Sicherheitsempfehlungen für eine BizTalk Server-Bereitstellung
Dieser Abschnitt enthält übergeordnete funktionsunabhängige Empfehlungen zum Sichern Ihrer Microsoft BizTalk Server-Umgebung.
Empfehlungen für die Topologieebene
Verschlüsselung auf Kanalebene verwenden. Standardmäßig erfolgen Netzwerkdatenströme zwischen verschiedenen Komponenten in BizTalk Server unverschlüsselt. Wenn das Abhören oder Manipulieren von Daten während der Übertragung von Nachrichten zwischen Computern befürchtet wird, wird empfohlen, mit einer Verschlüsselung auf Kanalebene (z. B. IPSec (Internet Protocol Security) oder SSL (Secure Sockets Layer)) zu arbeiten. Wenngleich BizTalk Server die Verschlüsselung auf Kanalebene nicht standardmäßig konfiguriert, überträgt BizTalk Server auch nicht vertrauliche Daten wie Verschlüsselungsschlüssel und Kennwörter unverschlüsselt durch das Netzwerk. Die Datenbank für Einmaliges Anmelden (Single Sign-On, SSO-Datenbank) verwaltet vertrauliche Informationen durch Speicherung in verschlüsselter Form mithilfe eines geheimen Hauptschlüssels (Verschlüsselungsschlüssels), der vom Server für den geheimen Hauptschlüssel bereitgestellt wird. Die SSO-Datenbank empfängt, speichert und sendet vertrauliche Informationen in verschlüsselter Form.
Weitere Informationen zu SSL finden Sie unter https://go.microsoft.com/fwlink/p/?LinkId=189708.
Die physikalische Sicherheit der Server gewährleisten. Sie müssen auch die physikalische Sicherheit der Server, Geräte, Netzwerke, Kabel, Netzteile und anderen Komponenten berücksichtigen. Stellen Sie Ihre Computer in einer sicheren Umgebung auf, und beschränken Sie den Zugriff auf die Computer mit geschäftswichtigen Informationen, z. B. die Datenbanken.
Nur Komponenten installieren, die Sie auch nutzen. Wenn Sie Internetinformationsdienste (IIS) in Ihrer Umgebung installieren müssen (auf den Computern im Umkreisnetzwerk oder den Computern mit den HTTP- und SOAP-Adaptern), müssen Sie nicht die Unterkomponenten File Transport Protocol (FTP), WebDAV und Simple Mail Transfer Protocol (SMTP) der Internetinformationsdienste installieren. Vergewissern Sie sich auch, dass Sie nur die BizTalk Server-Funktionen installieren und konfigurieren, die Sie in Ihrer Umgebung benötigen. Konfigurieren Sie beispielsweise den BizTalk-Message Queuing-Adapter nur, wenn Sie ihn auch nutzen möchten. Dadurch verkleinern Sie die potenzielle Angriffsfläche Ihrer Umgebung.
Wenn Sie internet Explorer verwenden, empfiehlt es sich, die erhöhte Sicherheit von Internet Explorer zu aktivieren.
Installieren Sie Service Packs und Updates. Es wird empfohlen, immer die neuesten Produkt-Service Packs und Microsoft-Updates auf allen Servern zu installieren, die über BizTalk Server Ressourcen verfügen, einschließlich SQL Server.
Kennwörter nicht unverschlüsselt in Skripts oder Bindungsdateien speichern. Sie müssen Skripts an Speicherorten mit strengen besitzerverwalteten Zugriffssteuerungslisten (DACLs) speichern, sodass nur BizTalk Server-Administratoren Berechtigungen zum Anzeigen, Ändern und Ausführen dieser Skripts haben. Wenn die Skripts und Bindungsdateien Kennwörter erfordern, maskieren Sie die Kennwörter, sobald Sie die Skripts für die Konfiguration oder Bereitstellung einsetzen. Lassen Sie Kennwörter in diesen Dateien nicht unverschlüsselt.
Besitzerverwaltete Zugriffssteuerungslisten (Discretionary Access Control List, DACL) verwenden. Stellen Sie sicher, dass Sie den Zugriff auf eine Ressource nur den Benutzern und Konten gewähren, die sie nutzen, und dass sie ihnen nur die Berechtigungen erteilen, die sie zum Durchführen ihrer Aufgaben unbedingt benötigen. Legen Sie Konfigurationsskripts an Speicherorten mit DACLs für den BizTalk Server-Administrator ab, und lassen Sie Kennwörter in Skripts nicht unverschlüsselt. Sorgen Sie dafür, dass es für die temporären Verzeichnisse für alle von BizTalk Server verwendeten Dienstkonten DACLs gibt, sodass nur das jeweilige Dienstkonto und BizTalk Server-Administratoren darauf zugreifen können.
Wenn Sie über benutzerdefinierte Adapter verfügen, wird empfohlen, die Adaptererweiterungskomponenten an einem Speicherort mit strengen DACLs zu speichern, damit nur BizTalk Server-Administratoren Berechtigungen zum Erstellen dieser Komponenten haben.
Server mit BizTalk Server nicht im Umkreisnetzwerk aufstellen. Ungeachtet der Größe Ihres Unternehmens werden im Umkreisnetzwerk platzierte Server mit BizTalk Server sowohl direkten Angriffen aus dem Internet als auch Angriffen von anderen Servern im Netzwerk ausgesetzt, deren Sicherheit ggf. gefährdet ist. Da BizTalk Server mit Microsoft SQL Server-Datenbanken in der Datendomäne kommuniziert, kann ein böswilliger Benutzer einen gefährdeten Computer mit BizTalk Server ausnutzen, um wichtige geschäftliche Verarbeitungs- und Konfigurationsdaten zu manipulieren.
BizTalk Server-Gruppen und -Konten
Benutzerkonten mit Mindestberechtigungen und -benutzerrechten verwenden. Alle Konten im BizTalk Server-System sollten nur über die Mindestbenutzerrechte verfügen, die zum Ausführen ihrer Aufgaben erforderlich sind. Die Dienstkonten, die Sie z. B. auf den Verarbeitungsservern verwenden, dürfen nicht über Administratorrechte in BizTalk Server, SQL Server oder Windows Server verfügen. Weitere Informationen zu den Mindestsicherheitsberechtigungen und Benutzerrechten, die ein Konto zum Ausführen einer Aufgabe in BizTalk Server benötigt, finden Sie unter Mindestsicherheitsbenutzerrechte. Weitere Informationen zu den Gruppen und Konten, die BizTalk Server verwendet, finden Sie unter Windows-Gruppen und Benutzerkonten in BizTalk Server.
Für jede Funktion ein anderes Konto verwenden. Zum Erhalten der Sicherheit Ihrer BizTalk Server-Unterstützung wird empfohlen, für jede Hostinstanz, die in Ihrer Umgebung ausgeführt wird, ein anderes Dienstkonto einzurichten. Dies sorgt auch bei Kennwortaktualisierungen für eine höhere Verfügbarkeit. Es wird empfohlen, dass ein Dienstkonto nicht Mitglied mehrerer Windows-Gruppen ist, um BizTalk Server.
Darüber hinaus wird empfohlen, für jeden BizTalk-Host unterschiedliche Windows-Gruppen zu verwenden und die Dienstkonten, die Mitglieder einer Gruppe sind, nicht Mitglieder der Windows-Gruppe für einen anderen Host zu sein. Dies sorgt für eine starke Sicherheitsisolation für jeden BizTalk-Host.
Es wird empfohlen, dass Sie eine Windows-Gruppe für den Überwachungshost erstellen und dass Sie ein Dienstkonto in dieser Gruppe für die Überwachungshostinstanz verwenden. Nutzen Sie dieses Dienstkonto nicht für andere Dienste und kein BizTalk Server-Administratorkonto für die Überwachungshostinstanz.
Für verschiedene Funktionen unterschiedliche Hosts verwenden. Es wird empfohlen, einen Host ausschließlich für die Nachverfolgung bzw. Überwachung einzurichten. Überwachungshosts verfügen über Lese-/Schreibzugriff auf die Überwachungstabellen in der MessageBox-Datenbank sowie über Zugriff auf die Tabellen in der Überwachungsdatenbank. Daher verfügen alle Objekte, die auf einem Überwachungshost ausgeführt werden, ebenfalls über Lese-/Schreibzugriff auf diese Tabellen. Zum Sperren des Zugriffs auf potenziell vertrauliche Überwachungsdaten über Benutzerelemente wie Pipelines und Orchestrierungen wird empfohlen, einen dedizierten Host für die Überwachung einzurichten, der keine Nachrichten verarbeitet, sendet oder empfängt.
Außerdem wird empfohlen, verschiedene Hosts für das Verarbeiten, Empfangen und Senden von Nachrichten zu nutzen. Sie können dann die Dienstkonten isolieren, die Zugriff auf die privaten Zertifikate Ihres Unternehmens haben müssen. Je weniger Code unter diesen Konten ausgeführt wird, desto niedriger ist das Potenzial der Gefährdung der Sicherheit der Konten aufgrund von Schwachstellen, wodurch auch das Risiko der Gefährdung der Sicherheit der privaten Zertifikate kleiner wird.
Kennwörter regelmäßig ändern. Sie müssen die Kennwörter der Dienstkonten regelmäßig ändern. Beachten Sie, dass Sie über mehrere Dienstkonten für Ihre Hostinstanzen verfügen, weshalb Sie das Kennwort jedes dieser Dienstkonten ändern müssen.
Achtung
Sie müssen die Kennwörter für das Dienstkonto einer Hostinstanz in der BizTalk Server-Verwaltungskonsole ändern. Beim Ändern des Kennworts eines Dienstkontos für eine Hostinstanz über die Konsole Computerverwaltung können sich Konfigurationsprobleme ergeben.
Die Anzahl der Mitglieder in der Gruppe der BizTalk-Administratoren begrenzen. BizTalk Server-Administratoren haben Benutzerrechte, die sich auf die gesamte BizTalk Server-Umgebung erstrecken, einschließlich Zugriff auf die meisten Daten, ob verschlüsselt oder nicht. Deshalb kann eine nicht ordnungsgemäße Konfiguration aufgrund eines Fehlers eines BizTalk Server-Administrators für schwerwiegende Sicherheitslücken sorgen. Ein sich nicht adäquat verhaltender BizTalk Server-Administrator kann dem System immensen Schaden zufügen, was zum Verlust von Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten führen kann.
In Situationen, in denen Entwickler Orchestrierungen direkt auf Computern in der Produktionsumgebung bereitstellen, müssen Domänenadministratoren den Entwicklern BizTalk Server-Administratorrechte erteilen. Zu einem früheren Zeitpunkt wird davon aus den genannten Gründen abgeraten.
Die Anzahl der Mitglieder in der Gruppe der COM+-Administratoren begrenzen. Aufgrund verschiedener architekturbezogener Gründe verfügt der COM+-Administrator in mehreren BizTalk Server-Komponenten über Benutzerrechte als Administrator. Aus praktischen Gründen müssen Sie davon ausgehen, dass ein COM+-Administrator auf einem Computer auch ein BizTalk-Administrator ist, weshalb Sie die Mitgliedschaft in dieser Gruppe auf BizTalk-Produktionsservern begrenzen müssen.
Benutzern nur Zugriff auf die Computer gewähren, auf denen die Dienste ausgeführt werden, auf die sie zugreifen müssen. Nicht alle Konten benötigen Berechtigungen für alle Computer. BizTalk-Hostinstanzen enthalten vertrauliche Daten im Arbeitsspeicher. Bei diesen kann es sich um Kennwörter oder Geschäftsinformationen handeln. Für diese Computer muss eine sehr strenge lokale Benutzerrichtlinie eingerichtet werden. Gewähren Sie z. B. auf diesen Computern lokale Anmelderechte nur Personen, die diese zum Verwalten der Bereitstellung benötigen. Dadurch werden Risiken durch den Zugriff auf die Auslagerungsdatei und Speicherabbilder nach einem Absturz abgefedert.
Berechtigungen der Gruppe „Hauptbenutzer“ beschränken oder diese Gruppe entfernen. Die Standardberechtigungen für die Gruppe Hauptbenutzer erteilen Mitgliedern dieser Gruppe Benutzerrechte zum Ändern von Einstellungen auf dem gesamten Computer, einschließlich BizTalk-Assemblys, die im globalen Assemblycache (GAC) registriert sind. Jeder Computer hat einen GAC, der die Assemblys enthält, die von einer oder mehreren Anwendungen gemeinsam genutzt werden. Es wird empfohlen, der Gruppe Hauptbenutzer die Berechtigung zum Ändern von Assemblys zu entziehen, oder diese Gruppen von Produktionsservern mit BizTalk Server zu löschen.
Weitere Informationen
Access Control für Gruppen und DienstkontenAccess Control für AdministratorrollenMindestsicherheit: Benutzerrechteplanungfür Sicherheit