Sicherheitsempfehlungen für die Anwendungsbereitstellung
Im Folgenden werden die Richtlinien für die Bereitstellung von BizTalk-Anwendungen in Ihrer Umgebung erläutert.
Beim Export einer Anwendung in eine MSI-Datei werden alle DACLs (Discretionary Access Control Lists) aus Dateien und Ordnern entfernt. Nach der Installation einer Anwendung aus einer MSI-Datei müssen Sie alle Sicherheitseinstellungen in den Dateien und Ordnern neu konfigurieren.
Wenn Sie eine Bindungsdatei exportieren, werden die Kennwörter für die Bindungen aus Sicherheitsgründen durch BizTalk Server aus der Bindungsdatei entfernt. Nach dem Importieren der Bindungen müssen Sie die Kennwörter für Sendeports und Empfangsspeicherorte neu konfigurieren, damit sie ordnungsgemäß funktionieren. Kennwörter für den Sendeport und den Empfangsspeicherort können Sie im Dialogfeld Transporteigenschaften der BizTalk Server-Verwaltungskonsole konfigurieren. Anweisungen finden Sie unter Erstellen eines Sendeports. Weitere Informationen finden Sie unter Erstellen eines Empfangsspeicherorts. Weitere Informationen zu Bindungsdateien finden Sie unter Bindungsdateien und Anwendungsbereitstellung.
Beim Bereitstellen oder Zurücknehmen der Bereitstellung sowie während der nachfolgenden Überwachung eines Eigenschaftsschemas werden möglicherweise vertrauliche Daten verfügbar gemacht. Beim Bereitstellen oder Zurücknehmen der Bereitstellung einer Assembly, die ein Eigenschaftsschema enthält, wird von der Ereignisanzeige ein Ereignis im Windows-Anwendungsereignisprotokoll protokolliert. Sie sollten das Ereignisprotokoll auf diese Nachrichten überprüfen, um sicherzustellen, dass alle Assemblybereitstellungsaktivitäten Ihren Richtlinien für vertrauliche Daten entsprechen.
Die folgende Nachricht wird bei einer Bereitstellung im Ereignisprotokoll erstellt:
Der Benutzer "{1}" hat die Assembly "{0}" bereitgestellt, die Eigenschaftenschemas enthält.
Die folgende Nachricht wird bei der Zurücknahme einer Bereitstellung im Ereignisprotokoll erstellt:
Der Benutzer "{1}" hat die Assembly "{0}" mit Eigenschaftenschemas nicht bereitgestellt.
Wenn die Anwendung ein virtuelles Verzeichnis enthält, müssen Sie beachten, dass die Sicherheitseinstellungen im virtuellen Verzeichnis den Einstellungen entsprechen, die beim Generieren der MSI-Datei während des Anwendungsexports wirksam sind. Wenn Sie eine Anwendung in einer Produktionsumgebung bereitstellen, sollten Sie vor dem Exportieren der Anwendung überprüfen, ob die Einstellungen Ihren Sicherheitsanforderungen entsprechen.
Wenn Sie jedoch eine Anwendung bereitstellen, die ein virtuelles Verzeichnis enthält, und wenn das virtuelle Verzeichnis bereits in der Zielumgebung vorhanden ist, sind die Sicherheitseinstellungen des vorhandenen virtuellen Verzeichnisses wirksam. Sie werden nicht an die Einstellungen des virtuellen Verzeichnisses angepasst, das Sie bereitstellen. Sie sollten überprüfen, ob die Einstellungen des vorhandenen virtuellen Verzeichnisses Ihren Sicherheitsanforderungen entsprechen.
Achtung
Wenn das virtuelle Verzeichnis das HTTPS-Protokoll (Hypertext Transfer Protocol over Secure Socket Layer) verwendet, werden dessen Sicherheitseinstellungen während des Exports nicht beibehalten. Beim Import werden die Sicherheitseinstellungen des Stammverzeichnisses an das virtuelle Verzeichnis vererbt. Sie sollten überprüfen, ob die Sicherheitseinstellungen Ihren Anforderungen entsprechen.
Wenn der für einen Webdienst angegebene Anwendungspool beim Import einer Anwendung nicht vorhanden ist, wird der Standardanwendungspool verwendet. Die Sicherheitseinstellungen für den Standardanwendungspool entsprechen möglicherweise nicht Ihren Anforderungen. Wir empfehlen daher, entweder den Anwendungspool vor dem Import der Anwendung zu erstellen und die entsprechenden Sicherheitseinstellungen zu konfigurieren, oder zu überprüfen, ob die Einstellungen des Standardanwendungspools geeignet sind.
Stellen Sie sicher, dass die Quelle der Windows Installer-Dateien (MSI-Dateien), die Sie bereitstellen möchten, vertrauenswürdig ist. So können Sie Sicherheitsprobleme vermeiden, die von mit bösartigen Absichten erstellten MSI-Dateien verursacht werden. Weitere Informationen finden Sie unter Sicherheit und Windows Installer.
Vergewissern Sie sich, dass Sie über Berechtigungen zum Bereitstellen von Anwendungen verfügen. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für das Bereitstellen und Verwalten einer BizTalk-Anwendung.
Stellen Sie sicher, dass nur BizTalk-Administratoren Zugriff auf die Assemblys sowie die Bindungs- und Richtliniendateien haben, da diese möglicherweise wichtige Geschäftsdaten wie Konnektivitäts- und Konfigurationsinformationen enthalten. Wenn Sie Anwendungen über eine Netzwerkfreigabe bereitstellen, konfigurieren Sie die DACL-Liste (Discretionary Access Control List) in der Netzwerkfreigabe, sodass deren Inhalt nur von BizTalk-Administratoren angezeigt werden kann. Weitere Informationen zu Gruppen- und Benutzerkonten finden Sie unter Windows-Gruppen und Benutzerkonten in BizTalk Server.
Bei der Durchführung von Bereitstellungsvorgängen kommuniziert BizTalk Server mit der BizTalk-Verwaltungsdatenbank. Wenn zwischen den beiden eine Firewall besteht, müssen Sie die entsprechenden Ports in der Firewall zwischen den Verarbeitungs-, Dienst- und Datendomänen öffnen. Weitere Informationen finden Sie unter Erforderliche Ports für BizTalk Server.
Wenn Sie für eine Assembly, eine Bindungsdatei oder eine andere Ressourcendatei, die möglicherweise vertrauliche Daten enthält, auf einen Remotestandort verweisen, sollten Sie die Netzwerksicherheit zwischen dem Quellcomputer und dem Computer, auf dem die Bereitstellung ausgeführt wird, berücksichtigen. Wenn das Netzwerk zwischen diesen beiden Computern nicht vollständig vor potenziellen Angreifern isoliert ist, sollten Sie die Zieldatei auf einen Wechseldatenträger kopieren und physisch zu dem Computer transportieren, auf dem die Bereitstellung ausgeführt wird.