清单:在安全环境中规划操作
在安全环境中运行 BizTalk Server 需要执行部署和配置的其他步骤。 虽然默认操作系统安装无需考虑这些内容,但应用了限制性安全策略的情况,应考虑本节中的信息。 应用于服务器的限制级别可能会有所不同,但下面的信息应涵盖大多数情况,并且是一个很好的起点。
运行 BizTalk Server 的计算机的安全注意事项
以下信息建议运行 BizTalk Server 的计算机上的安全相关设置。
用户权限分配
若要启动用户权限分配 MMC 管理单元,请单击“ 开始”,单击“ 管理工具”,然后单击“ 本地安全策略”。 在“本地安全策略 MMC”管理单元中,依次展开“安全设置”、“本地策略”和“用户权限分配”。
| 策略设置 | 值 | 参考和详细信息 |
|---|---|---|
| 作为服务登录 | BizTalk Application Users | 运行 BizTalk 主机实例所必需的。 有关不同用户帐户的详细信息,请参阅 BizTalk Server 中的 Windows 组和用户帐户。 |
| 作为服务登录 | RuleEngine 更新服务帐户 | 运行 RuleEngine 更新服务所必需的。 有关不同用户帐户的详细信息,请参阅 BizTalk Server 中的 Windows 组和用户帐户。 |
| 作为服务登录 | SSO 服务帐户 | 运行企业单一 Sign-On 服务所必需的。 有关不同用户帐户的详细信息,请参阅 BizTalk Server 中的 Windows 组和用户帐户。 |
系统服务
若要启动服务 MMC 管理单元,请单击“ 开始”,单击“ 运行”,然后在“ 运行 ”对话框中键入 services.msc 并按 Enter。
COM+ 系统应用程序:
- 启动类型1:自动
- 详细信息:BizTalk 需要才能正常运行
- 用户2: (默认)
DHCP 客户端:
- 启动类型1:自动
- 详细信息:即使 IP 地址是静态的,也需要
- 用户2: (默认)
分布式事务处理协调器:
- 启动类型1:自动
- 详细信息:BizTalk 需要才能正常运行
以下用户帐户需要对此服务的权限:
| 用户 2 | 权限 | 详细信息 |
|---|---|---|
| SSO 服务帐户 | 完全控制 | 启动 SSO 服务所必需的 |
| BizTalk 主机服务帐户 | 完全控制 | 启动 BizTalk 主机所必需的 |
| Network Service | 完全控制 | IIS 必需 |
HTTP SSL3:
- 启动类型1:自动
- 详细信息:IIS 必需
- 用户2: (默认)
IPSEC 服务3:
- 启动类型1:自动
- 详细信息:如果使用 IPSEC,则提高网络安全
- 用户2: (默认)
Netlogon:
- 启动类型1: (默认)
- 用户2:本地服务
- 权限:完全控制
NT LM 安全支持提供程序3:
- 启动类型1:自动
- 详细信息:SQL 中BizTalk Server的 Kerberos 身份验证必需
- 用户2: (默认)
远程访问连接管理器:
- 启动类型1: (默认)
以下用户帐户需要对此服务的权限:
| 用户 2 | 权限 | 详细信息 |
|---|---|---|
| SSO 服务帐户 | 完全控制 | 启动 SSO 服务所必需的 |
| BizTalk 主机服务帐户 | 完全控制 | 启动 BizTalk 主机所必需的 |
| Network Service | 完全控制 | IIS 必需 |
远程过程调用 (RPC) 定位符:
- 启动类型1:自动
- 详细信息:BizTalk 必需
- 用户2: (默认)
WinHTTP Web 代理自动发现服务:
- 启动类型1: (默认)
以下用户帐户需要对此服务的权限:
| 用户 2 | 权限 | 详细信息 |
|---|---|---|
| SSO 服务帐户 | 完全控制 | 启动 SSO 服务所必需的 |
| BizTalk 主机服务帐户 | 完全控制 | 启动 BizTalk 主机所必需的 |
1 (默认值) 表示安全策略应用的默认设置不会更改
2 (默认) 值表示服务的默认用户权限尚未更改
注册表设置
若要启动注册表编辑器,请单击“ 开始”,单击“ 运行”,然后在“ 运行 ”对话框中键入 regedit 并按 Enter。
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- 用户:网络服务
- 权限:完全控制
- 详细信息:DHCP 客户端服务必需
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- 用户:网络服务
- 权限:完全控制
- 详细信息:DHCP 客户端服务必需
运行SQL Server的计算机的安全注意事项
以下信息建议运行SQL Server的计算机上的安全相关设置。
用户权限分配
若要启动用户权限分配 MMC 管理单元,请单击“ 开始”,单击“ 管理工具”,然后单击“ 本地安全策略”。 在“本地安全策略 MMC”管理单元中,依次展开“安全设置”、“本地策略”和“用户权限分配”。
| 策略设置 | 值 | 参考和详细信息 |
|---|---|---|
| 以操作系统方式操作 | SQL Server 代理服务帐户、SQL Server服务帐户 | 运行SQL Server所必需的。 有关详细信息,请参阅 设置 Windows 服务帐户。 |
| 调整进程的内存配额 | SQL Server 代理服务帐户,SQL Server服务帐户 | 运行SQL Server所必需的。 有关详细信息,请参阅 设置 Windows 服务帐户。 |
| 跳过遍历检查 | SQL Server 代理服务帐户,SQL Server服务帐户 | 运行SQL Server所必需的。 有关详细信息,请参阅 设置 Windows 服务帐户。 |
| 创建全局对象 | SQL Server 服务帐户 | SSIS 服务必需。 有关详细信息,请参阅 设置 Windows 服务帐户。 |
| 信任计算机和用户帐户可以执行委派 | SQL Server服务帐户、SQL Server服务器、BizTalk Server服务器SQL Server群集名称 | BizTalk Server必需。 服务器名称采用 servername>$格式<。 有关详细信息,请参阅如何:在SQL Server故障转移群集上启用 Kerberos 身份验证。 |
| 作为服务登录 | SQL Server 代理服务帐户,SQL Server服务帐户 | 运行SQL Server所必需的。 有关详细信息,请参阅 设置 Windows 服务帐户。 |
| 作为服务登录 | SSO 服务帐户 | 运行企业单一 Sign-On 服务所必需的。 有关不同用户帐户的详细信息,请参阅 BizTalk Server 中的 Windows 组和用户帐户。 |
| 以批处理作业身份登录 | SQL Server 代理服务帐户,SQL Server服务帐户 | 运行SQL Server所必需的。 有关详细信息,请参阅 设置 Windows 服务帐户。 |
| 替换进程级令牌 | SQL Server 代理服务帐户,SQL Server服务帐户 | 运行SQL Server所必需的。 有关详细信息,请参阅 设置 Windows 服务帐户。 |
系统服务
若要启动服务 MMC 管理单元,请单击“ 开始”,单击“ 运行”,然后在“ 运行 ”对话框中键入 services.msc 并按 Enter。
DHCP 客户端:
- 启动类型1:自动
- 详细信息:即使 IP 地址是静态的,也需要
- 用户2: (默认)
分布式事务处理协调器:
- 启动类型1:手动
- 详细信息:群集服务托管的服务启动
以下用户帐户需要对此服务的权限:
| 用户 2 | 权限 | 详细信息 |
|---|---|---|
| SSO 服务帐户 | 完全控制 | 启动 SSO 服务所必需的 |
| Network Service | 完全控制 | IIS 必需 |
HTTP SSL3:
- 启动类型1:自动
- 详细信息:IIS 必需
- 用户2: (默认)
IPSEC 服务3:
- 启动类型1:自动
- 详细信息:如果使用 IPSEC,则提高网络安全
- 用户2: (默认)
Netlogon:
- 启动类型1: (默认)
- 用户2:本地服务
- 权限:完全控制
NT LM 安全支持提供程序3:
- 启动类型1:自动
- 详细信息:对于 SQL 中BizTalk Server的 Kerberos 身份验证是必需的
- 用户2: (默认)
远程访问连接管理器:
- 启动类型1: (默认)
以下用户帐户需要对此服务的权限:
| 用户 2 | 权限 | 详细信息 |
|---|---|---|
| SSO 服务帐户 | 完全控制 | 启动 SSO 服务所必需的 |
| Network Service | 完全控制 | IIS 必需 |
服务器:
- 启动类型1:自动
- 详细信息:用于群集文件共享资源
- 用户2:网络服务
- 权限:完全控制
WinHTTP Web 代理自动发现服务:
- 启动类型1: (默认)
- 用户2:SSO 服务帐户
- 权限:完全控制
- 详细信息:启动 SSO 服务需要
万维网发布服务:
- 启动类型1:自动
- 详细信息:SQL Server Reporting Services要求
- 用户2: (默认)
1 值 (默认) 表示不会更改安全策略应用的默认设置
2 值 (默认) 表示服务的默认用户权限尚未更改
注册表设置
若要启动注册表编辑器,请单击“ 开始”,单击“ 运行”,然后在“ 运行 ”对话框中键入 regedit 并按 Enter。
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- 用户:网络服务
- 权限:完全控制
- 详细信息:DHCP 客户端服务要求
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- 用户:网络服务
- 权限:完全控制
- 详细信息:DHCP 客户端服务要求
其他安全注意事项
下表建议BizTalk Server环境的其他重要安全相关设置。
| 受影响的项目 | 更改 | 参考和详细信息 |
|---|---|---|
| SSO 服务帐户 | 在群集管理器中授予对群集的完全控制权限 | 若要使 SSO 正常工作,需要进行此更改 |
| SQL Server服务帐户、SQL Server服务器、BizTalk Server服务器SQL Server群集名称 | Active Directory 中的委派信任 | 正确 Kerberos 身份验证所必需的。 有关详细信息,请参阅如何:在 SQL Server 故障转移群集上启用 Kerberos 身份验证。 |
| SQL Server 服务帐户 | 授予创建 SPN 条目的权限 | 正确 Kerberos 身份验证所必需的。 有关详细信息,请参阅如何在 SQL Server 中使用 Kerberos 身份验证。 |
| SQL Server节点,SQL 群集名称 | 为用户SQL Server服务帐户创建 SPN 条目 | 正确 Kerberos 身份验证所必需的。 有关详细信息,请参阅如何在 SQL Server 中使用 Kerberos 身份验证。 |
| SQL 网络名称群集资源 | DNS 注册必须成功,启用 Kerberos 身份验证 | 正确 Kerberos 身份验证所必需的 |
| SQL Server Surface 配置 | 启用远程直接管理员连接 | SQL Browser 服务需要才能正常运行,这是 SQL 客户端 (BizTalk/ASP.NET) 正确定位SQL Server命名实例所必需的。 |
| BizTalk 应用程序用户组 | 授予对 msdb 数据库中sp_help_jobhistory的“执行”权限 | BizTalk Server要求 |