共用方式為

檢查清單:規劃安全環境中的作業

在安全的環境中執行 BizTalk Server 需要部署和設定的其他步驟。 儘管預設的作業系統安裝不需要考慮這些因素,但在施行限制性安全政策的情況下,您應該考慮本節中的資訊。 套用至伺服器的限制層級可能會有所不同,但下列資訊應該涵蓋大部分的情況,而且會是很好的起點。

執行 BizTalk Server 之電腦的安全性考慮

下列資訊顯示執行 BizTalk Server 之電腦上的安全相關設定。

使用者權限指派

若要啟動用戶權力指派 MMC 嵌入式管理單元,請按兩下 [ 開始],按兩下 [系統管理工具],然後按兩下 [ 本機安全策略]。 在 [本機安全策略 MMC] 嵌入式管理單元中,依序展開 [安全性設定] 和 [本機政策],然後按一下 [用戶權利指派]。

原則設定 價值觀 參考和詳細數據
以服務身份登入 BizTalk 應用程式使用者 執行 BizTalk 主機實例所需的必要條件。 如需不同用戶帳戶的詳細資訊,請參閱 BizTalk Server 中的 Windows 群組和用戶帳戶
以服務身份登入 RuleEngine 更新服務帳戶 需要運行 RuleEngine 更新服務。 如需不同用戶帳戶的詳細資訊,請參閱 BizTalk Server 中的 Windows 群組和用戶帳戶
以服務身份登入 SSO 服務帳戶 執行企業單一 Sign-On 服務的必要專案。 如需不同用戶帳戶的詳細資訊,請參閱 BizTalk Server 中的 Windows 群組和用戶帳戶

系統服務

若要啟動 Services MMC 嵌入式管理單元,請按兩下 [ 開始],按兩下 [ 執行],然後在 [ 執行 ] 對話框中輸入 services.msc 並按 ENTER。

  • COM+ 系統應用程式

    • 啟動類型1:自動
    • 詳情:BizTalk 需要才能正確運作
    • 使用者2:(預設值)

  • DHCP 用戶端

    • 啟動類型1:自動
    • 詳細數據:即使IP位址是靜態,也需要
    • 使用者2:(預設值)

  • 分散式交易協調器

    • 啟動類型1:自動
    • 細節:BizTalk 需要以正常運行

    下列使用者帳戶需要此服務的許可權:

使用者 2 權限 詳細資訊
SSO 服務帳戶 完全控制 啟動 SSO 服務所需條件
BizTalk 主機服務帳戶 完全控制 啟動 BizTalk 主機的必要條件
網路服務 完全控制 IIS 所需事項

  • HTTP SSL3

    • 啟動類型1:自動
    • 詳細資訊:IIS 的必要需求
    • 使用者2:(預設值)

  • IPSEC 服務3

    • 啟動類型1:自動
    • 詳細數據:如果使用 IPSEC 會增加網路安全性
    • 使用者2:(預設值)

  • Netlogon

    • 啟動類型1:(預設值)
    • 使用者2:本地服務
    • 許可權:完全控制

  • NT LM 安全性支援提供者3

    • 啟動類型1:自動
    • 詳細資訊:SQL 中 BizTalk Server Kerberos 驗證的必要條件
    • 使用者2:(預設值)

  • 遠端存取連線管理員

    • 啟動類型1:(預設值)

    下列使用者帳戶需要此服務的許可權:

使用者 2 權限 詳細資訊
SSO 服務帳戶 完全控制 啟動 SSO 服務所需的必要條件
BizTalk 主機服務帳戶 完全控制 啟動 BizTalk 主機所需的條件
網路服務 完全控制 IIS 必需的條件

  • 遠端程序呼叫 (RPC) 定位器

    • 啟動類型1:自動
    • 詳情:BizTalk 所需
    • 使用者2:(預設值)

  • WinHTTP Web Proxy 自動探索服務

    • 啟動類型1:(預設值)

    下列使用者帳戶需要此服務的許可權:

使用者 2 權限 詳細資訊
SSO 服務帳戶 完全控制 啟動 SSO 服務所需的必要條件
BizTalk 主機服務帳戶 完全控制 啟動 BizTalk 主機的必要條件

1 值 (預設值) 表示安全策略所套用的預設設定不會變更

2 值 (預設值) 表示服務的預設使用者許可權尚未變更

登錄設定

若要啟動註冊表編輯器,請按兩下 [ 開始],按兩下[ 執行],然後在 [ 執行 ] 對話框中輸入 regedit 並按 ENTER。

  • HKLM\SYSTEM\CurrentControlSet\Services\DHCP

    • 用戶:網路服務
    • 許可權:完全控制
    • 詳細資訊: DHCP 客戶端服務的必要項目

  • HKLM\SYSTEM\CurrentControlSet\Services\TCPIP

    • 用戶:網路服務
    • 許可權:完全控制
    • 詳細資訊: DHCP 用戶端服務的必要專案

執行 SQL Server 之電腦的安全性考慮

下列資訊顯示執行 SQL Server 之電腦的安全性相關設定。

使用者權限指派

若要啟動用戶權力指派 MMC 嵌入式管理單元,請按兩下 [ 開始],按兩下 [系統管理工具],然後按兩下 [ 本機安全策略]。 在 [本機安全策略 MMC] 嵌入式管理單元中,依序展開 [安全性設定] 和 [本機政策],然後按一下 [用戶權利指派]。

原則設定 價值觀 參考和詳細數據
當成作業系統的一部分 SQL Server Agent 服務帳戶、SQL Server 服務帳戶 執行 SQL Server 的必要需求。 如需詳細資訊,請參閱 設定 Windows 服務帳戶
調整處理程序的記憶體配額 SQL Server Agent 服務帳戶,SQL Server 服務帳戶 執行 SQL Server 的必要條件。 如需詳細資訊,請參閱 設定 Windows 服務帳戶
略過周遊檢查 SQL Server Agent 服務帳戶,SQL Server 服務帳戶 執行 SQL Server 所需的必要條件。 如需詳細資訊,請參閱 設定 Windows 服務帳戶
建立通用物件 SQL Server 服務帳戶 這是 SSIS 服務所必需的。 如需詳細資訊,請參閱 設定 Windows 服務帳戶
讓電腦及使用者帳戶受信賴,以進行委派 SQL Server 服務帳戶、SQL Server 伺服器、BizTalk Server 伺服器、SQL Server 叢集名稱 BizTalk Server 所需。 伺服器名稱是形如 <servername>$ 的格式。 如需詳細資訊,請參閱 如何:在 SQL Server 故障轉移叢集上啟用 Kerberos 驗證
以服務身份登入 SQL Server Agent服務帳號,SQL Server服務帳號 運行 SQL Server 所需的要求。 如需詳細資訊,請參閱 設定 Windows 服務帳戶
以服務身份登入 SSO 服務帳戶 執行企業單一 Sign-On 服務的必要專案。 如需不同用戶帳戶的詳細資訊,請參閱 BizTalk Server 中的 Windows 群組和用戶帳戶
以批次作業身分登入 SQL Server Agent 的服務帳戶,SQL Server 的服務帳戶 執行 SQL Server 的必要條件。 如需詳細資訊,請參閱 設定 Windows 服務帳戶
取代處理程序等級權杖 SQL Server Agent 服務帳戶,SQL Server 服務帳戶 執行 SQL Server 的必要條件。 如需詳細資訊,請參閱 設定 Windows 服務帳戶

系統服務

若要啟動 Services MMC 嵌入式管理單元,請按兩下 [ 開始],按兩下 [ 執行],然後在 [ 執行 ] 對話框中輸入 services.msc 並按 ENTER。

  • DHCP 用戶端

    • 啟動類型1:自動
    • 詳細數據:即使IP位址是靜態,也需要
    • 使用者2:(預設值)

  • 分散式交易協調器

    • 啟動類型1:手動
    • 詳細數據:叢集服務所管理的服務啟動

    下列使用者帳戶需要此服務的許可權:

使用者 2 權限 詳細資訊
SSO 服務帳戶 完全控制 啟動 SSO 服務所需條件
網路服務 完全控制 IIS 所需事項

  • HTTP SSL3

    • 啟動類型1:自動
    • 詳細資訊:IIS 的必要需求
    • 使用者2:(預設值)

  • IPSEC 服務3

    • 啟動類型1:自動
    • 詳細數據:如果使用 IPSEC 會增加網路安全性
    • 使用者2:(預設值)

  • Netlogon

    • 啟動類型1:(預設值)
    • 使用者2:本地服務
    • 許可權:完全控制

  • NT LM 安全性支援提供者3

    • 啟動類型1:自動
    • 詳細資訊:在 SQL 中針對 BizTalk Server 的 Kerberos 驗證所需的必須品
    • 使用者2:(預設值)

  • 遠端存取連線管理員

    • 啟動類型1:(預設值)

    下列使用者帳戶需要此服務的許可權:

使用者 2 權限 詳細資訊
SSO 服務帳戶 完全控制 啟動 SSO 服務所需的條件
網路服務 完全控制 IIS 的必要要求

  • 伺服器

    • 啟動類型1:自動
    • 詳細數據:用於叢集檔案共享資源
    • 使用者2:網路服務
    • 許可權:完全控制

  • WinHTTP Web Proxy 自動探索服務

    • 啟動類型1:(預設值)
    • 使用者2:SSO 服務帳戶
    • 許可權:完全控制
    • 詳情:啟動 SSO 服務的必要條件

  • World Wide Web Publishing Service

    • 啟動類型1:自動
    • 詳細資料:SQL Server Reporting Services 所需的條件
    • 使用者2:(預設值)

1 值 (預設值) 表示安全策略所套用的預設設定不會變更

2 值 (預設值) 表示服務的預設使用者許可權尚未變更

登錄設定

若要啟動註冊表編輯器,請按兩下 [ 開始],按兩下[ 執行],然後在 [ 執行 ] 對話框中輸入 regedit 並按 ENTER。

  • HKLM\SYSTEM\CurrentControlSet\Services\DHCP

    • 用戶:網路服務
    • 許可權:完全控制
    • 詳情: 由 DHCP 客戶端服務必需的

  • HKLM\SYSTEM\CurrentControlSet\Services\TCPIP

    • 用戶:網路服務
    • 許可權:完全控制
    • 詳細資訊: DHCP 用戶端服務所需的項目

其他安全性考慮

下表建議 BizTalk Server 環境的其他重要安全性相關設定。

受影響的成品 改變 參考和詳細數據
SSO 服務帳戶 在叢集管理員中授予叢集完整控制權限 SSO 必須進行這項變更,才能正常運作
SQL Server 服務帳戶、SQL Server 伺服器、BizTalk Server 伺服器、SQL Server 叢集名稱 Active Directory 中委派的信任 需要正確的 Kerberos 驗證。 如需詳細資訊,請參閱 如何:在 SQL Server 故障轉移叢集上啟用 Kerberos 驗證
SQL Server 服務帳戶 授予建立SPN項目的許可權 需要適當的 Kerberos 驗證。 如需詳細資訊,請參閱 如何在 SQL Server 中使用 Kerberos 驗證
SQL Server 節點、SQL 叢集名稱 建立使用者 SQL Server 服務帳戶的 SPN 條目 需要適當的 Kerberos 驗證。 如需詳細資訊,請參閱 如何在 SQL Server 中使用 Kerberos 驗證
SQL 網路名稱叢集資源 DNS 註冊必須成功,啟用 Kerberos 驗證 需要適當的 Kerberos 驗證
SQL Server 表面配置 啟用遠端直接系統管理員連線 SQL Browser 服務必須正常運作,這樣 SQL 用戶端(如 BizTalk/ASP.NET)才能正確定位 SQL Server 的具名實例。
BizTalk 應用程式使用者群組 授與 msdb 資料庫中sp_help_jobhistory的執行許可權 BizTalk Server 的必要專案

另請參閱

其他重要工作的檢查清單

  • Last updated on