Lista de comprobación: planificación de operaciones en un entorno seguro
La ejecución de BizTalk Server en un entorno seguro requiere pasos adicionales para la implementación y configuración. Aunque las instalaciones predeterminadas del sistema operativo no necesitan tenerlas en cuenta, pero los escenarios en los que se han aplicado directivas de seguridad restrictivas, debe tener en cuenta la información de esta sección. El nivel de restricción aplicado a los servidores puede variar, pero la información siguiente debe abarcar la mayoría de los casos y sería un buen punto de partida.
Consideraciones de seguridad para equipos que ejecutan BizTalk Server
Consideraciones de seguridad para equipos que ejecutan SQL Server
Consideraciones de seguridad para equipos que ejecutan BizTalk Server
La siguiente información sugiere la configuración relacionada con la seguridad en los equipos que ejecutan BizTalk Server.
Asignación de derechos de usuario
Para iniciar el complemento MMC de asignación de derechos de usuario, haga clic en Inicio, en Herramientas administrativas y, a continuación, en Directiva de seguridad local. En el complemento MMC directiva de seguridad local , expanda Configuración de seguridad, expanda Directivas localesy, a continuación, haga clic en Asignación de derechos de usuario.
| Configuración de directiva | Valores | Referencia y detalles |
|---|---|---|
| Iniciar sesión como servicio | Usuarios de aplicación de BizTalk | Necesario para ejecutar instancias de host de BizTalk. Para obtener más información sobre las distintas cuentas de usuario, consulte Grupos de Windows y Cuentas de usuario en BizTalk Server. |
| Iniciar sesión como servicio | Cuenta de servicio de actualización de RuleEngine | Necesario para ejecutar RuleEngine Update Service. Para obtener más información sobre las distintas cuentas de usuario, consulte Grupos de Windows y Cuentas de usuario en BizTalk Server. |
| Iniciar sesión como servicio | Cuenta de servicio de SSO | Necesario para ejecutar Enterprise Single Sign-On Service. Para obtener más información sobre las distintas cuentas de usuario, consulte Grupos de Windows y Cuentas de usuario en BizTalk Server. |
Servicios del sistema
Para iniciar el complemento MMC de servicios, haga clic en Inicio, ejecutar y, en el cuadro de diálogo Ejecutar, escriba services.msc y presione ENTRAR.
Aplicación del sistema COM+:
- Tipo de inicio1: Automático
- Detalles: Requerido por BizTalk para que se ejecute correctamente
- Usuario2: (valor predeterminado)
Cliente DHCP:
- Tipo de inicio1: Automático
- Detalles: obligatorio incluso si las direcciones IP son estáticas
- Usuario2: (valor predeterminado)
Coordinador de transacciones distribuidas:
- Tipo de inicio1: Automático
- Detalles: Requerido por BizTalk para que se ejecute correctamente
Las siguientes cuentas de usuario necesitan permisos para este servicio:
| Usuario 2 | Permisos | Detalles |
|---|---|---|
| Cuenta de servicio de SSO | Control total | Necesario para iniciar el servicio SSO |
| Cuenta de servicio de hosts de BizTalk | Control total | Necesario para iniciar hosts de BizTalk |
| Servicio de red | Control total | Requerido por IIS |
HTTP SSL3:
- Tipo de inicio1: Automático
- Detalles: Requerido por IIS
- Usuario2: (valor predeterminado)
Servicios IPSEC3:
- Tipo de inicio1: Automático
- Detalles: IPSEC aumenta la seguridad de red si se usa
- Usuario2: (valor predeterminado)
Netlogon:
- Tipo de inicio1: (valor predeterminado)
- Usuario2: Servicio local
- Permisos: Control total
Proveedor de soporte técnico de seguridad nt LM3:
- Tipo de inicio1: Automático
- Detalles: necesario para la autenticación Kerberos para BizTalk Server en SQL
- Usuario2: (valor predeterminado)
Administrador de conexiones de acceso remoto:
- Tipo de inicio1: (valor predeterminado)
Las siguientes cuentas de usuario necesitan permisos para este servicio:
| Usuario 2 | Permisos | Detalles |
|---|---|---|
| Cuenta de servicio de SSO | Control total | Necesario para iniciar el servicio SSO |
| Cuenta de servicio de hosts de BizTalk | Control total | Necesario para iniciar hosts de BizTalk |
| Servicio de red | Control total | Requerido por IIS |
Localizador de llamada a procedimiento remoto (RPC):
- Tipo de inicio1: Automático
- Detalles: Requerido por BizTalk
- Usuario2: (valor predeterminado)
Servicio de detección automática de proxy web winHTTP:
- Tipo de inicio1: (valor predeterminado)
Las siguientes cuentas de usuario necesitan permisos para este servicio:
| Usuario 2 | Permisos | Detalles |
|---|---|---|
| Cuenta de servicio de SSO | Control total | Necesario para iniciar el servicio SSO |
| Cuenta de servicio de hosts de BizTalk | Control total | Necesario para iniciar hosts de BizTalk |
1 Un valor de (valor predeterminado) significa que la configuración predeterminada aplicada por la directiva de seguridad no cambia.
2 Un valor de (valor predeterminado) significa que no se han cambiado los permisos de usuario predeterminados para el servicio.
Configuración del Registro
Para iniciar el Editor del Registro, haga clic en Inicio, en Ejecutar y, en el cuadro de diálogo Ejecutar , escriba regedit y presione ENTRAR.
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- Usuario: Servicio de red
- Permisos: Control total
- Detalles: Requerido por el servicio de cliente DHCP
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- Usuario: Servicio de red
- Permisos: Control total
- Detalles: Requerido por el servicio de cliente DHCP
Consideraciones de seguridad para equipos que ejecutan SQL Server
La siguiente información sugiere la configuración relacionada con la seguridad en equipos que ejecutan SQL Server.
Asignación de derechos de usuario
Para iniciar el complemento MMC de asignación de derechos de usuario, haga clic en Inicio, en Herramientas administrativas y, a continuación, en Directiva de seguridad local. En el complemento MMC directiva de seguridad local , expanda Configuración de seguridad, expanda Directivas localesy, a continuación, haga clic en Asignación de derechos de usuario.
| Configuración de directiva | Valores | Referencia y detalles |
|---|---|---|
| Actuar como parte del sistema operativo | cuenta de servicio de Agente SQL Server, cuenta de servicio de SQL Server | Necesario para ejecutar SQL Server. Para obtener más información, vea Configurar cuentas de servicio de Windows. |
| Ajustar las cuotas de la memoria para un proceso | cuenta de servicio de Agente SQL Server, cuenta de servicio de SQL Server | Necesario para ejecutar SQL Server. Para obtener más información, vea Configurar cuentas de servicio de Windows. |
| Omitir comprobación de recorrido | cuenta de servicio de Agente SQL Server, cuenta de servicio de SQL Server | Necesario para ejecutar SQL Server. Para obtener más información, vea Configurar cuentas de servicio de Windows. |
| Crear objetos globales | Cuenta de servicio de SQL Server | Requerido por el servicio SSIS. Para obtener más información, vea Configurar cuentas de servicio de Windows. |
| Habilitar confianza con las cuentas de usuario y de equipo para delegación | cuenta de servicio de SQL Server, servidores de SQL Server, servidores de BizTalk Server, nombre de clúster de SQL Server | Requerido por BizTalk Server. El nombre del servidor está en el formulario <nombreDeServidor>$. Para obtener más información, consulte Cómo: Habilitar la autenticación Kerberos en un clúster de conmutación por error de SQL Server. |
| Iniciar sesión como servicio | cuenta de servicio de Agente SQL Server, cuenta de servicio de SQL Server | Necesario para ejecutar SQL Server. Para obtener más información, vea Configurar cuentas de servicio de Windows. |
| Iniciar sesión como servicio | Cuenta de servicio de SSO | Necesario para ejecutar Enterprise Single Sign-On Service. Para obtener más información sobre las distintas cuentas de usuario, consulte Grupos de Windows y Cuentas de usuario en BizTalk Server. |
| Iniciar sesión como trabajo por lotes | cuenta de servicio de Agente SQL Server, cuenta de servicio de SQL Server | Necesario para ejecutar SQL Server. Para obtener más información, vea Configurar cuentas de servicio de Windows. |
| Reemplazar un token de nivel de proceso | cuenta de servicio de Agente SQL Server, cuenta de servicio de SQL Server | Necesario para ejecutar SQL Server. Para obtener más información, vea Configurar cuentas de servicio de Windows. |
Servicios del sistema
Para iniciar el complemento MMC de servicios, haga clic en Inicio, ejecutar y, en el cuadro de diálogo Ejecutar, escriba services.msc y presione ENTRAR.
Cliente DHCP:
- Tipo de inicio1: Automático
- Detalles: obligatorio incluso si las direcciones IP son estáticas
- Usuario2: (valor predeterminado)
Coordinador de transacciones distribuidas:
- Tipo de inicio1: Manual
- Detalles: Inicio del servicio administrado por el servicio de clúster
Las siguientes cuentas de usuario necesitan permisos para este servicio:
| Usuario 2 | Permisos | Detalles |
|---|---|---|
| Cuenta de servicio de SSO | Control total | Necesario para iniciar el servicio SSO |
| Servicio de red | Control total | Requerido por IIS |
HTTP SSL3:
- Tipo de inicio1: Automático
- Detalles: Requerido por IIS
- Usuario2: (valor predeterminado)
Servicios IPSEC3:
- Tipo de inicio1: Automático
- Detalles: IPSEC aumenta la seguridad de red si se usa
- Usuario2: (valor predeterminado)
Netlogon:
- Tipo de inicio1: (valor predeterminado)
- Usuario2: Servicio local
- Permisos: Control total
Proveedor de soporte técnico de seguridad nt LM3:
- Tipo de inicio1: Automático
- Detalles: necesario para la autenticación Kerberos para BizTalk Server en SQL
- Usuario2: (valor predeterminado)
Administrador de conexiones de acceso remoto:
- Tipo de inicio1: (valor predeterminado)
Las siguientes cuentas de usuario necesitan permisos para este servicio:
| Usuario 2 | Permisos | Detalles |
|---|---|---|
| Cuenta de servicio de SSO | Control total | Necesario para iniciar el servicio SSO |
| Servicio de red | Control total | Requerido por IIS |
Servidor:
- Tipo de inicio1: Automático
- Detalles: se usa para los recursos del recurso compartido de archivos en clúster
- Usuario2: Servicio de red
- Permisos: Control total
Servicio de detección automática de proxy web winHTTP:
- Tipo de inicio1: (valor predeterminado)
- Usuario2: Cuenta de servicio de SSO
- Permisos: Control total
- Detalles: necesario para iniciar el servicio SSO
Servicio de publicación World Wide Web:
- Tipo de inicio1: Automático
- Detalles: requeridos por SQL Server Reporting Services
- Usuario2: (valor predeterminado)
1 Un valor de (valor predeterminado) significa que la configuración predeterminada aplicada por la directiva de seguridad no cambia.
2 Un valor de (valor predeterminado) significa que no se han cambiado los permisos de usuario predeterminados para el servicio.
Configuración del Registro
Para iniciar el Editor del Registro, haga clic en Inicio, en Ejecutar y, en el cuadro de diálogo Ejecutar , escriba regedit y presione ENTRAR.
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- Usuario: Servicio de red
- Permisos: Control total
- Detalles: Requerido por el servicio de cliente DHCP
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- Usuario: Servicio de red
- Permisos: Control total
- Detalles: Requerido por el servicio de cliente DHCP
Consideraciones de seguridad adicionales
En la tabla siguiente se sugiere la otra configuración importante relacionada con la seguridad del entorno de BizTalk Server.
| Artefacto afectado | Change | Referencia y detalles |
|---|---|---|
| Cuenta de servicio de SSO | Concesión de permisos de control total en el clúster en el Administrador de clústeres | Este cambio es necesario para que el inicio de sesión único funcione correctamente. |
| cuenta de servicio de SQL Server, servidores de SQL Server, servidores de BizTalk Server, nombre de clúster de SQL Server | Confianza para la delegación en Active Directory | Se requiere para la autenticación Kerberos adecuada. Para obtener más información, consulte Cómo: Habilitar la autenticación Kerberos en un clúster de conmutación por error de SQL Server. |
| Cuenta de servicio de SQL Server | Concesión de permiso para crear entradas de SPN | Se requiere para la autenticación Kerberos adecuada. Para obtener más información, consulte Uso de la autenticación Kerberos en SQL Server. |
| SQL Server nodos, nombre del clúster de SQL | Creación de entradas de SPN para la cuenta de servicio de SQL Server de usuario | Se requiere para la autenticación Kerberos adecuada. Para obtener más información, consulte Uso de la autenticación Kerberos en SQL Server. |
| Recurso de clúster de nombre de red de SQL | El registro DNS debe realizarse correctamente, habilitar la autenticación Kerberos. | Necesario para la autenticación Kerberos adecuada |
| configuración de SQL Server Surface | Habilitación de la conexión de administrador directo remoto | Requerido por el servicio SQL Browser para funcionar correctamente, lo cual requiere los clientes sql (BizTalk/ASP.NET) para localizar correctamente SQL Server instancia con nombre. |
| Grupo de usuarios de aplicaciones de BizTalk | Concesión del permiso Ejecutar en sp_help_jobhistory en la base de datos msdb | Requerido por BizTalk Server |
Consulte también
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de