Sicherheitsempfehlungen für das BizTalk Server-Laufzeitmodul
Sie müssen die BizTalk Server-Runtime-Engine (oder BizTalk Server-Engine) auf jedem Computer installieren, über den Sie Nachrichten empfangen, senden, verarbeiten und nachverfolgen möchten. Das heißt, Sie müssen die Laufzeitkomponenten auf jedem Computer installieren, auf dem Sie eine BizTalk-Hostinstanz (Verarbeitungsserver) erstellen. Die folgenden Empfehlungen gelten für das Schützen und Bereitstellen des BizTalk Server-Laufzeitmoduls in Ihrer Umgebung:
Vergewissern Sie sich, dass Sie die mindestens erforderlichen Benutzerberechtigungen zum Ausführen von BizTalk-Laufzeittasks haben. Weitere Informationen zu den Mindestsicherheitsbenutzerrechten finden Sie unter Mindestsicherheitsbenutzerrechte.
Hinweis
Die BizTalk-Konfiguration erteilt den Konten die Mindestberechtigungen, die sie zum Ausführen der jeweiligen Tasks benötigen.
Das Dienstkonto jeder Hostinstanz muss mit Dienstberechtigungen auf dem Computer angemeldet sein, auf dem die Hostinstanz ausgeführt wird.
Nur die Dienstkonten eines Hosts haben Zugriff auf MessageBox-Daten, die sich auf einen Host beziehen, und nur diese Dienste können Daten an die MessageBox senden. Damit die Gefahr von Informationsoffenlegungsattacken weitestgehend minimiert wird, sollten Sie für jeden Host ein eigenes Dienstkonto verwenden.
Verarbeitungsserver (Hosts, die keine Hostüberwachung vornehmen) müssen nur Verbindungen mit der MessageBox- und der Verwaltungsdatenbank sowie dem Server für den geheimen Hauptschlüssel haben. Wenn Sie IPSec (Internet Protocol Security) verwenden, können den Zugriff der Verarbeitungsserver auf diese beiden Datenbanken und den Server für den geheimen Hauptschlüssel beschränken.
Alle Komponenten, die im selben BizTalk-Host ausgeführt werden, haben dieselbe Vertrauensebene wie der Host. Der BizTalk-Administrator muss entscheiden, welche Komponenten im selben Host ausgeführt werden sollen und somit dieselbe Vertrauensebene haben. BizTalk stellt sicher, dass in einem BizTalk-Host nur Assemblys ausgeführt, die von einem BizTalk-Administrator installiert wurden. Wenn Sie weitere Einschränkungen hinsichtlich der von BizTalk verwendeten Assemblys erstellen möchten, z. B. wenn Sie BizTalk nur auf die Ausführung von Assemblys beschränken möchten, die von einem bestimmten Anbieter signiert sind, oder die starke Namenssignatur für eine Orchestrierung überprüfen möchten, können Sie den .NET Framework CodeZugriffssicherheitsmechanismus verwenden. Weitere Informationen zur Microsoft MSDN-Website unter https://go.microsoft.com/fwlink/?LinkId=60947.
Die Autorisierungsgranularität für das Senden von Nachrichten befindet sich auf der BizTalk-Hostebene. Das heißt, wenn es mehrere Orchestrierungen oder Adapter gibt, die im selben BizTalk-Host ausgeführt werden, können Sie den Empfang von Nachrichten, die an den Host gesendet wurden, nicht auf eine bestimmte Orchestrierung einschränken.
Wenn ein Host nicht berechtigt ist, eine Nachricht zu empfangen, platziert er die Nachricht in seiner Warteschlange für angehaltene Nachrichten. Wenn Empfangsadapter und Orchestrierungen im selben Host ausgeführt werden, können die Orchestrierungen standardmäßig die Hostwarteschlange für angehaltene Nachrichten lesen. Eine Orchestrierung kann dann eine Nachricht abrufen, die BizTalk wegen eines Autorisierungsfehlers angehalten hat. Daher empfiehlt es sich, Orchestrierungen und Empfangsadapter nicht im selben Host auszuführen.
Hostinstanzen sind Windows-Dienste, die auf einem bestimmten Computer ausgeführt werden. Damit Sie eine Hostinstanz erstellen können, müssen Sie auf dem Computer, auf dem Sie die Hostinstanz erstellen möchten, sowohl BizTalk-Administrator als auch Windows-Administrator sein. Ursache hierfür ist, dass BizTalk einen Windows-Dienst erstellt, der der Hostinstanz entspricht.
Wenn Microsoft Visual Studio eine Assembly generiert, wird ein benutzerdefinierter Schlüssel verwendet, der von der integrierten Entwicklerumgebung (Integrated Developer Environment, IDE) generiert wird. Wenn es für Ihre Umgebung erforderlich ist, dass Sie alle Assemblys mit einem bestimmten Schlüssel signieren, müssen Sie entweder die IDE jedes Entwicklungscomputers so konfigurieren, dass sie diesen Schlüssel verwendet, oder verzögertes Signieren von Assemblys verwenden.
Alle Komponenten einer Empfangs- und einer Sendepipeline versuchen, den Speicherbedarf möglichst niedrig zu halten. Wenn die Daten umfangreicher sind als ein bestimmter Schwellenwert, schreiben diese Komponenten Daten in den temporären Ordner (%TEMP%) auf dem entsprechenden Datenträger. Sie müssen sicherstellen, dass es für die temporären Ordner für die Dienstkonten der Hostinstanzen geeignete besitzerverwaltete Zugriffssteuerungslisten (Discretionary Access Control Lists, DACLs) gibt, sodass das jeweilige Dienstkonto die entsprechenden Dateien lesen kann. Sie müssen außerdem sicherstellen, dass der temporäre Ordner genügend Platz für das Speichern von möglicherweise großen Dateien hat.
Weitere Informationen
Verwalten BizTalk ServerSicherheitsports für die VerarbeitungsserverSicherheitsempfehlungen für eine BizTalk Server Bereitstellungsplanungfür Die Sicherheit