檢查清單:規劃安全環境中的作業
在安全環境中執行BizTalk Server需要部署和設定的額外步驟。 雖然預設作業系統安裝不需要將這些專案納入考慮,但已套用限制性安全性原則的案例,您應該考慮本節中的資訊。 套用到伺服器的限制層級可能會有所不同,但下列資訊應該涵蓋大部分的情況,而且是不錯的起點。
執行BizTalk Server之電腦的安全性考慮
下列資訊會建議執行BizTalk Server之電腦上的安全性相關設定。
使用者權限指派
若要啟動使用者權限指派 MMC 嵌入式管理單元,請按一下 [ 開始],按一下 [ 系統管理工具],然後按一下 [ 本機安全性原則]。 在 [ 本機安全性原則 MMC 嵌入式管理單元] 中,展開 [ 安全性設定]、[ 本機原則],然後按一下 [ 使用者權限指派]。
| 原則設定 | 值 | 參考和詳細資料 |
|---|---|---|
| 登入為服務 | BizTalk 應用程式使用者 | 執行 BizTalk 主機實例的必要專案。 如需不同使用者帳戶的詳細資訊,請參閱BizTalk Server 中的 Windows 群組和使用者帳戶。 |
| 登入為服務 | RuleEngine Update Service 帳戶 | 執行 RuleEngine Update Service 的必要專案。 如需不同使用者帳戶的詳細資訊,請參閱BizTalk Server 中的 Windows 群組和使用者帳戶。 |
| 登入為服務 | SSO 服務帳戶 | 執行 Enterprise Single Sign-On Service 的必要專案。 如需不同使用者帳戶的詳細資訊,請參閱BizTalk Server 中的 Windows 群組和使用者帳戶。 |
系統服務
若要啟動服務 MMC 嵌入式管理單元,請按一下 [ 開始]、按一下 [ 執行],然後在 [ 執行 ] 對話方塊中輸入 services.msc 並按 ENTER。
COM+ 系統應用程式:
- 啟動類型1:自動
- 詳細資料:BizTalk 必須正確執行
- 使用者2: (預設)
DHCP 用戶端:
- 啟動類型1:自動
- 詳細資料:即使 IP 位址是靜態,仍需要
- 使用者2: (預設)
分散式交易協調器:
- 啟動類型1:自動
- 詳細資料:BizTalk 必須正確執行
下列使用者帳戶需要此服務的許可權:
| 使用者 2 | 權限 | 詳細資料 |
|---|---|---|
| SSO 服務帳戶 | 完全控制 | 啟動 SSO 服務的必要專案 |
| BizTalk 主機服務帳戶 | 完全控制 | 啟動 BizTalk 主機的必要專案 |
| 網路服務 | 完全控制 | IIS 的必要專案 |
HTTP SSL3:
- 啟動類型1:自動
- 詳細資料:IIS 的必要專案
- 使用者2: (預設)
IPSEC 服務3:
- 啟動類型1:自動
- 詳細資料:如果使用 IPSEC 會增加網路安全性
- 使用者2: (預設)
Netlogon:
- 啟動類型1: (預設)
- 使用者2:本機服務
- 許可權:完全控制
NT LM 安全性支援提供者3:
- 啟動類型1:自動
- 詳細資料:SQL 中 BizTalk Server Kerberos 驗證的必要專案
- 使用者2: (預設)
遠端存取連線管理員:
- 啟動類型1: (預設)
下列使用者帳戶需要此服務的許可權:
| 使用者 2 | 權限 | 詳細資料 |
|---|---|---|
| SSO 服務帳戶 | 完全控制 | 啟動 SSO 服務的必要專案 |
| BizTalk 主機服務帳戶 | 完全控制 | 啟動 BizTalk 主機的必要專案 |
| 網路服務 | 完全控制 | IIS 的必要專案 |
遠端過程呼叫 (RPC) 定位器:
- 啟動類型1:自動
- 詳細資料:BizTalk 的必要專案
- 使用者2: (預設)
WinHTTP Web Proxy 自動探索服務:
- 啟動類型1: (預設)
下列使用者帳戶需要此服務的許可權:
| 使用者 2 | 權限 | 詳細資料 |
|---|---|---|
| SSO 服務帳戶 | 完全控制 | 啟動 SSO 服務的必要專案 |
| BizTalk 主機服務帳戶 | 完全控制 | 啟動 BizTalk 主機的必要專案 |
1 值 (預設) 表示安全性原則所套用的預設設定不會變更
2 (預設) 的值表示服務的預設使用者權力尚未變更
登錄設定
若要啟動登錄編輯程式,請按一下 [ 開始],按一下 [ 執行],然後在 [ 執行 ] 對話方塊中輸入 regedit 並按 ENTER。
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- 使用者:網路服務
- 許可權:完全控制
- 詳細資料:DHCP 用戶端服務的必要專案
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- 使用者:網路服務
- 許可權:完全控制
- 詳細資料:DHCP 用戶端服務的必要專案
執行SQL Server的電腦的安全性考慮
下列資訊會建議執行SQL Server的電腦上的安全性相關設定。
使用者權限指派
若要啟動使用者權限指派 MMC 嵌入式管理單元,請按一下 [ 開始],按一下 [ 系統管理工具],然後按一下 [ 本機安全性原則]。 在 [ 本機安全性原則 MMC 嵌入式管理單元] 中,展開 [ 安全性設定]、[ 本機原則],然後按一下 [ 使用者權限指派]。
| 原則設定 | 值 | 參考和詳細資料 |
|---|---|---|
| 作為作業系統的一部分 | SQL Server Agent服務帳戶,SQL Server服務帳戶 | 執行SQL Server的必要專案。 如需詳細資訊,請參閱 設定 Windows 服務帳戶。 |
| 調整處理序的記憶體配額 | SQL Server Agent服務帳戶,SQL Server服務帳戶 | 執行SQL Server的必要專案。 如需詳細資訊,請參閱 設定 Windows 服務帳戶。 |
| 略過周遊檢查 | SQL Server Agent服務帳戶,SQL Server服務帳戶 | 執行SQL Server的必要專案。 如需詳細資訊,請參閱 設定 Windows 服務帳戶。 |
| 建立全域物件 | SQL Server 服務帳戶 | SSIS 服務需要。 如需詳細資訊,請參閱 設定 Windows 服務帳戶。 |
| 啟用電腦和使用者帳戶,使其受到信任而得以獲得委派 | SQL Server服務帳戶、SQL Server伺服器、BizTalk Server伺服器、SQL Server叢集名稱 | BizTalk Server的必要專案。 伺服器名稱的格式為 < servername > $。 如需詳細資訊,請參閱如何:在SQL Server容錯移轉叢集上啟用 Kerberos 驗證。 |
| 登入為服務 | SQL Server Agent服務帳戶,SQL Server服務帳戶 | 執行SQL Server的必要專案。 如需詳細資訊,請參閱 設定 Windows 服務帳戶。 |
| 登入為服務 | SSO 服務帳戶 | 執行 Enterprise Single Sign-On Service 的必要專案。 如需不同使用者帳戶的詳細資訊,請參閱BizTalk Server 中的 Windows 群組和使用者帳戶。 |
| 以批次作業身分登入 | SQL Server Agent服務帳戶,SQL Server服務帳戶 | 執行SQL Server的必要專案。 如需詳細資訊,請參閱 設定 Windows 服務帳戶。 |
| 取代處理程序等級權杖 | SQL Server Agent服務帳戶,SQL Server服務帳戶 | 執行SQL Server的必要專案。 如需詳細資訊,請參閱 設定 Windows 服務帳戶。 |
系統服務
若要啟動服務 MMC 嵌入式管理單元,請按一下 [ 開始]、按一下 [ 執行],然後在 [ 執行 ] 對話方塊中輸入 services.msc 並按 ENTER。
DHCP 用戶端:
- 啟動類型1:自動
- 詳細資料:即使 IP 位址是靜態,仍需要
- 使用者2: (預設)
分散式交易協調器:
- 啟動類型1:手動
- 詳細資料:叢集服務所管理的服務啟動
下列使用者帳戶需要此服務的許可權:
| 使用者 2 | 權限 | 詳細資料 |
|---|---|---|
| SSO 服務帳戶 | 完全控制 | 啟動 SSO 服務的必要專案 |
| 網路服務 | 完全控制 | IIS 的必要專案 |
HTTP SSL3:
- 啟動類型1:自動
- 詳細資料:IIS 的必要專案
- 使用者2: (預設)
IPSEC 服務3:
- 啟動類型1:自動
- 詳細資料:如果使用 IPSEC 會增加網路安全性
- 使用者2: (預設)
Netlogon:
- 啟動類型1: (預設)
- 使用者2:本機服務
- 許可權:完全控制
NT LM 安全性支援提供者3:
- 啟動類型1:自動
- 詳細資料:SQL 中 BizTalk Server Kerberos 驗證的必要專案
- 使用者2: (預設)
遠端存取連線管理員:
- 啟動類型1: (預設)
下列使用者帳戶需要此服務的許可權:
| 使用者 2 | 權限 | 詳細資料 |
|---|---|---|
| SSO 服務帳戶 | 完全控制 | 啟動 SSO 服務的必要專案 |
| 網路服務 | 完全控制 | IIS 的必要專案 |
伺服器:
- 啟動類型1:自動
- 詳細資料:用於叢集檔案共用資源
- 使用者2:網路服務
- 許可權:完全控制
WinHTTP Web Proxy 自動探索服務:
- 啟動類型1: (預設)
- 使用者2:SSO 服務帳戶
- 許可權:完全控制
- 詳細資料:啟動 SSO 服務的必要專案
World Wide Web Publishing Service:
- 啟動類型1:自動
- 詳細資料:SQL Server Reporting Services的必要專案
- 使用者2: (預設)
1 (預設) 值表示安全性原則套用的預設設定不會變更
2 (預設) 值表示服務的預設使用者權力尚未變更
登錄設定
若要啟動登錄編輯程式,請按一下 [ 開始],按一下 [ 執行],然後在 [ 執行 ] 對話方塊中輸入 regedit ,然後按 ENTER。
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- 使用者:網路服務
- 許可權:完全控制
- 詳細資料:DHCP 用戶端服務的必要專案
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- 使用者:網路服務
- 許可權:完全控制
- 詳細資料:DHCP 用戶端服務的必要專案
其他安全性考慮
下表建議BizTalk Server環境的其他重要安全性相關設定。
| 受影響的成品 | 變更 | 參考和詳細資料 |
|---|---|---|
| SSO 服務帳戶 | 授與叢集管理員中叢集的完整控制許可權 | SSO 必須進行這項變更才能正常運作 |
| SQL Server服務帳戶、SQL Server伺服器、BizTalk Server伺服器、SQL Server叢集名稱 | Active Directory 中委派的信任 | 需要適當的 Kerberos 驗證。 如需詳細資訊,請參閱如何:在 SQL Server 容錯移轉叢集上啟用 Kerberos 驗證。 |
| SQL Server 服務帳戶 | 授與建立 SPN 專案的許可權 | 需要適當的 Kerberos 驗證。 如需詳細資訊,請參閱如何在 SQL Server中使用 Kerberos 驗證。 |
| SQL Server節點、SQL 叢集名稱 | 為使用者SQL Server服務帳戶建立 SPN 專案 | 需要適當的 Kerberos 驗證。 如需詳細資訊,請參閱如何在 SQL Server中使用 Kerberos 驗證。 |
| SQL 網路名稱叢集資源 | DNS 註冊必須成功,啟用 Kerberos 驗證 | 需要適當的 Kerberos 驗證 |
| SQL Server Surface 設定 | 啟用遠端直接系統管理員連線 | SQL Browser 服務必須正常運作,SQL 用戶端 (BizTalk/ASP.NET) 才能正確找出具名實例SQL Server。 |
| BizTalk 應用程式使用者群組 | 授與msdb資料庫中sp_help_jobhistory的執行許可權 | BizTalk Server的必要專案 |