Condividi tramite

Elenco di controllo: Pianificazione delle operazioni in un ambiente protetto

  • Articolo

L'esecuzione di BizTalk Server in un ambiente sicuro richiede passaggi aggiuntivi per la distribuzione e la configurazione. Anche se le installazioni predefinite del sistema operativo non devono tenere conto di queste impostazioni, ma gli scenari in cui sono stati applicati criteri di sicurezza restrittivi, è necessario tenere conto delle informazioni in questa sezione. Il livello di restrizione applicato ai server può variare, ma le informazioni seguenti devono coprire la maggior parte dei casi e sarebbe un buon punto di partenza.

Considerazioni sulla sicurezza per i computer che eseguono BizTalk Server

Le informazioni seguenti suggeriscono le impostazioni relative alla sicurezza nei computer che eseguono BizTalk Server.

Assegnazione diritti utente

Per avviare lo snap-in MMC Assegnazione diritti utente, fare clic su Start, su Strumenti di amministrazionee quindi su Criteri di sicurezza locali. Nello snap-in MMC Criteri di sicurezza locali espandere Impostazioni di sicurezza, Criteri localie quindi fare clic su Assegnazione diritti utente.

Impostazione criterio Valori Informazioni di riferimento e dettagli
Accedi come servizio Utenti applicazione BizTalk Obbligatorio per eseguire istanze host BizTalk. Per altre informazioni sui diversi account utente, vedere Gruppi di Windows e account utente in BizTalk Server.
Accedi come servizio Account del servizio di aggiornamento RuleEngine Obbligatorio per eseguire il servizio di aggiornamento RuleEngine. Per altre informazioni sui diversi account utente, vedere Gruppi di Windows e account utente in BizTalk Server.
Accedi come servizio Account del servizio SSO Obbligatorio per eseguire Enterprise Single Sign-On Service. Per altre informazioni sui diversi account utente, vedere Gruppi di Windows e account utente in BizTalk Server.

Servizi di sistema

Per avviare lo snap-in MMC Servizi, fare clic su Start, fare clic su Esegui e nella finestra di dialogo Esegui digitare services.msc e premere INVIO.

  • Applicazione di sistema COM+:

    • Tipo di avvio1: Automatico
    • Dettagli: richiesto da BizTalk per l'esecuzione corretta
    • Utente2: (impostazione predefinita)

  • Client DHCP:

    • Tipo di avvio1: Automatico
    • Dettagli: obbligatorio anche se gli indirizzi IP sono statici
    • Utente2: (impostazione predefinita)

  • Distributed Transaction Coordinator:

    • Tipo di avvio1: Automatico
    • Dettagli: richiesto da BizTalk per l'esecuzione corretta

    Gli account utente seguenti necessitano delle autorizzazioni per questo servizio:

Utente 2 Autorizzazioni Dettagli
Account del servizio SSO Controllo completo Obbligatorio per avviare il servizio SSO
Account del servizio Host BizTalk Controllo completo Obbligatorio per avviare gli host BizTalk
Servizio di rete Controllo completo Richiesto da IIS

  • HTTP SSL3:

    • Tipo di avvio1: Automatico
    • Dettagli: richiesto da IIS
    • Utente2: (impostazione predefinita)

  • Servizi IPSEC3:

    • Tipo di avvio1: Automatico
    • Dettagli: IPSEC aumenta la sicurezza di rete se usata
    • Utente2: (impostazione predefinita)

  • Netlogon:

    • Tipo di avvio1: (impostazione predefinita)
    • Utente2: Servizio locale
    • Autorizzazioni: controllo completo

  • Nt LM Security Support Provider3:

    • Tipo di avvio1: Automatico
    • Dettagli: obbligatorio per l'autenticazione Kerberos per BizTalk Server in SQL
    • Utente2: (impostazione predefinita)

  • Accesso remoto Gestione connessioni:

    • Tipo di avvio1: (impostazione predefinita)

    Gli account utente seguenti necessitano delle autorizzazioni per questo servizio:

Utente 2 Autorizzazioni Dettagli
Account del servizio SSO Controllo completo Obbligatorio per avviare il servizio SSO
Account del servizio Host BizTalk Controllo completo Obbligatorio per avviare gli host BizTalk
Servizio di rete Controllo completo Richiesto da IIS

  • Localizzatore RPC (Remote Procedure Call):

    • Tipo di avvio1: Automatico
    • Dettagli: obbligatorio da BizTalk
    • Utente2: (impostazione predefinita)

  • Servizio di individuazione automatica proxy Web WinHTTP:

    • Tipo di avvio1: (impostazione predefinita)

    Gli account utente seguenti necessitano delle autorizzazioni per questo servizio:

Utente 2 Autorizzazioni Dettagli
Account del servizio SSO Controllo completo Obbligatorio per avviare il servizio SSO
Account del servizio Host BizTalk Controllo completo Obbligatorio per avviare gli host BizTalk

1 Valore di (impostazione predefinita) indica che le impostazioni predefinite applicate dai criteri di sicurezza non vengono modificate

2 Un valore di (impostazione predefinita) indica che le autorizzazioni utente predefinite per il servizio non sono state modificate

Impostazioni del Registro di sistema

Per avviare l'editor del Registro di sistema, fare clic su Start, fare clic su Esegui e nella finestra di dialogo Esegui digitare regedit e premere INVIO.

  • HKLM\SYSTEM\CurrentControlSet\Services\DHCP

    • Utente: Servizio di rete
    • Autorizzazioni: controllo completo
    • Dettagli: richiesto dal servizio client DHCP

  • HKLM\SYSTEM\CurrentControlSet\Services\TCPIP

    • Utente: Servizio di rete
    • Autorizzazioni: controllo completo
    • Dettagli: richiesto dal servizio client DHCP

Considerazioni sulla sicurezza per i computer che eseguono SQL Server

Le informazioni seguenti suggeriscono le impostazioni correlate alla sicurezza nei computer che eseguono SQL Server.

Assegnazione diritti utente

Per avviare lo snap-in MMC Assegnazione diritti utente, fare clic su Start, su Strumenti di amministrazione e quindi su Criteri di sicurezza locali. Nello snap-in Criteri di sicurezza locali espandere Impostazioni di sicurezza, espandere Criteri locali e quindi fare clic su Assegnazione diritti utente.

Impostazione criterio Valori Informazioni di riferimento e dettagli
Agisci come parte del sistema operativo account del servizio SQL Server Agent, account del servizio SQL Server Obbligatorio per eseguire SQL Server. Per altre informazioni, vedere Configurazione degli account del servizio Windows.
Regolazione limite risorse memoria per un processo account del servizio SQL Server Agent, account del servizio SQL Server Obbligatorio per eseguire SQL Server. Per altre informazioni, vedere Configurazione degli account del servizio Windows.
Ignorare controllo incrociato account del servizio SQL Server Agent, account del servizio SQL Server Obbligatorio per eseguire SQL Server. Per altre informazioni, vedere Configurazione degli account del servizio Windows.
Creazione oggetti globali Account del servizio SQL Server Richiesto dal servizio SSIS. Per altre informazioni, vedere Configurazione degli account del servizio Windows.
Impostazione account computer ed utente a tipo trusted per la delega SQL Server account del servizio, server SQL Server, server BizTalk Server, nome del cluster SQL Server Richiesto da BizTalk Server. Il nome del server è nel nome server> form<$. Per altre informazioni, vedere Procedura: Abilitare l'autenticazione Kerberos in un cluster di failover di SQL Server.
Accedi come servizio account del servizio SQL Server Agent, account del servizio SQL Server Obbligatorio per eseguire SQL Server. Per altre informazioni, vedere Configurazione degli account del servizio Windows.
Accedi come servizio Account del servizio SSO Obbligatorio per eseguire il servizio Single Sign-On Enterprise. Per altre informazioni sui diversi account utente, vedere Gruppi di Windows e account utente in BizTalk Server.
Accedere come processo batch account del servizio SQL Server Agent, account del servizio SQL Server Obbligatorio per eseguire SQL Server. Per altre informazioni, vedere Configurazione degli account del servizio Windows.
Sostituzione di token a livello di processo account del servizio SQL Server Agent, account del servizio SQL Server Obbligatorio per eseguire SQL Server. Per altre informazioni, vedere Configurazione degli account del servizio Windows.

Servizi di sistema

Per avviare lo snap-in MMC services, fare clic su Start, fare clic su Esegui e nella finestra di dialogo Esegui digitare services.msc e premere INVIO.

  • Client DHCP:

    • Tipo di avvio1: Automatico
    • Dettagli: obbligatorio anche se gli indirizzi IP sono statici
    • Utente2: (impostazione predefinita)

  • Distributed Transaction Coordinator:

    • Tipo di avvio1: Manuale
    • Dettagli: Avvio del servizio gestito dal servizio cluster

    Gli account utente seguenti necessitano delle autorizzazioni per questo servizio:

Utente 2 Autorizzazioni Dettagli
Account del servizio SSO Controllo completo Obbligatorio per avviare il servizio SSO
Servizio di rete Controllo completo Obbligatorio da IIS

  • HTTP SSL3:

    • Tipo di avvio1: Automatico
    • Dettagli: richiesto da IIS
    • Utente2: (impostazione predefinita)

  • Servizi IPSEC3:

    • Tipo di avvio1: Automatico
    • Dettagli: IPSEC aumenta la sicurezza di rete se usata
    • Utente2: (impostazione predefinita)

  • Netlogon:

    • Tipo di avvio1: (impostazione predefinita)
    • Utente2: Servizio locale
    • Autorizzazioni: controllo completo

  • Provider di supporto per la sicurezza NT LM3:

    • Tipo di avvio1: Automatico
    • Dettagli: obbligatorio per l'autenticazione Kerberos per BizTalk Server in SQL
    • Utente2: (impostazione predefinita)

  • Accesso remoto Gestione connessioni:

    • Tipo di avvio1: (impostazione predefinita)

    Gli account utente seguenti necessitano delle autorizzazioni per questo servizio:

Utente 2 Autorizzazioni Dettagli
Account del servizio SSO Controllo completo Obbligatorio per avviare il servizio SSO
Servizio di rete Controllo completo Obbligatorio da IIS

  • Server:

    • Tipo di avvio1: Automatico
    • Dettagli: usato per le risorse di Condivisione file cluster
    • Utente2: Servizio di rete
    • Autorizzazioni: controllo completo

  • Servizio di individuazione automatica del proxy Web WinHTTP:

    • Tipo di avvio1: (impostazione predefinita)
    • Utente2: Account del servizio SSO
    • Autorizzazioni: controllo completo
    • Dettagli: obbligatorio per avviare il servizio SSO

  • Servizio di pubblicazione Web a livello mondiale:

    • Tipo di avvio1: Automatico
    • Dettagli: richiesto da SQL Server Reporting Services
    • Utente2: (impostazione predefinita)

1 Valore di (impostazione predefinita) indica che le impostazioni predefinite applicate dai criteri di sicurezza non vengono modificate

2 Un valore di (impostazione predefinita) indica che le autorizzazioni utente predefinite per il servizio non sono state modificate

Impostazioni del Registro di sistema

Per avviare l'editor del Registro di sistema, fare clic su Start, fare clic su Esegui e nella finestra di dialogo Esegui digitare regedit e premere INVIO.

  • HKLM\SYSTEM\CurrentControlSet\Services\DHCP

    • Utente: Servizio di rete
    • Autorizzazioni: controllo completo
    • Dettagli: richiesto dal servizio client DHCP

  • HKLM\SYSTEM\CurrentControlSet\Services\TCPIP

    • Utente: Servizio di rete
    • Autorizzazioni: controllo completo
    • Dettagli: richiesto dal servizio client DHCP

Considerazioni aggiuntive sulla sicurezza

La tabella seguente suggerisce le altre impostazioni importanti relative alla sicurezza per l'ambiente di BizTalk Server.

Artefatto interessato Modifica Informazioni di riferimento e dettagli
Account del servizio SSO Concedere l'autorizzazione di controllo completo per il cluster in Cluster Manager Questa modifica è necessaria per il corretto funzionamento dell'accesso Single Sign-On
SQL Server account del servizio, server SQL Server, server BizTalk Server, nome del cluster SQL Server Trust for Delegation in Active Directory Obbligatorio per l'autenticazione Kerberos appropriata. Per altre informazioni, vedere Procedura: Abilitare l'autenticazione Kerberos in un cluster di failover di SQL Server.
Account del servizio SQL Server Concedere l'autorizzazione per creare voci SPN Obbligatorio per l'autenticazione Kerberos appropriata. Per altre informazioni, vedere Come usare l'autenticazione Kerberos in SQL Server.
nodi SQL Server, nome del cluster SQL Creare voci SPN per l'account del servizio SQL Server utente Obbligatorio per l'autenticazione Kerberos appropriata. Per altre informazioni, vedere Come usare l'autenticazione Kerberos in SQL Server.
Risorsa cluster nome rete SQL La registrazione DNS deve avere esito positivo, abilitare l'autenticazione Kerberos Obbligatorio per l'autenticazione Kerberos appropriata
SQL Server configurazione di Surface Abilitare la connessione amministratore diretto remoto Richiesto dal servizio SQL Browser per funzionare correttamente, richiesto dai client SQL (BizTalk/ASP.NET) per individuare correttamente SQL Server istanza denominata.
Gruppo utenti di applicazioni BizTalk Concedere l'autorizzazione Execute per sp_help_jobhistory nel database msdb Richiesto da BizTalk Server

Vedere anche

Elenchi di controllo per altre attività importanti