在安全环境中运行 BizTalk Server 需要额外的部署和配置步骤。 默认操作系统安装不需要考虑这些信息,但在应用了限制性安全策略的场景中,您应考虑本部分的信息。 应用于服务器的限制级别可能会有所不同,但以下信息应涵盖大多数情况,并且是一个很好的起点。
运行 BizTalk Server 的计算机的安全注意事项
以下信息建议运行 BizTalk Server 的计算机上的安全相关设置。
用户权限分配
若要启动用户权限分配 MMC 管理单元,请单击“ 开始”,单击 “管理工具”,然后单击“ 本地安全策略”。 在 “本地安全策略 MMC”管理单元中,展开 “安全设置”,展开 “本地策略”,然后单击“ 用户权限分配”。
| 策略设置 | 价值观 | 参考和详细信息 |
|---|---|---|
| 作为服务登录 | BizTalk 应用程序用户 | 运行 BizTalk 主机实例所必需的。 有关不同用户帐户的详细信息,请参阅 BizTalk Server 中的 Windows 组和用户帐户。 |
| 作为服务登录 | RuleEngine 更新服务帐户 | 运行 RuleEngine Update Service 所必需的。 有关不同用户帐户的详细信息,请参阅 BizTalk Server 中的 Windows 组和用户帐户。 |
| 作为服务登录 | SSO 服务帐户 | 运行企业单 Sign-On 服务所必需的。 有关不同用户帐户的详细信息,请参阅 BizTalk Server 中的 Windows 组和用户帐户。 |
系统服务
若要启动服务 MMC 管理单元,请单击“ 开始”,单击“ 运行”,然后在“ 运行 ”对话框中键入 services.msc 并按 Enter。
COM+ 系统应用程序:
- 启动类型1:自动
- 详细信息:BizTalk 正常运行所需条件
- 用户2:(默认值)
DHCP 客户端:
- 启动类型1:自动
- 详细信息:即使 IP 地址是静态的,也需要
- 用户2:(默认值)
分布式事务处理协调器:
- 启动类型1:自动
- 详细信息:BizTalk 需要一些条件才能正确运行
以下用户帐户需要此服务的权限:
| 用户 2 | 权限 | 详细信息 |
|---|---|---|
| SSO 服务帐户 | 完全控制 | 启动 SSO 服务所需的条件 |
| BizTalk 主机服务帐户 | 完全控制 | 需要启动 BizTalk 主机 |
| 网络服务 | 完全控制 | IIS 要求 |
HTTP SSL3:
- 启动类型1:自动
- 详细信息:IIS 要求
- 用户2:(默认值)
IPSEC 服务3:
- 启动类型1:自动
- 详细信息:IPSEC 增加网络安全(如果使用)
- 用户2:(默认值)
Netlogon:
- 启动类型1:(默认值)
- 用户2:本地服务
- 权限:完全控制
NT LM 安全支持提供程序3:
- 启动类型1:自动
- 详细信息:SQL 中 BizTalk Server 的 Kerberos 身份验证必需
- 用户2:(默认值)
远程访问连接管理器:
- 启动类型1:(默认值)
以下用户帐户需要此服务的权限:
| 用户 2 | 权限 | 详细信息 |
|---|---|---|
| SSO 服务帐户 | 完全控制 | 启动 SSO 服务所需的条件 |
| BizTalk 主机服务帐户 | 完全控制 | 需要启动 BizTalk 主机 |
| 网络服务 | 完全控制 | IIS 要求 |
远程过程调用 (RPC) 定位符:
- 启动类型1:自动
- 详细信息:BizTalk 必需
- 用户2:(默认值)
WinHTTP Web 代理自动发现服务:
- 启动类型1:(默认值)
以下用户帐户需要此服务的权限:
| 用户 2 | 权限 | 详细信息 |
|---|---|---|
| SSO 服务帐户 | 完全控制 | 启动 SSO 服务所需的条件 |
| BizTalk 主机服务帐户 | 完全控制 | 需要启动 BizTalk 主机 |
1 值(默认值)表示安全策略应用的默认设置不会更改
2 值(默认值)表示服务的默认用户权限尚未更改
注册表设置
若要启动注册表编辑器,请单击“ 开始”,单击“ 运行”,然后在“ 运行 ”对话框中键入 regedit 并按 Enter。
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- 用户:网络服务
- 权限:完全控制
- 详细信息:DHCP 客户端服务要求
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- 用户:网络服务
- 权限:完全控制
- 详细信息:DHCP 客户端服务要求
运行 SQL Server 的计算机的安全注意事项
以下信息建议运行 SQL Server 的计算机上的安全相关设置。
用户权限分配
若要启动用户权限分配 MMC 管理单元,请单击“ 开始”,单击 “管理工具”,然后单击“ 本地安全策略”。 在 “本地安全策略 MMC”管理单元中,展开 “安全设置”,展开 “本地策略”,然后单击“ 用户权限分配”。
| 策略设置 | 价值观 | 参考和详细信息 |
|---|---|---|
| 以操作系统方式操作 | SQL Server 代理服务帐户、SQL Server 服务帐户 | 运行 SQL Server 所必需的。 有关详细信息,请参阅 “设置 Windows 服务帐户”。 |
| 为进程调整内存配额 | SQL Server 代理服务帐户,SQL Server 服务帐户 | 运行 SQL Server 所必需的。 有关详细信息,请参阅 “设置 Windows 服务帐户”。 |
| 绕过遍历检查 | SQL Server 代理服务帐户,SQL Server 服务帐户 | 运行 SQL Server 所必需的。 有关详细信息,请参阅 “设置 Windows 服务帐户”。 |
| 创建全局对象 | SQL Server 服务帐户 | 由 SSIS 服务所需。 有关详细信息,请参阅 “设置 Windows 服务帐户”。 |
| 支持信任计算机和用户帐户以执行委派 | SQL Server 服务帐户、SQL Server 服务器、BizTalk Server 服务器、SQL Server 群集名称 | BizTalk Server 需要。 服务器名称的格式为<servername>$。 有关详细信息,请参阅 如何:在 SQL Server 故障转移群集上启用 Kerberos 身份验证。 |
| 作为服务登录 | SQL Server 代理服务帐户,SQL Server 服务帐户 | 运行 SQL Server 所必需的。 有关详细信息,请参阅 “设置 Windows 服务帐户”。 |
| 作为服务登录 | SSO 服务帐户 | 运行企业单 Sign-On 服务所必需的。 有关不同用户帐户的详细信息,请参阅 BizTalk Server 中的 Windows 组和用户帐户。 |
| 以批处理作业身份登录 | SQL Server 代理服务帐户,SQL Server 服务帐户 | 运行 SQL Server 所必需的。 有关详细信息,请参阅 “设置 Windows 服务帐户”。 |
| 替换进程级令牌 | SQL Server 代理服务帐户,SQL Server 服务帐户 | 运行 SQL Server 所必需的。 有关详细信息,请参阅 “设置 Windows 服务帐户”。 |
系统服务
若要启动服务 MMC 管理单元,请单击“ 开始”,单击“ 运行”,然后在“ 运行 ”对话框中键入 services.msc 并按 Enter。
DHCP 客户端:
- 启动类型1:自动
- 详细信息:即使 IP 地址是静态的,也需要
- 用户2:(默认值)
分布式事务处理协调器:
- 启动类型1:手动
- 详细信息:群集服务托管的服务启动
以下用户帐户需要此服务的权限:
| 用户 2 | 权限 | 详细信息 |
|---|---|---|
| SSO 服务帐户 | 完全控制 | 启动 SSO 服务所需的条件 |
| 网络服务 | 完全控制 | IIS 要求 |
HTTP SSL3:
- 启动类型1:自动
- 详细信息:IIS 要求
- 用户2:(默认值)
IPSEC 服务3:
- 启动类型1:自动
- 详细信息:IPSEC 增加网络安全(如果使用)
- 用户2:(默认值)
Netlogon:
- 启动类型1:(默认值)
- 用户2:本地服务
- 权限:完全控制
NT LM 安全支持提供程序3:
- 启动类型1:自动
- 详细信息:SQL 中 BizTalk Server 的 Kerberos 身份验证必需
- 用户2:(默认值)
远程访问连接管理器:
- 启动类型1:(默认值)
以下用户帐户需要此服务的权限:
| 用户 2 | 权限 | 详细信息 |
|---|---|---|
| SSO 服务帐户 | 完全控制 | 启动 SSO 服务所需的条件 |
| 网络服务 | 完全控制 | IIS 要求 |
服务器:
- 启动类型1:自动
- 详细信息:用于集群文件共享资源
- 用户2:网络服务
- 权限:完全控制
WinHTTP Web 代理自动发现服务:
- 启动类型1:(默认值)
- 用户2:SSO 服务帐户
- 权限:完全控制
- 详细信息:启动 SSO 服务所必需的
万维网发布服务:
- 启动类型1:自动
- 详细信息:SQL Server Reporting Services 要求
- 用户2:(默认值)
1 值(默认值)表示安全策略应用的默认设置不会更改
2 值(默认值)表示服务的默认用户权限尚未更改
注册表设置
若要启动注册表编辑器,请单击“ 开始”,单击“ 运行”,然后在“ 运行 ”对话框中键入 regedit 并按 Enter。
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- 用户:网络服务
- 权限:完全控制
- 详细信息:DHCP 客户端服务要求
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- 用户:网络服务
- 权限:完全控制
- 详细信息:DHCP 客户端服务要求
其他安全注意事项
下表建议 BizTalk Server 环境的其他重要安全相关设置。
| 受影响的工件 | 改变 | 参考和详细信息 |
|---|---|---|
| SSO 服务帐户 | 授予群集管理器中群集的完全控制权限 | SSO 必须进行此更改才能正常工作 |
| SQL Server 服务帐户、SQL Server 服务器、BizTalk Server 服务器、SQL Server 群集名称 | Active Directory 中的委派信任 | 正确 Kerberos 身份验证所必需的。 有关详细信息,请参阅 如何:在 SQL Server 故障转移群集上启用 Kerberos 身份验证。 |
| SQL Server 服务帐户 | 授予创建 SPN 条目的权限 | 正确进行 Kerberos 身份验证所必需的。 有关详细信息,请参阅 如何在 SQL Server 中使用 Kerberos 身份验证。 |
| SQL Server 节点、SQL 群集名称 | 为用户 SQL Server 服务帐户创建 SPN 条目 | 正确 Kerberos 身份验证所必需的。 有关详细信息,请参阅 如何在 SQL Server 中使用 Kerberos 身份验证。 |
| SQL 网络名称集群资源 | DNS 注册必须成功,启用 Kerberos 身份验证 | 正确的 Kerberos 身份验证所必需的 |
| SQL Server 表面区域配置 | 启用远程直接管理员连接 | SQL 浏览器服务必须正常运行,SQL 客户端(BizTalk/ASP.NET)需要它才能正确定位 SQL Server 命名实例。 |
| BizTalk 应用程序用户组 | 授予 msdb 数据库中sp_help_jobhistory执行权限 | BizTalk Server 必需 |