der Alertausgabeservice nicht gestartet wird, werden keine für Benutzer konfigurierte Alerts ausgegeben. Stellen Sie sicher, dass nur eine Instanz des Alertausgabeservice installiert ist. Andernfalls werden möglicherweise doppelte Benachrichtigungen gesendet.
Informationen zu diesem Vorgang
Wenn Sie die Serverkomponenten auf verschiedenen Maschinen installiert haben,
müssen Sie überprüfen, ob die Services auf jeder Maschine gestartet werden.
Vorgehensweise
1. Wählen Sie in der Systemsteuerung oder über das Startmenü die Optionen Verwaltung > Dienste aus.
2. Wählen Sie in der Liste der Services den Eintrag Agent Service aus. Wenn der
Service ordnungsgemäß installiert und gestartet wurde, wird in der Spalte Status die Angabe "Gestartet" angezeigt. Ist dies nicht der Fall, können Sie den Service starten, indem Sie mit der rechten Maustaste auf den Servicenamen klicken
und die Option Start auswählen.
3. Wiederholen Sie Schritt 2 für den Alert Service.
Dynamic Analysis Scanner auf Maschine B installieren
Gehen Sie nach dieser Prozedur vor, um die Agenten zu installieren, die zum Scannen und Testen Ihrer Websiteanwendungen verwendet werden sollen.
Kapitel 4. Einfache Installationsimplementierung
45
Vorbereitende Schritte
Anmerkung: Alle Technologien, die auf der Website verwendet werden, müssen
auch in Verbindung mit dem Scanner installiert sein. Wenn Sie z. B. Flash auf Webseiten verwenden, muss die richtige Version von Flash installiert sein.
Vorgehensweise
1. Wechseln Sie zu dem Verzeichnis, in das Sie die ausführbare Datei
(ASE_DASSetup_<Version>.exe) heruntergeladen haben, und klicken Sie doppelt auf die Datei.
Anmerkung: Es dauert möglicherweise einen Moment, bis die nächste Anzeige
geöffnet wird.
2. Wählen Sie im Fenster "Lizenzvereinbarung" die Option Ich stimme den Bedingungen des Lizenzvertrags zu und klicken Sie auf Weiter.
3. (Optional) Wählen Sie im Fenster zur Auswahl der Programmkomponenten die
Option Web Services Explorer aus, damit die Web-Services auf Sicherheitslücken getestet werden können, und klicken Sie auf Weiter.
Anmerkung: Ca. 330 MB sind für Web Services Explorer – GSC (Generic Service Client-Tool) Version 8.1 zum Testen von Web-Services auf Sicherheitslücken
erforderlich
4. Klicken Sie im Fenster "Zielordner" auf Weiter.
5. Klicken Sie im Fenster "Bereit zum Installieren des Programms" auf Installieren, um mit der Installation fortzufahren, und klicken Sie dann auf Fertigstellen.
Nächste Schritte
„Serverkonfigurationassistenten für die Komponenten "Unternehmenskonsole" und
"Benutzeradministration" ausführen” auf Seite 33
Serverkonfigurationassistenten für Dynamic Analysis Scanner
ausführen
Wenn Sie den Assistenten nach der Installation des Dynamic Analysis Scanners
ausführen, wird der Scanner beim Server registriert.
Vorbereitende Schritte
Anmerkung:
1. Bei der Konfiguration definieren Sie den Namen und den Speicherort der zu
verwendenden SQL Server-Datenbank sowie den Namen und das Kennwort für
den Service-Account. Der Benutzer, der den Konfigurationsassistenten ausführt,
muss eine Datenbank erstellen und Berechtigungen zuweisen können.
Vorgehensweise
1. Starten Sie den Konfigurationsassistenten nach einer der folgenden Methoden:
a. Wählen Sie nach der Installation im Fenster "Installationsassistent beendet"
das Kontrollkästchen Konfigurationsassistenten starten aus.
b. Wählen Sie im Windows-Startmenü Konfigurationsassistent aus.
2. Klicken Sie in der Eingangsanzeige auf Weiter.
46
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
3. Geben Sie im Fenster "Lizenzserver" den Rational License Server an, der für
Lizenzen verwendet werden soll. Siehe „Lizenzserver” auf Seite 35.
4. Wählen Sie im Fenster zu den Serverkomponenten die Komponenten aus, die
Sie konfigurieren möchten. Die verfügbaren Komponenten richten sich nach
der Lizenz. Siehe „Serverkomponenten” auf Seite 35.
5. Geben Sie im Fenster "Service-Account" die Domäne/den Benutzernamen des
Service-Accounts und das zugehörige Kennwort ein, und klicken Sie auf Weiter. Siehe „Service-Account” auf Seite 36.
6. Geben Sie im Fenster "Instanzname" den Namen der Instanz an, die Sie konfigurieren möchten. Siehe „Instanzname” auf Seite 36.
7. Geben Sie im Fenster "Datenbankverbindung" den Namen des Datenbankservers ein oder wählen Sie einen Namen aus der Liste Name des SQL Servers
oder der Serverinstanz aus.
Anmerkung: Wenn Sie ein Upgrade für eine bereits vorhandene Datenbank
einer vorherigen Version durchführen, geben Sie in der nächsten Anzeige das
Kennwort für Masterschlüssel der Datenbank ein, um darauf zuzugreifen.
Bewahren Sie dieses Kennwort sorgfältig auf.
8. Klicken Sie im Fenster zu Änderungen bei der Datenbankverschlüsselung auf
Learn how to enable TDE (Gehen Sie zum Aktivieren von TDE wie folgt vor),
um den SQL Server zu schützen, auf dem sich die Datenbank befindet. Wenn
Sie TDE nicht aktivieren möchten, wählen Sie das Kontrollkästchen aus, damit
Sie fortfahren können.
Anmerkung: AppScan Enterprise verwendet eine Technologie zur transparenten Datenverschlüsselung (TDE - Transparent Data Encryption), die für SQL
Server ab Version 2008 verfügbar ist. TDE verschlüsselt Daten, die sich in der
Datenbank oder in Sicherungen auf physischen Datenträgern befinden. Wenn
Sie eine ältere Version von SQL Server verwenden, können alle in dieser Datenbank enthaltenen Daten durch unbefugten Zugriff beschädigt werden.
9. Stellen Sie sicher, dass niemand auf die Datenbank zugreift, und klicken Sie
im Fenster "Spezifikationen vollständig" auf Fertigstellen, um die Konfiguration abzuschließen. Dieser Prozess kann einige Zeit dauern.
Anmerkung:
a. Einstellungen für IIS AppPool unter Windows 2008 Server R2 werden
während der Konfiguration festgelegt:
v Für das erneute Starten von IIS (dem sogenannten "Recycling") wird 2.00
Uhr festgelegt
v Für das Inaktivitätszeitlimit werden 120 Minuten festgelegt
b. Wenn eine Fehlernachricht angezeigt wird, die angibt, dass das Proxy-Server-Zertifikat nicht konfiguriert werden kann, ist es möglicherweise abgelaufen. Wenden Sie sich zur weiteren Überprüfung an Ihren Administrator.
10. (Optional) Wählen Sie das Kontrollkästchen Services starten aus, um die Services automatisch zu starten.
Anmerkung: Wenn Sie nicht auswählen, dass der Agentenservice automatisch
gestartet werden soll, werden eventuell von Benutzern erstellte Jobs von den
Agenten nicht berücksichtigt. Mithilfe der Administrationstools können Sie
den Service manuell starten. Informationen hierzu finden Sie im Abschnitt
„Agentenservice und Alertausgabeservice überprüfen” auf Seite 45.
11. Klicken Sie auf Beenden.
Kapitel 4. Einfache Installationsimplementierung
47
Lizenzserver
Geben Sie den Rational License Server an, der für Lizenzen verwendet werden soll.
1. Wenn Sie während der Installation einen lokalen Lizenzserver installiert haben,
wird das Feld mit <localhost> vorausgefüllt.
2. Wenn Sie einen einzelnen Lizenzserver und einen Port im Port-Standardbereich
(27000-27009) verwenden, geben Sie den Namen des Lizenzservers im Feld "Lizenzserver" ein. Klicken Sie andernfalls auf die Schaltfläche Erweitert, um die
erweiterte Lizenzserveransicht anzuzeigen.
3. Geben Sie in der erweiterten Lizenzserveransicht den Namen des Lizenzservers
im Feld "Server" ein. Wenn Sie redundante Lizenzserver verwenden, können Sie
bis zu drei Namen redundanter Server, getrennt durch Kommas, eingeben (z. B.
Server1,Server2,Server3).
Anmerkung:
v Die Portnummer ist nicht erforderlich, wenn die Lizenzserver im Feld "Server" einen Port im Port-Standardbereich verwenden. Geben Sie andernfalls
die durch die Lizenzserver verwendete Portnummer ein.
v Nach Lizenzen wird auf den Lizenzservern in der Reihenfolge gesucht, in
der sie in der Liste für die Suchreihenfolge der Lizenzserver erscheinen.
v Die Lizenzserver, die Sie während der Konfiguration auswählen, gelten für
alle Instanzen, die auf diesem Server konfiguriert sind.
Serverkomponenten
Wählen Sie die Komponenten aus, die Sie konfigurieren möchten. Die verfügbaren
Komponenten richten sich nach der Lizenz.
Tabelle 7. Serverkomponenten
Komponente
Beschreibung
Benutzeradministration
Benutzeradministration über einen Jazz
Team Server. Wählen Sie diese Komponente
für AppScan Enterprise sowie für
Standalone- und verteilte AppScan SourceImplementierungen aus. Sie können eine lokale oder eine ferne Installation von Jazz
Team Server verwenden.
Unternehmenskonsole
Berichterstellung und
Onlinezusammenarbeit im Unternehmen
und die Funktionalität zum Durchführen
dynamischer Analysebewertungen. Wählen
Sie diese Komponente für AppScan
Enterprise sowie für verteilte AppScan
Source-Implementierungen aus.
Dynamischer Scanner
Scannen und Testen von Webanwendungen.
Wählen Sie diese Komponente für eine
AppScan Enterprise-Implementierung aus.
Service-Account
Geben Sie den Service-Account an, der von den Services verwendet werden wird.
Bei der Konfiguration der von Ihnen installierten Komponenten müssen Sie Daten
für den Service-Account eingeben. Mit diesem Service-Account können die Agenten auf den Datenbankserver zugreifen. Einzelne Benutzer benötigen keine Datenbankberechtigungen.Die Kennwörter der Service-Accounts, die für die Agenten
und die Datenbank verwendet werden, sollten nicht ablaufen. Wenn die Kennwör-
48
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
ter jedoch regelmäßig geändert werden müssen, können Sie den Konfigurationsassistenten auf allen AppScan Enterprise Server- und Dynamic Analysis Scanner-Maschinen erneut ausführen und das neue Kennwort eingeben.
Anmerkung: Der Benutzeraccount für das lokale System und der Service-Account
können identisch sein, d. h. den gleichen Benutzernamen und das gleiche Kennwort verwenden.
Der Service-Account erhält die Berechtigung "db_owner" für die Datenbank und
muss über die Berechtigung zum Erstellen einer Datenbank, zum Erstellen von Tabellen, zum Hinzufügen von Benutzern, zum Ausführen gespeicherter Prozeduren
und zum Gewähren von Berechtigungen verfügen.
Anmerkung: Wenn die Sicherheitsrichtlinien Ihres Unternehmens nicht zulassen,
dass Sie dem Service-Account die Berechtigung "db_owner" zuweisen, können Sie
eine Rolle für das Ausführen gespeicherter Prozeduren erstellen. Siehe „AssistentBenutzeraccount zum Ausführen gespeicherter Prozeduren erstellen” auf Seite 21.
Bei einer SQL Server-Datenbank können Sie einen einzigen Service-Account oder
mehrere Service-Accounts verwenden, je nachdem, wie Sie bei der Installation vorgehen möchten.
Alle Zeichenfolgen in der Datenbank sind verschlüsselt, damit SQL Server-Sicherungen und -Daten nicht von den Datenbankadministratoren eingesehen werden
können. Durch dieses Verfahren können Datenbankadministratoren ihre Wartungsarbeiten an der Datenbank vornehmen, aber nicht die Daten in den Tabellen anzeigen.
Datei- und Ordnerberechtigungen
Der Service-Account muss im Ordner "Laufwerk:\\Installationsordner\IBM\
Produktname\" und allen Unterordnern dieses Ordners die folgenden Berechtigungen haben:
v Lesen und ausführen
v Schreiben
v Löschen
v Dateien und Unterordner löschen
v Dateien und Unterordner erstellen
Anmerkung: Mit diesen Berechtigungen kann der Service-Account in die Protokolldateien schreiben. Außerdem können die Scanagenten damit temporäre Dateien
schreiben, ohne die der Scan nicht funktionieren würde. Der Konfigurationsassistent erstellt diese Berechtigungen automatisch; ändern Sie sie nicht.
Lokale Sicherheitsrichtlinien
Der Service-Account muss über die Berechtigung zur lokalen Anmeldung auf der
Zielmaschine verfügen, damit er die Identität des Benutzers annehmen und sich
mit dem Berechtigungsnachweis des Benutzers anmelden kann. Er muss auch über
die Berechtigung für die Anmeldung als Dienst verfügen.
Kapitel 4. Einfache Installationsimplementierung
49
Registry-Berechtigungen
Der Service-Account muss über die folgenden Berechtigungen verfügen:
v Lesen und ausführen
v Schreiben
v Löschen
Instanzname
Geben Sie den Namen der Instanz an, die Sie konfigurieren möchten.
1. Wenn Sie auf diesem Computer nur eine Instanz installieren, wählen Sie das
Kontrollkästchen Standardinstanz auswählen oder erstellen aus und klicken
Sie anschließend auf Weiter.
2. Wenn Sie auf diesem Computer mehrere Instanzen installieren, wählen Sie das
Kontrollkästchen Standardinstanz auswählen oder erstellen ab, geben Sie einen Namen für die Instanz ein und klicken Sie anschließend auf Weiter. Nach
Beendigung des Assistenten wird Ihnen angeboten, eine weitere Instanz zu
konfigurieren.
Datenbankverbindung
Geben Sie den Namen des SQL Servers und der Datenbank ein.
Wenn Sie über eine vorhandene Datenbank verfügen, geben Sie ein Kennwort für
den Masterschlüssel ein, um bei der nächsten Anzeige auf sie zugreifen zu können.
Das Kennwort für Masterschlüssel wird zum Verschlüsseln der Daten in der Datenbank verwendet. Legen Sie ein möglichst komplexes Kennwort fest, um eine
hohe Sicherheit zu erreichen. Verwenden Sie eine Kombination aus Sonderzeichen,
Klein- oder Großbuchstaben und Buchstaben oder Ziffern. Bewahren Sie das Kennwort für die folgenden Fälle an einem sicheren Ort auf:
v Das Kennwort muss an die IBM Softwareunterstützung gesendet werden.
v Sie müssen den Konfigurationsassistenten erneut ausführen.
Produktadministrator
Dieser Benutzer wird separat lizenziert. Wenn Sie die Lizenz für den Produktadministrator neu zuordnen möchten, müssen Sie den Konfigurationsassistenten erneut
ausführen.
Tabelle 8. Authentifizierungstypen
Integrierte Windows-Authentifizierung
Geben Sie den Domänen-/Benutzernamen
und den vollständigen Namen des Benutzers
ein.
Jazz-basierte Authentifizierung
Geben Sie den Benutzernamen und das
Kennwort des Jazz-Benutzers ein. Der
Konfigurationsassistent überprüft, ob der
Produktadministrator ein gültiger Jazz-Benutzer ist und ob sich der Benutzer beim
Server anmelden kann.
Anmerkung: Bei dieser Überprüfung wird
nicht sichergestellt, dass der
Produktadministrator ein gültiger Jazz-Administrator ist, sondern nur, dass er ein gültiger Jazz-Benutzer ist.
Die Produktadministrator-Lizenz zählt bei der Beschränkung für die Floating-Lizenz und die Lizenz für berechtigte Benutzer nicht. Sie umfasst die üblichen Syste-
50
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
madministratorberechtigungen.
Kapitel 4. Einfache Installationsimplementierung
51
Server deinstallieren
Falls die Installation fehlschlägt, ist es möglicherweise erforderlich, den Server zu
deinstallieren und anschließend erneut zu installieren.
Vorgehensweise
1. Rufen Sie die Systemsteuerung auf und entfernen Sie die Anwendung.
2. Nachdem Sie die Anwendung von der Festplatte entfernt haben, wechseln Sie
in das Anwendungsinstallationsverzeichnis unter "Programme" und löschen Sie
den Anwendungsordner.
3. Installieren Sie die Anwendung erneut.
52
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Kapitel 5. Erweiterte Installationsszenarios und -themen
LDAP-Benutzermanagementverfahren zu WebSphere Application Server
Benutzername und Kennwort für den Zugriff auf den LDAP-Server sind in Klartext in Tomcat gespeichert, wenn Ihr LDAP-Server einen authentifizierten Benutzer
benötigt, um auf die Liste der Benutzer und Gruppen zuzugreifen. Falls Sie diesbezüglich Bedenken haben, können Sie stattdessen WebSphere Application Server
verwenden.
WebSphere Application Server zur Verwendung mit AppScan
Enterprise Server installieren
Wenn Sie das Installationspaket für WebSphere 8.0 noch nicht von Passport Advantage heruntergeladen haben, führen Sie die folgenden Schritte aus.
Vorgehensweise
1. Rufen Sie Passport Advantage auf und melden Sie sich mithilfe Ihrer IBM ID
und Ihres Kennworts an.
2. Erstellen Sie zwei Verzeichnisse auf Ihrer Festplatte, in die Sie die Pakete herunterladen und installieren können (zum Beispiel: "C:/was_installer" und "C:/
was_repository").
3. Laden Sie Installation Manager Version 1.4.3.1 herunter und extrahieren Sie
ihn. Er ist für die Installation von WebSphere Application Server Version 8.0 in
C:/was_installer erforderlich. Geben Sie im Feld Find by part number (Nach
Teilenummer suchen) die Teilenummer für Ihr Betriebssystem ein:
v Windows: CZM90ML
v Linux: CZM8XML
4. Kehren Sie zur Suchseite zurück und geben Sie im Feld Find by search text
(Nach Suchbegriff suchen) IBM Security AppScan Enterprise Server V8.7
Multiplatform, Multilingual ein. Erweitern Sie diese E-Assembly, um die
Liste der gebündelten E-Assemblys anzuzeigen. Laden Sie die folgenden Teile
in das Verzeichnis C:/was_repository herunter und extrahieren Sie sie:
v IBM WebSphere Application Server V8.0 (1 of 4) for Multiplatform Multilingual: CZM9HML
v IBM WebSphere Application Server V8.0 (2 of 4) for Multiplatform Multilingual: CZM9IML
v IBM WebSphere Application Server V8.0 (3 of 4) for Multiplatform Multilingual: CZM9JML
v IBM WebSphere Application Server V8.0 (4 of 4) for Multiplatform Multilingual: CZVG3ML
Im Verzeichnis C:/was_repository werden vier Ordner (disk1, disk2, disk3
und disk4) sowie andere erforderliche Dateien angezeigt.
5. Installieren Sie Installation Manager vom Verzeichnis "C:/was_installer" aus.
Klicken Sie auf install.exe und folgen Sie den Anweisungen des Assistenten.
6. Rufen Sie vom Installation Manager aus Datei > Vorgaben > Repositorys auf
und fügen Sie ein Repository hinzu: C:\WAS_repository\repository.config.
53
7. Wählen Sie auf der ersten Seite des Assistenten für Installationspakete die
Kontrollkästchen IBM WebSphere Application Server und Version 8.0.0.0 aus und
klicken Sie auf Weiter.
8. Zeigen Sie auf der Seite zu Lizenzen die Lizenzvereinbarung an. Wenn Sie den
Bedingungen der Lizenzvereinbarung zustimmen, klicken Sie auf Ich akzeptiere die Lizenzvereinbarung und klicken Sie anschließend auf Weiter.
9. Geben Sie auf der Seite zur Installationsposition das Installationsverzeichnis
an und klicken Sie anschließend auf Weiter.
Anmerkung: Wenn Sie die Installation auf einer 64-Bit-Maschine durchführen,
wählen Sie IBM 32--Bit-SDK für Java, Version 6 aus. Andernfalls wird beim
Ausführen des Serverkonfigurationsassistenten für AppScan Enterprise Server
ein Fehler angezeigt.
10. Auf der Übersichtsseite wird eine Übersicht über das angezeigt, was installiert
wird. Wenn Sie Ihre Auswahl ändern möchten, klicken Sie auf Zurück, um zu
den vorherigen Seiten zurückzukehren. Wenn Sie mit Ihrer Installationsauswahl zufrieden sind, klicken Sie auf Installieren.
11. Falls AppScan Enterprise bereits installiert ist, rufen Sie Start > Administrationstools > Services auf und inaktivieren Sie den Service IBM Security
AppScan Enterprise - Tomcat.
12. Fahren Sie mit der Installation fort und erstellen Sie anschließend ein Profil in
WebSphere Customization Toolbox.
a. Klicken Sie auf Erstellen.
b. Wählen Sie Application Server > Typical profile creation > Profile management tool to create a profile (Anwendungsserver > Typische Profilerstellung > Profilverwaltungstool zum Erstellen eines Profils) aus.
c. Aktivieren Sie die Verwaltungssicherheit mit einem Benutzernamen und einem Kennwort. Bewahren Sie diese Informationen an einem sicheren Ort
auf, da Sie sie immer benötigen, wenn Sie auf die Administrationskonsole
zugreifen müssen, um andere Tasks auszuführen.
d. Schließen Sie den Assistenten ab.
13. Starten Sie die Einstiegskonsole und klicken Sie auf Installationsprüfung. In
einem Fenster werden Diagnosenachrichten angezeigt, was einige Zeit in Anspruch nehmen kann. Es wird auch angezeigt, ob die Installation erfolgreich
war.
Nächste Schritte
„LDAP auf WebSphere Application Server aktivieren”
LDAP auf WebSphere Application Server aktivieren
Es gibt verschiedene Möglichkeiten, Benutzersicherheit in WebSphere Application
Server zu konfigurieren. Diese Anweisungen veranschaulichen ein allgemeines Szenario, mit dem Sie WebSphere Application Server mit AppScan Enterprise zur Verwendung von Microsoft Active Directory konfigurieren können. Informationen zu
anderen Anwendungsfällen, wie z. B. eingebundene Repositorys, benutzerdefinierte LDAP-Server und andere erweiterte Szenarios zur Benutzerauthentifizierung
und Rollenverwaltung, finden Sie in der umfassenden Dokumentation, die mit
WebSphere Application Server installiert wird.
Vorbereitende Schritte
Diese Task setzt voraus, dass:
54
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
1. Sie haben WebSphere Application Server bereits erfolgreich installiert. Siehe
„WebSphere Application Server zur Verwendung mit AppScan Enterprise Server installieren” auf Seite 53.
2. WebSphere Application Server wurde gestartet und wird derzeit ausgeführt
(Startmenü > IBM WebSphere > IBM WebSphere Application Server V8.0 >
Profile > AppSrv01 > Server starten)
Anmerkung: Bei einigen Betriebssystemen, einschließlich 2008 R2, müssen Sie
mit der rechten Maustaste auf die Verknüpfung klicken und "Als Administrator
ausführen" auswählen.
Vorgehensweise
1. Öffnen Sie die Administrationskonsole: Startmenü > IBM WebSphere > IBM
WebSphere Application Server V8.0 > Profile > AppSrv01 > Administrationskonsole.
a. Akzeptieren Sie das Serverzertifikat beim Start des Web-Browsers.
b. Geben Sie die Benutzer-ID und das Kennwort ein, die/das Sie beim Erstellen des WebSphere Application Server-Profils eingegeben haben.
2. Rufen Sie Sicherheit > Globale Sicherheit auf.
3. Wählen Sie im Abschnitt Anwendungssicherheit Anwendungssicherheit aktivieren aus und klicken Sie auf Übernehmen.
4. Klicken Sie im Dialogfenster oben auf der Seite auf Direkt in der Master-Konfiguration speichern im Abschnitt "Nachrichten" der Anzeige.
5. Wählen Sie im Abschnitt User account repository (Benutzerkontorepository)
Standalone LDAP registry (Eigenständige LDAP-Registry) aus der Liste
Available realm definitions (Verfügbare Realmdefinitionen) aus und klicken
Sie auf Konfigurieren.
6. Geben Sie den Namen des primären Benutzers mit Verwaltungsaufgaben
("userid" von "YOURDOMAIN\userid") eines Benutzers aus dem LDAP ein,
das Sie konfigurieren.
7. Wählen Sie Microsoft Active Directory für den Type of LDAP server (LDAPServertyp) aus.
8. Geben Sie den Host von Microsoft Active Directory ein.
9. Geben Sie den Basis-DN für alle Abfragen ein, die das System auf dem
LDAP-Server ausführt. Für eine optimale Leistung muss der Basisname so
weit wie möglich mit den Namen der Benutzer und Gruppen übereinstimmen.
Verwenden Sie beispielsweise "DC=UnitedStates,DC=company,DC=com" und
nicht "DC=company,DC=com", wenn sich die Benutzer unter
"OU=Users,DC=UnitedStates,DC=company,DC=com" und die Gruppen unter
"OU=Groups,DC=UnitedStates,DC=company,DC=com" befinden.
10. Wenn Ihr Active Directory-Server authentifiziert werden muss, damit Sie darauf zugreifen können, geben Sie den Definierten Namen für Bindung (zum
Beispiel: Definierter Name für Bindung:
CN=userid,OU=Users,DC=UnitedStates,DC=company,DC=com) und das BINDKennwort ein.
11. Klicken Sie auf Testverbindung, um die Einstellungen zu prüfen. Sie müssen
richtig sein, bevor Sie fortfahren können. Wenden Sie sich an die IT-Abteilung,
um zu prüfen, ob Sie über die richtigen Optionen für Ihre Umgebung verfügen.
12. Klicken Sie auf OK und in der Anzeige "Globale Sicherheit" auf Save to master configuration (In Masterkonfiguration speichern).
Kapitel 5. Erweiterte Installationsszenarios und -themen
55
13. Wählen Sie in der Liste Available realm definitions (Verfügbare Realmdefinitionen) Standalone LDAP registry (Eigenständige LDAP-Registry) aus und klicken Sie auf Set as current > "Apply" > Save to master configuration (Als
aktuelle Registry festlegen > Anwenden > In Masterkonfiguration speichern).
14. Stellen Sie sicher, dass das Kontrollkästchen Enable application security (Anwendungssicherheit aktivieren) ausgewählt ist, und klicken Sie auf Anwenden
> Speichern.
15. Melden Sie sich ab, stoppen Sie den WebSphere Application Server und starten Sie ihn anschließend erneut.
16. Wechseln Sie zu Startmenü > IBM WebSphere > IBM WebSphere Application Server V8.0 > Profile > AppSrv01 > Einführung.
17. Starten Sie die Administrationskonsole und melden Sie sich mithilfe der Benutzer-ID an, die Sie als Primary administrative user name (Namen des primären Benutzers mit Verwaltungsaufgaben) in Schritt 5 angegeben haben.
Nächste Schritte
„WebSphere Application Server für das Hosting der Appscan Enterprise-Benutzeradministration vorbereiten”
WebSphere Application Server für das Hosting der Appscan
Enterprise-Benutzeradministration vorbereiten
WebSphere Application Server muss so geändert werden, dass ein ordnungsgemäßes Hosting der Komponente "Benutzeradministration" von AppScan Enterprise
möglich ist.
Vorbereitende Schritte
Diese Task setzt voraus, dass:
1. Sie die Benutzersicherheit in WebSphere Application Server konfiguriert haben.
2. AppScan Enterprise auf Tomcat installiert ist und ausgeführt wird.
Anmerkung: Wenn Sie Websphere vor AppScan Enterprise installiert haben, stellen
Sie sicher, dass der Websphere-Server inaktiviert ist, bevor Sie das Installationsprogramm für AppScan Enterprise ausführen.
Vorgehensweise
1. Rufen Sie Start > Administrationstools > Services auf und inaktivieren Sie
IBM Security AppScan Enterprise - Tomcat, da dies nicht mehr verwendet
wird.
a. Klicken Sie mit der rechten Maustaste auf den Servicenamen und anschließend auf Eigenschaften > Allgemein.
b. Ändern Sie den Starttyp in "Inaktiviert" und speichern Sie Ihre Änderung.
c. Klicken Sie mit der rechten Maustaste auf den Servicenamen und stoppen
Sie den Service.
2. Ändern Sie die Datei teamserver.properties in <ASE-Installationsverzeichnis>\
jazzteamserver\server\conf\jts. Stellen Sie sicher, dass die Dateipfade in der
Eigenschaftendatei einen absoluten Pfad verwenden und dass Sie keine Leerzeichen in den Pfaden verwenden. Suchen Sie die DerbyDB-Positionen in der Datei (ein Ordner mit /derby/ im Pfad) und ändern Sie die Position durch einen
absoluten Pfad ohne Leerzeichen. Verwenden Sie hierzu Schrägstriche und
Kurznamen. Verwenden Sie PROGRA~1 für das Verzeichnis "Programme" und
56
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
PROGRA~2 für das Verzeichnis "Programme (x86)". Beispiel: C:/Progra~2/IBM/
AppSca~1/JazzTeamServer/server/conf/jts/derby/.
Tipp: Um den kurzen 8.3-Dateinamen für einen beliebigen Ordner oder eine
beliebige Datei zu suchen, öffnen Sie eine Eingabeaufforderung in dem Ordner,
in dem das gewünschte Element angezeigt wird, und geben Sie "dir /x" ein.
Die Verzeichnisliste enthält sowohl den langen als auch den kurzen 8.3-Dateinamen.
3. Für AppScan Enterprise sind mehrere spezifische Einstellungen auf der Java
Virtual Machine, auf der es ausgeführt wird, erforderlich.
a. Öffnen Sie die Integrated Solutions Console von WebSphere, falls Sie dies
noch nicht getan haben. Klicken Sie auf Start > Alle Programme > IBM
WebSphere > IBM WebSphere Application Server > Profile > AppSrv01 >
Administrationskonsole.
b. Legen Sie die Eigenschaften fest. Klicken Sie auf Server > Servertypen >
WebSphere-Anwendungsserver > Server1
c. Klicken Sie im Abschnitt Server Infrastructure (Serverinfrastruktur) auf Java
and Process Management > Process definition (Java und Prozessmanagement > Prozessdefinition).
d. Klicken Sie im Abschnitt Additional Properties (Zusätzliche Eigenschaften)
auf Java Virtual Machine.
e. Eine der benutzerdefinierten Eigenschaften, die Sie hinzufügen müssen, ist
JAZZ_HOME, eine Systemeigenschaft, die die Position bestimmter Konfigurationsdateien angibt. Klicken Sie im Abschnitt Additional Properties (Zusätzliche Eigenschaften) auf Custom properties > New (Benutzerdefinierte
Eigenschaften > Neu).
f. Geben Sie JAZZ_HOME im Feld Name und file:///AseInstallDir/
JazzTeamServer/server/conf im Wertfeld ein. Ersetzen Sie AseInstallDir
durch die Position des AppScan Enterprise Server-Installationsverzeichnisses.
Geben Sie beispielsweise bei einer 32-Bit-Version von Windows
file:///C:/PROGRA~1/IBM/AppSca~1/JazzTeamServer/server/conf ein.
Anmerkung: Verwenden Sie in Dateipfaden keine Leerzeichen, um Probleme
zu vermeiden. Verwenden Sie PROGRA~1 für das Verzeichnis "Programme"
und PROGRA~2 für das Verzeichnis "Programme (x86)".
4. Klicken Sie auf OK.
5. Klicken Sie auf Neu, um Schritt 3 zu wiederholen, und fügen Sie die folgenden
benutzerdefinierten Eigenschaften hinzu:
Option
Bezeichnung
Name
Wert
java.awt.headless
true
org.eclipse.emf.ecore.plugin.EcorePlugin.
doNotLoadResourcesPlugin
true
log4j.configuration
file:///C:/PROGRA~1/IBM/AppSca~1/
JazzTeamServer/server/conf/
startup_log4j.properties
Anmerkung: Das Präfix file:/// ist erforderlich.
asc.shared.path
C:/Progra~1/IBM/AppSca~1/
JazzTeamServer/server/tomcat/shared
Anmerkung: Das Präfix file:/// ist nicht
erforderlich.
Kapitel 5. Erweiterte Installationsszenarios und -themen
57
Anmerkung: Die Einstellungen in der Datei startup_log4j.properties werden
in den ersten Phasen des Startprozesses verwendet, um Nachrichten an die Datei SystemOut.log von WebSphere Application Server zu übertragen. Nach den
ersten Phasen schaltet jede Jazz-Anwendung auf die Verwendung der anwendungsspezifischen Einstellungen aus der Datei C:/PROGRA~1/IBM/AppSca~1/
JazzTeamServer/server/conf/app context/log4j.properties um.
6. Klicken Sie auf Save directly to the master configuration (Direkt in der Masterkonfiguration speichern) und melden Sie sich ab.
7. Führen Sie einen Warmstart des Anwendungsservers durch, damit die Änderungen wirksam werden.
Nächste Schritte
„Jazz Team Server auf WebSphere Application Server implementieren”
Jazz Team Server auf WebSphere Application Server implementieren
Implementieren Sie Jazz Team Server und AppScan Enterprise mithilfe dieser Anweisungen auf WebSphere Application Server.
Vorbereitende Schritte
Wenn Sie LDAP verwenden, müssen die Gruppen auf dem LDAP-Server (Gruppen, die für die Zuordnung zu JazzAdmins und JazzUsers unter WebSphere verwendet werden können) konfiguriert sein, damit Sie die Zuordnung der Sicherheitsrolle in Schritt 9d abschließen können.
Vorgehensweise
1. Öffnen Sie die Administrationskonsole für WebSphere Application Server.
2. Klicken Sie auf Applications (Anwendungen) > New Application (Neue Anwendung) > New Enterprise Application (Neue Unternehmensanwendung).
3. Wählen Sie unter Path to the new application (Pfad zur neuen Anwendung)
je nachdem, woWebSphere Application Server installiert ist, entweder Local
file system (Lokales Dateisystem) oder Remote file system (Fernes Dateisystem) aus.
4. Geben Sie unter Vollständiger Pfad den Pfad der Webanwendungsdatei
jts.war an. Das Verzeichnis lautet: <Installationsverzeichnis>/
JazzTeamServer/server/tomcat/webapps.
5. Klicken Sie auf Weiter, um alle Standardoptionen zu akzeptieren, bis Sie die
Seite Map context roots to Web modules (Kontextstammelemente für Webmodule
zuordnen) erreichen (Schritt 4 des Assistenten).
6. Setzen Sie auf der Seite zum Zuordnen von Kontextstammverzeichnissen zu
Webmodulen Context Root (Kontextstammverzeichnis) auf /jts und klicken
Sie auf Next (Weiter).
7. Klicken Sie auf Finish (Fertigstellen).
8. Prüfen Sie, ob die Anwendung jts_war richtig installiert wurde ("Application
jts_war installed successfully" (Anwendung "jts_war" wurde erfolgreich installiert)) und klicken Sie auf Save directly to the master configuration (Direkt in
der Masterkonfiguration speichern).
9. Ordnen Sie die Sicherheitsrollen JazzAdmins und JazzUsers einem Benutzer
oder einer Repository-Gruppe (LDAP-Gruppe) zu:
58
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
a. Wechseln Sie zu Applications (Anwendungen) > Application Types (Anwendungstypen) > WebSphere enterprise applications (WebSphere-Unternehmensanwendungen).
b. Klicken Sie auf die Anwendung jts_war, um sie zur Bearbeitung zu öffnen.
c. Klicken Sie im Eigenschaftenabschnitt "Detail" auf Security role to user/
group mapping (Zuordnung von Sicherheitsrolle zu Benutzer/Gruppe).
d. Wählen Sie eine bestimmte Rolle aus und klicken Sie auf Map groups
(Gruppen zuordnen). Diese Repository-Gruppen sind mit jeder Jazz™-Implementierung verbunden und müssen einer bestimmten Gruppe zugeordnet werden, die die berechtigten Benutzer enthält.
e. Wählen Sie JazzUsers aus und klicken Sie auf Map Special Subjects(Bestimmte Subjekte zuordnen) All Authenticated in Application's Realm
(Alle authentifizierten Benutzer im Anwendungsrealm). Diese Einstellung
gibt an, dass jeder gültige Benutzer in den vertrauenswürdigen Realms
Zugriff auf die Anwendung "jts_war" erhält.
Wenn keine LDAP-Gruppen verfügbar sind, können Sie einzelne Benutzer
hinzufügen, indem Sie eine Rolle auswählen und auf Map Users (Benutzer
zuordnen) klicken.
g. Fügen Sie sich selbst zur Rolle JazzAdmins hinzu. Klicken Sie auf JazzAdmins > Map Users (JazzAdmins > Benutzer zuordnen) und führen Sie die
Unterschritte h bis j aus.
h. Geben Sie eine Suchzeichenfolge ein, um Ihre Gruppennamen vom LDAPServer anzurufen. Klicken Sie auf Search (Suchen), um die Abfrage auszuführen.
f.
i. Wählen Sie in der zurückgegebenen Liste zu verfügbaren Gruppen die gewünschte Gruppe aus und verschieben Sie diese in die Spalte "Ausgewählt".
j. Klicken Sie auf OK, um die LDAP-Benutzer oder -Gruppen den Jazz-Repository-Gruppen zuzuordnen.
k. Ordnen Sie die entsprechende LDAP-Gruppe allen Jazz-Repository-Gruppen zu. Stellen Sie sicher, dass Sie mindestens einen Benutzer oder eine
Gruppe pro Rolle zuordnen:
v JazzAdmins
v JazzUsers
Anmerkung: Diese zwei Rollen sind die einzigen Rollen, die für AppScan
Enterprise erforderlich sind.
l. Klicken Sie auf Save to master configuration (In Masterkonfiguration speichern).
10. Wenn Sie nicht auf die Seite zu den Unternehmensanwendungen zurückgeleitet werden, klicken Sie auf Applications (Anwendungen) > Application Types (Anwendungstypen) > WebSphere enterprise applications (WebSphereUnternehmensanwendungen).
11. Wählen Sie das Kontrollkästchen jts_war aus und klicken Sie auf Start. Ein
grüner Pfeil sollte erscheinen, der anzeigt, dass die Anwendung gestartet wurde.
12. Wiederholen Sie Schritt 2 bis 8, um die folgenden Anwendungen zu implementieren:
v AppScan Enterprise: Dateiname: asc.war. Kontextstammelement: /asc. Speicherposition: (<Installationsverzeichnis>\Jazzteamserver\server\tomcat\
webapps\asc.war).
Kapitel 5. Erweiterte Installationsszenarios und -themen
59
v Lifecycle Project Administration (LPA): Dateiname admin.war. Kontextstammelement: /admin. Speicherposition: (<Installationsverzeichnis>\
Jazzteamserver\server\tomcat\webapps\admin.war).
v Information Center (IC): Dateiname clmhelp.war. Kontextstammelement:
/clmhelp. Speicherposition: (<Installationsverzeichnis>\Jazzteamserver\
server\tomcat\webapps\clmhelp.war).
13. Nach dem Einrichten der Unternehmensanwendungen klicken Sie auf Applications (Anwendungen) > Application Types (Anwendungstypen) > WebSphere enterprise applications (WebSphere-Unternehmensanwendungen).
Wählen Sie die Kontrollkästchen für asc_war, clmhelp_war und admin_war
aus und klicken Sie auf Start, um die Anwendungen zu starten.
14. Wenn die Anwendung erfolgreich gestartet wurde, können Sie sich von WebSphere Application Server abmelden.
Nächste Schritte
„Jazz Team Server-Authentifizierung zur Verwendung des WebSphere Application
Server-Benutzerrepositorys konfigurieren”
Jazz Team Server-Authentifizierung zur Verwendung des WebSphere Application Server-Benutzerrepositorys konfigurieren
Informationen zu Benutzern und Gruppen werden in einer Benutzerregistry gespeichert. Bei WebSphere Application Server authentifiziert eine Benutzerregistry
einen Benutzer und ruft Informationen zu Benutzern und Gruppen ab, um sicherheitsrelevante Funktionen, einschließlich Authentifizierung und Autorisierung, auszuführen.
Vorbereitende Schritte
Diese Task setzt voraus, dass:
1. der Windows-Dienst IBM Security AppScan Enterprise Server - Tomcat inaktiviert ist.
2. die WebSphere-Administrationskonsole angemeldet ist.
3. die JTS-, ASC- und ADMIN-Anwendungen in WebSphere Application Server
importiert wurden. Siehe „Jazz Team Server auf WebSphere Application Server
implementieren” auf Seite 58.
Vorgehensweise
1. Rufen Sie https://:<Host>:9443/jts/setup auf und melden Sie sich mit einem
Benutzernamen/Kennwort an, das in WebSphere über die JazzAdmin-Rolle
verfügt. Das Kennwort ist Ihr "Domänenkennwort". Siehe „Jazz Team Server
auf WebSphere Application Server implementieren” auf Seite 58.
2. Wählen Sie Custom Setup (Benutzerdefinierte Installation) aus und klicken Sie
auf Weiter
3. Klicken Sie auf Weiter, um nicht erforderliche Konfigurationsseiten zu überspringen, bis Sie die Seite Setup User Registry (Benutzerregistry einrichten) erreichen. Wählen Sie eine der folgenden Optionen aus:
v LDAP (bevorzugt): Verwenden Sie diese Option, um Benutzer zu importieren
und um Benutzer innerhalb angegebener LDAP-Gruppen automatisch mit
JazzRoles zu synchronisieren.
60
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
v Externe Registry, die nicht auf LDAP beruht: Verwenden Sie diese Option,
um Benutzer hinzuzufügen, die nicht zu einer LDAP-Gruppe gehören (nützlich, wenn Sie keine LDAP-Gruppe erstellen können, aber LDAP-Authentifizierung verwenden möchten).
Anmerkung: Mit dieser Option können Sie weder Benutzer importieren
noch automatisch Benutzer und Rollen synchronisieren. Mithilfe von LDAPGruppen können Sie keine Rollen oder Berechtigungen in der Unternehmenskonsole verwalten. Für diese Option sind weitere Schritte erforderlich, um
Benutzer zu verwalten.
4. Wenn Sie die LDAP-Option auswählen, folgen Sie den Anweisungen, um die
LDAP-Einstellungen zu prüfen.
5. Wenn Sie die Option für die externe Registry, die nicht auf LDAP beruht, auswählen, fügen Sie den Benutzer hinzu, den Sie für die Anmeldung bei
/jts/setup in Schritt 1 verwendet haben.
Wählen Sie Disable "ADMIN" user (Benutzer "ADMIN" inaktivieren) aus.
Rational Jazz Foundation-Lizenzen sind nicht erforderlich.
Klicken Sie auf Weiter.
Wählen Sie I do not wish to configure the data warehouse at this time (Ich
möchte das Data-Warehouse jetzt nicht konfigurieren) aus und klicken Sie
auf Weiter. Diese Funktion ist nicht für AppScan Enterprise erforderlich.
e. Klicken Sie im Schritt Finalize Setup (Konfiguration abschließen) auf Weiter.
f. Klicken Sie im Schritt Zusammenfassung auf Fertigstellen.
a.
b.
c.
d.
g. Sie werden zur Serveradministration weitergeleitet (https://:<Host>:9443/
jts/admin).
6. Gehen Sie wie folgt vor, um zu prüfen, ob die Schritte ordnungsgemäß ausgeführt wurden:
a. Melden Sie sich ab und schließen Sie den Browser.
b. Öffnen Sie einen neuen Browser, rufen Sie https://:<Host>:9443/jts/admin
auf und geben Sie den Benutzer und das Kennwort ein. Sie werden erneut
zur Anzeige für die Serveradministration geleitet.
7. Gehen Sie wie folgt vor, um das Authentifizierungsverfahren der Unternehmenskonsole in AppScan Enterprise zu rekonfigurieren:
a. Führen Sie den Konfigurationsassistenten aus und stellen Sie sicher, dass die
Benutzerverwaltung in der Anzeige "Serverkomponenten" ausgewählt ist.
b. Wählen Sie in der Anzeige "Authentifizierungsverfahren der Unternehmenskonsole" Ferner AppScan-Server aus und geben Sie die URL im folgenden
Format ein: https://:<Host>:9443/asc.
c. Folgen Sie den Anweisungen und geben Sie die Benutzer-ID und das Kennwort ein, das in den vorherigen Themenschritten verwendet wurde, wenn
Sie nach dem Produktadministrator (nicht nach dem Service-Account) gefragt werden.
d. Beenden Sie den Assistenten.
Kapitel 5. Erweiterte Installationsszenarios und -themen
61
Zugehörige Tasks:
„Benutzer zu AppScan Enterprise bei Verwendung einer externen Registry, die
nicht auf LDAP beruht, hinzufügen”
Wenn Sie mithilfe der Option für die externe Registry, die nicht auf LDAP beruht,
Benutzer zum WebSphere Application Server hinzugefügt haben, die nicht zu einer
LDAP-Gruppe gehören, müssen Sie für deren Verwaltung zusätzliche Schritte ausführen. Wenn Sie diese Option verwenden, können Sie Benutzer nicht importieren.
Sie können Benutzer und Rollen auch nicht automatisch synchronisieren. Mithilfe
von LDAP-Gruppen können Sie weder Rollen noch Berechtigungen in der Unternehmenskonsole verwalten.
Benutzer zu AppScan Enterprise bei Verwendung einer externen Registry, die nicht auf LDAP beruht, hinzufügen
Wenn Sie mithilfe der Option für die externe Registry, die nicht auf LDAP beruht,
Benutzer zum WebSphere Application Server hinzugefügt haben, die nicht zu einer
LDAP-Gruppe gehören, müssen Sie für deren Verwaltung zusätzliche Schritte ausführen. Wenn Sie diese Option verwenden, können Sie Benutzer nicht importieren.
Sie können Benutzer und Rollen auch nicht automatisch synchronisieren. Mithilfe
von LDAP-Gruppen können Sie weder Rollen noch Berechtigungen in der Unternehmenskonsole verwalten.
Vorbereitende Schritte
Die folgende Task setzt voraus, dass Sie alle vorangegangenen Tasks zum Konfigurieren von WebSphere Application Server und Jazz Team Server für AppScan
Enterprise abgeschlossen haben.
Vorgehensweise
1. Öffnen Sie die Administrationskonsole.
2. Rufen Sie Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen auf und klicken Sie auf jts_war, um die Einstellungen zu bearbeiten.
3. Klicken Sie unter Detail Properties (Detaileigenschaften) auf Security role to
user/group mapping (Zuordnung von Sicherheitsrollen zu Benutzern/
Gruppen).
4. Wählen Sie mindestens ein Kontrollkästchen für Benutzerrollen aus und klicken Sie auf Map Users (Benutzer zuordnen).
5. Geben Sie Ihren Suchbegriff für den Benutzer ein, den Sie hinzufügen möchten, und fügen Sie ihn zur Liste hinzu.
6. Klicken Sie auf OK > OK > Save to master configuration (In Masterkonfiguration speichern).
7. Starten Sie WebSphere Application Server erneut, damit die Änderungen wirksam werden.
8. Rufen Sie https://<Host>:9443/jts/admin auf und melden Sie sich bei einem
Administratorkonto an.
9. Klicken Sie auf Benutzer > Aktive Benutzer > Benutzer erstellen.
10. Geben Sie die Benutzerdetails ein, die Sie in Schritt 5 hinzugefügt haben. Die
Benutzer-ID ist eine Eigenschaft, die mit der zuvor eingegebenen ID übereinstimmen muss. Klicken Sie auf Speichern und melden Sie sich ab.
11. Rufen Sie https:///<Host>/<ase-instance>/ auf.
12. Klicken Sie auf Administration > Benutzer und Gruppen.
62
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
13. Wenn der Standardbenutzer über keinen Zugriff verfügt (Kein Zugriff), erstellen Sie den Benutzer manuell. Andernfalls erbt der Benutzer den Zugriff des
Standardbenutzers bei der ersten Anmeldung bei AppScan Enterprise.
LDAP-Benutzermanagementverfahren zu Apache Tomcat
Es gibt verschiedene Methoden für das Benutzermanagement unter Tomcat.
AppScan Enterprise Jazz Server zur Verwendung von LDAP
für die Authentifizierung unter Tomcat konfigurieren
In diesem Thema erfahren Sie, wie Sie LDAP-Einstellungen für AppScan Enterprise
Server angeben, anschließend generieren und speichern.
Vorbereitende Schritte
Bei Jazz muss die Groß-/Kleinschreibung beachtet werden, insbesondere beim
Konfigurieren des LDAP.
Vorgehensweise
1. Nachdem Sie den AppScan Enterprise-Konfigurationsassistenten ausgeführt
haben, navigieren Sie zu https://<appscanserverhost>:9443/jts/setup#/
steps/6, und melden Sie sich mithilfe der Berechtigungsnachweise an, die Sie
während der Konfiguration erstellt haben.
2. Wählen Sie Custom Setup (Benutzerdefinierte Installation) aus und ersetzen
Sie die "1" in der URL durch "6" (https://<appscanserverhost>:9443/jts/
setup#/steps/6). Dies führt Sie auf die Seite "Setup User Registry" (Benutzerregistry konfigurieren).
3. Wählen Sie LDAP als Benutzer-Registry-Typ aus und konfigurieren Sie die
LDAP-Registry-Position (die Webadresse, die auf Ihren LDAP-Server verweist). ldap://ldap.example.com:389):
a. (Optional) Konfigurieren Sie einen Benutzernamen und ein Kennwort für
den Zugriff auf den LDAP-Server. Manche LDAP-Server ermöglichen ein
anonymes Anmelden und die Verwendung eines Kennworts. In diesem
Fall ist dieser Parameter nicht belegt.
Achtung: Benutzername und Kennwort sind in der Datei "server.xml" in
Klartext gespeichert.
v Verwenden Sie einen Service-Account-/funktionale ID-Berechtigungsnachweise anstelle Ihrer eigenen.
v Zugriff auf "server.xml" einschränken (geben Sie Benutzern keine Lesezugriffsberechtigung).
v
Alternativen zur Bestimmung von LDAP-Bindungs-Berechtigungsnachweisen:
– Verwenden Sie LDAPs, aber lassen Sie anonyme Bindungen zum
LDAP-Verzeichnis zu.
– Implementieren Sie stattdessen Jazz in WebSphere Application Server.
b. Konfigurieren Sie den definierten Namen (DN) der betreffenden Basisbenutzer (Basis-DN der Benutzer in der LDAP-Registry. Beispiel:
ou=people,dc=jazz,dc=net).
c. Konfigurieren Sie die Zuordnung für die bestimmte Benutzereigenschaft.
Kapitel 5. Erweiterte Installationsszenarios und -themen
63
Anmerkung:
Die Zuordnung von Jazz-Benutzereigenschaftsnamen zu Attributsnamen
von LDAP-Registry-Einträgen. Sie müssen folgende Zuordnungen definieren:
v userId =[LDAP-Benutzer-ID]
v name =[LDAP-Benutzername]
v emailAddress =[LDAP-Benutzer-E-Mail]
Die Eigenschaft "userid" bestimmt die Benutzer-ID, die verwendet wird,
wenn sich ein Benutzer im System anmeldet. Die Namenseigenschaft wird
verwendet, um den Namen in der Benutzerschnittstelle zu übergeben.
Beispiel: userId=uid,name=cn,emailAddress=mail
d. Konfigurieren Sie den definierten Namen (DN) der betreffenden Basisgruppe. (Basis-DN der Jazz-Anwendungsgruppen in der LDAP-Registry. Beispiel: ou=JazzGroups,dc=jazz,dc=net)
e. Konfigurieren Sie die Jazz-zu-LDAP-Gruppenzuordnung.
Anmerkung:
1) Sie müssen über mindestens zwei LDAP-Gruppen verfügen: eine Gruppe für Benutzer, die den AppScan Enterprise Jazz Server verwalten
dürfen, und eine andere Gruppe für Benutzer, die sich über den
AppScan Enterprise Jazz Server anmelden dürfen.
2) Um Benutzer mithilfe von mehreren Gruppen in AppScan Enterprise
zu verwalten, geben Sie diese Gruppen unter JazzUsers an. Trennen Sie
die Gruppen dabei mit Semikolons voneinander.Beispiel:
JazzAdmins=LDAPAdmins1;LDAPAdmins2 ordnet eine JazzAdmins-Gruppe
"LDAPAdmins1" und "LDAPAdmins2" zu. Jazz Team Server bestimmt
fünf Zuordnungsgruppen:
v JazzAdmins =[LDAP-Gruppe für Jazz-Administratoren]
v JazzUsers =[LDAP-Gruppe für Jazz-Benutzer]
v JazzDWAdmins =[LDAP-Gruppe für Jazz-Data-Warehouse-Admininstrator]
v JazzGuests=[LDAP-Gruppe für Jazz-Gast]
v JazzProjectAdmins =[LDAP-Gruppe für Jazz-Projektadministratoren]
Beispiel: JazzAdmins= YourGroupA, JazzUsers= YourGroupB,
JazzDWAdmins= YourGroupC, JazzGuests= YourGroupD,
JazzProjectAdmins= YourGroupE
f. Konfigurieren Sie die Eigenschaft für den Gruppennamen. (LDAP-Eigenschaft, die den Namen der Jazz-Gruppen in der LDAP-Registry darstellt.
Beispiel: cn. Dies wird in einer Abfrage zum Abrufen einer LDAP-Gruppe
verwendet. Um eine LDAP-Gruppe abzurufen, wird bei der Abfrage eine
Kombination der Basisgruppen-DN und der Eigenschaft für den Gruppennamen verwendet.
g. Konfigurieren Sie die Eigenschaft für das Gruppenmitglied. (LDAP-Eigenschaft, die die Gruppenmitglieder in der LDAP-Registry darstellt. Beispiel:
members)
4. Testen Sie die Verbindung zum Server. Sie werden zur Eingabe eines Benutzernamens aufgefordert, um die Verbindung zu testen.
5. Generieren und speichern Sie als nächstes die Dateien mit Einstellungen und
ersetzen Sie die Standarddateien "web.xml" und "server.xml" im Tomcat-Ver-
64
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
zeichnis, damit die LDAP-Einstellungen in Kraft treten. Klicken Sie nach dem
Testen der Verbindung auf Save Tomcat Config Files (Tomcat-Konfigurationsdateien speichern).
6. Es wird eine Nachricht angezeigt, in der Sie dazu aufgefordert werden, die
Dateien server.xml und web.xml zu ersetzen und Tomcat neu zu starten. Klicken
Sie auf den Link zum Anzeigen von Details, um eine Nachricht aufzurufen,
die die Position angibt, unter der die temporären Konfigurationsdateien erstellt wurden.
a. Navigieren Sie zum Verzeichnis C:\Programme(x86)\IBM\
AppScanEnterprise\JazzTeamServer\server\tomcat\webapps\jts\WEB-INF\
und ändern Sie den Namen der Datei web-LDAP<Datum>.xml in
web.xml. Möglicherweise müssen Sie zunächst eine vorhandene web.xmlDatei löschen.
b. Navigieren Sie zum Verzeichnis C:\Programme(x86)\IBM\
AppScanEnterprise\ JazzTeamServer\server\tomcat\conf\ und ändern Sie
den Namen der Datei server-LDAP<Datum>.xml in server.xml. Möglicherweise müssen Sie zunächst eine vorhandene server.xml-Datei löschen.
7. Wählen Sie im Browser das Kontrollkästchen Disable default ADMIN access
(Administrator-Standardzugriff inaktivieren) ab. Sie benötigen diesen Zugriff
für den Fall, dass Ihre LDAP-Einstellungen nicht erfolgreich waren. Andernfalls müssen Sie den AppScan Enterprise Server erneut installieren.
8. Starten Sie den Service "IBM Security AppScan Enterprise Server – Tomcat erneut, indem Sie die Windows-Service-Managementkonsole aufrufen (Start >
Ausführen > services.msc).
9. Nach dem Neustart des Service können Sie sich beim Jazz Team Server mit Ihrem LDAP-Benutzernamen und dem zugehörigen Kennwort anmelden.
10. Wenn Sie AppScan Enterprise Server bereits konfiguriert haben, führen Sie
den Konfigurationsassistenten erneut aus, um für Ihren Produktadministrator
einen anderen Benutzer als ADMIN festzulegen.
Nächste Schritte
„Serverkonfigurationassistenten für die Komponenten "Unternehmenskonsole" und
"Benutzeradministration" ausführen” auf Seite 33
AppScan Enterprise für die Verwendung von Jazz-Authentifizierung auf einem fernen Tomcat-Server konfigurieren
Wenn Sie bereits einen Jazz Team Server 4.0 in Ihrer Umgebung installiert haben,
können Sie ihn anstelle des Jazz Team Servers verwenden, der zusammen mit
AppScan Enterprise Server installiert wird. Der Vorteil liegt bei diesem Installationsszenario darin, dass Sie keinen physischen Zugriff auf den Server benötigen.
Informationen zu diesem Vorgang
Sie müssen die URL des fernen Jazz Team Servers (https://<Ferner_Server>:9443/
jts/admin) kennen.
Anmerkung: Jazz Team Server verwendet Port 9443. Er kann nicht unter IIS ausgeführt werden.
Vorgehensweise
1. Starten Sie nach Abschluss der Installation die Administration des fernen Jazz
Team Servers in Ihrem Browser.
Kapitel 5. Erweiterte Installationsszenarios und -themen
65
2. Klicken Sie auf der Homepage für die Serveradministration auf Server verwalten im Abschnitt "Server verwalten".
Anmerkung: Zusätzlich zu den hier angegebenen Konfigurationsanweisungen
finden Sie hilfreiche Konfigurationsinformationen in den einzelnen Anzeigen
zur Serveradministration, die Sie durch den Prozess führen.
3. Klicken Sie auf Konsumenten (eingehend) und bearbeiten Sie die folgenden
Felder:
v Konsumentenname: Geben Sie den Name der Maschine ein, wie z. B.
https://<remoteserver>:9443/asc.
v Konsumentengeheimnis: Geben Sie "appscanserver" ein.
v Vertrauenswürdig: Aktivieren Sie das Kontrollkästchen.
4. Klicken Sie auf Registrieren und notieren Sie sich den Konsumentenschlüssel
für den Konsumentennamen /asc.
5. Melden Sie sich ab und schließen Sie den Browser.
6. Wechseln Sie auf der Maschine des Jazz Team Servers in das Verzeichnis
<Installationsverzeichnis>\IBM\AppScan Enterprise\JazzTeamServer\server\
conf\asc und bearbeiten Sie die Datei asc.properties wie folgt:
v Ändern Sie discovery.url so, dass der Wert auf den bereits vorhandenen Jazz
Team Server verweist.
v Ändern Sie consumer.key in die Zahl, die Sie in Schritt 4 notiert haben.
7. Speichern Sie Ihre Änderungen und führen Sie einen Warmstart des TomcatServers auf der Maschine durch, auf der Sie AppScan Enterprise installiert haben.
Nächste Schritte
1. Tomcat für die Ausführung als Windows-Dienst konfigurieren, um das manuelle Starten und Stoppen des Servers zu vermeiden.
LDAP mit Benutzerinformationen aus dem Repository von Jazz Team
Server synchronisieren
Um die Benutzerinformationen aus dem Repository von Jazz™ Team Server mit
den Informationen im LDAP-Verzeichnis zu synchronisieren, müssen Sie die
LDAP-Synchronisationstask verwenden. Anwendungen, die bei Jazz Team Server
registriert sind, aktualisieren lokale Benutzerrepositorys über deren Task zur Synchronisation von Beiträgen.
Standardmäßig findet die Synchronisation um 1 Uhr nachts statt. Sie können die
Synchronisation auch manuell mit dem Befehl repotools -syncUsers starten.
Anmerkung: Weitere Informationen zum Erstellen von Benutzern in Jazz Team
Server oder in einer beim Server registrierten Anwendung finden Sie unter „Benutzer erstellen” auf Seite 104.
Während der Synchronisierung werden die folgenden Schritte ausgeführt:
v Neue Benutzerdatensätze werden im Repository von Jazz Team Server für alle
Benutzer im LDAP-Benutzerverzeichnis erstellt, die Mitglieder der zugeordneten LDAP-Gruppen sind, jedoch nicht bereits im Repository von JAZZ Team Server vorhanden sind.
66
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
v Namens- und E-Mail-Adressenfelder werden im Repository von Jazz Team Server aktualisiert, wenn die Werte im Repository und das LDAP-Benutzerverzeichnis nicht übereinstimmen.
v Mehrdeutige Einträge werden möglicherweise im LDAP-Benutzerverzeichnis angezeigt. Diese Einträge werden erstellt, wenn die nächtliche LDAP-Synchronisationstask die Namens- und E-Mail-Adressenfelder eines Benutzers im Repository
von Jazz Team Server nicht eindeutig aktualisieren kann. Zum Beispiel: Wenn
ein Benutzer mehrere Namen im LDAP-Verzeichnis hat und keiner dieser Namen mit dem Eintrag im Repository von Jazz Team Server übereinstimmt, dann
zeichnet die Synchronisationstask ein Ereignis auf, um auf den mehrdeutigen
Account hinzuweisen. Ein Administrator kann dann den Benutzersatz manuell
aktualisieren.
v Fehlerdatensätze werden erstellt, wenn mehrere Benutzer-IDs für einen Benutzer
im LDAP-Benutzerverzeichnis vorhanden sind oder wenn ein Benutzer nicht
vorhanden ist, auf den von einer LDAP-Gruppe verwiesen wird. Wenn z. B. die
Gruppe "JazzAdmins" im LDAP-Verzeichnis über ein Mitglied names Joe verfügt, dessen Datensatz nicht im LDAP-Benutzerverzeichnis vorhanden ist, weist
dies möglicherweise darauf hin, dass der Benutzer nicht mehr Mitglied des Unternehmens ist. Diesen Benutzer würden Sie in der Regel im Repository archivieren.
Befehlszeile zum manuellen Synchronisieren von Benutzern
mit dem LDAP-Benutzerverzeichnis
Verwenden Sie den Befehl repotools -syncUsers, um Benutzer manuell mit dem
LDAP-Benutzerverzeichnis zu synchronisieren. Der Server muss bei Ausführung
dieses Befehls aktiv sein.
Parameter
Erforderlich Standard
Attribut
Beschreibung
repositoryURL
Die VerbindungsURL zum Server.
adminUserId
Benutzer-ID des Ad- Nein
ministrators, um sich
beim Jazz-Repository
anzumelden.
ADMIN
adminPassword
Administratorkennwort, um sich beim
Jazz-Repository
anzumelden.
Nein
ADMIN
credentialsFile
Die Datei mit den
Berechtigungsnachweisen für die
Anmeldung des
Benutzers mit Verwaltungsaufgaben.
Nein
credentials.properties
certificateFile
Die Datei mit dem
Nein
Zertifikat für die Anmeldung des Benutzers mit Verwaltungsaufgaben.
Nein
https://localhost:9443/
<Anwendung>
Keine Angabe
Kapitel 5. Erweiterte Installationsszenarios und -themen
67
Erforderlich Standard
Attribut
Beschreibung
smartCard
Nein
Verwendet die verbundene Smart-Card
zur
Authentifizierung.
Der Switch
"smartCard=?" zeigt
die Liste der verfügbaren Aliasnamen an.
Keine Angabe
Beispiel: repotools-jts
syncUsers
smartCard=?
Im Folgenden finden
Sie Beispiele für
Aliasnamen:
v ou= SG
v o=IBM
v c=US
logFile
Pfad für die
Protokolldatei.
Nein
repotools<Anwendung>_syncUsers.log
repotools-<Anwendung> -syncUsers repositoryURL=https://qualified.hostname:port/jts
adminUserId=ADMIN adminPassword=ADMIN
Sichere AppScan Enterprise-Instanz implementieren
In diesem Abschnitt werden die Arbeitsschritte im Verlauf der Installation und
Konfiguration beschrieben, mit denen Sie sicherstellen, dass Ihre AppScan Enterprise-Instanz sicher ist.
Vorgehensweise
1. Unternehmenskonsole: Aktivieren Sie im Fenster für die Serverzertifikate in
den Serverkonfigurationsassistenten HTTPS für die Unternehmenskonsole, um
einen höheren Schutz zu aktivieren, und wählen Sie ein Zertifikat speziell für
Ihre Organisation aus. Durch diese Maßnahmen können Sie AppScan Enterprise
sicher in Ihrer Umgebung implementieren.
2. Benutzeradministration (Jazz Team Server): Lesen Sie die folgenden Themen
zur Konfiguration von SSL-Zertifikation unter Jazz.
v „Schlüsselspeicherkennwort ändern”
v „x.509-Zertifikate für den Jazz Team Server importieren” auf Seite 69
v „Selbst signiertes Zertifikat für Jazz Team Server generieren” auf Seite 70
v „Jazz Team Server-Zertifikat für eine Verwendung mit IIS exportieren” auf
Seite 71
v „Jazz Team Server-Zertifikat in IIS importieren” auf Seite 71
v „Zertifizierungsstelle vertrauen” auf Seite 72
Schlüsselspeicherkennwort ändern
Verwenden Sie diese Prozedur zum Ändern des Standardschlüsselspeicherkennworts.
68
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Vorgehensweise
1. Öffnen Sie ein Befehlsfenster und navigieren Sie zum Verzeichnis von AppScan
Enterprise.
2. Wechseln Sie in das Verzeichnis "JazzTeamServer\server\jre\bin".
3. Führen Sie den folgenden Befehl aus: keytool -storepasswd -keystore
../../tomcat/ibm-team-ssl.keystore -new <mypass> -storepass ibm-team
4. Aktualisieren Sie das Schlüsselspeicherkennwort in "JazzTeamServer\server\
tomcat\conf\server.xml".
5. Starten Sie den Tomcat-Service erneut.
x.509-Zertifikate für den Jazz Team Server importieren
Verwenden Sie diese Prozedur zum Importieren von x.509-Zertifikaten.
Vorgehensweise
1. Öffnen Sie ein Befehlsfenster und navigieren Sie zum Verzeichnis von AppScan
Enterprise.
2. Wechseln Sie in das Verzeichnis "JazzTeamServer\server\jre\bin".
3. Löschen Sie bereits vorhandene Zertifikate im Schlüsselspeicher mit den folgenden Befehlen:
a. Mit dem folgenden Befehl können Sie die verfügbaren Aliasnamen auflisten:
keytool -list -keystore ../../tomcat/ibm-team-ssl.keystore -storepass
<mypass>
b. Mit dem folgenden Befehl können Sie einen Aliasnamen löschen: keytool
-delete -alias <alias_name> -keystore ../../tomcat/ibm-teamssl.keystore -storepass ibm-team
4. Mit dem folgenden Befehl können Sie das neue Zertifikat importieren: keytool
-import -alias <certificate_alias> -file <certificate_name>.cer
[-keypass <certificate_pass>] -keystore ../../tomcat/ibm-teamssl.keystore -storepass <mypass>
5. Starten Sie den Tomcat-Service erneut.
Nächste Schritte
„Java SDK-Richtliniendateien aktualisieren”
Java SDK-Richtliniendateien aktualisieren
AppScan Enterprise stellt Java SDK 6.0 zur Verfügung, das strenge, aber begrenzte
Standortrichtliniendateien enthält. Einige von einer Zertifizierungsstelle bereitgestellte Schlüsselformate (wie PKCS #12) können durch Algorithmen geschützt werden, die nicht durch die begrenzten Richtliniendateien in Java SDK 6.0 zur Verfügung gestellt werden. Bevor Sie selbst signierte Zertifikate durch von der
Zertifizierungsstelle ausgegebene Zertifikate ersetzen, aktualisieren Sie Ihre Java
SDK-Richtliniendateien.
Informationen zu diesem Vorgang
Die unbegrenzten JCE-Richtliniendateien, die über die Aktualisierung der Richtliniendateien bereitgestellt werden, stellen möglicherweise sicher, dass Sie über die
richtigen Algorithmen für von der Zertifizierungsstelle ausgegebene Zertifikate verfügen.
Kapitel 5. Erweiterte Installationsszenarios und -themen
69
Vorgehensweise
1. Verwenden Sie einen Browser, um http://www.ibm.com/developerworks/
java/jdk/security/index.html aufzurufen.
2. Klicken Sie auf Java SE 6.
3. Klicken Sie im Inhaltsverzeichnis des gestarteten Information Center auf IBM
SDK Policy files (IBM SDK-Richtliniendateien) und klicken Sie dann auf der
Seite, die sich im Inhaltsteilfenster öffnet, auf ibm.com.
4. Geben Sie auf der Website Ihre IBM®.com ID sowie das zugehörige Kennwort
ein.
5. Wählen Sie Unrestricted JCE Policy files for SDK for all newer versions
(Unbegrenzte JCE-Richtliniendateien zu SDK für alle neueren Versionen) aus
und klicken Sie auf Continue (Fortfahren).
6. Zeigen Sie die Lizenz an, aktivieren Sie I agree (Zustimmen) und klicken Sie
auf I confirm (Bestätigen).
7. Klicken Sie auf Download now (Jetzt herunterladen).
8. Extrahieren Sie die unbegrenzten Standortrichtliniendateien, die in einer Datei
komprimiert sind. Die komprimierte Datei enthält die Dateien
US_export_policy.jar und local_policy.jar.
9. Sichern Sie auf dem Server, auf dem AppScan Enterprise installiert ist, die folgenden Dateien:
v US_export_policy.jar
v local_policy.jar
Anmerkung: Diese Dateien befinden sich standardmäßig im folgenden Verzeichnis: <Installationsverzeichnis>/JazzTeamServer/server/jre/lib/security/
10. Ersetzen Sie die Dateien US_export_policy.jar und local_policy.jar durch
die aktualisierten Dateien aus der komprimierten Datei, die Sie heruntergeladen haben.
Selbst signiertes Zertifikat für Jazz Team Server generieren
Verwenden Sie diese Prozedur zum Erstellen eines selbst signierten Zertifikats.
Vorgehensweise
1. Öffnen Sie ein Befehlsfenster und navigieren Sie zum Verzeichnis von AppScan
Enterprise.
2. Wechseln Sie in das Verzeichnis "JazzTeamServer\server\jre\bin".
3. Löschen Sie alle vorhandenen Zertifikate, wie im Abschnitt „x.509-Zertifikate
für den Jazz Team Server importieren” auf Seite 69 beschrieben.
4. Verwenden Sie den folgenden Befehl zum Generieren eines Zertifikats: keytool
-genkey -alias <certificate_alias> -keyalg RSA -keystore
../../tomcat/ibm-team-ssl.keystore -storepass <mypass> -validity <days>
5. Wenn Sie aufgefordert werden, Ihren Namen einzugeben, geben Sie stattdessen
den FQDN des Servers ein, wie z. B. Ihr Name: aseserver.mydomain.com.
Anmerkung: Ein selbst signiertes Zertifikat generiert Zertifikatsfehler in Ihrem
Browser. Gehen Sie wie folgt vor, um diese Fehler zu verhindern: Implementieren Sie eine Gruppenrichtlinie, die den AppScan-Server als vertrauenswürdige
Zertifizierungsstelle in Ihrer Domäne definiert, um diese Zertifikatswarnungen
im Internet Explorer zu entfernen, oder ermöglichen Sie Ihren Benutzern, das
AppScan-Server-Zertifikat im Trusted-Root-Speicher für Zertifizierungsstellen
zu installieren.
70
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
6. Geben Sie die Informationen zu Ihrem Unternehmen und Ihrem Standort ein.
7. Wenn Sie aufgefordert werden, ein Kennwort einzugeben, geben Sie kein Kennwort ein. Sie müssen dasselbe Zertifikatskennwort wie der Zertifikatsspeicher
verwenden. Drücken Sie die Eingabetaste.
8. Starten Sie den Tomcat-Service erneut.
Jazz Team Server-Zertifikat für eine Verwendung mit IIS exportieren
Anhand dieser Prozedur können Sie das Zertifikat exportieren.
Vorgehensweise
1. Zuerst müssen Sie die aktualisierten Richtliniendateien für das IBM SDK herunterladen.
2. Dekomprimieren Sie das Downloadpaket und kopieren Sie die Jar-Dateien in
das Verzeichnis "JazzTeamServer\server\jre\lib\security".
3. Navigieren Sie in das Installationsverzeichnis von AppScan Enterprise und
wechseln Sie in das Verzeichnis "JazzTeamServer\server\jre\bin".
4. Verwenden Sie folgenden Befehl: keytool -export -alias ibm-team -keystore
../../tomcat/ibm-team-ssl.keystore -storepass <storepass> -file
<pathtofile>.pfx -pkcs12 -keypass <keypass>
Jazz Team Server-Zertifikat in IIS importieren
In diesem Abschnitt wird beschrieben, wie Sie das Jazz Team Server-Zertifikat in
IIS7 und IIS6 importieren können.
Vorgehensweise
1. IIS7:
a. Öffnen Sie die IIS Management Console mithilfe von "inetmgr".
b. Wählen Sie den Serverknoten aus und klicken Sie doppelt auf Server Certificates (Serverzertifikate). Klicken Sie anschließend auf Import (Importieren).
c. Navigieren Sie zum Verzeichnis JazzTeamServer\server\jre\bin, in dem
sich die Datei <Exportdateiname>.pfx befindet, und füllen Sie das Feld password mit ibm-team aus, wenn Sie das Schlüsselspeicherkennwort nicht geändert haben.
d. Klicken Sie nach dem Importieren des Zertifikats mit der rechten Maustaste
auf den Serverknoten und wählen Sie Edit Bindings (Bindungen bearbeiten)
aus.
e. Stellen Sie fest, wo sich https befindet, klicken Sie auf Edit (Bearbeiten) und
ändern Sie das Zertifikat.
2. IIS6:
a. Öffnen Sie die IIS Management Console mithilfe von "inetmgr".
b. Wählen Sie die Website "Default" (Standard) aus.
c. Klicken Sie auf Properties > Directory Security > Server Certificate (Eigenschaften - Verzeichnissicherheit - Serverzertifikat).
d. Beenden Sie den Assistenten für IIS-Zertifikate und wählen Sie Import a
certificate from a .pfx file (Zertifikat aus .pfx-Datei importieren) aus.
Kapitel 5. Erweiterte Installationsszenarios und -themen
71
Zertifizierungsstelle vertrauen
Wenn Ihr Zertifikat nicht von einem vertrauenswürdigen Aussteller stammt, müssen Sie auf Ihrer Clientmaschine explizit angeben, dass Sie dem Aussteller vertrauen.
Vorgehensweise
1. Navigieren Sie im Internet Explorer zu AppScan Enterprise und wählen Sie aus,
dass Sie fortfahren möchten, wenn die Zertifikatswarnung angezeigt wird.
2. Klicken Sie mit der rechten Maustaste auf die Seite, wählen Sie "Eigenschaften"
aus und klicken Sie auf Zertifikate.
3. Wählen Sie Zertifikat installieren aus und klicken Sie auf Weiter.
4. Wählen Sie Alle Zertifikate im folgenden Speicher platzieren aus und klicken Sie auf Durchsuchen.
5. Wählen Sie Physische Speicher anzeigen aus.
6. Wählen Sie Trusted-Root-Zertifizierungsstellen > Lokaler Computer aus.
7. Klicken Sie auf Weiter > Fertigstellen.
Fixpackinstallation
Fixpacks können von Fix Central heruntergeladen werden. Das Produkt muss vor
dem Anwenden eines Fixpacks vollständig installiert worden sein.
Vorbereitende Schritte
Für diese Task ist es erforderlich, dass Sie Ihre Passport Advantage-Berechtigungsnachweise für die Anmeldung kennen.
Vorgehensweise
Gehen Sie wie folgt vor, um das Fixpack herunterzuladen:
1. Rufen Sie http://www.ibm.com/support/fixcentral/ auf und melden Sie sich
mithilfe Ihrer IBM ID und Ihres Kennworts an.
2. Wählen Sie in der Liste zu den Produktgruppen Security Systems (Sicherheitssysteme) aus und klicken Sie auf Continue (Fortfahren).
3. Wählen Sie IBM Security AppScan Enterprise in der Liste zu den Produkten aus.
4. Wählen Sie die aktuelle Versionsnummer in der Liste "Installierte Version" aus.
5. Wählen Sie Windows oder Linux in der Liste zu den Plattformen aus und klicken Sie auf Continue (Fortfahren).
6. Wählen Sie auf der Seite zu Identitätsfixes Browse for fixes (Nach Fixes durchsuchen) aus (oder wählen Sie eine andere Suchmethode aus) und klicken Sie
auf Continue (Fortfahren).
7. Wählen Sie auf der Seite zum Auswählen der Fixes das Kontrollkästchen Interim fix (Vorläufiger Fix) aus und klicken Sie auf Continue (Fortfahren).
8. Geben Sie Ihre Passport Advantage-Berechtigungsnachweise auf der Seite Sign
in (Anmeldeseite) ein und klicken Sie auf Continue (Fortfahren).
9. Wählen Sie auf der Seite zu den Downloadoptionen Ihr Downloadverfahren
aus (über Download Director oder Ihren Browser) und klicken Sie auf Continue (Fortfahren).
Gehen Sie wie folgt vor, um das Fixpack zu installieren:
10. Navigieren Sie zu dem Verzeichnis, in das Sie die ausführbare Datei geladen
haben, und klicken Sie doppelt auf die heruntergeladenen Dateien..
72
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
11. Klicken Sie im Installationsassistenten auf Next (Weiter).
12. Wählen Sie im Dialogfenster zur Lizenzvereinbarung die Option "I accept the
terms in the license agreement" (Ich stimme den Bedingungen des Lizenzvertrags zu) aus und klicken Sie auf Next (Weiter).
13. Das Fixpack wird installiert. Wenn die Installation abgeschlossen ist, wird das
Fixpack den Konfigurationsassistenten starten (wenn "Config Instances" (Konfigurationsinstanzen) ausgewählt ist). Klicken Sie auf Next (Weiter).
14. Beenden Sie die Installation.
Installationsplan für AppScan Source-Implementierung
Enthält Informationen zu den Anforderungen für eine erfolgreiche Installation.
1. Suchen Sie nach AppScan Enterprise Server Version 8.7 unter Passport Advantage und laden Sie die E-Assembly für Ihr Betriebssystem herunter.
2. Wenn Sie in Ihrem Unternehmen noch nicht über einen Rational License Server verfügen, installieren Sie ihn, wenn Sie während der Ausführung des Installationsassistenten dazu aufgefordert werden.
3. Melden Sie sich beim Rational License Key Center an, um Ihre Lizenzschlüssel
für AppScan Enterprise anzufordern.
4. Importieren Sie Lizenzen auf den Rational License Server. Lesen Sie die Informationen im Abschnitt „Produktlizenzen” auf Seite 12, um zu bestimmen,
welche Lizenzen Sie für AppScan Enterprise Server benötigen.
5. Optional für eine verteilte Installation:
v Installieren Sie den SQL Server und konfigurieren Sie die Datenbank.
v Erstellen Sie ein Assistentenbenutzerkonto für die Datenbank.
6. (optional) Tomcat wird automatisch mit AppScan Enterprise Server installiert.
Wenn Sie WebSphere Application Server verwenden möchten, installieren Sie
ihn jetzt, wenn er innerhalb Ihres Unternehmens noch nicht implementiert ist.
7. Wenn Sie einen LDAP-Server verwenden möchten, konfigurieren Sie ihn jetzt:
v „LDAP-Benutzermanagementverfahren zu WebSphere Application Server”
auf Seite 53
v „LDAP-Benutzermanagementverfahren zu Apache Tomcat” auf Seite 63
8. Prüfen Sie, ob Sie sich bei Jazz Team Server mit einem gültigen LDAP-Konto
anmelden können, bevor Sie mit der AppScan Enterprise-Installation und
-Konfiguration fortfahren.
9. Optional: Wenn Sie Berichte ausführen und anzeigen möchten, installieren Sie
die Unternehmenskonsole. (Wählen Sie dazu im Installationsassistenten im
Fenster der Programmfeatures Unternehmenskonsole aus.)
10. Installieren Sie AppScan Source. Weitere Details finden Sie im Information
Center.
11. „AppScan Source-Oracle-Datenbank mit AppScan Enterprise Server
konfigurieren” auf Seite 74.
Kapitel 5. Erweiterte Installationsszenarios und -themen
73
AppScan Source-Oracle-Datenbank mit AppScan Enterprise
Server konfigurieren
Wenn Sie AppScan Source für die Anmeldung bei AppScan Enterprise konfigurieren, muss ein JVM-Parameter (Java Virtual Machine) hinzugefügt werden, durch
den AppScan Enterprise die Position der AppScan Source-Oracle-Datei "tnsnames.ora" mitgeteilt wird. Wie Sie dabei vorzugehen haben, ist von Ihrem Betriebssystem und Ihrer Konfiguration abhängig.
Vorgehensweise
1. Folgender Parameter ist hinzuzufügen: -Doracle.net.tns_admin={Pfad zum Verzeichnis, das die Datei tnsnames.ora enthält). Beispiel:
-Doracle.net.tns_admin=c:\oracle\product\10.2.0\client_1\NETWORK\ADMIN
2. Wählen Sie Ihre Implementierung aus:
a. Wenn Sie Tomcat als Service ausführen (Standardinstallation), führen Sie
Tomcat5w //ES//AppScanServerTomcat7 über die Befehlszeile
(C:/Programme/ibm/appscan enterprise/jazzteamserver/server/tomcat/
bin) aus. Fügen Sie zudem auf der Java-Registerkarte den oben aufgeführten Parameter hinzu.
b. Wenn Sie Tomcat manuell unter Windows starten, aktualisieren Sie die Datei C:\Programme\IBM\AppScanEnterprise\JazzTeamServer\server\
server.startup.bat.
c. Wenn Sie unter Linux arbeiten, aktualisieren Sie die Datei /opt/IBM/
AppScan_Server/JazzTeamServer/server/server.startup.
d. Zu WebSphere siehe das Thema bezüglich der Einrichtung eines WebSphere
Application Servers.
3. Stoppen Sie den Service und starten Sie ihn erneut, damit die Änderungen
wirksam werden.
74
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Kapitel 6. Konformität mit FIPS 140-2 aktivieren
Konformität mit FIPS 140-2 in der Unternehmenskonsole aktivieren
Wenn die Konformität mit FIPS 140-2 in der Unternehmenskonsole aktiviert ist,
funktionieren einige Funktionen, die nicht konform mit FIPS 140-2 sind, nicht erwartungsgemäß oder sind inaktiviert, darunter das Interaction Tool und das Plugin "Manuell durchsuchen". Alle zuvor vorhandenen Infrastrukturscans werden ausgesetzt. Es können keine neuen Infrastrukturscans erstellt werden.
Vorgehensweise
1. Melden Sie sich über Ihren Web-Browser bei der Unternehmenskonsole an.
2. Rufen Sie die Seite "Allgemeine Einstellungen" auf der Registerkarte "Administration" auf und klicken Sie im Abschnitt für die Einstellungen der Unternehmenskonsole auf Bearbeiten.
3. Aktivieren Sie die erweiterten Sicherheitseinrichtungen. Diese Option erzwingt
Konformität mit FIPS 140-2.
4. Klicken Sie auf Fertig.
Konformität mit FIPS 140-2 auf einem auf Tomcat ausgeführten
AppScan Server aktivieren
FIPS (Federal Information Processing Standards) sind Richtlinien, die Best Practices
für Computersicherheitsprodukte für Hardware und Software festlegen. Produkte,
die FIPS-Standards unterstützen, können in einen Modus versetzt werden, in dem
das Produkt nur Algorithmen und Methoden verwendet, die den FIPS-Standards
entsprechen. Sicherheitstoolkits unterstützen normalerweise sowohl Funktionen,
die den FIPS-Standards entsprechen, als auch Funktionen, die den FIPS-Standards
nicht entsprechen. Im FIPS-Modus kann das Produkt keine Methoden verwenden,
die nicht den FIPS-Standards entsprechen.
Informationen zu diesem Vorgang
Dies ist die Standardumgebung.
Vorgehensweise
1. Suchen Sie das Installationsverzeichnis von Jazz Team Server (<Installationsverzeichnis>):
a. Unter Windows 32-Bit lautet die Standardeinstellung C:/Programme/ibm/
appscan enterprise/.
b. Unter Windows 64-Bit lautet die Standardeinstellung C:/Programme(x-86)/
ibm/appscan enterprise/
c. Unter Linux lautet die Standardeinstellung /opt/ibm/appscan_server/.
2. Wenn Tomcat als Windows-Dienst ausgeführt wird, öffnen Sie eine Eingabeaufforderung mit Administratorberechtigungen.
a. Ändern Sie das Verzeichnis in <Installationsverzeichnis>/
jazzteamserver/server/tomcat/bin.
b. Führen Sie Tomcat7w //ES//AppScanServerTomcat aus.
75
c. Rufen Sie in dem angezeigten Dialogfenster die Java-Registerkarte auf und
fügen Sie den Parameter -Dcom.ibm.jsse2.JSSEFIPS=true im Feld mit den
Java-Optionen hinzu.
d. Schließen Sie das Dialogfenster.
3. (Optional) Wenn Tomcat über die Befehlszeile ausgeführt wird:
a. Bearbeiten Sie unter Windows die Datei <Installationsverzeichnis>\
jazzteamserver\server\server.startup.bat.
b. Bearbeiten Sie unter Linux die Datei <Installationsverzeichnis>/
jazzteamserver/server/server.startup.
c. Suchen Sie die Zeile, die mit set JAVA_OPTS= beginnt, und fügen Sie die
folgende Zeile vor dieser Zeile ein: set
JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.JSSEFIPS=true.
d. Speichern Sie die Datei und schließen Sie sie.
4. Bearbeiten Sie die java.security-Masterdatei mit den Sicherheitseigenschaften in
einem Java-Editor, um zusätzliche Anbieter von verschlüsselten Paketen zu registrieren:
a. Wechseln Sie unter Windows zu <Installationsverzeichnis>\
jazzteamserver\server\jre\lib\security\java.security.
b. Wechseln Sie unter Linux zu <Installationsverzeichnis>/
jazzteamserver/server/jre/lib/security/java.security.
5. Suchen Sie die Liste der Anbieter mit verschlüsselten Paketen nach der Zeile #
List of providers and their preference orders: (# Liste der Anbieter und der zugehörigen bevorzugten Reihenfolge:) und ersetzen Sie sie durch die folgende
Liste:
security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.2=com.ibm.jsse2.IBMJSSEProvider2
security.provider.3=com.ibm.crypto.provider.IBMJCE
security.provider.4=com.ibm.security.jgss.IBMJGSSProvider
security.provider.5=com.ibm.security.cert.IBMCertPath
security.provider.6=com.ibm.security.sasl.IBMSASL
security.provider.7=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.8=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.9=org.apache.harmony.security.provider.PolicyProvider
security.provider.10=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
6. Speichern Sie die Datei und schließen Sie sie.
7. Erstellen Sie ein FIPS-konformes Zertifikat im registrierten Schlüsselspeicher.
a. Öffnen Sie unter Windows eine Eingabeaufforderung für Befehlszeilen und
navigieren Sie zu "<Installationsverzeichnis>\jazzteamserver\server\jre\bin\
keytool.exe" -genkey -alias fips-cert -sigalg SHA1withRSA -keyalg RSA -keysize
1024 -validity 365 -dname "CN=<Server>, C=US" -keystore "<Installationsverzeichnis>\jazzteamserver\server\tomcat/ibm-team-ssl.keystore" -storepass
ibm-team -keypass ibm-team
b. Unter Linux: <Installationsverzeichnis>/jazzteamserver/server/jre/bin/keytool
-genkey -alias fips-cert -sigalg SHA1withRSA -keyalg RSA -keysize 1024 -validity 365 -dname "CN=<Server>, C=US" -keystore <Installationsverzeichnis>/
jazzteamserver/server/tomcat/ibm-team-ssl.keystore -storepass ibm-team -keypass
ibm-team
8. Wenn ein Zertifikat vorhanden ist, entfernen Sie es mithilfe der entsprechenden Anwendung für Ihr Betriebssystem aus dem Schlüsselspeicher:
a. Unter Windows: <Installationsverzeichnis>\jazzteamserver\server\jre\bin\
ikeyman.exe
76
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
b. Unter Linux: <Installationsverzeichnis>/jazzteamserver/server/jre/bin/ikeyman
9. Laden Sie die unbegrenzten JAR-Richtliniendateien an die folgende Position
herunter und ersetzen Sie sie: <Installationsverzeichnis>\jazzteamserver\
server\jre\lib\security. (Stellen Sie sicher, dass Sie hierzu über die richtigen
Berechtigungen verfügen, indem Sie Ihre Lizenz überprüfen.)
10. Bearbeiten Sie die Datei server.xml:
a. Wechseln Sie unter Windows zu <Installationsverzeichnis>\
jazzteamserver\server\tomcat\conf\server.xml.
b. Wechseln Sie unter Linux zu <Installationsverzeichnis>/
jazzteamserver/server/tomcat/conf/server.xml.
11. Ersetzen Sie sslProtocol="${jazz.connector.sslProtocol}" durch
sslProtocol="TLS".
12. Speichern Sie die Datei.
13. Starten Sie IBM Security AppScan Enterprise Server – Tomcat-Service erneut
durch Aufrufen der Windows-Service-Managementkonsole (Start > Ausführen
> services.msc) oder über die Befehlszeile:
v <Installationsverzeichnis>\jazzteamserver\server\server.shutdown.bat
v <Installationsverzeichnis>\jazzteamserver\server\server.startup.bat
Ergebnisse
Nach der Anmeldung bei der Unternehmenskonsole sollten Ihnen im
<Installationsverzeichnis>\jazzteamserver\server\logs\asc.log die folgenden
Nachrichten angezeigt werden:
v Wenn der Sicherheitsanbieter in der Datei java.security richtig festgelegt ist: "Security provider 'com.ibm.crypto.fips.provider.IBMJCEFIPS' is detected." (Der Sicherheitsanbieter "com.ibm.crypto.fips.provider.IBMJCEFIPS" wird erkannt.)
v Wenn Jazz Team Server in der Startdatei des Servers mit
"Dcom.ibm.jsse2.JSSEFIPS=true" initialisiert wird (in Schritt 2): "System property
'com.ibm.jsse2.JSSEFIPS' is detected." (Die Systemeigenschaft
"com.ibm.jsse2.JSSEFIPS" wird erkannt.)
Nächste Schritte
Das Aktivieren der FIPS-Konformität geht mit einigen Vorbehalten einher. Einige
Funktionen, die nicht FIPS-konform sind, funktionieren nicht wie erwartet oder
sind inaktiviert, darunter das Plug-in "Manuell durchsuchen". Alle zuvor vorhandenen Infrastrukturscans werden ausgesetzt. Es können keine neuen Infrastrukturscans erstellt werden.
1. Rufen Sie Administration > Allgemeine Einstellungen > Einstellungen für
Unternehmenskonsole bearbeiten auf.
2. Wählen Sie das Kontrollkästchen Enable enhanced security (Erweiterte Sicherheit aktivieren) aus und klicken Sie auf Fertig.
Kapitel 6. Konformität mit FIPS 140-2 aktivieren
77
Konformität mit FIPS 140-2 auf einem auf WebSphere Application Server ausgeführten AppScan Server aktivieren
FIPS (Federal Information Processing Standards) sind Richtlinien, die Best Practices
für Computersicherheitsprodukte für Hardware und Software festlegen. Produkte,
die FIPS-Standards unterstützen, können in einen Modus versetzt werden, in dem
das Produkt nur Algorithmen und Methoden verwendet, die den FIPS-Standards
entsprechen. Sicherheitstoolkits unterstützen normalerweise sowohl Funktionen,
die den FIPS-Standards entsprechen, als auch Funktionen, die den FIPS-Standards
nicht entsprechen. Im FIPS-Modus kann das Produkt keine Methoden verwenden,
die nicht den FIPS-Standards entsprechen.
Vorgehensweise
1. Wählen Sie auf der Administrationskonsole von WebSphere Application Server
Sicherheit > SSL-Zertifikat und Schlüsselverwaltung aus.
2. Wählen Sie die Option Use the United States Federal Information Processing
Standard (FIPS) algorithms (FIPS-Algorithmen verwenden) aus und klicken Sie
auf Übernehmen. Durch diese Option werden die Anbieter "IBMJSSE2" und
"IBMJCEFIPS" aktiviert.
3. Ändern Sie den Wert der Eigenschaft com.ibm.security.useFIPS in der Datei
profile_root/properties/ssl.client.props von "false" in "true".
4. Stellen Sie sicher, dass die Eigenschaft com.ibm.ssl.protocol in der Datei
profile_root/properties/ssl.client.props auf SSL_TLS gesetzt ist.
5. Bearbeiten Sie die Datei java.security im Verzeichnis WASHOME/java/jre/lib/
security in einem Java-Editor, um den Anbieter IBMJCEFIPS (com.ibm.crypto.fips.provider.IBMJCEFIPS) vor dem Anbieter IBMJCE einzufügen.
6. Suchen Sie die Liste der Anbieter und bearbeiten Sie die Liste folgendermaßen:
security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.jsse.IBMJSSEProvider
security.provider.4=com.ibm.jsse2.IBMJSSEProvider2
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.crypto.pkcs11.provider.IBMPKCS11
security.provider.8=com.ibm.security.cmskeystore.CMSProvider
security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
Ergebnisse
Nach der Anmeldung bei der Unternehmenskonsole sollten Ihnen im
<Installationsverzeichnis>\jazzteamserver\server\logs\asc.log die folgenden
Nachrichten angezeigt werden:
v Wenn der Sicherheitsanbieter in der Datei java.security richtig festgelegt ist: "Security provider 'com.ibm.crypto.fips.provider.IBMJCEFIPS' is detected." (Der Sicherheitsanbieter "com.ibm.crypto.fips.provider.IBMJCEFIPS" wird erkannt.)
v Wenn Jazz Team Server in der Startdatei des Servers mit
"Dcom.ibm.jsse2.JSSEFIPS=true" initialisiert wird (in Schritt 2): "System property
'com.ibm.jsse2.JSSEFIPS' is detected." (Die Systemeigenschaft
"com.ibm.jsse2.JSSEFIPS" wird erkannt.)
78
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Nächste Schritte
Das Aktivieren der FIPS-Konformität geht mit einigen Vorbehalten einher. Einige
Funktionen, die nicht FIPS-konform sind, funktionieren nicht wie erwartet oder
sind inaktiviert, darunter das Plug-in "Manuell durchsuchen". Alle zuvor vorhandenen Infrastrukturscans werden ausgesetzt. Es können keine neuen Infrastrukturscans erstellt werden.
1. Rufen Sie Administration > Allgemeine Einstellungen > Einstellungen für
Unternehmenskonsole bearbeiten auf.
2. Wählen Sie das Kontrollkästchen Enable enhanced security (Erweiterte Sicherheit aktivieren) aus und klicken Sie auf Fertig.
Kapitel 6. Konformität mit FIPS 140-2 aktivieren
79
Konformität mit FIPS 140-2 auf Ihrem Betriebssystem aktivieren
Nachdem Sie für AppScan Enterprise Server und den Dynamic Analysis Scanner
ein Upgrade durchgeführt haben, aktivieren Sie die FIPS-Konformität auf Ihrem
Betriebssystem.
Vorgehensweise
v Unter Windows:
1. Rufen Sie Start > Systemsteuerung > Verwaltung > Lokale Sicherheitsrichtlinie auf.
2. Rufen Sie Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen > Systemkryptografie auf und aktivieren Sie die Sicherheitseinstellung
FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur
verwenden .
v Unter Linux:
1. Führen Sie die im Thema https://access.redhat.com/knowledge/docs/enUS/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_GuideFederal_Standards_And_Regulations-Federal_Information_Processing_Standard.html beschriebenen Schritte durch.
80
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Kapitel 7. Upgrades und Migrationen durchführen
Upgrade von einer Vorgängerversion durchführen
In diesem Abschnitt erhalten Sie Informationen über Änderungen, die sich möglicherweise beim Durchführen eines Upgrades von einer Vorgängerversion auf Ihre
Scans und Berichte auswirken.
Anmerkung: Das Upgrade auf 8.7 umfasst einen einmaligen Datenbankoptimierungsschritt, für den zusätzliche Zeit benötigt wird und der die Dauer des gesamten Upgradeprozesses verlängern könnte.
Upgrade von 8.6 durchführen
v Die zuvor verwendete Methode zum Schützen von “ruhenden” Daten (physische Datenträger) ist veraltet und wird als Teil des Upgradeprozesses entfernt.
Lesen Sie die Informationen im Abschnitt „Informationen zum Datenschutz” auf
Seite 83, bevor Sie mit dem Upgrade beginnen.
– Eine neue Methode, die transparente Datenverschlüsselung (Transparent Data
Encryption - TDE), ist verfügbar und in Microsoft SQL Server Enterprise
Edition ab Version 2008 integriert. Details zur Verschlüsselung und zum Aktivieren von TDE finden Sie im Abschnitt „Transparente Datenverschlüsselung
(TDE) auf SQL Server-Datenbanken aktivieren” auf Seite 22. Um die Leistung
des Datenbankupgrades zu verbessern, aktivieren Sie TDE nach Abschluss
des Datenbankupgrades.
– Für Microsoft SQL Server Standard Edition ab Version 2008 stehen auch andere Verschlüsselungsmethoden von anderen Anbietern zur Verfügung, darunter MS Windows Encrypting File System. Siehe „SQL Server-Datenbank mit
EFS verschlüsseln, sichern und wiederherstellen” auf Seite 25.
v Während des Upgradeprozesses ist zusätzlicher Festplattenspeicher auf dem
Datenbankserver erforderlich. Die Größe des erforderlichen Speicherplatzes entspricht ungefähr dem Speicherplatz der vorhandenen AppScan Enterprise-Datenbank. Dieser Speicherplatz wird vorübergehend während des Upgrades verwendet und nach Abschluss des Upgrades zurückgegeben.
v Scans verwenden nun eine lokale (integrierte) Datenbankdatei. Daher ist es
wichtig, über ausreichend Festplattenspeicher zu verfügen, der den Agentenservermaschinen zugeordnet ist. Im Abschnitt "Dynamic Analysis Scanner" im Thema „Allgemeines Implementierungsszenario” auf Seite 29 finden Sie weitere Informationen dazu, wie die lokale Datenbankdatei beim Scannen funktioniert.
v Konformität mit FIPS 140-2 aktivieren: Produkte, die FIPS 140-2-Standards unterstützen, können in einen Modus versetzt werden, in dem das Produkt nur
durch FIPS 140-2 genehmigte Algorithmen und Methoden verwendet. Um
AppScan Enterprise zu aktivieren, führen Sie die Schritte im Abschnitt „Konformität mit FIPS 140-2 auf einem auf Tomcat ausgeführten AppScan Server
aktivieren” auf Seite 75 aus.
v Vorherige Ordnerelemente, die ausgesetzt wurden, weisen nach dem Upgrade
den Status "Bereit" auf. Alle Ordnerelemente, die sich vor dem Upgrade im
Aussetzstatus befunden haben, weisen nun den Bereitstatus auf. Ein Symbol
kennzeichnet diese Elemente, sodass Sie entscheiden können, ob weitere Untersuchungen oder Aktionen erforderlich sind.
81
v XRule-Filter auf Berichtspaketen: XRule-Filter wurden aus den Berichtspaketen
entfernt. Alle Berichte, die XRules enthalten, enthalten nach dem erneuten Ausführen des Berichtspakets weitere Daten.
Upgrade von 8.5.0.1 durchführen
v Standardoptionen für Scan-Job mit AppScan Standard abstimmen: Vorhandene
Jobs und Vorlagen, die in Versionen vor Version 8.6 erstellt werden, werden
nicht automatisch so aktualisiert, dass sie neue Joboptionen mit neuen Standardwerten verwenden. Nur neue Jobs/Vorlagen verwenden neue Standardwerte.
v Workflow des Installations-/Konfigurationsassistenten: Während der Installation von v8.6 können Sie auswählen, ob Sie einen neuen Jazz Team Server installieren oder einen bereits vorhandenen verwenden möchten.
Upgrade von 8.5.0.0 durchführen
v Benutzerlizenzen: Während des Upgrades wird der Lizenzserver abgefragt, um
zu bestimmen, für welche Benutzerlizenz Sie über die meisten Lizenzen verfügen. Der Lizenztyp wird für alle Benutzer (mit Ausnahme des Service-Accounts
und des Produktadministrators) in diesen Lizenztyp geändert. Wenn Sie den Lizenztyp für einen Ihrer Benutzer ändern müssen, rufen Sie die Registerkarte
"Administration" > Seite "Benutzer und Gruppen" auf und nehmen Sie dort die
Änderungen vor.
v Ergebnisvarianten: Wenn Sie eine Bewertungsdatei von AppScan Source importieren und die Suchergebnisse sich nur durch den Trace unterscheiden, fasst
AppScan Enterprise diese Ergebnisse zu einem einzigen Punkt mit mehreren Varianten zusammen.
v Änderungen am Service-Account: Identitätswechsel wird für Service-Account
nicht mehr unterstützt. Alle Jobs, die diesen Service-Account verwenden, werden
ausgesetzt. Ändern Sie den Benutzernamen und das Kennwort in den Eigenschaften ordnungsgemäß und führen Sie den Job erneut aus.
Upgrade von 8.0.0.0 durchführen
Version 8.5 und 8.6 verwenden den Rational License Server. Es ist wichtig, dass Sie
vor dem Installieren der aktuellen Version „Lizenzen verwalten” auf Seite 12 lesen
und verstehen.
Fixpackinstallation
Fixpacks können von Fix Central heruntergeladen werden. Das Produkt muss vor
dem Anwenden eines Fixpacks vollständig installiert worden sein.
Vorbereitende Schritte
Für diese Task ist es erforderlich, dass Sie Ihre Passport Advantage-Berechtigungsnachweise für die Anmeldung kennen.
Vorgehensweise
Gehen Sie wie folgt vor, um das Fixpack herunterzuladen:
1. Rufen Sie http://www.ibm.com/support/fixcentral/ auf und melden Sie sich
mithilfe Ihrer IBM ID und Ihres Kennworts an.
2. Wählen Sie in der Liste zu den Produktgruppen Security Systems (Sicherheitssysteme) aus und klicken Sie auf Continue (Fortfahren).
3. Wählen Sie IBM Security AppScan Enterprise in der Liste zu den Produkten aus.
82
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
4. Wählen Sie die aktuelle Versionsnummer in der Liste "Installierte Version" aus.
5. Wählen Sie Windows oder Linux in der Liste zu den Plattformen aus und klicken Sie auf Continue (Fortfahren).
6. Wählen Sie auf der Seite zu Identitätsfixes Browse for fixes (Nach Fixes durchsuchen) aus (oder wählen Sie eine andere Suchmethode aus) und klicken Sie
auf Continue (Fortfahren).
7. Wählen Sie auf der Seite zum Auswählen der Fixes das Kontrollkästchen Interim fix (Vorläufiger Fix) aus und klicken Sie auf Continue (Fortfahren).
8. Geben Sie Ihre Passport Advantage-Berechtigungsnachweise auf der Seite Sign
in (Anmeldeseite) ein und klicken Sie auf Continue (Fortfahren).
9. Wählen Sie auf der Seite zu den Downloadoptionen Ihr Downloadverfahren
aus (über Download Director oder Ihren Browser) und klicken Sie auf Continue (Fortfahren).
Gehen Sie wie folgt vor, um das Fixpack zu installieren:
10. Navigieren Sie zu dem Verzeichnis, in das Sie die ausführbare Datei geladen
haben, und klicken Sie doppelt auf die heruntergeladenen Dateien..
11. Klicken Sie im Installationsassistenten auf Next (Weiter).
12. Wählen Sie im Dialogfenster zur Lizenzvereinbarung die Option "I accept the
terms in the license agreement" (Ich stimme den Bedingungen des Lizenzvertrags zu) aus und klicken Sie auf Next (Weiter).
13. Das Fixpack wird installiert. Wenn die Installation abgeschlossen ist, wird das
Fixpack den Konfigurationsassistenten starten (wenn "Config Instances" (Konfigurationsinstanzen) ausgewählt ist). Klicken Sie auf Next (Weiter).
14. Beenden Sie die Installation.
SQL Server-Datenbank sichern
Abhängig davon, ob Sie über die Enterprise- oder über die Standard-Version von
SQL Server verfügen, ist das Sichern Ihrer Daten ein wichtiges Verfahren zur Datenbankpflege.
Informationen zum Datenschutz
Daten, die auf einem physischen Datenträger gespeichert sind, können Ziel einer
Attacke mit unberechtigtem Zugriff sein. Der physische Datenträger kann gestohlen werden oder es kann ein Fernzugriff auf die Daten erfolgen. Sie können Ihre
Daten zwar mithilfe von physischen Sicherheitsmethoden und IT-Sicherheitsmethoden vor derartigen Attacken schützen, doch das Verschlüsseln von Daten bietet einen größeren Schutz, da auf diese Weise verhindert wird, dass Angreifer die gestohlenen Dateien lesen.
Das Verschlüsseln von Daten ist nur effektiv, wenn der Angreifer Computerkonten
oder Kennwörter, die vor allem zum Schützen der Daten verwendet wurden, nicht
entwenden kann. Daten, die in Datenbankdateien von Microsoft SQL Server gespeichert sind, können durch Verwendung von verschiedenen Verschlüsselungsmethoden geschützt werden. Zu diesen zählen:
v Festplattenlaufwerkverschlüsselung
v Encrypted File System
v TDE (Transparent Data Encryption - transparente Datenverschlüsselung), eine
Funktion von MS SQL Server 2008 Enterprise Edition
v Zellenverschlüsselung. Hierbei werden einzelne Spalten in den Tabellen der Datenbank verschlüsselt
Kapitel 7. Upgrades und Migrationen durchführen
83
Die Zellenverschlüsselung ist eine Methode, die am wenigsten vom Computer abhängig ist, der als Host für den Datenbankserver dient. Sie kann von allen Anwendungen verwendet werden, die über Zugriff auf die Datenbank verfügen, da die in
die Datenbank geschriebenen Daten von der Anwendung verschlüsselt werden.
Diese Methode wirkt sich jedoch stark auf die Anwendungsleistung aus. Microsoft
warnt vor der Verwendung dieser Methode und empfiehlt TDE als Alternative.
Um die Produktleistung zu verbessern, verwendet AppScan Enterprise keine Zellenverschlüsselung mehr. Für einige Unternehmen bedeutete die von AppScan
Enterprise bereitgestellte Zellenverschlüsselung zusätzlich zu den vorhandenen
Verschlüsselungsmaßnahmen für Daten, die durch die Unternehmensstandards
vorgegeben waren, ein zusätzliches Maß an Schutz. In diesen Situationen waren
die Daten also geschützt.
Für Unternehmen, die neben den Datenverschlüsselungsmethoden, die durch die
Zellenverschlüsselung von AppScan Enterprise bereitgestellt wurden, keine weiteren Datenverschlüsselungsmethoden verwendet haben, lesen Sie die Informationen
im Abschnitt "Zugehörige Links". In diesem Abschnitt wird beschrieben, wie Sie
die Datenverschlüsselung aktivieren und Ihre Daten schützen:
Zugehörige Tasks:
„Transparente Datenverschlüsselung (TDE) auf SQL Server-Datenbanken
aktivieren” auf Seite 22
AppScan Enterprise verwendet keine proprietäre Verschlüsselungsmechanismen
mehr, um unberechtigte Übertragungen der zugehörigen Datenbanken zu verhindern, da es andere Mechanismen von anderen Herstellern gibt, die dafür ausschließlich entworfen wurden, physikalische Schichten mit einem geringeren Einfluss auf die Leistung zu verschlüsseln. Dieser Verschlüsselungstyp wird
normalerweise auf der Datenbankserverebene angewendet. SQL Server verfügt beispielsweise über einen integrierten TDE-Verschlüsselungsmechanismus (TDE Transparent Data Encryption). TDE verschlüsselt Daten, die sich in der Datenbank
oder in Sicherungen auf physischen Datenträgern befinden.
„SQL Server-Datenbank mit EFS verschlüsseln, sichern und wiederherstellen” auf
Seite 25
EFS (Encrypting File System) ist eine Funktion von Microsoft Windows, mit der Sie
Informationen auf Ihrer Festplatte in einem verschlüsselten Format speichern können. EFS ermöglicht eine transparente Verschlüsselung sowie die Entschlüsselung
von Dateien durch Verwendung erweiterter, standardmäßiger Verschlüsselungsalgorithmen. Verwenden Sie diese Methode zum Verschlüsseln der Datenbankdatei,
wenn Sie über SQL Server Standard Edition 2008, 2008 SP3, 2008 R2 SP2 und 2012
verfügen.
TDE auf SQL Server Enterprise Edition aktivieren
Transparente Datenverschlüsselung (TDE) auf SQL Server-Datenbanken aktivieren
AppScan Enterprise verwendet keine proprietäre Verschlüsselungsmechanismen
mehr, um unberechtigte Übertragungen der zugehörigen Datenbanken zu verhindern, da es andere Mechanismen von anderen Herstellern gibt, die dafür ausschließlich entworfen wurden, physikalische Schichten mit einem geringeren Einfluss auf die Leistung zu verschlüsseln. Dieser Verschlüsselungstyp wird
normalerweise auf der Datenbankserverebene angewendet. SQL Server verfügt beispielsweise über einen integrierten TDE-Verschlüsselungsmechanismus (TDE Transparent Data Encryption). TDE verschlüsselt Daten, die sich in der Datenbank
oder in Sicherungen auf physischen Datenträgern befinden.
84
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Vorbereitende Schritte
TDE ist nur auf der Enterprise Edition von Microsoft SQL Server ab 2008 verfügbar. Informationen zur Standard Edition-Option finden Sie im Abschnitt „SQL Server-Datenbank mit EFS verschlüsseln, sichern und wiederherstellen” auf Seite 25.
Informationen zu diesem Vorgang
Zum Aktivieren von TDE auf SQL Server müssen Sie über die normalen Berechtigungen zum Erstellen eines Datenbankmasterschlüssels und von Zertifikaten in der
Masterdatenbank verfügen. Sie müssen zudem über Steuerungsberechtigungen auf
der Benutzerdatenbank verfügen.
Das Aktivieren der Verschlüsselung ist eine allgemeine Task für Datenbankadministratoren. Einfachheitshalber haben wir ein SQL-Script bereitgestellt, das sich für
eine typische SQL Server-Konfiguration eignet: EnableTDE.zip
Anmerkung: Für Upgrade-Benutzer:
1. Um die Leistung des Datenbankupgrades zu verbessern, aktivieren Sie TDE
nach Abschluss des Datenbankupgrades.
2. Während Sie diese Schritte jederzeit ausführen können, wird die Datenbank
erst verschlüsselt, wenn Sie die Schritte ausgeführt haben. Wenn Sie TDE vor
dem Upgradeprozess aktivieren, wird Ihre Datenbank während des Upgrades
und danach geschützt.
Vorgehensweise
1. Öffnen Sie das SQL Management Studio Ihrer Installation von SQL Server 2008
oder 2012.
2. Stellen Sie eine Verbindung zu der Datenbank her, die Sie verschlüsseln möchten. Auf diese Weise wird sichergestellt, dass die Datenbank erstellt wurde und
verfügbar ist.
3. Wechseln Sie zu der Position, an der Sie die heruntergeladene Datei EnableTDE.zip gespeichert haben. Dekomprimieren Sie die Datei und öffnen Sie das Script.
(Datei > Öffnen > Datei). Sie werden mehrere Befehle erkennen, die auf dem
Server ausgeführt werden.
4. Bevor Sie das Script ausführen, müssen Sie drei Felder für Ihre Umgebung festlegen. Diese sind im Kommentarabschnitt des Scripts alle mit ‘ACTION REQUIRED’ (Erforderliche Aktion) markiert:
a. DECLARE @MKPassword (@MKPassword festlegen): Das Masterschlüsselkennwort, mit dem der Masterschlüssel in der [Master-] Datenbank erstellt
wird.
b. DECLARE @DatabaseName (@DatabaseName festlegen): Der Name der Datenbank, auf der Sie die Verschlüsselung aktivieren möchten.
c. (Optional) DECLARE @BackupPassword (@BackupPassword festlegen): Das
Kennwort zum Sichern des Zertifikats. Dieses Kennwort wird verwendet,
um die Zertifikatssicherung zu sichern. Es ist erforderlich, um das Zertifikat
in einer anderen Maschine wiederherzustellen.
5. Starten Sie das Script nach dem Aktualisieren der Felder (Abfrage >Ausführen).
„Aktivieren von TDE auf SQL Server über das Script” auf Seite 23.
6. Nachdem das Script ausgeführt wurde, wird das Ergebnis im Fenster ‘Nachrichten’ von SQL Management Studio angezeigt.
Kapitel 7. Upgrades und Migrationen durchführen
85
Anmerkung: Sie können die Prüfung auch über SQL Management Studio
durchführen. Klicken Sie mit der rechten Maustaste auf “Database Name>Tasks->Manage Database Encryption” (Datenbankname-> Tasks-> Datenbankverschlüsselung verwalten). Das Kontrollkästchen für ‘Set Database Encryption
On’ (Datenbankverschlüsselung aktivieren) ist ausgewählt.
Ergebnisse
Wichtig: Stellen Sie sicher, dass Sie nach Abschluss die Kennwörter notieren, die in
diesem Script verwendet werden, und erstellen Sie eine Kopie der Zertifikatssicherung. Die Zertifikatssicherung besteht aus zwei Dateien, AppScanEntCert.bak und
AppScanEntCert.pvk. Sie werden in der .mdf-Datei der Datenbank gespeichert,
standardmäßig in folgendem Ordner:
v (SQL 2012) C:\Programme\Microsoft SQL Server\MSSQL11.MSSQLSERVER\
MSSQL\DATA
v (SQL 2008) C:\Programme\Microsoft SQL Server\MSSQL10.MSSQLSERVER\
MSSQL\DATA
v (SQL 2008 R2) C:\Programme\Microsoft SQL Server\
MSSQL10_50.MSSQLSERVER\MSSQL\DATA
Zugehörige Tasks:
„TDE-geschützte Datenbank auf einen anderen SQL Server verschieben” auf Seite
24
Führen Sie die folgenden Schritte aus, wenn Sie eine TDE-geschützte Datenbank
auf einem anderen Server wiederherstellen oder auf diesen verschieben müssen.
Zugehörige Informationen:
Transparente Datenverschlüsselung (TDE)
Aktivieren von TDE auf SQL Server über das Script:
Das Script ist eine komfortable Methode, umfassende Schritte auszuführen, die
zum Konfigurieren von TDE auf einer Benutzerdatenbank erforderlich sind.
1. Erstellen Sie bei Bedarf einen Masterschlüssel.
TDE erfordert die Erstellung eines Masterschlüssels in der [Master-] Datenbank.
Jeder Datenbankserver kann nur über einen Masterschlüssel verfügen, der von
allen Benutzerdatenbanken gemeinsam genutzt wird.In diesem Schritt muss
das Kennwort im Script bereitgestellt werden. Wenn der Masterschlüssel noch
nicht vorhanden ist, wird er mit dem angegebenen Kennwort erstellt.
2. Öffnen Sie den Masterschlüssel.
Der Masterschlüssel muss geöffnet sein, um die nachfolgenden Schritte durchzuführen. Dieser Schritt stellt sicher, dass der Masterschlüssel vor dem Fortfahren geöffnet ist. Falls ein Masterschlüssel bereits auf dem Datenbankserver vorhanden ist, prüft dieser Schritt, ob das eingegebene Kennwort mit dem
Kennwort übereinstimmt, das zu Beginn zum Erstellen des Masterschlüssels
verwendet wurde.
3. Erstellen Sie das Zertifikat "AppScan".
Es wird ein Zertifikat erstellt, das von allen AppScan Enterprise-Datenbanken
auf diesem Datenbankserver verwendet werden soll. Der Name des Zertifikats
lautet "APPSCAN_ENT_CERT".
Das Zertifikat wird sofort nach seiner Erstellung gesichert. Dieser Schritt erstellt
zwei Dateien: AppScanEntCert.bak und AppScanEntCert.pvk. Die Dateien werden mit der .mdf-Datenbankdatei an der entsprechenden Position gespeichert:
86
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
v (SQL 2012) C:\Programme\Microsoft SQL Server\
MSSQL11.MSSQLSERVER\MSSQL\DATA
v (SQL 2008) C:\Programme\Microsoft SQL Server\
MSSQL10.MSSQLSERVER\MSSQL\DATA
v (SQL 2008 R2) C:\Programme\Microsoft SQL Server\
MSSQL10_50.MSSQLSERVER\MSSQL\DATA
4. Ordnen Sie das AppScan-Zertifikat der AppScan Enterprise-Datenbank zu.
Dieser Schritt erstellt basierend auf dem in Schritt 3 erstellten Zertifikat einen
Chiffrierschlüssel auf der Datenbank.
5. Aktivieren Sie die Verschlüsselung.
Dieser Schritt aktiviert die Verschlüsselung auf der AppScan Enterprise-Datenbank.
6. Testen Sie die Ergebnisse und zeigen Sie sie an
Eine Nachricht wird in der Ansicht ‘Nachrichten’ in SQL Management Studio
ausgegeben. Sie gibt an, ob die vorherigen Schritte erfolgreich waren, und zeigt
an, zu wie viel Prozent die transparente Datenverschlüsselung abgeschlossen
ist.
TDE-geschützte Datenbank auf einen anderen SQL Server verschieben
Führen Sie die folgenden Schritte aus, wenn Sie eine TDE-geschützte Datenbank
auf einem anderen Server wiederherstellen oder auf diesen verschieben müssen.
Vorbereitende Schritte
Laden Sie die ZIP-Datei auf die SQL Server-Maschine herunter: RestoreDBCertificate.zip
Vorgehensweise
1. Kopieren Sie die zwei Zertifikatsdateien (AppScanEntCert.bak und AppScanEntCert.pvk), die Sie in der Task „Transparente Datenverschlüsselung (TDE)
auf SQL Server-Datenbanken aktivieren” auf Seite 22 erstellt haben, an eine Position auf Ihrer Maschine (zum Beispiel: C:\Certificate\).
2. Öffnen Sie das SQL Management Studio Ihrer Installation von SQL Server 2008
oder 2012.
3. Wechseln Sie zu der Position, an der Sie die heruntergeladene Datei RestoreTDECertificate.zip gespeichert haben. Dekomprimieren Sie die Datei und öffnen
Sie das Script. (Datei > Öffnen > Datei). Sie werden mehrere Befehle erkennen,
die auf dem Server ausgeführt werden.
4. Bevor Sie das Script ausführen, müssen Sie drei Felder für Ihre Umgebung festlegen (sie sind im Kommentarabschnitt des Scripts alle mit ‘ACTION REQUIRED’ (Erforderliche Aktion) markiert):
v DECLARE @MKPassword (@MKPassword festlegen): Das Masterschlüsselkennwort, das zum Erstellen des Masterschlüssels in der [Master-] Datenbank verwendet wurde, in der Sie TDE aktiviert haben
v DECLARE @BackupPassword (@BackupPassword festlegen): Das Kennwort,
das zum Sichern des Zertifikats verwendet wurde, wenn dieses sich von
@MKPassword unterscheidet
v DECLARE @Path (@Path festlegen): Der Pfad der Position, an der Sie die
Kopien der zwei Dateien AppScanEntCert.bak und AppScanEntCert.pvk gespeichert haben
Kapitel 7. Upgrades und Migrationen durchführen
87
5. Klicken Sie nach dem Aktualisieren der Felder auf Abfrage > Ausführen, um
das Script zu starten.
Ergebnisse
Nachdem das Script ausgeführt wurde, wird das Ergebnis im Fenster ‘Nachrichten’
von SQL Management Studio angezeigt. Wenn die folgende Nachricht angezeigt
wird, sollten Sie die Datenbank auf diesem SQL Server wiederherstellen können:
"The certificate is restored successfully, you can restore the database." (Das Zertifikat wurde erfolgreich wiederhergestellt. Sie können die Datenbank wiederherstellen.)
EFS (Encrypting File System) auf SQL Server Standard Edition
verwenden
SQL Server-Datenbank mit EFS verschlüsseln, sichern und wiederherstellen
EFS (Encrypting File System) ist eine Funktion von Microsoft Windows, mit der Sie
Informationen auf Ihrer Festplatte in einem verschlüsselten Format speichern können. EFS ermöglicht eine transparente Verschlüsselung sowie die Entschlüsselung
von Dateien durch Verwendung erweiterter, standardmäßiger Verschlüsselungsalgorithmen. Verwenden Sie diese Methode zum Verschlüsseln der Datenbankdatei,
wenn Sie über SQL Server Standard Edition 2008, 2008 SP3, 2008 R2 SP2 und 2012
verfügen.
Vorbereitende Schritte
Diese Task setzt voraus, dass:
1. Sie einen Service-Account für den SQL Server-Service ausgewählt haben, der:
v für die Laufzeit der verschlüsselten Datenbank und der zugehörigen Sicherung verfügbar bleibt.
v bei Bedarf zum Übertragen der Datenbank oder der zugehörigen Sicherung
im gesamten Netz verwendet werden kann.
Anmerkung:
v Bei dem Service-Account kann es sich um denselben oder um einen anderen
Service-Account als den Service-Account handeln, den Sie für AppScan
Enterprise verwenden.
v Verwenden Sie einen Service-Account, um sich beim SQL Server-Service anzumelden und jede über den Service gehostete Datenbank zu verschlüsseln.
v Der SQL Server-Service-Account wird in diesen Anweisungen als "der Service-Account" bezeichnet.
2. Sie den Dateipfad der Datenbank lokalisiert haben, wenn er sich von den hier
aufgelisteten Standardpositionen unterscheidet. Sie benötigen diese Informationen für Schritt 3. Öffnen Sie Microsoft SQL Server Management Studio, um die
Standardposition anzuzeigen. Klicken Sie mit der rechten Maustaste auf den
SQL Server, der die Datenbank hostet. Klicken Sie auf Eigenschaften > Datenbankeinstellungen > Standardpositionen der Datenbank.
88
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Vorgehensweise
1. Rufen Sie Start > Administrationstools > Services auf und stoppen Sie den
SQL Server-Service, der als Host für die AppScan Enterprise-Datenbank dient,
die Sie verschlüsseln möchten. Der Standardservice ist SQL Server (MSSQLSERVER).
2. Klicken Sie mit der rechten Maustaste auf den Namen des Service, um das Dialogfenster für die Eigenschaften zu öffnen. Wählen Sie auf der Registerkarte
Log on (Anmelden) Dieser Account aus, geben Sie die Berechtigungsnachweise
des Service-Accounts ein und klicken Sie anschließend auf OK.
3. Klicken Sie im Windows Explorer mit der rechten Maustaste auf den Ordner, in
dem sich die Datenbank befindet, und wechseln Sie zu Eigenschaften > Sicherheit, um dem Service-Account Lese- und Ausführberechtigungen sowie Leseberechtigungen für die Datei <Datenbankname.mdf> und den übergeordneten Ordner
zu erteilen.
Anmerkung: Die Berechtigungsnachweise des angemeldeten Benutzers werden
zum Verschlüsseln der Datenbank verwendet. Wenn Sie nicht beim Service-Account angemeldet sind, melden Sie sich jetzt an.
4. Klicken Sie mit der rechten Maustaste auf die Datei <Datenbankname.mdf>, rufen Sie Properties > General > Advanced > Encrypt contents to secure data
(Eigenschaften > Allgemein > Erweitert > Inhalte zum Sichern von Daten verschlüsseln) auf und klicken Sie auf OK.
Anmerkung: Wenn der übergeordnete Ordner noch nicht verschlüsselt ist,
wählen Sie Encrypt the file and the parent folder (Datei und übergeordneten
Ordner verschlüsseln), wenn Sie dazu aufgefordert werden. Andernfalls können
Sie in SQL Server Management-Tools und in AppScan Enterprise nicht auf die
Datenbank zugreifen.
5. Wiederholen Sie die Schritte 3 und 4 für die Datei <Datenbankname.ldf>.
6. Starten Sie in der Anzeige "Services" den SQL Server, der als Host für die
AppScan Enterprise-Datenbank dient.
Ergebnisse
Alle verschlüsselten Daten werden im Windows Explorer grün angezeigt.
Anmerkung: Nur der Benutzer, der die Datei verschlüsselt hat, kann sie entschlüsseln. Im Abschnitt "Details" in der Anzeige Properties > Advanced Attributes (Eigenschaften > Erweiterte Attribute) können Sie festlegen, wer die jeweiligen Dateien verschlüsselt hat. Die Sicherung der verschlüsselten Datenbank wird NICHT
automatisch verschlüsselt. Führen Sie die Schritte im Abschnitt Durch EFS verschlüsselte Datenbank sichern und wiederherstellen aus.
Durch EFS verschlüsselte Datenbank sichern und wiederherstellen:
Sie können eine verschlüsselte Datenbanksicherungsdatei an eine im Netz gemeinsam genutzte Position verschieben, die auf derselben Windows-Version gehostet
wird, um die Dateiverschlüsselung zu erhalten. Sie können die Datenbank von jeder Position aus, an der die verschlüsselte Datenbankdatei gespeichert ist, wiederherstellen. Wenn Sie die Datei auf einem SQL Server wiederherstellen, sollte der
Service dieses Servers mit den Service-Account-Berechtigungsnachweisen des Benutzers ausgeführt werden, der die Datenbank verschlüsselt hat. Eine wiederhergestellte Datenbank ist jedoch NICHT verschlüsselt. Sie müssen sie daher mithilfe der
Schritte in der oben aufgeführten Task verschlüsseln.
Kapitel 7. Upgrades und Migrationen durchführen
89
Vorgehensweise
1. Erweitern Sie im Windows Explorer den Ordner, in dem sich die Datenbanksicherung befindet, und erteilen Sie dem Service-Account Lese- und Ausführberechtigungen sowie Leseberechtigungen für die Datei <Datenbankname.bak>.
Anmerkung: Die Berechtigungsnachweise des angemeldeten Benutzers werden
zum Verschlüsseln der Datenbank verwendet. Wenn Sie nicht beim Service-Account angemeldet sind, melden Sie sich jetzt an.
2. Klicken Sie mit der rechten Maustaste auf die Datei <Datenbankname.bak>, rufen Sie Properties > General > Advanced > Encrypt contents to secure data
(Eigenschaften > Allgemein > Erweitert > Inhalte zum Sichern von Daten verschlüsseln) auf und klicken Sie auf OK.
Datenbank mit EFS bei gleichzeitiger Verfügbarkeit von SQL Server verschlüsseln
Sie können vermeiden, dass SQL Server während eines bestimmten Datenbankverschlüsselungsprozesses inaktiviert wird. Stattdessen können Sie die Datenbank abhängen, verschlüsseln und anhängen, während der SQL Server weiterhin aktiv ist.
Vorgehensweise
1. Rufen Sie Start > Administrationstools > Services auf und stoppen Sie den
SQL Server-Service, der als Host für die AppScan Enterprise-Datenbank dient,
die Sie verschlüsseln möchten. Der Standardservice ist SQL Server (MSSQLSERVER).
2. Klicken Sie mit der rechten Maustaste auf den Namen des Service, um das
Dialogfenster für die Eigenschaften zu öffnen. Wählen Sie auf der Registerkarte Log on (Anmelden) Dieser Account aus, geben Sie die Berechtigungsnachweise des Service-Accounts ein und klicken Sie anschließend auf OK.
3. Starten Sie in der Anzeige "Services" den SQL Server, der als Host für die
AppScan Enterprise-Datenbank dient.
4. Öffnen Sie Microsoft SQL Server Management Studio und stellen Sie eine Verbindung zum SQL Server her, auf dem diese Datenbank bereitgestellt wird.
5. Klicken Sie in der Baumstruktur "Datenbanken" mit der rechten Maustaste auf
die Datenbank, die Sie verschlüsseln möchten, und klicken Sie auf Tasks >
Abhängen.
6. Wenn im Fenster zum Abhängen der Datenbanken offene Verbindungen vorhanden sind, wählen Sie das Kontrollkästchen Drop Connections (Verbindungen löschen) aus und klicken Sie auf OK.
7. Erweitern Sie im Windows Explorer den Ordner, in dem sich die Datenbank
befindet, und erteilen Sie dem Service-Account Lese- und Ausführberechtigungen
sowie Leseberechtigungen für die Datei <Datenbankname.mdf> und den übergeordneten Ordner.
Anmerkung: Die Berechtigungsnachweise des angemeldeten Benutzers werden zum Verschlüsseln der Datenbank verwendet. Wenn Sie nicht beim Service-Account angemeldet sind, melden Sie sich jetzt an.
8. Klicken Sie im Windows Explorer mit der rechten Maustaste auf die Datei
<Datenbankname.mdf>, rufen Sie Properties > General > Advanced > Encrypt contents to secure data (Eigenschaften > Allgemein > Erweitert > Inhalte
zum Sichern von Daten verschlüsseln) auf und klicken Sie auf OK.
Anmerkung: Wenn der übergeordnete Ordner noch nicht verschlüsselt ist,
wählen Sie Encrypt the file and the parent folder (Datei und übergeordneten
Ordner verschlüsseln) aus, wenn Sie dazu aufgefordert werden. Andernfalls
90
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
können Sie in SQL Server Management-Tools und in AppScan Enterprise nicht
auf die verschlüsselte Datenbank zugreifen.
9. Wiederholen Sie die Schritte 7 und 8 für die Datei <Datenbankname.ldf>.
10. Klicken Sie in Microsoft SQL Server Management Studio mit der rechten
Maustaste auf die Baumstruktur Datenbanken und wählen Sie Attach (Anhängen) aus.
11. Klicken Sie im Fenster zum Anhängen von Datenbanken auf Hinzufügen und
navigieren Sie zur verschlüsselten Datei <Datenbankname.mdf>. Wählen Sie
sie aus und klicken Sie auf OK > OK
Upgrade planen
Das Planen eines Upgrades ähnelt dem Planen einer Implementierung. Es ist wichtig, dass Sie Ihre Umgebung und Anforderungen sorgfältig überprüfen.
Vorbereitende Schritte
Im Abschnitt „Informationen zum Datenschutz” auf Seite 83 finden Sie wichtige
Informationen zu Änderungen bei der Datenverschlüsselung in Version 8.7.
Vorgehensweise
1. Bestimmen und dokumentieren Sie Hardwareelemente, die Softwarekomponenten hosten:
AppScan Enterprise Control Center-Server (Hauptanwendungsserver, der
durch IIS gehostet wird)
v Dynamische Scanagenten von AppScan Enterprise
v
v Microsoft SQL Server-Datenbank
v Jazz-Benutzermanagement
2. Bestimmen und dokumentieren Sie Sicherheitselemente:
v Masterschlüssel der SQL Server-Datenbank
v Windows Installationsaccount-ID, Rechte und Kennwort
v Windows Service-Account-ID, Rechte und Kennwort (zur Datenbankinteraktion)
AppScan Enterprise-URL
AppScan Enterprise-Administrator-ID und -Kennwort oder Jazz-Benutzermanagementadministrator-ID und -Kennwort
3. Prüfen Sie, ob die bestimmten Hardwareelemente den allgemeinen Implementierungsanforderungen entsprechen. Ziehen Sie in Betracht, zu diesem Zeitpunkt ein Upgrade durchzuführen.
4. Prüfen Sie, ob die Softwareelemente den allgemeinen Implementierungsanforderungen entsprechen. Ziehen Sie in Betracht, zu diesem Zeitpunkt ein Upgrade durchzuführen.
v Microsoft SQL Server-Datenbankversion
v
v
v IIS 6 oder IIS 7 (abhängig vom Betriebssystem).
5. In Version 8.5 geänderte AppScan Enterprise-Lizenzen. Zur Installation müssen
Sie eine Umwandlung zu einem neuen Serverlizenzformat durchführen. Kundenlizenzen bleiben unverändert. Hierzu benötigen Sie Unterstützung von Ihrem IBM Security Systems-Team oder über den PMR-Prozess.
v Vorherige Serverlizenz bis Version 8.0
– AppScan Enterprise Rational 5.60000 – IBM Rational AppScan Enterprise
Edition Svr (v5.6-8.0)
Kapitel 7. Upgrades und Migrationen durchführen
91
Neue Serverlizenzen ab Version 8.5
– AppScanServerPremium Rational 8.50000 – IBM Rational AppScan Enterprise Svr Per Install License Key (IBM Rational AppScan Enterprise Svr Lizenzschlüssel je Installation)
– AppScanEnterpriseScanner Rational 8.50000 – IBM Rational AppScan
Enterprise Dynamic Analysis Scanner Per Install License Key (IBM Rational AppScan Enterprise Dynamic Analysis Scanner - Lizenzschlüssel je Installation)
– Sobald die Lizenzen umgewandelt sind, finden Sie sie im Rational License
Key Center.
6. Beziehen Sie Software für AppScan Enterprise 8.7 von IBM Passport Advantage:
v AppScan Enterprise Server und License Key Manager
v AppScan Enterprise Dynamic Analysis Scanner
7. Sichern Sie Ihre SQL Server-Datenbank.
v
Upgrade installieren
Detaillierte Schritte finden Sie im Kapitel zur Planung.
Informationen zu diesem Vorgang
Anmerkung: Das Upgrade auf 8.7 umfasst einen einmaligen Datenbankoptimierungsschritt, für den zusätzliche Zeit benötigt wird und der die Dauer des gesamten Upgradeprozesses verlängern könnte.
Im Abschnitt „Informationen zum Datenschutz” auf Seite 83 finden Sie wichtige
Informationen zu Änderungen bei der Datenverschlüsselung in Version 8.7.
Vorgehensweise
1. Halten Sie die in Schritt 1 und Schritt 2 von „Upgrade planen” auf Seite 91 notierten Informationen zu Hardware- und Sicherheitselementen bereit.
2. Sichern Sie Ihre SQL Server-Datenbank.
3. Installieren Sie AppScan Enterprise Dynamic Scanner auf den dynamischen
Scannermaschinen. Dekomprimieren Sie ihn auf der Maschine und führen Sie
die Datei "ASE_DASSetup_8.7.exe" aus. Nach Abschluss der Installation führen
Sie den Assistenten für die Standardkonfiguration aus und wiederholen dies
für alle Dynamic Scanner-Maschinen.
4. Installieren Sie AppScan Enterprise Server auf dem Anwendungsserver.
a. Dekomprimieren Sie ihn auf der Maschine und führen Sie die Datei
"AppScanEnterpriseServerSetup_8.7.exe" aus. Führen Sie nach dem Fertigstellen der Installation den Serverkonfigurationsassistenten und den Standardkonfigurationsassistenten aus.
b. Wechseln Sie zu dem Verzeichnis, in das Sie die ausführbare Datei
(AppScanEnterpriseServerSetup_8.7.exe) heruntergeladen haben, und klicken Sie doppelt auf die Datei.
Anmerkung: Es dauert möglicherweise einen Moment, bis die nächste Anzeige geöffnet wird.
c. Wenn Rational License Key Server nicht in Ihrem Netz installiert ist, installieren Sie die Anwendung, wenn Sie dazu aufgefordert werden.
d. Klicken Sie in der Begrüßungsanzeige des Installationsassistenten auf Weiter.
92
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
e. Wählen Sie im Fenster "Lizenzvereinbarung" die Option Ich stimme den
Bedingungen des Lizenzvertrags zu und klicken Sie auf Weiter.
f. Wählen Sie im Fenster "Zielordner" eine Zielposition aus und klicken Sie auf
Weiter.
g. Wenn Sie den Jazz Team Server bereits installiert haben, wird er erkannt.
Die Sicherung kann wiederhergestellt werden, wodurch die bereits vorhandenen Benutzer in Ihrer Instanz erhalten bleiben, oder Sie können mit einer
neuen (leeren) Instanz beginnen. Durch das Starten mit einer neuen Instanz
wird auch das Kennwort des Benutzers ADMIN auf den Standardwert zurückgesetzt. Wählen Sie die gewünschte Option aus und klicken Sie auf
Weiter.
h. Klicken Sie im Fenster "Bereit zum Installieren des Programms" auf Installieren, um mit der Installation fortzufahren.
i. Wählen Sie in der Anzeige "Installationsassistent beendet" das Kontrollkästchen zum Starten des Konfigurationsassistenten aus und klicken Sie auf Fertigstellen.
j. Führen Sie den Konfigurationsassistenten aus.
5. Testen Sie die neue Installation und beenden Sie anschließend das proaktive
Unterstützungsticket per E-Mail.
Nächste Schritte
Nach der Aktualisierung ist die Datenbank unverschlüsselt. In den folgenden Abschnitten erhalten Sie weitere Informationen zum Verschlüsseln der Datenbank.
v „Informationen zum Datenschutz” auf Seite 83
v „Transparente Datenverschlüsselung (TDE) auf SQL Server-Datenbanken
aktivieren” auf Seite 22
v „SQL Server-Datenbank mit EFS verschlüsseln, sichern und wiederherstellen”
auf Seite 25
Upgrade für AppScan Enterprise durchführen, wenn Jazz Team Server
unter WebSphere gehostet wird
Wenn Sie ein Upgrade für AppScan Enterprise durchführen, das eine WebSphere
Application Server als Host für die Benutzeradministration verwendet, befolgen Sie
die Anweisungen in dieser Task.
Vorgehensweise
1. Stoppen Sie die Websphere-Anwendung (Startmenü > IBM WebSphere >
IBM WebSphere Application Server V8.0 > Profile > AppSrv01 > Server
stoppen).
2. Führen Sie das Upgrade für AppScan Enterprise durch. Stellen Sie sicher, dass
Sie Ihre vorherigen Einstellungen für Jazz Team Server wiederherstellen, wenn
Sie dazu aufgefordert werden.
Anmerkung: Wenn das Upgrade abgeschlossen ist, führen Sie den Konfigurationsassistenten nicht aus.
3. Starten Sie die Websphere-Anwendung erneut (Startmenü > IBM WebSphere
> IBM WebSphere Application Server V8.0 > Profile > AppSrv01 > Server
starten).
Kapitel 7. Upgrades und Migrationen durchführen
93
4. Öffnen Sie die Administrationskonsole für WebSphere Application Server.
(Startmenü > IBM WebSphere > IBM WebSphere Application Server V8.0 >
Profile > AppSrv01 > Administrationskonsole).
5. Klicken Sie auf Applications (Anwendungen) > Application Types (Anwendungstypen) > WebSphere enterprise applications (WebSphere-Unternehmensanwendungen).
6. Wählen Sie die Kontrollkästchen für die folgenden Anwendungen aus und klicken Sie anschließend auf Deinstallieren:
v admin_war
v asc_war
v clmhelp_war
v jts_war
7. Klicken Sie auf OK > Direkt in der Master-Konfiguration speichern.
8. Befolgen Sie die Anweisungen im Abschnitt Jazz Team Server auf WebSphere
Application Server implementieren, um diese Anwendungen erneut hinzuzufügen.
9. Überprüfen Sie, ob der Websphere-Service ausgeführt wird. Ist dies nicht der
Fall, starten Sie Websphere erneut. (Startmenü > IBM WebSphere > IBM
WebSphere Application Server V8.0 > Profile > AppSrv01 > Server starten).
10. Führen Sie den Konfigurationsassistenten für AppScan Enterprise aus und
überprüfen Sie die folgenden Einstellungen:
v Benutzeradministration ist in der Anzeige "Serverkomponenten" nicht ausgewählt.
v Fernen AppScan Enterprise-Server verwenden ist in der Liste in der Anzeige "Authentifizierungsmechanismus der Unternehmenskonsole" ausgewählt.
LDAP-Benutzer von Tomcat zu WebSphere migrieren
Wenn Sie den Jazz™ Team Server von Apache Tomcat zu WebSphere® Application
Server migrieren, müssen Sie mehrere Dateien kopieren.
Vorgehensweise
1. Klicken Sie auf Start > Administrative Tools (Administrationstools) > Services und beenden Sie den Service IBM Security AppScan Enterprise Server Tomcat.
2. Über das Jazz Team Server-Verzeichnis in Tomcat:
a. Kopieren Sie das Verzeichnis conf\asc in dasselbe Verzeichnis, das unter
WebSphere Application Server installiert ist.
b. Kopieren Sie die Datei asc.war von server\tomcat\webapps in dasselbe
Verzeichnis, das unter WebSphere Application Server installiert ist.
3. Führen Sie die im Thema „Jazz Team Server auf WebSphere Application Server implementieren” auf Seite 58 beschriebenen Schritte durch.
4. Rufen Sie das Thema „LDAP auf WebSphere Application Server aktivieren”
auf Seite 54 auf.
5. Rufen Sie in Jazz Team Server die Seite zum Registrieren von Anwendungen
auf (standardmäßig https://<Servername>:9443/jts/customSetup/steps/6#/
steps/5).
6. Wählen Sie auf der Seite zum Einrichten des Benutzerregistry unter Schritt 1
Non-LDAP External Registry (Externes Nicht-LDAP-Registry) aus.
94
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
7. Geben Sie Ihre Benutzer-ID, Ihren Namen und Ihre E-Mail-Adresse ein. Wählen Sie das Kontrollkästchen Default Admin access (Administrator-Standardzugriff) ab und klicken Sie auf Next (Weiter).
8. Fahren Sie fort, indem Sie so lange auf Next (Weiter) klicken, bis Finish (Fertigstellen) erscheint.
9. Melden Sie sich vom Jazz Team Server ab.
10. Melden Sie sich beim WebSphere Application Server an.
11. Klicken Sie auf Applications (Anwendungen) > Application Types (Anwendungstypen) > WebSphere enterprise applications (WebSphere-Unternehmensanwendungen).
12. Wählen Sie asc.war sowie jts.war aus und klicken Sie auf Stop.
13. Wählen Sie diese Kontrollkästchen erneut aus und klicken Sie auf Start.
14. Führen Sie den AppScan Enterprise-Serverkonfigurationsassistenten aus (Start
> Configuration Wizard (Konfigurationsassistent)).
15. Auf der Seite zum Authentifizierungsmechanismus der Unternehmenskonsole:
a. Wählen Sie Use Remote AppScan Enterprise Server (Fernen AppScan
Enterprise Server verwenden) aus.
b. Geben Sie die URL des WebSphere Application Servers ein (Beispiel
https://<WebSphere-Maschine>:9443/asc)
16. Beenden Sie den Konfigurationsassistenten.
Von der Windows-Authentifizierung zur Jazz-/LDAP-Authentifizierung
migrieren
Wenn Sie AppScan Enterprise mit einem Windows-Authentifizierungsmechanismus
implementiert haben, können Sie für eine bessere Interoperabilität mit anderen Produkten (z. B. IBM Security AppScan Source) zu einer Jazz-/LDAP-Authentifizierung migrieren, während bereits vorhandene Scan- und Ordnerberechtigungen erhalten bleiben.
Vorbereitende Schritte
Informationen zu diesem Vorgang
Diese Task setzt voraus, dass:
1. AppScan Enterprise bereits mit einer Windows-Authentifizierung installiert und
konfiguriert wurde und bereits über eine Reihe von vorhandenen Standardoder QuickScan-Benutzern mit verschiedenen Scan- und/oder Ordnerberechtigungen verfügt.
2. Der LDAP-Server, der verwendet werden soll, ein Microsoft Active DirectoryStandardserver ist.
3. Die Benutzeradministrationskomponente vom AppScan Enterprise Server im Tomcat-Standard-Web-Server implementiert wird .
4. Sie eine MS SQL-Datenbank (für das bereitgestellte SQL-Beispielscript) verwenden, bei der die Groß- und Kleinschreibung beachtet werden muss.
5. Sie mit dem Ausführen von SQL-Scripts für MS SQL Server vertraut sind.
Vorgehensweise
1. Ändern Sie mithilfe des Serverkonfigurationsassistenten das Authentifizierungsverfahren von der Windows-Authentifizierung auf die Jazz-Authentifizierung.
Kapitel 7. Upgrades und Migrationen durchführen
95
a. Klicken Sie auf Start > IBM Security AppScan Enterprise > Configuration
Wizard (Konfigurationsassistent) und folgen Sie dem Assistenten auf die
Seite zum Authentifizierungsverfahren der Unternehmenskonsole.
b. Wählen Sie Use local AppScan Enterprise Server (Lokalen AppScan Enterprise Server verwenden) aus. Wenn sich Jazz Team Server auf einer fernen
Maschine befindet, wählen Sie Use remote AppScan Enterprise Server (Fernen AppScan Enterprise Server verwenden) aus und geben Sie die Position
ein.
c. Geben Sie auf der Seite zum Produktadministrator ADMIN als Benutzer-ID
und ADMIN als das Kennwort ein.
Anmerkung: Wenn Sie das Standardkennwort ändern, schreiben Sie es auf,
da Sie es möglicherweise später benötigen.
d. Führen Sie den Konfigurationsassistenten bis zu Ende aus.
e. Überprüfen Sie, ob Sie sich bei der Unternehmenskonsole mithilfe von
"ADMIN/ADMIN" als Benutzer anmelden können.
2. Konfigurieren Sie LDAP im Jazz-Server.
a. Rufen Sie den Jazz-Konfigurationsassistenten unter https://<ASEServername>.<Ihr_Unternehmen>.com:9443/setup auf und melden Sie sich
als ADMIN/ADMIN an.
b. Klicken Sie auf Next (Weiter), bis Sie zu der Seite mit den Benutzerregistryeinstellungen gelangen. Wählen Sie LDAP aus und geben Sie die folgenden Optionen ein, bei denen die Groß-/Kleinschreibung beachtet werden
muss:
v LDAP Registry Location (LDAP-Registryposition): ldap://
server.yourcompany.com:389.
Ersetzen Sie server.yourcompany.com durch die Position Ihres LDAP-Servers.
v User Name (Benutzername): domain\<Benutzer-ID>
Ersetzen Sie den Benutzernamen durch einen gültigen Domänenaccountbenutzer.
v Password (Kennwort): <Kennwort>
Geben Sie das Domänenaccountbenutzerkennwort ein.
v Base User DN (Basisbenutzer-DN): OU=Users,DC=yourcompany,DC=com
Geben Sie den LDAP-Basisbenutzer-DN ein, der für die Position steht, an der
alle Benutzer definiert sind.
v User Property Names Mapping (Zuordnung von Benutzereigenschaftennamen): userId=sAMAccountName,name=displayName,emailAddress=mail
Dies ist die Standardzuordnung von Benutzereigenschaften für Active Directory, die normalerweise nicht geändert werden muss.
v Base Group DN (Basisgruppen-DN):
OU=Groups,DC=yourcompany,DC=com
Geben Sie den DN der LDAP-Gruppe ein, der für die Position steht, an der
alle Gruppen definiert sind.
v Jazz to LDAP Group Mapping (Zuordnung von Jazz- zu LDAP-Gruppen):
JazzAdmins=AppScan Admins, JazzUsers=AppScan Users,
JazzDWAdmins=AppScan Admins, JazzProjectAdmins=AppScan Admins,
JazzGuests=AppScan Users
Verwenden Sie ein Semikolon (;), um der Rolle mehrere LDAP-Gruppen zuzuordnen. Beachten Sie, dass bei den Gruppennamen die Groß-/Kleinschreibung beachtet werden muss. Jeder dieser LDAP-Gruppennamen ist unternehmensspezifisch. Erstellen Sie mindestens zwei Gruppen: eine für die Personen, die
96
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
das Produkt installieren/konfigurieren, und eine für alle weiteren Benutzer
(unabhängig davon, ob diese Systemadministratoren, Jobadministratoren
oder Berichtsanwender in der Unternehmenskonsole sind).
v Group Name Property (Eigenschaft für den Gruppennamen): cn
v Group Member Property (Eigenschaft für das Gruppenmitglied): member
Die Standardeigenschaft lautet "members", entfernen Sie jedoch für eine Verwendung von Active Directory das "s".
a. Testen Sie die Verbindung zum Server. Sie werden zur Eingabe eines Benutzernamens aufgefordert, um die Verbindung zu testen.
b. Generieren und speichern Sie als nächstes die Dateien mit Einstellungen
und ersetzen Sie die Standarddateien "web.xml" und "server.xml" im Tomcat-Verzeichnis, damit die LDAP-Einstellungen in Kraft treten. Klicken Sie
nach dem Testen der Verbindung auf Save Tomcat Config Files (TomcatKonfigurationsdateien speichern).
c. Klicken Sie auf den Link zum Anzeigen von Details, um eine Nachricht aufzurufen, die die Position angibt, unter der die temporären Konfigurationsdateien erstellt wurden.
a. Stoppen Sie den IBM Security AppScan Enterprise Server – Tomcat-Service,
indem Sie die Windows-Service-Managementkonsole aufrufen (Start > Run
(Ausführen) > services.msc).
b. Navigieren Sie zum Verzeichnis C:\Programme(x86)\IBM\
AppScanEnterprise\JazzTeamServer\server\tomcat\webapps\jts\WEB-INF\
und ändern Sie den Namen der Datei web-LDAP<Datum>.xml in web.xml.
Möglicherweise müssen Sie zunächst eine vorhandene web.xml-Datei löschen.
c. Navigieren Sie zum Verzeichnis C:\Programme(x86)\IBM\AppScanEnterprise\
JazzTeamServer\server\tomcat\webapps\admin\WEB-INF\ und ändern Sie
den Namen der Datei web-LDAP<Datum>.xml in web.xml. Möglicherweise
müssen Sie zunächst eine vorhandene web.xml-Datei löschen.
d. Navigieren Sie zum Verzeichnis C:\Programme(x86)\IBM\
AppScanEnterprise\ JazzTeamServer\server\tomcat\conf\ und ändern Sie
den Namen der Datei server-LDAP<Datum>.xml in server.xml. Möglicherweise müssen Sie zunächst eine vorhandene server.xml-Datei löschen.
e. Starten Sie den Service erneut.
f. Nach dem Neustart des Service können Sie sich beim Jazz Team Server
(https://aseserver.yourcompany.com:9443/jts/setup) mit Ihrem LDAP-Benutzernamen und -Kennwort anmelden.
g. Führen Sie den LDAP-Konfigurationsassistenten bis zu Ende aus.
3. Synchroniseren Sie LDAP-Benutzer mit Jazz-Benutzern. Verwenden Sie den Befehl repotools -syncUsers. Dieser Befehl setzt voraus, dass der Server ausgeführt wird.
4. Führen Sie den Serverkonfigurationsassistenten erneut aus, um einen neuen
Produktadministrator zuzuweisen. Nachdem der Authentifizierungsmechanismus geändert wurde, wird der vorherige "ADMIN"-Benutzer höchstwahrscheinlich kein gültiger Benutzer mehr sein.
5. Führen Sie ein benutzerdefiniertes SQL-Script aus, um alte Standardbenutzer zu
Jazz-Benutzern zu migrieren und um deren Berechtigungen zu erhalten. Kopieren und ändern Sie das Beispielscript SQL Server Management Studio. Ändern
Sie die Variable "domainPrefix", die zu Beginn des Scripts definiert wird. Dieses
Script wird die "DOMAIN\userid"-Benutzer in "userid" umbenennen, wobei
das Feld "sAMAccountName" im LDAP-Server zugeordnet wird. Ein Beispielscript: windows2ldap.zip
Kapitel 7. Upgrades und Migrationen durchführen
97
Veraltete Funktionen
Wenn Sie eine Migration aus einem früheren Release von AppScan Enterprise Server durchführen, sollten Sie wissen, dass verschiedene Funktionen in diesem Release veraltet sind.
In Version 8.7 veraltete Funktionen
Die folgende Tabelle enthält eine Übersicht über veraltete Funktionen nach Version
und Release. In der Tabelle ist angegeben, was veraltet ist, z. B. Tools, Sicherheitsscantests, Integrationen und Berichte. Die Tabellen zeigen, wo möglich, auch
die empfohlene Migrationsaktion an.
Tabelle 9. In Version 8.7 veraltete Funktionen
Zeitplan
für das
Entfernen
Veraltete Funktion
98
N=v8.7
Migrationsplan für veraltete Funktion
Job zum Scannen der Infrastruktur N+1
(Netz-/Port-Scanner) und zugehörige Berichte
Keine. Entspricht nicht mehr der
Produktanweisung.
Malwareanalyse der
Webanwendungsdatei
Keine. Entspricht nicht mehr der
Produktanweisung.
N+1
Import von Analyseergebnissen von N+2
IBM Rational AppScan Developer
Edition (Produkt wurde eingestellt)
Verwenden Sie IBM Security AppScan
Source.
Traditionelle Bestandsberichte Websitetechnologien,
Webanwendungen, serverseitige
Imagemaps, fehlende Alt-Attribute,
Multimediainhalt, Imagekatalog
N+2
Keine. Entspricht nicht mehr der
Produktanweisung.
Interaction Tool zum Aufzeichnen
einer Anmeldesequenz
N+2
Verwenden Sie das Tool "IBM Security
Manual Explorer", das Sie über die
Benutzerschnittstelle herunterladen
können.
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Kapitel 8. Administration
Server verwalten
Als Administrator sind Sie für die Verwaltung der einzelnen Server mit optimaler
Serverleistung verantwortlich.
Vorgehensweise
1. Überprüfen der Anzahl und des Status von Elementen (Jobs, Berichtspaketen
oder Dashboards), die den einzelnen Servern zugeordnet sind: Verwenden Sie
den Abschnitt "Aktuelle Elemente", um den Status der Elemente anzuzeigen,
und klicken Sie auf das Symbol Aktualisieren, um den Status des Elements zu
aktualisieren. Möglicherweise haben Sie den Server gesperrt und möchten sehen, ob darauf etwas ausgeführt wird. Möglicherweise müssen Sie feststellen,
auf welchem Server ein bestimmter Job ausgeführt wird. Möglicherweise gibt
es zu viele aktive Elemente (Jobs, Berichtspakete und Dashboards) und Sie denken, dass weitere Agentenserver erforderlich sind, um die Arbeitslast zu verteilen.
2. Die maximale Anzahl von Agenten angeben, die gleichzeitig auf einem Server
ausgeführt werden können: Ändern Sie die maximale Anzahl, wenn Sie die Arbeitslast auf dem Server optimieren möchten.
3. Sperren oder aktivieren Sie einen Server wie folgt: Sperren Sie einen Server, um
zu verhindern, dass weitere Elemente darauf ausgeführt werden, z. B. bevor Sie
den Server vom Netz trennen oder erneut booten oder bevor Sie Software darauf installieren.
a. Rufen Sie die Seite "Agentenserver" auf der Registerkarte "Administration"
auf und geben Sie den Server an, der außer Betrieb genommen werden soll.
b. Klicken Sie auf den Namen des Servers.
c. Klicken Sie auf der Seite mit den Servereigenschaften auf Sperren oder Aktivieren .
d. Klicken Sie auf Speichern.
Anmerkung: Die Anzahl der aktiven Jobs kann die maximale Anzahl von
Agenten, die dem Server zugeordnet sind, überschreiten, weil die Anzahl der
aktiven Jobs auch Jobs enthält, die sich gerade in der Nachverarbeitung befinden. Für diese Jobs wird kein Agent auf dem Server mehr verwendet.
Benutzer verwalten
Zugriffsberechtigungen
Die Steuerung von Zugriffsberechtigungen beginnt auf hoher Ebene und gestaltet
sich nach unten hin immer differenzierter für einzelne Ordner und Ordnerelemente. Wenn ein Ordnerelement schutzwürdige Informationen enthält, können Sie den
Zugriff auf das Element einschränken.
Bei der Zugriffssteuerung müssen vier separate Aspekte beachtet werden:
1. Benutzertypen: Gilt für alle Ordner in einer Installation. Es stehen verschiedene
Benutzertypen zur Verfügung:
v Administrator: Vollzugriff, einschließlich aller Administrationsbereiche des
Systems.
99
v Zugriff erben: Übernimmt die maximalen Zugriffsberechtigungen auf der
Grundlage der LDAP-Gruppen, zu denen der Benutzer gehört.
v Kein Zugriff: Kein Zugriff. Dieser Benutzertyp wird häufig verwendet, um einen Account für einen neuen Mitarbeiter zu erstellen, der künftig im Unternehmen anfängt und dann Zugriff benötigt.
v QuickScan-Benutzer: Zugriff auf eine vereinfachte Anzeige zum Erstellen
schneller, benutzerfreundlicher Scans, um die Anwendungen zu testen, für
die der Benutzer verantwortlich ist. Die meisten Benutzer sind QuickScanBenutzer.
v Standardbenutzer: Zugriff auf gängige Funktionen, ohne Administratorberechtigungen. Kann verschiedenen Rollen in Ordnern zugewiesen werden.
Anmerkung: Zusätzlich zu diesen Benutzertypen können Sie auch einen angepassten Benutzertyp erstellen, durch den Sie Benutzern einen begrenzten Satz
von Administrationstasks zuweisen. Diesen Benutzern werden nur die Seiten
Administration und Jobs & Berichte angezeigt, für die sie Berechtigungen haben.
2. Benutzerrollen: Werden pro Ordner durch einen Administrator zugewiesen.
Ein Benutzer muss Zugriffsberechtigungen für jeden Ordner erhalten, in dem er
Tasks ausführt. Über die Ordnerberechtigungen wird festgelegt, was der Benutzer innerhalb des Ordners anzeigen und ausführen kann.
3. Pro Element/pro Benutzer: Zuweisung pro Ordnerelement (Berichtspakete und
Dashboards) durch einen Administrator.
4. Pro Ordner: Zuweisung pro Ordner durch einen Administrator. Beim Erstellen
eines Ordners übernehmen Benutzer die für den Stammordner festgelegten Benutzerrollen. Beispielsweise sind alle Standardbenutzer in Ordner A Berichtsadministratoren. Diese Benutzer sind dann in allen Unterordnern automatisch Berichtsadministratoren, es sei denn, ein Administrator (Job-, Berichts- oder
Systemadministrator) hat ihre Berechtigungen manuell geändert. Systemadministratoren können auch jederzeit Benutzerberechtigungen in der Ordnerhierarchie weitergeben.
Anmerkung: Alle Benutzer mit der Rolle "Berichtsanwender" oder höher in einem
Ordner erhalten impliziten Zugriff auf Berichtspakete oder Dashboards, die in diesem Ordner erstellt werden. Sie müssen den Benutzerzugriff explizit in Kein Zugriff
ändern, wenn Sie nicht möchten, dass der Zugriff auf ein Element von Benutzern
geerbt wird. Impliziter Zugriff wird über "Alle anderen Benutzer" geerbt, wenn der
Benutzer nicht auf der Seite Benutzer und Gruppen aufgelistet ist und für "Alle anderen Benutzer" ein Zugriff gewährt wird.
Der Zugriff auf ein Berichtspaket oder Dashboard gilt als explizit, wenn Sie einen
Benutzer bzw. eine Gruppe zur Seite "Benutzer und Gruppen" eines Berichtspakets
oder Dashboards hinzufügen und dem Benutzer oder der Gruppe Zugriff gewähren.
Zugehörige Informationen:
Das Anzeigen eines Berichts in Policy Tester führt zu einem Fehler
Benutzertypen
Der Administrator weist jedem Benutzer einen Benutzertyp zu. Der Benutzertyp
gilt für alle Ordner in einer Installation.
100
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Administrator
Der Administrator hat vollen Zugriff auf alle Bereiche und kann die Funktionen aller anderen Benutzertypen ausüben. Administratoren können die folgenden Tasks
ausführen:
v
v
v
v
v
v
v
Benutzeraccounts erstellen und Zugriffsberechtigungen zuweisen
XRules erstellen
Ordner erstellen und löschen
Scan-Jobs erstellen, bearbeiten, ausführen, anzeigen und löschen
Testrichtlinien erstellen, zuweisen, bearbeiten und löschen
Dashboards erstellen, bearbeiten, ausführen, anzeigen und löschen
Berichtspakete erstellen, bearbeiten, ausführen, anzeigen und löschen
v Benutzern den Zugriff auf Berichtspakete, Dashboards und Ordner gewähren
oder verweigern
v Probleme anhand ihres Status klassifizieren
v Berichtsdaten exportieren
Standardbenutzer
Standardbenutzer sind Benutzer, denen in einem beliebigen Ordner eine Rolle zugewiesen wurde. Sie können den voreingestellten Benutzertyp auf den Standardbenutzer setzen, sofern das Sicherheitsmodell Ihres Unternehmens dies zulässt. Auf
diese Weise wird bei der ersten Anmeldung eines neuen Benutzers automatisch ein
neuer Benutzeraccount mit dem Benutzertyp "Standardbenutzer" eingerichtet. So
können Sie die Erstellung neuer Benutzeraccounts automatisieren.
Kein Zugriff
Wenn ein Benutzer des Typs Kein Zugriff versucht, sich anzumelden, wird ihm der
Zugriff verweigert. Wenn der Benutzer nicht über einen Account verfügt, wird kein
neuer Account erstellt. Wenn bereits ein Account für diesen Benutzer vorhanden
ist, bleibt dieser Account erhalten, doch der Zugriff wird verweigert.
Der Benutzertyp Kein Zugriff wird häufig verwendet, um einen Account für einen
neuen Mitarbeiter zu erstellen, der künftig im Unternehmen anfängt und dann Zugriff benötigt.
Zugriff erben
Dieser Benutzertyp gilt nur für Benutzergruppen, Zusammenfassung zum LDAPServer importiert werden. Wenn sich ein Benutzer des Typs Zugriff erben zum ersten Mal anmeldet, wird für ihn automatisch ein Benutzeraccount erstellt und er
erhält die Benutzerberechtigungen aller LDAP-Gruppen, zu denen er gehört, sofern
die Gruppen in der Datenbank vorhanden sind und ihnen Zugriff gewährt wurde.
Gehört ein Benutzer zu mehreren Gruppen, erbt er die höchsten Berechtigungen aller dieser Gruppen. Andernfalls lautet der Benutzertyp Kein Zugriff.
QuickScan-Benutzer
Benutzer dieses Typs, der dem voreingestellten Benutzer entspricht, verwenden
eine vereinfachte Anzeige der Unternehmenskonsole zum Erstellen schneller, benutzerfreundlicher Scans, um die Anwendungen zu testen, für die sie verantwortlich sind. Die meisten Benutzer sind QuickScan-Benutzer.
Kapitel 8. Administration
101
Angepasster Benutzer
Benutzern dieses Typs werden begrenzte Administratorberechtigungen zugewiesen,
z. B. die Möglichkeit zum Erstellen und Bearbeiten von Benutzern oder zum Konfigurieren von Testrichtlinien und Servergruppen (falls eine Lizenz von AppScan
Enterprise Edition vorliegt).
Benutzerrollen
Einer der Benutzer kann Jobs zum Scannen und Analysieren einer Website oder
Webanwendung einrichten und ausführen. Ein anderer Benutzer durchsucht nur
die Berichte mit den Details zu den Problemen, die bei einer Website oder Webanwendung erkannt wurden. Und noch ein anderer Benutzer kann Benutzer einrichten und verwalten.
Benutzerrollen werden von einem Administrator auf der Grundlage einzelner Ordner zugewiesen und verwenden zudem eine besondere Benutzerlizenz.
Jobadministrator
Jobadministratoren können die folgenden Tasks ausführen:
v Ordner erstellen und löschen
v Vorlagen in Vorlagenordnern erstellen, bearbeiten und löschen
v Scan-Jobs erstellen, bearbeiten, ausführen, anzeigen und löschen
v Dashboards erstellen, bearbeiten, ausführen, anzeigen und löschen
v Berichtspakete erstellen, bearbeiten, ausführen, anzeigen und löschen
v Benutzern den Zugriff auf Berichtspakete, Dashboards und Ordner gewähren
oder verweigern
v Testrichtlinien zum Ausführen auf zulässigen Servergruppen in einem Job zum
Scannen von Inhalten auswählen
v Probleme anhand ihres Status klassifizieren
v Sicherheitsprobleme erneut testen
v Berichtsdaten exportieren
v XRules mithilfe systemdefinierter Vorlagen erstellen
Berichtsadministrator
Berichtsadministratoren können die folgenden Tasks ausführen:
v Ordner erstellen und löschen
Berichtspakete in Vorlagenordnern bearbeiten
Dashboards erstellen, bearbeiten, ausführen, anzeigen und löschen
Berichtspakete erstellen, bearbeiten, ausführen, anzeigen und löschen
Benutzern den Zugriff auf Berichtspakete, Dashboards und Ordner gewähren
oder verweigern
v Probleme anhand ihres Status klassifizieren
v Berichtsdaten exportieren
v Sicherheitsprobleme erneut testen (nur mit Lizenz zum Scannen)
v
v
v
v
Problemmanager
Problemmanager können die folgenden Tasks ausführen:
v Probleme anhand ihres Status klassifizieren
102
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
v
v
v
v
Sicherheitsprobleme erneut testen
Dashboards und Berichtspakete anzeigen
Vorlagen verwenden
Berichtsdaten exportieren
Berichtsanwender
Berichtsanwender können die folgenden Tasks ausführen:
v Dashboards und Berichtspakete anzeigen
v Vorlagen verwenden
v Berichtsdaten exportieren
Kein Zugriff (auf einen Ordner)
Ein Benutzer, dem die Rolle "Kein Zugriff" in einem Ordner zugewiesen wurde,
kann weder den Ordner noch Elemente in diesem Ordner anzeigen.
Benutzer und Gruppen
Vor dem Erstellen von Benutzeraccounts müssen Sie bestimmen, wer die Benutzer
sind und welche Rolle sie in einem bestimmten Ordner einnehmen. Anhand dieser
Informationen können Sie anschließend automatisch Benutzer mit den Eigenschaften des voreingestellten Benutzers erstellen, indem Sie LDAP-Benutzergruppen importieren; alternativ können Sie Benutzer manuell erstellen. Jedes gültige Mitglied
im Windows NT-Netz Ihres Unternehmens kann zu einem Benutzer werden.
Als Best Practice gilt, dass Sie einem neuen Benutzer beim Erstellen zunächst den
Benutzertyp Kein Zugriff zuweisen und dann seine Ordnerberechtigungen konfigurieren. Anschließend können Sie diesen Benutzertyp in einen beliebigen anderen
Typ ändern, den der Benutzer erhalten soll. Dies verhindert, dass neue Benutzer
nach der Anmeldung auf Bereiche zugreifen können, die sie nicht einsehen sollen,
während Sie noch ihre Berechtigungen konfigurieren.
Sie müssen Folgendes wissen:
v Welche verschiedenen Benutzertypen und Rollen verfügbar sind.
v Sie können Benutzer automatisch erstellen, indem Sie die Vorlage für den voreingestellten Benutzer verwenden.
v Unter folgenden Bedingungen können Sie Benutzer manuell erstellen:
– In der Vorlage für den voreingestellten Benutzer wurde der Benutzertyp Kein
Zugriff zugewiesen.
– Sie möchten Benutzern vor der Anmeldung einen bestimmten Benutzertyp
zuweisen. In diesem Fall müssen Sie zuerst den Benutzer erstellen und dann
seine Benutzereigenschaften bearbeiten, um den Benutzertyp zu ändern. Standardmäßig wird der Benutzertyp automatisch aus der Vorlage für den voreingestellten Benutzer übernommen, so dass Sie den Typ nach dem Erstellen eines Benutzers ändern müssen.
– Sie möchten einem bestimmten Benutzer den Zugriff verweigern, doch über
den voreingestellten Benutzer erhalten alle Personen mit einem Account im
Windows NT-Netz einen Zugriff. Daher müssen Sie den Benutzer extra erstellen und seinen Benutzertyp in Kein Zugriff ändern.
Kapitel 8. Administration
103
Angepasste Benutzertypen definieren
Ein Benutzertyp ist ein Satz von Berechtigungen, die für einen Benutzer gelten, so
dass dieser bestimmte Administrationstasks ausführen kann. Bevor Sie Benutzeraccounts erstellen, müssen angepasste Benutzertypen erstellt werden, wenn Sie Standardbenutzern eine begrenzte Anzahl Administrationstasks zuweisen möchten,
ohne sie als vollberechtigte Administratoren einzusetzen.
Informationen zu diesem Vorgang
Anmerkung:
1. Als unternehmensinterne Sicherheitsmaßnahme wird Benutzern mit beschränkten Administratorberechtigungen eine eingeschränkte Ansicht der Registerkarte
"Administration" angezeigt und sie können nur auf die Administrationsseiten
zugreifen, zu deren Verwendung sie berechtigt sind. Beispiel: Rob wurde der
Benutzertyp "Zugriff erben" zugewiesen und er gehört zu zwei Gruppen. Der
angepasste Benutzertyp der Gruppe "Entwickler" ist "Servergruppenadministrator" und der angepasste Benutzertyp der Gruppe "Betrieb" ist "Benutzeradministrator". Wenn Rob auf die Registerkarte "Administration" zugreift, werden
ihm sowohl die Option "Benutzer und Gruppen" als auch die Option "Servergruppen" angezeigt. Wenn Rob jedoch explizit ein Benutzertyp zugewiesen
wurde, setzen die Berechtigungen dieses Benutzertyps die Berechtigungen der
Gruppen, zu denen er gehört, außer Kraft.
2. Wenn Sie einen Benutzertyp löschen, der einem Benutzer zugewiesen ist, gehört
dieser Benutzer anschließend zum Benutzertyp Kein Zugriff, bis Sie ihm einen
neuen Benutzertyp zuweisen.
Vorgehensweise
1. Rufen Sie die Registerkarte "Administration" auf.
2. Klicken Sie auf der Seite "Benutzertypen" auf das Symbol Erstellen (
).
3. Erstellen Sie den Benutzertyp, wählen Sie die zugehörigen Berechtigungen aus
und klicken Sie auf Erstellen .
Benutzer erstellen
Erstellen Sie einen Benutzer und weisen Sie ihm einen Benutzertyp zu. Als Best
Practice gilt, dass Sie einem neuen Benutzer beim Erstellen zunächst den Benutzertyp "Kein Zugriff" zuweisen und dann die Ordnerberechtigungen konfigurieren
sollten. Anschließend können Sie diesen Benutzertyp in einen beliebigen anderen
Typ ändern, den der Benutzer erhalten soll. Dies verhindert, dass neue Benutzer
nach der Anmeldung auf Bereiche zugreifen können, die sie nicht einsehen sollen,
während Sie noch ihre Berechtigungen konfigurieren.
Vorbereitende Schritte
Weitere Informationen zum Erstellen von Benutzern: Einige Eigenschaften erbt
der Benutzer von der Vorlage "Voreingestellter Benutzer". Um die voreingestellten
Benutzereigenschaften zu ändern, die der Benutzer erbt, müssen Sie die Eigenschaften des Benutzers bearbeiten. Als "Eingeschränkt" gekennzeichnete Benutzertypen können Sie nicht ändern, da diese zusätzliche Administratorberechtigungen
beinhalten, die Sie nicht haben. Sie können nur Benutzertypen ändern, denen die
gleichen Zugriffsberechtigungen wie Ihnen oder wenigere als Ihnen zugewiesen
sind. Wenn Sie beispielsweise ein Benutzer mit dem Benutzertyp "Standard" sind,
können Sie den Benutzertyp "Administrator" nicht ändern.
104
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Vorgehensweise
1. Wechseln Sie zu Administration > Benutzer und Gruppen und klicken Sie auf
das Symbol Erstellen (
).
2. Gehen Sie auf der Seite "Benutzer erstellen" wie folgt vor:
a. (Windows NT): Geben Sie einen vollständigen Namen für den Benutzer
ein, der leicht zu erkennen ist, wie z. B. Bill Smith.
b. Geben Sie den Benutzernamen im Format Domäne/Benutzername ein, wie
z. B. Arbeitsgruppe\billsmith.
Anmerkung: Verwenden Sie keine Sonderzeichen, wie z. B. das Prozentzeichen (%). Dies führt möglicherweise zu einem Fehler vom Typ "Sitzung abgelaufen".
c. Wählen Sie einen Benutzertyp für diesen Benutzer aus.
3. Klicken Sie auf Erstellen, um den Benutzer zur Liste der Benutzer hinzuzufügen.
Zugehörige Tasks:
„Benutzer mit der Vorlage für den voreingestellten Benutzer erstellen”
Die meisten Eigenschaften, die ein typischer Benutzer benötigt, können der Vorlage
"Voreingestellter Benutzer" verliehen und anschließend bei jedem Erstellen eines
neuen Benutzers automatisch verwendet werden.
Benutzer mit der Vorlage für den voreingestellten Benutzer erstellen
Die meisten Eigenschaften, die ein typischer Benutzer benötigt, können der Vorlage
"Voreingestellter Benutzer" verliehen und anschließend bei jedem Erstellen eines
neuen Benutzers automatisch verwendet werden.
Informationen zu diesem Vorgang
Weitere Informationen zum Zuweisen von Zugriffsberechtigungen: Standardmäßig ist der voreingestellte Benutzer ein Benutzer vom Typ QuickScan-Benutzer. Möglicherweise sollen zum Beispiel die meisten Benutzer nur Berichte anzeigen, jedoch
keine Jobs oder Berichtspakete konfigurieren dürfen. In diesem Fall können Sie
dem "Voreingestellten Benutzer" die Rolle "Berichtsanwender" zuweisen und auswählen, auf welche Ordner er zugreifen darf. Wenn sich neue Benutzer dann zum
ersten Mal anmelden, erhalten sie automatisch die Zugriffsrechte der Vorlage "Voreingestellter Benutzer". Der "Voreingestellte Benutzer" wird in der Liste der Benutzer auf der Registerkarte "Administration" > Seite "Benutzer und Gruppen" angezeigt. Als "Eingeschränkt" gekennzeichnete Benutzertypen können Sie nicht ändern,
da diese zusätzliche Administratorberechtigungen beinhalten, die Sie nicht haben.
Sie können nur Benutzertypen ändern, denen die gleichen Zugriffsberechtigungen
wie Ihnen oder wenigere als Ihnen zugewiesen sind. Wenn Sie beispielsweise ein
Benutzer mit dem Benutzertyp "Standard" sind, können Sie den Benutzertyp "Administrator" nicht ändern.
Neue Benutzer übernehmen den Lizenztyp des Standardbenutzers (Floating oder
berechtigter Benutzer). Diese Einstellung wird bei der Erstkonfiguration der Produktinstanz vorgenommen.
Vorgehensweise
1. Rufen Sie die Registerkarte "Administration" auf.
Kapitel 8. Administration
105
2. Wählen Sie auf der Seite "Benutzer und Gruppen" aus der Liste Voreingestellter Benutzer aus.
3. Nehmen Sie auf der Seite "Benutzer bearbeiten" Ihre Änderungen vor und klicken Sie auf Speichern.
Ergebnisse
Neue Benutzer werden in der Liste der Benutzer unter ihrem Benutzernamen und
ihrem vollständigen Namen für das Windows-Netz angezeigt. Die einzige Ausnahme dazu bildet der Fall, dass dem voreingestellten Benutzer der Benutzertyp Kein
Zugriff zugewiesen wurde. In diesem Fall wird dem Benutzer jeglicher Zugriff verweigert und es wird kein neuer Account erstellt.
Zugehörige Konzepte:
„Benutzerlizenzen” auf Seite 15
Es gibt vier Typen von Benutzerlizenzen: Floating-Benutzerlizenz (Scannen und
Berichterstellung), Berechtigter Benutzer (Scannen und Berichterstellung), ServiceAccount und Produktadministrator.
Benutzer importieren
Sie können einzelne Windows NT- oder Jazz-Benutzer importieren und ihnen einen
Benutzertyp zuordnen.
Vorgehensweise
1. Wechseln Sie zu Administration > Benutzer und Gruppen.
2. Klicken Sie auf Benutzer importieren.
3. Für Windows NT-Benutzer:
a. Geben Sie eine Domäne ein, um eine Benutzerliste abzurufen
b. Wählen Sie die Benutzer aus, die Sie importieren möchten, und weisen Sie
ihnen einen Benutzertyp zu.
4. Für Jazz-Benutzer:
a. Geben Sie einen Stern (*) oder Text in das Suchfeld ein und klicken Sie auf
Übernehmen.
Anmerkung:
1) Bei Suchkriterien muss die Groß-/Kleinschreibung beachtet werden.
2) Sie können am Ende der Suchkriterien einen Stern (*) als Platzhalter verwenden. Um beispielsweise nach allen Benutzernamen zu suchen, die
mit einem "R" beginnen, geben Sie "R*" ein.
b. Wählen Sie die Benutzer aus, die Sie importieren möchten, und weisen Sie
ihnen einen Benutzertyp zu.
5. Klicken Sie auf Importieren, nachdem Sie Benutzer aus der Liste ausgewählt
haben.
LDAP-Benutzergruppen importieren
Sie können einzelne Benutzergruppen von einem LDAP-Server importieren und ihnen einen Benutzertyp zuordnen. Alle Gruppen müssen über einen gültigen
LDAP-Account verfügen, damit sie importiert werden können.
106
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Vorbereitende Schritte
Nachdem Sie eine LDAP-Gruppe importiert haben, werden Benutzer aus dieser
Gruppe bei ihrer ersten Anmeldung automatisch als Benutzer erstellt, wenn der
Standardbenutzertyp ’inherit’ ist.
Vorgehensweise
1. Rufen Sie die Registerkarte "Administration" auf.
2. (Nur Windows): Klicken Sie auf der Seite "Allgemeine Einstellungen" auf die
Option Einstellungen der Unternehmenskonsole bearbeiten, konfigurieren Sie
die Felder LDAP-Server oder -Domäne und LDAP-Gruppenabfrage und klicken Sie
auf Fertig.
3. Klicken Sie auf der Seite "Benutzer und Gruppen" auf Gruppen importieren.
4. Wählen Sie einen Importtyp aus der Liste aus, wählen Sie die Benutzergruppen
aus und klicken Sie auf Importieren .
5. Wählen Sie den Standardbenutzer aus, legen Sie als Zugriffsberechtigung "Zugriff erben" fest und klicken Sie auf Übernehmen.
Anmerkung:
a. Wenn sich ein Benutzer zum ersten Mal anmeldet, werden ihm automatisch
die Benutzerberechtigungen zugeordnet, die den Gruppen, zu denen er gehört, zugeordnet sind.
b. Verschachtelte Gruppen werden nicht unterstützt. Wenn ein Benutzer zu
mehreren LDAP-Gruppen gehört, erbt er die höchsten Berechtigungen der
Gruppenhierarchie, zu der er gehört.
Ergebnisse
Wenn sich ein Benutzer bei der Unternehmenskonsole anmeldet, erbt er die Berechtigung, über die die entsprechende Gruppe verfügt. Wenn Sie Ordnerzugriffsberechtigungen für die Gruppe zuordnen oder ändern, kann der Benutzer darauf zugreifen, wenn die zugehörige Gruppe es kann. Wenn ein Benutzer einen Job zum
Scannen von Inhalten erstellt, überprüft die Unternehmenskonsole die Scanberechtigungen der Gruppe, zu der er gehört.
Auswirkung von Benutzertypen auf Benutzergruppen
Der Administrator weist jedem Benutzer einen Benutzertyp zu. Der Benutzertyp
gilt für alle Ordner in einer Installation.
Wenn einem Benutzer aus einer LDAP-Gruppe der Benutzertyp "Zugriff erben" zugewiesen wurde, erbt dieser Benutzer immer die maximalen Berechtigungen aller
Gruppen, zu denen er gehört. Beispiel: In der folgenden Tabelle gehört Rob zu drei
Gruppen. Durch die maximalen Berechtigungen aller Gruppen kann er Benutzer
erstellen, ändern und löschen und Testrichtlinien konfigurieren.
Gruppe
Benutzertyp
Erweiterte
Ansicht
Benutzer
erstellen/
ändern
Benutzer
löschen
Servergruppen
konfigurieren
Testrichtlinien
konfigurieren
Alle Mitarbeiter
Standardbenutzer
J
N
N
N
N
Sicherheitsanalysten
Testrichtlinienadministrator
J
N
N
N
J
Kapitel 8. Administration
107
Gruppe
Benutzertyp
Erweiterte
Ansicht
Benutzer
erstellen/
ändern
Benutzer
löschen
Servergruppen
konfigurieren
Testrichtlinien
konfigurieren
Entwickler
Benutzeradministrator
J
J
J
N
N
Maximale
Berechtigungen
n. a.
J
J
J
N
J
Auswahl der richtigen Benutzerrolle
Benutzer können in jedem Ordner eine unterschiedliche Rolle einnehmen, die bestimmt, was ein Benutzer in diesem Ordner anzeigen und ausführen kann.
Beispiel: Der Ordner "Corporate" enthält die Unterordner Consumer und Business.
Mandy nimmt im Ordner "Corporate" ggf. die Rolle "Berichtsadministrator" ein,
hat im Ordner Business aber nur die Rolle "Berichtsanwender". Daher kann sie die
Eigenschaften der Berichtspakete im Ordner Business nicht ändern. Sie darf nur Berichtspakete im Ordner "Corporate" erstellen und bearbeiten. Als "Berichtsadministrator" kann Mandy keine Jobs im Ordner "Corporate" anzeigen.
Die Steuerung des Benutzerzugriffs geht über die Ordnerebene hinaus. Berichtspakete und Dashboards sind ebenfalls mit Berechtigungen verbunden, so dass ein Benutzer möglicherweise auf einen Ordner zugreifen kann, aber nicht auf alle Elemente in diesem Ordner. Wenn Mandy z. B. auf einen Ordner zugreifen darf, ihr
aber für das Berichtspaket "Corporate" in diesem Ordner die Berechtigung "Kein
Zugriff" zugewiesen wurde, kann sie das Berichtspaket "Corporate" nicht anzeigen.
Die folgende Tabelle enthält einige gängige Tasks in Ordnern und die zugehörigen
Rollen. Die Tabelle zeigt, welche Rolle mindestens für die Task erforderlich ist. Sie
können jedoch bei jeder Task auch eine höhere Rolle auswählen, um dieselben Ergebnisse zu erhalten.
Task in Ordner
Berichtspaketinhalte anzeigen
Erforderliche Benutzerrolle
Berichtsanwender
Berichtspakete erstellen, ändern und ausfüh- Berichtsadministrator
ren (um den Inhalt zu aktualisieren)
Probleme in Berichtspaketen klassifizieren
Problemmanager
Dashboardinhalte anzeigen
Berichtsanwender
Dashboards erstellen, ändern und ausführen
(um den Inhalt zu aktualisieren)
Problemmanager
In Dashboards zu Berichtspaketen und Berichten navigieren
Dem Benutzer die Rolle "Berichtsanwender"
in einem Dashboard zuweisen und ihm Zugriff auf jedes Berichtspaket gewähren, das
zum Dashboard beiträgt
Berichtsdaten exportieren
Berichtsanwender
Jobs erstellen und Scans ausführen
Jobadministrator
Nutzung der Anwendung überwachen
Mit dem Bericht "Aktivitätenprotokoll" können Sie bestimmen, wer die Anwendung nutzt und zu welchem Zweck. In diesem Bericht sind die Benutzer aufgelistet, die Änderungen vorgenommen haben, sowie der Zeitpunkt der vorgenomme-
108
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
nen Änderungen. Da das Protokoll Aktivitäten immer aufzeichnet, müssen Sie
lediglich den Bericht erstellen. Nur Administratoren können den Bericht "Aktivitätenprotokoll" erstellen. Jedoch kann jedem Benutzer über die Eigenschaften eines
Berichtspakets Zugriff darauf erteilt werden. Wenn Sie nicht möchten, dass andere
Benutzer den Bericht "Aktivitätenprotokoll" anzeigen, ändern Sie auf der Seite "Benutzer und Gruppen" des Berichtspakets "Alle anderen Benutzer" in Kein Zugriff.
Vorgehensweise
1. Wechseln Sie zur Zusammenfassung des Ordnerinhalts und öffnen Sie ein vorhandenes Berichtspaket oder erstellen Sie ein neues.
2. Wählen Sie Quellenjobs und wählen Sie einen Job aus. Es spielt keine Rolle,
welchen Job Sie auswählen, doch Sie können erst ein Berichtspaket erstellen,
nachdem Sie einen Job ausgewählt haben.
3. Wählen Sie Berichte > Administrationsberichte hinzufügen aus.
4. Wählen Sie den Bericht Aktivitätenprotokoll aus und klicken Sie auf Hinzufügen .
5. Klicken Sie auf Speichern, um das Berichtspaket zu speichern und zu schließen.
6. Führen Sie das Berichtspaket aus, um seine Daten zu aktualisieren.
Nächste Schritte
Stellen Sie sicher, dass Sie den Zugriff auf das Berichtspaket oder dessen Ordner
einschränken, damit andere Benutzer das Aktivitätenprotokoll nicht sehen können.
Leistungsoptimierung
Dieser Abschnitt enthält Tipps, die Ihnen dabei helfen, die Leistung der Anwendung zu optimieren und zu verwalten.
Leistungsoptimierung
Server
Die Leistung und Kapazität der Hardware, auf der der Scan ausgeführt wird, sind
ein Faktor, der die Leistung eines Scans direkt beeinflusst. Durch Optimierung des
Scan-PCs können Sie die Zeit, die zum erfolgreichen Abschließen der Scans und
zum Generieren der verschiedenen Berichte, die von den Beteiligten angefordert
wurden, minimieren.
In den folgenden Abschnitten werden Probleme und mögliche Alternativen zum
Reagieren auf diese Probleme erläutert. Diese Alternativen haben sowohl auf die
Zeit zum Durchführen eines Scans als auch auf die Nachverarbeitung den größten
Einfluss. Es ist wichtig, dass Sie zu diesem Material auch die Meinung der zuständigen technischen Mitarbeiter in Ihrem Unternehmen erfragen. Gerne unterstützen die IBM Software Services Sie beim Implementieren einer dieser Alternativen
und beantworten Ihre Fragen.
Räumliche Nähe des Scan-PCs zum Web-Server
Je größer die Anzahl der Hops und die Latenzzeit am Internet-Backbone zwischen
dem Scan-Computer und dem Web-Server sind, desto länger dauert der Scan (desto größer ist die Latenzzeit). Ziehen Sie die Vorteile in Erwägung, die es hat, den
Scan-Computer auf demselben Internet-Backbone (in derselben Umgebung wie den
Web-Sever, der gescannt wird) unterzubringen. Versuchen Sie, den Scan-Computer
Kapitel 8. Administration
109
mit dem schnellsten Internetzugriff (möglichst wenige andere Benutzer) zu versehen und ihn (in Hops) so nah wie möglich am Web-Server, der gescannt wird, unterzubringen.
Größe der Scanbereiche
Konfigurieren Sie die Anwendung möglichst so, dass große Websites in logischen
Abschnitten und nicht in einem großen Scan gescannt werden.
Hardwarekonfiguration scannen
Zusätzlicher Speicher, zusätzliche Prozessoren und schnelle Speichereinheiten sowie die Art der Softwareinstallation und der Betriebssystemkonfiguration können
die Leistung des Scan-Computers verbessern.
CPU-Konfiguration
Stellen Sie zur Optimierung der Leistung sicher, dass der Scan-Computer ausschließlich für das Durchführen des Scans, für die Analyse und für die Berichtsgenerierung von Anfang bis Ende dediziert ist.
Berichtspakete und Dashboards ausführen
Es ist wichtig, zu beachten, wie bestimmte Berichte generiert werden und welche
Auswirkung dies auf die Erstellungszeit hat. Fordern Sie jeweils nur die Berichte
an, die für Sie wichtig sind, z. B. Konformitätsberichte, um die zum Generieren der
Berichte erforderliche Zeit zu minimieren.
Anmerkung: Bei einer Berichterstellung zu mehreren Jobs in einem einzigen Berichtspaket wird mehr Zeit zum Generieren des Berichts benötigt.Verwenden Sie
Dashboards, um eine Zusammenfassung für alle Jobs und Berichtspakete zu erhalten.
JavaScript ausführen
Die Ausführung von JavaScript kann die Leistung eines Jobs zum Scannen von Inhalten negativ beeinflussen, da JavaScript einen der verfügbaren Agenten in Anspruch nehmen kann. Wenn Sie jedes JavaScript ausführen möchten, das bei einem
Scan von Inhalten gefunden wird, ziehen Sie die Installation zusätzlicher Agentenserver in Betracht.
Datenbank
Durch das Konfigurieren eines Serverklassencomputers für den Datenbankserver
kann eine wesentliche Verbesserung bei der Anzahl der pro Minute überprüften
Links erreicht werden. Ein nicht leistungsfähiger Datenbankcomputer wirkt sich jedoch negativ auf die Leistung des Inhaltsagenten aus. Vorschläge zur Optimierung
der Datenbank für optimale Leistung finden Sie in den Microsoft SQL Server Performance Tuning-Leitfäden.
Internet Explorer für erweiterte Anmeldung konfigurieren
Wenn Sie Interaction-Scripts über die Funktion für die erweiterte Anmeldung aufzeichnen, müssen sowohl die Maschine, mit der das Script aufgezeichnet wird, als
auch der Server, der zum Ausführen von Jobs zum Scannen von Inhalten mit akti-
110
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
vierter Option für die erweiterte Anmeldung verwendet wird, dieselben Internet
Explorer-Optionen und -Einstellungen für den Service-Account verwenden.
Anmerkung: Ab Windows 2003: Deinstallieren Sie die erweiterte Sicherheitskonfiguration für den Internet Explorer vom Server.
1. Wählen Sie im Internet Explorer die Optionen "Extras > Internetoptionen > Sicherheit" aus.
2. Wählen Sie die Optionen Internet > Stufe anpassen aus.
3. Konfigurieren Sie im Fenster "Sicherheitseinstellungen" die folgenden Optionen:
a. ActiveX-Steuerelemente und Plugins
v Signierte ActiveX-Steuerelemente herunterladen (Eingabeaufforderung)
v ActiveX-Steuerelement und Plugins ausführen (Aktivieren)
v ActiveX-Steuerelemente ausführen, die für Scripting sicher sind (Aktivieren)
b. Downloads
v Dateidownload (Aktivieren)
c. Verschiedenes
v
v
v
v
v
META REFRESH zulassen (Aktivieren)
Gemischte Inhalte anzeigen (Aktivieren)
Subframes zwischen verschiedenen Domänen bewegen (Aktivieren)
Unverschlüsselte Formulardaten übermitteln (Aktivieren)
Dauerhaftigkeit der Benutzerdaten (Aktivieren)
d. Scripting
v Active Scripting (Aktivieren)
4. Klicken Sie auf OK.
5. Wählen Sie auf der Registerkarte "Datenschutz" die folgenden Einstellungen
aus:
v Datenschutzstufe "Mittel".
v Inaktivieren Sie das Blockieren von Popup-Fenstern.
6. Inaktivieren Sie auf der Registerkarte "Inhalte" alle Optionen für "AutoVervollständigen".
7. Wählen Sie auf der Registerkarte "Erweitert" die folgenden Optionen aus:
a. Browsen
v Skriptdebugging inaktivieren (Auswählen)
v Seitenübergänge aktivieren (Abwählen)
b. Sicherheit
v Beim Wechsel zwischen sicherem und nicht sicherem Modus warnen (Abwählen)
v Warnen, falls Formulardaten umgelenkt werden (Abwählen)
v Bei ungültigen Sitezertifikaten warnen (Abwählen)
v Leeren des Ordners "Temporary Internet Files" beim Schließen des Browsers (Abwählen)
IIS auf dem Server der Unternehmenskonsole sichern
Sie können Schritte zum Schützen von IIS auf den Servern, auf denen der Server
der Steuerzentrale installiert ist, unternehmen.
Kapitel 8. Administration
111
WebDAV inaktivieren
EnableTraceMethod inaktivieren
Mit dieser Methode wird festgelegt, ob IIS die Methode HTTP TRACE erkennt. Die
TRACE-Methode wird verwendet, um eine ferne Rückschleife einer Anforderungsnachricht auf Anwendungsebene aufzurufen. TRACE ermöglicht es einem Client,
zu sehen, was am anderen Ende der Anforderungskette empfangen wird, und diese Daten zum Testen und zur Fehlerbehebung zu verwenden.
Anmerkung: Lassen Sie die Methode "EnableTraceMethod" auf einem Produktionssystem nicht aktiviert, da sonst einem heimtückischen Benutzer Adressdaten
des Back-End-Servers zugänglich werden können.
112
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Bemerkungen
© Copyright IBM Corporation 2000, 2013.
Programmierschnittstellen: Mithilfe der vorgesehenen Programmierschnittstellen
können Kunden Programme zum Abrufen der Services von IBM Security AppScan
Enterprise schreiben..
Die vorliegenden Informationen wurden für Produkte und Services entwickelt, die
auf dem deutschen Markt angeboten werden.
Möglicherweise bietet IBM die in diesem Dokument beschriebenen Produkte, Services oder Funktionen in anderen Ländern oder Regionen nicht an. Informationen
über die gegenwärtig im jeweiligen Land verfügbaren Produkte und Services sind
beim zuständigen IBM Ansprechpartner erhältlich. Hinweise auf IBM Lizenzprogramme oder andere IBM Produkte bedeuten nicht, dass nur Programme, Produkte
oder Services von IBM verwendet werden können. Anstelle der IBM Produkte,
Programme oder Services können auch andere, ihnen äquivalente Produkte, Programme oder Services verwendet werden, solange diese keine gewerblichen oder
anderen Schutzrechte von IBM verletzen. Die Verantwortung für den Betrieb von
Produkten, Programmen und Services anderer Anbieter liegt beim Kunden.
Für in diesem Handbuch beschriebene Erzeugnisse und Verfahren kann es IBM Patente oder Patentanmeldungen geben. Mit der Auslieferung dieses Handbuchs ist
keine Lizenzierung dieser Patente verbunden. Lizenzanforderungen sind schriftlich
an folgende Adresse zu richten (Anfragen an diese Adresse müssen auf Englisch
formuliert werden):
IBM Director of Licensing
IBM Europe, Middle East & Africa
Tour Descartes
2, avenue Gambetta
92066 Paris La Defense
France
Trotz sorgfältiger Bearbeitung können technische Ungenauigkeiten oder Druckfehler in dieser Veröffentlichung nicht ausgeschlossen werden. Die hier enthaltenen Informationen werden in regelmäßigen Zeitabständen aktualisiert und als Neuausgabe veröffentlicht. IBM kann ohne weitere Mitteilung jederzeit Verbesserungen und/
oder Änderungen an den in dieser Veröffentlichung beschriebenen Produkten und/
oder Programmen vornehmen.
Verweise in diesen Informationen auf Websites anderer Anbieter werden lediglich
als Service für den Kunden bereitgestellt und stellen keinerlei Billigung des Inhalts
dieser Websites dar. Das über diese Websites verfügbare Material ist nicht Bestandteil des Materials für dieses IBM Produkt. Die Verwendung dieser Websites geschieht auf eigene Verantwortung.
Werden an IBM Informationen eingesandt, können diese beliebig verwendet werden, ohne dass eine Verpflichtung gegenüber dem Einsender entsteht.
Lizenznehmer des Programms, die Informationen zu diesem Produkt wünschen
mit der Zielsetzung: (i) den Austausch von Informationen zwischen unabhängig
© Copyright IBM Corp. 2000, 2011 © IBM , 2013
113
voneinander erstellten Programmen und anderen Programmen (einschließlich des
vorliegenden Programms) sowie (ii) die gemeinsame Nutzung der ausgetauschten
Informationen zu ermöglichen, wenden sich an folgende Adresse:
Intellectual Property Dept. for Security Software
IBM Corporation
5 Technology Park Drive
Westford, MA 01886
USA
Die Bereitstellung dieser Informationen kann unter Umständen von bestimmten
Bedingungen - in einigen Fällen auch von der Zahlung einer Gebühr - abhängig
sein.
Die Lieferung des im Dokument aufgeführten Lizenzprogramms sowie des zugehörigen Lizenzmaterials erfolgt auf der Basis der IBM Rahmenvereinbarung bzw.
der Allgemeinen Geschäftsbedingungen von IBM, der IBM Internationalen Nutzungsbedingungen für Programmpakete oder einer äquivalenten Vereinbarung.
Alle in diesem Dokument enthaltenen Leistungsdaten stammen aus einer kontrollierten Umgebung. Die Ergebnisse, die in anderen Betriebsumgebungen erzielt werden, können daher erheblich von den hier erzielten Ergebnissen abweichen. Einige
Daten stammen möglicherweise von Systemen, deren Entwicklung noch nicht abgeschlossen ist. Eine Gewährleistung, dass diese Daten auch in allgemein verfügbaren Systemen erzielt werden, kann nicht gegeben werden. Darüber hinaus wurden
einige Daten unter Umständen durch Extrapolation berechnet. Die tatsächlichen Ergebnisse können davon abweichen. Benutzer dieses Dokuments sollten die entsprechenden Daten in ihrer spezifischen Umgebung prüfen.
Alle Informationen zu Produkten anderer Anbieter stammen von den Anbietern
der aufgeführten Produkte, deren veröffentlichten Ankündigungen oder anderen
allgemein verfügbaren Quellen. IBM hat diese Produkte nicht getestet und kann
daher keine Aussagen zu Leistung, Kompatibilität oder anderen Merkmalen machen. Fragen zu den Leistungsmerkmalen von Produkten anderer Anbieter sind
an den jeweiligen Anbieter zu richten.
Aussagen über Pläne und Absichten von IBM unterliegen Änderungen oder können zurückgenommen werden und repräsentieren nur die Ziele von IBM.
Diese Veröffentlichung dient nur zu Planungszwecken. Die in dieser Veröffentlichung enthaltenen Informationen können geändert werden, bevor die beschriebenen Produkte verfügbar sind.
Diese Veröffentlichung enthält Beispiele für Daten und Berichte des alltäglichen
Geschäftsablaufes. Sie sollen nur die Funktionen des Lizenzprogramms illustrieren
und können Namen von Personen, Firmen, Marken oder Produkten enthalten. Alle
diese Namen sind frei erfunden; Ähnlichkeiten mit tatsächlichen Namen und Adressen sind rein zufällig.
Copyrightlizenz
Diese Veröffentlichung enthält Beispielanwendungsprogramme, die in Quellensprache geschrieben sind und Programmiertechniken in verschiedenen Betriebsumgebungen veranschaulichen. Sie dürfen diese Musterprogramme kostenlos kopieren,
ändern und verteilen, wenn dies zu dem Zweck geschieht, Anwendungsprogramme zu entwickeln, zu verwenden, zu vermarkten oder zu verteilen, die mit der
114
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Anwendungsprogrammierschnittstelle für die Betriebsumgebung konform sind, für
die diese Musterprogramme geschrieben werden. Diese Beispiele wurden nicht unter allen denkbaren Bedingungen getestet. Daher kann IBM die Zuverlässigkeit,
Wartungsfreundlichkeit oder Funktion dieser Programme weder zusagen noch gewährleisten. Die Beispielprogramme werden ohne Wartung (auf "as-is"-Basis) und
ohne jegliche Gewährleistung zur Verfügung gestellt. IBM übernimmt keine Haftung für Schäden, die durch die Verwendung der Beispielprogramme entstehen.
Kopien oder Teile der Musterprogramme bzw. daraus abgeleiteter Code müssen
folgenden Copyrightvermerk beinhalten:
© (Name Ihrer Firma) (Jahr). Teile des vorliegenden Codes wurden aus Musterprogrammen der IBM Corp. abgeleitet. © Copyright IBM Corp. [2000, 2012].
Markennachweis
Siehe www.ibm.com/legal/copytrade.shtml.
Hinweise zur Datenschutzrichtlinie
IBM Software-Produkte, einschließlich "Software as a Service"-Lösungen (Softwareangebote) verwenden möglicherweise Cookies oder andere Technologien, um
Nutzungsinformationen zum Produkt zu erfassen, die Erfahrung der Endbenutzer
zu verbessern, Interaktionen mit dem Endbenutzer zu optimieren usw. In vielen
Fällen werden von den Softwareangeboten keine personenbezogenen Daten erfasst.Einige der IBM Softwareangebote können Sie jedoch bei der Erfassung personenbezogener Daten unterstützen. Wenn dieses Softwareangebot Cookies verwendet,
um personenbezogene Daten zu erfassen, sind Informationen zur Verwendung von
Cookies in diesem Angebot unten dargelegt.
Je nach den implementierten Konfigurationen verwendet dieses Softwareangebot
möglicherweise Sitzungscookies sowie persistente Cookies, die die Namen der einzelnen Benutzer zur Authentifizierung und für einen besseren Bedienungskomfort
erfassen. Diese Cookies können nicht inaktiviert werden.
Wenn die für dieses Softwareangebot genutzten Konfigurationen Sie als Kunde in
die Lage versetzen, personenbezogene Daten von Endbenutzern über Cookies und
andere Technologien zu erfassen, müssen Sie sich zu allen gesetzlichen Bestimmungen in Bezug auf eine solche Datenerfassung, einschließlich aller Mitteilungspflichten und Zustimmungsanforderungen, rechtlich beraten lassen.
Weitere Informationen zur Verwendung der verschiedenen Technologien einschließlich Cookis zu diesen Zwecken finden Sie im IBM Datenschutzhinweis unter
http://www.ibm.com/privacy/de/de/ sowie in der IBM Online-Datenschutzerklärung unter http://www.ibm.com/privacy/details/de/de/ in den Abschnitten
"Cookies, Web-Beacons und sonstige Technologien" und "Software Products and
Software-as-a-Service".
Bemerkungen
115
116
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Index
A
D
M
Agenten
überprüfen, ob der Agentenservice
ordnungsgemäß installiert ist 45
Aktivitätenprotokoll
erstellen 109
Alerts
überprüfen, ob der Alertausgabeservice ordnungsgemäß installiert
ist 45
Assistent-Benutzeraccount
erstellen 21
Ausfallzeiten
für eine Domäne planen 43
Datenbank
Konfiguration der SQL-Protokolldateien 18
Sicherheit 10
Domänen
angeben 42
Ausfallzeiten planen 43
Musterdaten
konfigurierbare Optionen installieren 39
B
Barrierefreiheit 1
Benutzer
erstellen 104
zuweisen
Zugriffsrechte 105
Benutzer und Gruppen
Übersicht 103
Benutzeraccountdaten
Benutzeraccount für das lokale System 10
Datei- und Ordnerberechtigungen 10
Service-Account 10
Benutzergruppen 107
Benutzerrolle "Berichtsadministrator" 102
Benutzerrolle "Berichtsanwender" 102
Benutzerrolle "Jobadministrator" 102
Benutzerrolle "Kein Zugriff" 102
Benutzerrolle "Problemmanager" 102
Benutzerrollen
Auswahl der richtigen Rolle 108
Benutzertyp "Administrator" 99, 101
Benutzertyp "Angepasster Benutzer" 99,
101
erstellen 104
Benutzertyp "Kein Zugriff" 99, 101
Benutzertyp "QuickScan-Benutzer" 99,
101
Benutzertyp "Standardbenutzer" 99, 101
Benutzertyp "Zugriff erben" 99, 101
Benutzertypen
angepasste erstellen 104
Auswirkung auf Benutzergruppen 107
Zugriffsberechtigungen je nach Benutzertyp steuern 99
Berechtigung "db_owner"
Assistent-Benutzeraccount erstellen 21
E
EFS
siehe Encrypting File System
Einzelner Server
installieren 32
Encrypting File System
auf SQL Server Standard Edition aktivieren 25, 88
F
Fehlerverfolgung
Integration konfigurieren
44
I
Installation
Einfluss der Umgebung auf die Installation 16
Konfigurationsoptionen 29
J
Jobs
ausgesetzte Jobs überschreiben 43
Jobs zum Scannen der Infrastruktur
gebräuchliche Ports konfigurieren 41
K
Konformität mit FIPS 140-2
AppScan Server aktivieren 41
auf Betriebssystem aktivieren 80
auf WebSphere aktivieren 78
unter Tomcat aktivieren 75
L
LDAP-Benutzergruppen
importieren 107
Leistungsoptimierung 109
Lizenzen 12
Benutzerlizenzen
berechtigter Benutzer
Floating 15
P
Ports
für Infrastrukturscans konfigurieren 41
R
Ruhende Daten
83
S
Server
angeben 42
Leistung verwalten 99
Serverkomponenten
konfigurieren 33, 46
Sichere Instanz implementieren 33, 46
Sicherheitsregeln
automatisch aktualisieren, wenn sie
zur Verfügung stehen 45
SQL Server
konfigurieren 17
SQL Server-Datenbank
Verwendung 20
Systemvoraussetzungen 5
T
TDE
siehe Transparente Datenverschlüsselung
Transparente Datenverschlüsselung
auf SQL Server Enterprise Edition aktivieren 22, 85
U
Unternehmenskonsole
konfigurieren 41
Upgrade
Lizenzierung 81
V
Verschlüsselung der physikalischen
Schicht 22, 85
15
117
Z
Zugriffsberechtigungen
Benutzerrollen und Benutzertypen 99
pro Element pro Benutzer 99
118
AppScan Enterprise Server 8.7.0.1 Planungs- und Installationshandbuch
Zugehörige Unterlagen
Winjur, Fehlermeldung Fehler bei der Anmeldung für den Benutzer
Winjur, Fehlermeldung Fehler bei der Anmeldung für den Benutzer
Öffnen Sie das SQL Server Management Studio Melden Sie sich an:
Öffnen Sie das SQL Server Management Studio Melden Sie sich an:
Manuelle Sicherung mit SQL Server 2005_2008
Manuelle Sicherung mit SQL Server 2005_2008
MSSQL Server
MSSQL Server
Microsoft SQL Server 2014 Standard
Microsoft SQL Server 2014 Standard
Informationsblatt Server Betreuung
Informationsblatt Server Betreuung
Microsoft: SP1 für SQL Server 2005 - ISAG, Informations
Microsoft: SP1 für SQL Server 2005 - ISAG, Informations
Datenbank-Entwickler MS SQL (w/m) - geva
Datenbank-Entwickler MS SQL (w/m) - geva
Simulation 12 (F_7)
Simulation 12 (F_7)
Wirtschaftsinformatiker oder Programmierer (m/w)
Wirtschaftsinformatiker oder Programmierer (m/w)
Steckbrief DataManagement
Steckbrief DataManagement
und Wiederherstellungsmechanismen in MS SQL
und Wiederherstellungsmechanismen in MS SQL
Herunterladen
Werbung