Teilen über

Sicherheitsempfehlungen für WCF-Adapter

  • Artikel

BizTalk Server verwendet die WCF-Adapter zum Veröffentlichen (Empfangen) und Nutzen (Senden) von WCF-Diensten. Sie sollten die folgenden Empfehlungen für das Sichern und Bereitstellen von WCF-Adaptern in Ihrer Umgebung beachten:

Weitere Informationen zu den WCF-Adaptern finden Sie unter WCF-Adapter. Weitere Informationen zu WCF-Diensten finden Sie unter Verwenden von WCF-Diensten.

Sicherheitsempfehlungen für alle WCF-Adapter

  • Sie können Einmaliges Anmelden für Unternehmen (SSO) in Szenarien verwenden, in denen Sie den Inhalt des Front-End-Benutzers den Anmeldeinformationen in einem Back-End-System zuordnen müssen.

  • Metadaten müssen nicht von allen Diensten veröffentlicht werden. Wird das Veröffentlichen von Metadaten nicht aktiviert, bietet der Dienst eine geringere Angriffsfläche, und auch das Risiko der ungewollten Preisgabe von Informationen ist geringer. Weitere Informationen zu Sicherheitsproblemen im Zusammenhang mit Metadaten finden Sie unter "Sicherheitsüberlegungen mit Metadaten" unter https://go.microsoft.com/fwlink/?LinkId=196671.

  • Nicht alle Kombinationen aus Metadaten-Endpunktbindungen und Dienstendpunkt-Bindungen sind gültig. In einigen Fällen müssen die Bindungskonfigurationen für einen Metadaten-Endpunkt mit den Bindungskonfigurationen seines Dienstendpunkts übereinstimmen. Wenn Metadaten z. B. vom gleichen Speicherort wie dem Empfangsspeicherort bereitgestellt werden, kann der Metadatenendpunkt nicht mit einem Sicherheitsmodus konfiguriert werden, der den HTTP-Transport erfordert, wenn der Empfangsspeicherort eine Sicherheitsmodus verwendet, der HTTPS nutzt.

    Hinweis

    Beim Veröffentlichen von Metadaten über den HTTP-Transport für einen Dienstendpunkt mit demselben Speicherort, der jedoch einen Sicherheitsmodus erfordert, der auf dem HTTPS-Transport basiert, müssen Sie in der Web.config Datei, die vom BizTalk WCF-Veröffentlichungs-Assistenten generiert wird, sowohl die Attribute httpsGetEnabled als auch httpGetEnabled auf true festlegen.

  • Die WCF-Adapter nutzen die Sicherheitsfeatures von WCF (Windows Communication Foundation) für die Kommunikation. Es ist wichtig, dass Sie die Funktionen und Einschränkungen von WCF hinsichtlich der Sicherheitsaspekte verstehen. Weitere Informationen zu den Sicherheitsfeatures von WCF finden Sie unter "Windows Communication Foundation-Sicherheit" unter https://go.microsoft.com/fwlink/?LinkId=87806.

Sicherheitsempfehlungen für die isolierten WCF-Adapter

  • Sicherheitsempfehlungen für die Veröffentlichung von Webdiensten finden Sie unter Aktivieren von Webdiensten.

  • Die isolierten WCF-Adapter wie WCF-CustomIsolated, WCF-BasicHttp und WCF-WSHttp Adapter nutzen das Hypertext Transfer Protocol (HTTP), um Nachrichten an und von BizTalk Server zu senden und zu empfangen. Aus diesem Grund müssen Sie die Sicherheitsempfehlungen zum Sichern der Internetinformationsdienste (Internet Information Services, IIS) befolgen.

  • Wenn Sie einen Anwendungspool für einen isolierten WCF-Empfangsspeicherort erstellen, müssen Sie ihn so konfigurieren, dass er unter einem Konto ausgeführt wird, das Mitglied der Windows-Gruppe für den isolierten Host ist, auf dem der WCF-Empfangsadapter und die Gruppe des Internetinformationsdienste-Workerprozesses (IIS_WPG Gruppe) ausgeführt wird. Anschließend müssen Sie die Hostinstanz für den WCF-Empfangsadapter für die Verwendung dieses Kontos konfigurieren. Wenn Sie das Konto für die Gruppe IIS_WPG ändern, müssen Sie sicherstellen, dass auch die Hostinstanz so aktualisiert wird, dass sie unter dem neuen Konto ausgeführt wird.

Sicherheitsempfehlungen für den WCF-Custom-Adapter

  • Wenn ein WCF-Custom Empfangsspeicherort den HTTP-Kernelmodustreiber (HTTP.sys) verwendet, z. B. das httpsTransport-Bindungselement für die SSL-Kommunikation (Secure Sockets Layer), muss für den Empfangsspeicherort ein Zertifikat für jeden Socket (Kombination aus IP-Adresse/Port) registriert sein. Binden Sie mit dem Programm HttpCfg.exe ein SSL-Zertifikat an einen Port auf dem Computer. Weitere Informationen finden Sie unter Vorgehensweise: Konfigurieren eines Ports mit einem SSL-Zertifikat unter https://go.microsoft.com/fwlink/?LinkId=86384.

Sicherheitsempfehlungen für den WCF-NetMsmq-Adapter

  • Um den WCF-NetMsmq-Adapter zu verwenden, müssen Sie MSMQ-Sicherheitseinstellungen für den WCF-NetMsmq-Adapter auf die gleiche Weise wie für netMsmqBinding konfigurieren. Weitere Informationen zum Konfigurieren von MSMQ-Sicherheitseinstellungen für netMsmqBinding finden Sie unter Problembehandlung bei Warteschlangennachrichten unter https://go.microsoft.com/fwlink/?LinkId=87816.

WCF-Adapter verwenden den ChainTrust-Modus zum Überprüfen von Zertifikaten.

  • Da die WCF-Standard-Empfangsadapter den ChainTrust-Modus verwenden, um die Client- und Dienstzertifikate zu überprüfen, müssen Sie die Zertifizierungsstellenzertifikatkette installieren, um die X.509-Zertifikate zu überprüfen. Sie können die WCF-Custom oder den WCF-CustomIsolated-Adapter verwenden, um dieses Standardverhalten zu ändern.

Sicherheitsüberwachung für WCF-Adapter

  • Die WCF-Adapter verwenden die WCF-Sicherheitsüberwachungsfeatures nicht standardmäßig. Die WCF-Sicherheitsüberwachungsfeatures für die WCF-Adapter können auf verschiedene Weise aktiviert werden. Weitere Informationen zu den WCF-Sicherheitsüberwachungsfeatures finden Sie unter Überwachen von Sicherheitsereignissen unter https://go.microsoft.com/fwlink/?LinkId=88975.

  • Um die WCF-Sicherheitsüberwachungsfeatures mit dem WCF-Custom Empfangsadapter zu verwenden, können Sie ServiceSecurityAuditBehavior für die Empfangsspeicherorte konfigurieren.

  • Für die In-Process-WCF-Adapter können Sie die Leistungsindikatoren über die Datei BTSNTSvc.exe.config aktivieren. Für die isolierten WCF-Adapter können Sie die WCF-Ablaufverfolgung aktivieren, indem Sie die Web.config Datei ändern, die der BizTalk WCF-Dienstveröffentlichungs-Assistent im Webanwendungsordner erstellt. Öffnen Sie zum Ändern der Datei BTSNtSvc.exe.config oder Web.config die Konfigurationsdatei, und konfigurieren Sie dann die WCF-Überwachung wie im folgenden Konfigurationsbeispiel gezeigt:

    Hinweis

    Die BTSNTSvc.exe.config Datei befindet sich immer im selben Verzeichnis wie die BTSNTSvc.exe-Datei, in der Regel \Programme (x86)\Microsoft BizTalk Server <VERSION>.

    Hinweis

    Nachdem Sie die Datei BTSNTSvc.exe.config geändert haben, müssen Sie die Hostinstanzen neu starten, die die In-Process-WCF-Empfangsspeicherorte ausführen.

    <configuration>
    <system.serviceModel>
      <diagnostics performanceCounters="All" />
      <behaviors>
        <serviceBehaviors>
          <behavior name="ServiceBehaviorConfiguration">
            <serviceSecurityAudit
                      auditLogLocation="Application"
                      suppressAuditFailure="true"
                      serviceAuthorizationAuditLevel="SuccessOrFailure"
messageAuthenticationAuditLevel="SuccessOrFailure" />
          </behavior>
        </serviceBehaviors>
      </behaviors>
      <services>
        <service name="Microsoft.BizTalk.Adapter.Wcf.Runtime.BizTalkServiceInstance" behaviorConfiguration="ServiceBehaviorConfiguration">
        </service>
      </services>
    </system.serviceModel>
</configuration>

  • Sie können auch einen sicherheitsbezogenen Leistungsindikator wie z. B. Nicht autorisierte Sicherheitsaufrufe zum Überwachen der WCF-Adapter verwenden. Weitere Informationen zum Aktivieren der WCF-Leistungsindikatoren finden Sie unter WCF-Adapterleistungsindikatoren.

Weitere Informationen

Erstellen eines Sicherheitsplans