Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'esecuzione di BizTalk Server in un ambiente sicuro richiede passaggi aggiuntivi per la distribuzione e la configurazione. Anche se le installazioni predefinite del sistema operativo non devono tenere conto di queste impostazioni, ma gli scenari in cui sono stati applicati criteri di sicurezza restrittivi, è necessario tenere conto delle informazioni in questa sezione. Il livello di restrizione applicato ai server può variare, ma le informazioni seguenti dovrebbero coprire la maggior parte dei casi e sarebbe un buon punto di partenza.
Considerazioni sulla sicurezza per i computer che eseguono BizTalk Server
Considerazioni sulla sicurezza per i computer che eseguono SQL Server
Considerazioni sulla sicurezza per i computer che eseguono BizTalk Server
Le informazioni seguenti suggeriscono le impostazioni relative alla sicurezza nei computer che eseguono BizTalk Server.
Assegnazione diritti utente
Per avviare lo snap-in MMC Assegnazione diritti utente, fare clic su Start, su Strumenti di amministrazione e quindi su Criteri di sicurezza locali. Nello snap-in MMC Criteri di sicurezza locali espandere Impostazioni di sicurezza, espandere Criteri locali e quindi fare clic su Assegnazione diritti utente.
| Impostazione criteri | Valori | Informazioni di riferimento e dettagli |
|---|---|---|
| Accedi come servizio | Utenti dell'applicazione BizTalk | Obbligatorio per eseguire istanze host BizTalk. Per altre informazioni sui diversi account utente, vedere Gruppi di Windows e account utente in BizTalk Server. |
| Accedi come servizio | Account del servizio di aggiornamento RuleEngine | Obbligatorio per eseguire il servizio di aggiornamento RuleEngine. Per altre informazioni sui diversi account utente, vedere Gruppi di Windows e account utente in BizTalk Server. |
| Accedi come servizio | Account del servizio SSO | Obbligatorio per eseguire Enterprise Single Sign-On Service. Per altre informazioni sui diversi account utente, vedere Gruppi di Windows e account utente in BizTalk Server. |
Servizi di sistema
Per avviare lo snap-in MMC Servizi, fare clic su Start, fare clic su Esegui e nella finestra di dialogo Esegui digitare services.msc e premere INVIO.
Applicazione di sistema COM+:
- Tipo di avvio1: Automatico
- Dettagli: richiesto da BizTalk per l'esecuzione corretta
- Utente2: (impostazione predefinita)
Client DHCP:
- Tipo di avvio1: Automatico
- Dettagli: obbligatorio anche se gli indirizzi IP sono statici
- Utente2: (impostazione predefinita)
Distributed Transaction Coordinator:
- Tipo di avvio1: Automatico
- Dettagli: richiesto da BizTalk per l'esecuzione corretta
Gli account utente seguenti necessitano delle autorizzazioni per questo servizio:
| Utente 2 | Autorizzazioni | Dettagli |
|---|---|---|
| Account del servizio SSO | Controllo completo | Obbligatorio per avviare il servizio SSO |
| Account del servizio Host BizTalk | Controllo completo | Obbligatorio per avviare gli host BizTalk |
| Network Service (Servizio di rete) | Controllo completo | Richiesto da IIS |
HTTP SSL3:
- Tipo di avvio1: Automatico
- Dettagli: obbligatorio da IIS
- Utente2: (impostazione predefinita)
IPSEC Services3:
- Tipo di avvio1: Automatico
- Dettagli: IPSEC aumenta la sicurezza di rete se usata
- Utente2: (impostazione predefinita)
Netlogon:
- Tipo di avvio1: (impostazione predefinita)
- Utente2: Servizio locale
- Autorizzazioni: controllo completo
Provider di supporto per la sicurezza NT LM3:
- Tipo di avvio1: Automatico
- Dettagli: Obbligatorio per l'autenticazione Kerberos per BizTalk Server in SQL
- Utente2: (impostazione predefinita)
Gestione connessione accesso remoto:
- Tipo di avvio1: (impostazione predefinita)
Gli account utente seguenti necessitano delle autorizzazioni per questo servizio:
| Utente 2 | Autorizzazioni | Dettagli |
|---|---|---|
| Account del servizio SSO | Controllo completo | Obbligatorio per avviare il servizio SSO |
| Account del servizio Host BizTalk | Controllo completo | Obbligatorio per avviare gli host BizTalk |
| Network Service (Servizio di rete) | Controllo completo | Richiesto da IIS |
Localizzatore RPC (Remote Procedure Call):
- Tipo di avvio1: Automatico
- Dettagli: obbligatorio da BizTalk
- Utente2: (impostazione predefinita)
Servizio di individuazione automatica proxy Web WinHTTP:
- Tipo di avvio1: (impostazione predefinita)
Gli account utente seguenti necessitano delle autorizzazioni per questo servizio:
| Utente 2 | Autorizzazioni | Dettagli |
|---|---|---|
| Account servizio SSO | Controllo completo | Obbligatorio per avviare il servizio SSO |
| Account del servizio BizTalk Host | Controllo completo | Obbligatorio per avviare gli host BizTalk |
1 Il valore (impostazione predefinita) indica che le impostazioni predefinite applicate dai criteri di sicurezza non vengono modificate
2 Il valore (impostazione predefinita) indica che le autorizzazioni utente predefinite per il servizio non sono state modificate
Impostazioni del Registro di sistema
Per avviare l'editor del Registro di sistema, fare clic su Start, fare clic su Esegui e nella finestra di dialogo Esegui digitare regedit e premere INVIO.
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- Utente: Servizio di rete
- Autorizzazioni: controllo completo
- Dettagli: richiesto dal servizio client DHCP
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- Utente: Servizio di rete
- Autorizzazioni: controllo completo
- Dettagli: richiesto dal servizio client DHCP
Considerazioni sulla sicurezza per i computer che eseguono SQL Server
Le informazioni seguenti suggeriscono le impostazioni relative alla sicurezza nei computer che eseguono SQL Server.
Assegnazione diritti utente
Per avviare lo snap-in MMC Assegnazione diritti utente, fare clic su Start, su Strumenti di amministrazione e quindi su Criteri di sicurezza locali. Nello snap-in MMC Criteri di sicurezza locali espandere Impostazioni di sicurezza, espandere Criteri locali e quindi fare clic su Assegnazione diritti utente.
| Impostazione criteri | Valori | Informazioni di riferimento e dettagli |
|---|---|---|
| Agire come parte del sistema operativo | Account del Servizio SQL Server Agent, Account del Servizio SQL Server | Obbligatorio per eseguire SQL Server. Per altre informazioni, vedere Configurazione di account del servizio Windows. |
| Regolare le quote di memoria per un processo | Account del servizio SQL Server Agent, Account del Servizio SQL Server | Obbligatorio per eseguire SQL Server. Per altre informazioni, vedere Configurazione di account del servizio Windows. |
| Ignorare controllo delle traversine | Account del Servizio SQL Server Agent, Account del Servizio SQL Server | Obbligatorio per eseguire SQL Server. Per altre informazioni, vedere Configurazione di account del servizio Windows. |
| Creazione oggetti globali | Account del servizio di SQL Server | Richiesto dal servizio SSIS. Per altre informazioni, vedere Configurazione di account del servizio Windows. |
| Abilita gli account computer e utente per essere considerati attendibili per la delega | Account del servizio SQL Server, server SQL Server, server BizTalk Server, nome del cluster SQL Server | Richiesto da BizTalk Server. Il nome del server è nel formato <nomeserver>$. Per altre informazioni, vedere Procedura: Abilitare l'autenticazione Kerberos in un cluster di failover di SQL Server. |
| Accedi come servizio | Account del servizio di SQL Server Agent, account del servizio SQL Server | Obbligatorio per eseguire SQL Server. Per altre informazioni, vedere Configurazione di account del servizio Windows. |
| Accedi come servizio | Account del servizio SSO | Obbligatorio per eseguire Enterprise Single Sign-On Service. Per altre informazioni sui diversi account utente, vedere Gruppi di Windows e account utente in BizTalk Server. |
| Eseguire l'accesso come processo batch | Account del Servizio SQL Server Agent, Account del Servizio SQL Server | Obbligatorio per eseguire SQL Server. Per altre informazioni, vedere Configurazione di account del servizio Windows. |
| Sostituzione di token a livello di processo | Account del Servizio SQL Server Agent, Account del Servizio SQL Server | Obbligatorio per eseguire SQL Server. Per altre informazioni, vedere Configurazione di account del servizio Windows. |
Servizi di sistema
Per avviare lo snap-in MMC Servizi, fare clic su Start, fare clic su Esegui e nella finestra di dialogo Esegui digitare services.msc e premere INVIO.
Client DHCP:
- Tipo di avvio1: Automatico
- Dettagli: obbligatorio anche se gli indirizzi IP sono statici
- Utente2: (impostazione predefinita)
Distributed Transaction Coordinator:
- Tipo di avvio1: Manuale
- Dettagli: Avvio del servizio gestito dal servizio cluster
Gli account utente seguenti necessitano delle autorizzazioni per questo servizio:
| Utente 2 | Autorizzazioni | Dettagli |
|---|---|---|
| Account del servizio SSO | Controllo completo | Obbligatorio per avviare il servizio SSO |
| Network Service (Servizio di rete) | Controllo completo | Richiesto da IIS |
HTTP SSL3:
- Tipo di avvio1: Automatico
- Dettagli: obbligatorio da IIS
- Utente2: (impostazione predefinita)
IPSEC Services3:
- Tipo di avvio1: Automatico
- Dettagli: IPSEC aumenta la sicurezza di rete se usata
- Utente2: (impostazione predefinita)
Netlogon:
- Tipo di avvio1: (impostazione predefinita)
- Utente2: Servizio locale
- Autorizzazioni: controllo completo
Provider di supporto per la sicurezza NT LM3:
- Tipo di avvio1: Automatico
- Dettagli: obbligatorio per l'autenticazione Kerberos per BizTalk Server in SQL
- Utente2: (impostazione predefinita)
Gestione connessione accesso remoto:
- Tipo di avvio1: (impostazione predefinita)
Gli account utente seguenti necessitano delle autorizzazioni per questo servizio:
| Utente 2 | Autorizzazioni | Dettagli |
|---|---|---|
| Account del Servizio SSO | Controllo completo | Obbligatorio per avviare il servizio SSO |
| Network Service (Servizio di rete) | Controllo completo | Richiesto da IIS |
Server:
- Tipo di avvio1: Automatico
- Dettagli: usato per le risorse di condivisione file in cluster
- Utente2: Servizio di rete
- Autorizzazioni: controllo completo
Servizio di individuazione automatica proxy Web WinHTTP:
- Tipo di avvio1: (impostazione predefinita)
- Utente2: Account del servizio SSO
- Autorizzazioni: controllo completo
- Dettagli: obbligatorio per avviare il servizio SSO
Servizio di pubblicazione del World Wide Web:
- Tipo di avvio1: Automatico
- Dettagli: obbligatorio da SQL Server Reporting Services
- Utente2: (impostazione predefinita)
1 Il valore (impostazione predefinita) indica che le impostazioni predefinite applicate dai criteri di sicurezza non vengono modificate
2 Il valore (impostazione predefinita) indica che le autorizzazioni utente predefinite per il servizio non sono state modificate
Impostazioni del Registro di sistema
Per avviare l'editor del Registro di sistema, fare clic su Start, fare clic su Esegui e nella finestra di dialogo Esegui digitare regedit e premere INVIO.
HKLM\SYSTEM\CurrentControlSet\Services\DHCP- Utente: Servizio di rete
- Autorizzazioni: controllo completo
- Dettagli: richiesto dal servizio client DHCP
HKLM\SYSTEM\CurrentControlSet\Services\TCPIP- Utente: Servizio di rete
- Autorizzazioni: controllo completo
- Dettagli: richiesto dal servizio client DHCP
Considerazioni aggiuntive sulla sicurezza
La tabella seguente suggerisce le altre importanti impostazioni relative alla sicurezza per l'ambiente BizTalk Server.
| Artefatto interessato | Cambiamento | Informazioni di riferimento e dettagli |
|---|---|---|
| Account del servizio SSO | Concedere l'autorizzazione di controllo totale per cluster in Gestione Clusters | Questa modifica è necessaria per il corretto funzionamento dell'SSO. |
| Account del servizio SQL Server, server SQL Server, server BizTalk Server, nome del cluster SQL Server | Attendibilità per la delega in Active Directory | Obbligatorio per l'autenticazione Kerberos appropriata. Per altre informazioni, vedere Procedura: Abilitare l'autenticazione Kerberos in un cluster di failover di SQL Server. |
| Account del servizio di SQL Server | Concedere l'autorizzazione per creare voci SPN | Obbligatorio per l'autenticazione Kerberos appropriata. Per altre informazioni, vedere Come usare l'autenticazione Kerberos in SQL Server. |
| Nodi di SQL Server, nome del cluster SQL | Creare voci SPN per l'account del servizio SQL Server dell'utente | Obbligatorio per l'autenticazione Kerberos appropriata. Per altre informazioni, vedere Come usare l'autenticazione Kerberos in SQL Server. |
| Nome di rete del cluster SQL | La registrazione DNS deve avere esito positivo, abilitare l'autenticazione Kerberos | Obbligatorio per l'autenticazione Kerberos appropriata |
| Configurazione di SQL Server Surface | Abilitare la connessione diretta dell'amministratore remoto | Necessario per il corretto funzionamento del servizio SQL Browser, il quale è richiesto dai client SQL (BizTalk/ASP.NET) per individuare correttamente l'istanza di SQL Server con nome. |
| Gruppo utenti applicazione BizTalk | Concedere l'autorizzazione Execute per sp_help_jobhistory nel database msdb | Richiesto da BizTalk Server |