Prüfliste: Planen von Vorgängen in einer sicheren Umgebung
Das Ausführen BizTalk Server in einer sicheren Umgebung erfordert zusätzliche Schritte für die Bereitstellung und Konfiguration. Standardbetriebssysteminstallationen müssen diese zwar nicht berücksichtigen, aber Szenarien, in denen restriktive Sicherheitsrichtlinien angewendet wurden, sollten Sie die Informationen in diesem Abschnitt berücksichtigen. Die auf Server angewendete Einschränkung kann variieren, aber die folgenden Informationen sollten die meisten Fälle abdecken und wären ein guter Ausgangspunkt.
Sicherheitsüberlegungen für Computer, auf denen BizTalk Server ausgeführt wird
Sicherheitsüberlegungen für Computer, auf denen SQL Server ausgeführt wird
Sicherheitsüberlegungen für Computer, auf denen BizTalk Server ausgeführt wird
Die folgenden Informationen schlagen die Sicherheitseinstellungen auf Computern vor, auf denen BizTalk Server ausgeführt wird.
Zuweisen von Benutzerrechten
Klicken Sie zum Starten des MMC-Snap-Ins Zuweisung von Benutzerrechten auf Start, auf Verwaltung und dann auf Lokale Sicherheitsrichtlinie. Erweitern Sie im MMC-Snap-In Lokale Sicherheitsrichtlinieden Eintrag Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Zuweisung von Benutzerrechten.
| Richtlinieneinstellung | Werte | Referenz und Details |
|---|---|---|
| Anmelden als Dienst | BizTalk-Anwendungsbenutzer | Erforderlich zum Ausführen von BizTalk-Hostinstanzen. Weitere Informationen zu verschiedenen Benutzerkonten finden Sie unter Windows-Gruppen und Benutzerkonten in BizTalk Server. |
| Anmelden als Dienst | RuleEngine Update-Dienstkonto | Erforderlich zum Ausführen von RuleEngine Update Service. Weitere Informationen zu verschiedenen Benutzerkonten finden Sie unter Windows-Gruppen und Benutzerkonten in BizTalk Server. |
| Anmelden als Dienst | SSO-Dienstkonto | Erforderlich zum Ausführen von Enterprise Single Sign-On Service. Weitere Informationen zu verschiedenen Benutzerkonten finden Sie unter Windows-Gruppen und Benutzerkonten in BizTalk Server. |
Systemdienste
Um das MMC-Snap-In Dienste zu starten, klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie im Dialogfeld Ausführen die EINGABETASTE ein services.msc , und drücken Sie sie.
COM+-Systemanwendung:
- Starttyp1: Automatisch
- Details: Für die ordnungsgemäße Ausführung von BizTalk erforderlich
- Benutzer2: (Standard)
DHCP-Client:
- Starttyp1: Automatisch
- Details: Erforderlich, auch wenn IP-Adressen statisch sind
- Benutzer2: (Standard)
Koordinator für verteilte Transaktionen:
- Starttyp1: Automatisch
- Details: Für die ordnungsgemäße Ausführung von BizTalk erforderlich
Die folgenden Benutzerkonten benötigen Berechtigungen für diesen Dienst:
| Benutzer 2 | Berechtigungen | Details |
|---|---|---|
| SSO-Dienstkonto | Vollzugriff | Erforderlich zum Starten des SSO-Diensts |
| BizTalk-Hostdienstkonto | Vollzugriff | Erforderlich zum Starten von BizTalk-Hosts |
| Netzwerkdienst | Vollzugriff | Für IIS erforderlich |
HTTP SSL3:
- Starttyp1: Automatisch
- Details: Für IIS erforderlich
- Benutzer2: (Standard)
IPSEC-Dienste3:
- Starttyp1: Automatisch
- Details: IPSEC erhöht die Netzwerksicherheit bei Verwendung
- Benutzer2: (Standard)
Netlogon:
- Starttyp1: (Standard)
- Benutzer2: Lokaler Dienst
- Berechtigungen: Vollzugriff
NT LM Security Support Provider3:
- Starttyp1: Automatisch
- Details: Erforderlich für die Kerberos-Authentifizierung für BizTalk Server in SQL
- Benutzer2: (Standard)
Remotezugriff Verbindungs-Manager:
- Starttyp1: (Standard)
Die folgenden Benutzerkonten benötigen Berechtigungen für diesen Dienst:
| Benutzer 2 | Berechtigungen | Details |
|---|---|---|
| SSO-Dienstkonto | Vollzugriff | Erforderlich zum Starten des SSO-Diensts |
| BizTalk-Hostdienstkonto | Vollzugriff | Erforderlich zum Starten von BizTalk-Hosts |
| Netzwerkdienst | Vollzugriff | Für IIS erforderlich |
RPC-Locator (Remoteprozeduraufruf):
- Starttyp1: Automatisch
- Details: Für BizTalk erforderlich
- Benutzer2: (Standard)
WinHTTP WebProxy Auto-Discovery Service:
- Starttyp1: (Standard)
Die folgenden Benutzerkonten benötigen Berechtigungen für diesen Dienst:
| Benutzer 2 | Berechtigungen | Details |
|---|---|---|
| SSO-Dienstkonto | Vollzugriff | Erforderlich zum Starten des SSO-Diensts |
| BizTalk-Hostdienstkonto | Vollzugriff | Erforderlich zum Starten von BizTalk-Hosts |
1 Ein Wert von (Standard) bedeutet, dass die von der Sicherheitsrichtlinie angewendeten Standardeinstellungen nicht geändert werden.
2 Ein Wert von (Standard) bedeutet, dass die Standardbenutzerberechtigungen für den Dienst nicht geändert wurden.
Registrierungseinstellungen
Um den Registrierungs-Editor zu starten, klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie im Dialogfeld Ausführen die EINGABETASTE ein regedit , und drücken Sie sie.
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- Benutzer: Netzwerkdienst
- Berechtigungen: Vollzugriff
- Details: Vom DHCP-Clientdienst erforderlich
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- Benutzer: Netzwerkdienst
- Berechtigungen: Vollzugriff
- Details: Vom DHCP-Clientdienst erforderlich
Sicherheitsüberlegungen für Computer, auf denen SQL Server ausgeführt wird
Die folgenden Informationen schlagen die Sicherheitseinstellungen auf Computern vor, auf denen SQL Server ausgeführt wird.
Zuweisen von Benutzerrechten
Klicken Sie zum Starten des MMC-Snap-Ins Zuweisung von Benutzerrechten auf Start, auf Verwaltung und dann auf Lokale Sicherheitsrichtlinie. Erweitern Sie im MMC-Snap-In Lokale Sicherheitsrichtlinieden Eintrag Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Zuweisung von Benutzerrechten.
| Richtlinieneinstellung | Werte | Referenz und Details |
|---|---|---|
| Einsetzen als Teil des Betriebssystems | SQL Server-Agent Dienstkonto, SQL Server Dienstkonto | Erforderlich, um SQL Server auszuführen. Weitere Informationen finden Sie unter Einrichten von Windows-Dienstkonten. |
| Anpassen von Speicherkontingenten für einen Prozess | SQL Server-Agent Dienstkonto, SQL Server Dienstkonto | Erforderlich, um SQL Server auszuführen. Weitere Informationen finden Sie unter Einrichten von Windows-Dienstkonten. |
| Auslassen der durchsuchenden Überprüfung | SQL Server-Agent Dienstkonto, SQL Server Dienstkonto | Erforderlich, um SQL Server auszuführen. Weitere Informationen finden Sie unter Einrichten von Windows-Dienstkonten. |
| Erstellen globaler Objekte | SQL Server-Dienstkonto | Vom SSIS-Dienst erforderlich. Weitere Informationen finden Sie unter Einrichten von Windows-Dienstkonten. |
| Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird | SQL Server Dienstkonto, SQL Server Server, BizTalk Server Server, SQL Server Clustername | Erforderlich für BizTalk Server. Servername hat die Form <servername>$. Weitere Informationen finden Sie unter Vorgehensweise: Aktivieren der Kerberos-Authentifizierung auf einem SQL Server Failovercluster. |
| Anmelden als Dienst | SQL Server-Agent Dienstkonto, SQL Server Dienstkonto | Erforderlich, um SQL Server auszuführen. Weitere Informationen finden Sie unter Einrichten von Windows-Dienstkonten. |
| Anmelden als Dienst | SSO-Dienstkonto | Erforderlich zum Ausführen von Enterprise Single Sign-On Service. Weitere Informationen zu verschiedenen Benutzerkonten finden Sie unter Windows-Gruppen und Benutzerkonten in BizTalk Server. |
| Anmelden als Batchauftrag | SQL Server-Agent Dienstkonto, SQL Server Dienstkonto | Erforderlich, um SQL Server auszuführen. Weitere Informationen finden Sie unter Einrichten von Windows-Dienstkonten. |
| Ersetzen eines Tokens auf Prozessebene | SQL Server-Agent Dienstkonto, SQL Server Dienstkonto | Erforderlich, um SQL Server auszuführen. Weitere Informationen finden Sie unter Einrichten von Windows-Dienstkonten. |
Systemdienste
Um das MMC-Snap-In Dienste zu starten, klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie im Dialogfeld Ausführen die EINGABETASTE ein services.msc , und drücken Sie sie.
DHCP-Client:
- Starttyp1: Automatisch
- Details: Erforderlich, auch wenn IP-Adressen statisch sind
- Benutzer2: (Standard)
Koordinator für verteilte Transaktionen:
- Starttyp1: Manuell
- Details: Dienststart, der vom Clusterdienst verwaltet wird
Die folgenden Benutzerkonten benötigen Berechtigungen für diesen Dienst:
| Benutzer 2 | Berechtigungen | Details |
|---|---|---|
| SSO-Dienstkonto | Vollzugriff | Erforderlich zum Starten des SSO-Diensts |
| Netzwerkdienst | Vollzugriff | Für IIS erforderlich |
HTTP SSL3:
- Starttyp1: Automatisch
- Details: Für IIS erforderlich
- Benutzer2: (Standard)
IPSEC-Dienste3:
- Starttyp1: Automatisch
- Details: IPSEC erhöht die Netzwerksicherheit bei Verwendung
- Benutzer2: (Standard)
Netlogon:
- Starttyp1: (Standard)
- Benutzer2: Lokaler Dienst
- Berechtigungen: Vollzugriff
NT LM Security Support Provider3:
- Starttyp1: Automatisch
- Details: Erforderlich für die Kerberos-Authentifizierung für BizTalk Server in SQL
- Benutzer2: (Standard)
Remotezugriff Verbindungs-Manager:
- Starttyp1: (Standard)
Die folgenden Benutzerkonten benötigen Berechtigungen für diesen Dienst:
| Benutzer 2 | Berechtigungen | Details |
|---|---|---|
| SSO-Dienstkonto | Vollzugriff | Erforderlich zum Starten des SSO-Diensts |
| Netzwerkdienst | Vollzugriff | Für IIS erforderlich |
Server:
- Starttyp1: Automatisch
- Details: Wird für Gruppierte Dateifreigaberessourcen verwendet
- Benutzer2: Netzwerkdienst
- Berechtigungen: Vollzugriff
WinHTTP WebProxy Auto-Discovery Service:
- Starttyp1: (Standard)
- Benutzer2: SSO-Dienstkonto
- Berechtigungen: Vollzugriff
- Details: Erforderlich zum Starten des SSO-Diensts
World Wide Web Publishing Service:
- Starttyp1: Automatisch
- Details: Erforderlich für SQL Server Reporting Services
- Benutzer2: (Standard)
1 Ein Wert von (Standard) bedeutet, dass die von der Sicherheitsrichtlinie angewendeten Standardeinstellungen nicht geändert werden.
2 Ein Wert von (Standard) bedeutet, dass die Standardbenutzerberechtigungen für den Dienst nicht geändert wurden.
Registrierungseinstellungen
Um den Registrierungs-Editor zu starten, klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie im Dialogfeld Ausführen die EINGABETASTE ein regedit , und drücken Sie sie.
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- Benutzer: Netzwerkdienst
- Berechtigungen: Vollzugriff
- Details: Vom DHCP-Clientdienst erforderlich
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- Benutzer: Netzwerkdienst
- Berechtigungen: Vollzugriff
- Details: Vom DHCP-Clientdienst erforderlich
Weitere Überlegungen zur Sicherheit
In der folgenden Tabelle werden die weiteren wichtigen sicherheitsbezogenen Einstellungen für Ihre BizTalk Server-Umgebung aufgeführt.
| Betroffenes Artefakt | Change | Referenz und Details |
|---|---|---|
| SSO-Dienstkonto | Erteilen der Vollzugriffsberechtigung für cluster im Cluster-Manager | Diese Änderung ist erforderlich, damit einmaliges Anmelden ordnungsgemäß funktioniert. |
| SQL Server Dienstkonto, SQL Server Server, BizTalk Server Server, SQL Server Clustername | Vertrauensstellung für die Delegierung in Active Directory | Erforderlich für die ordnungsgemäße Kerberos-Authentifizierung. Weitere Informationen finden Sie unter Vorgehensweise: Aktivieren der Kerberos-Authentifizierung auf einem SQL Server Failovercluster. |
| SQL Server-Dienstkonto | Erteilen der Berechtigung zum Erstellen von SPN-Einträgen | Erforderlich für die ordnungsgemäße Kerberos-Authentifizierung. Weitere Informationen finden Sie unter Verwenden der Kerberos-Authentifizierung in SQL Server. |
| SQL Server Knoten, SQL-Clustername | Erstellen von SPN-Einträgen für benutzer SQL Server Dienstkonto | Erforderlich für die ordnungsgemäße Kerberos-Authentifizierung. Weitere Informationen finden Sie unter Verwenden der Kerberos-Authentifizierung in SQL Server. |
| SQL-Netzwerkname-Clusterressource | DNS-Registrierung muss erfolgreich sein, Kerberos-Authentifizierung aktivieren | Erforderlich für die ordnungsgemäße Kerberos-Authentifizierung |
| SQL Server Surface-Konfiguration | Aktivieren der Direkten Remoteadministratorverbindung | Vom SQL-Browserdienst erforderlich, um ordnungsgemäß zu funktionieren, was für SQL-Clients (BizTalk/ASP.NET) erforderlich ist, um SQL Server namens instance ordnungsgemäß zu finden. |
| BizTalk-Anwendungsbenutzergruppe | Erteilen der Berechtigung Ausführen für sp_help_jobhistory in msdb-Datenbank | Erforderlich für BizTalk Server |