Overvejelser om sikkerhed i operativsystem og platformsteknologi for Microsoft Dynamics CRM 2015

 

Udgivet: november 2016

Gælder for: Dynamics CRM 2015

I bredeste forstand involverer sikkerhed planlægning og overvejelser om afvejning mellem trusler og adgang. En computer kan f.eks. låses inde i et pengeskab og kun være tilgængelig for én systemadministrator. Denne computer er ganske vist sikker, men den er ikke specielt anvendelig, da den ikke er forbundet med en anden computer. Hvis virksomhedens brugere skal have adgang til internettet og virksomhedens intranet, skal du overveje, hvordan du kan gøre netværket både sikkert og brugbart.

Følgende afsnit indeholder links til oplysninger om, hvordan computermiljøet kan gøres mere sikkert. I sidste ende afhænger datasikkerheden i Microsoft Dynamics 365 i stort omfang af sikkerheden i operativsystemet og de krævede og valgfrie softwarekomponenter.

Dette emne indeholder

Sikring af Windows Server

Sikring af SQL Server

Sikring af Exchange Server og Outlook

Sikre mobilenheder

Sikring af Windows Server

Windows Server, som er grundlaget for Microsoft Dynamics 365, indeholder avanceret netværkssikkerhed. Kerberos-godkendelsesprotokollen version 5, der er integreret i Active Directory og Active Directory Federation Services (AD FS), giver dig mulighed for at samle Active Directory-domæner ved hjælp af kravsbaseret godkendelse. De giver begge en effektiv godkendelse, der er baseret på standarder. Disse godkendelsesstandarder giver brugere mulighed for at angive en enkelt kombination af brugernavn og adgangskodelogon for ressourceadgang på hele netværket.Windows Server indeholder også flere funktioner, der gør netværket mere sikkert.

Klik på følgende links for at få oplysninger om disse funktioner. Du kan få mere at vide om, hvordan du gør installationen af Windows Server mere sikker:

• Windows Server 2012

  • Sikring af Windows Server 2012 R2 og Windows Server 2012

  • Windows Server 2012 Security Baseline

Windows Fejlrapportering

Microsoft Dynamics 365 kræver tjenesten Windows Fejlrapportering (WER), som installeres under installationen, hvis den mangler. Tjenesten WER indsamler oplysninger, f.eks. IP-adresser. Disse oplysninger bruges ikke til at identificere brugere. Tjenesten WER indsamler ikke med overlæg navne, adresser, e-mail-adresser, computernavne eller andre former for oplysninger, der kan identificere personer. Det er muligt, at sådanne oplysninger hentes til hukommelsen eller via de data, der indsamles fra åbne filer, men Microsoft bruger ikke disse oplysninger til at identificere brugere. Derudover er visse oplysninger, der overføres mellem Microsoft Dynamics 365-programmet og Microsoft, måske ikke beskyttet. Du kan finde flere oplysninger af den type oplysninger, der overføres, i erklæringen om beskyttelse af personlige oplysninger for tjenesten Microsoft Fejlrapportering.

Beskyttelse mod virus, malware og af identitet

Du kan finde hjælp til at beskytte dit identitet og system mod malware eller virus i følgende ressourcer:

• Microsoft Sikkerhed. Denne side er et indgangspunkt til tip, undervisning og vejledning i, hvordan du holder computeren opdateret og forhindrer, at computeren bliver sårbar over for udnyttelse, spyware og virus.

• Security TechCenter. Denne side indeholder links til tekniske bulletiner, gode råd, opdateringer, værktøjer og vejledninger, der er udviklet for at gøre computere og programmer opdaterede og mere sikre.

Administration af opdatering

Opdateringerne til Microsoft Dynamics 365 inkluderer forbedringer af sikkerhed, ydeevne og funktionalitet. Ved at sikre, at Microsoft Dynamics 365-programmerne har de nyeste opdateringer, kan du være med til at sikre, at systemet kører så effektivt og pålideligt som muligt.

Du kan få flere oplysninger om administration af opdateringer på følgende steder:

• Windows Server Update Services

• Administration af opdateringer i System Center Essentials

• Administration af opdateringer i Windows Server 2012: Afsløring af klyngebaseret opdatering og den nye generation af WSUS

Sikring af SQL Server

Da Microsoft Dynamics 365 er afhængig af SQL Server, skal du sørge for at udføre følgende for at forbedre sikkerheden i SQL Server-databasen:

• Kontrollér, at det nyeste operativsystem og de nyeste servicepakker og opdateringer til SQL Server anvendes. Gå til webstedet Microsoft Sikkerhed for at finde detaljer om de nyeste komponenter.

• Kontrollér, at alle SQL Server-data og -systemfiler er installeret på NTFS-partitioner for sikkerhed på systemniveau. Du bør kun gøre filerne tilgængelige for brugere på administrator- eller systemniveau via NTFS-tilladelser. Det er med til at beskytte mod brugere, der får adgang til de pågældende filer, når tjenesten MSSQLSERVER ikke kører.

• Brug en domænekonto med få rettigheder. Du kan også angive Netværkstjeneste eller den lokale systemkonto for SQL Server-tjenester. Det anbefales dog ikke, at du bruger disse konti, da domænebrugerkonti kan konfigureres med mindre tilladelse til at køre SQL Server-tjenester. Domænebrugerkontoen skal have minimale rettigheder i domænet og skal hjælpe med at begrænse (men ikke standse) et angreb på serveren, i tilfælde af at sikkerheden er svækket. Med andre ord skal denne konto kun have lokale tilladelser på brugerniveau for domænet. Hvis SQL Server installeres ved at bruge en konto af typen Domæneadministrator til at køre tjenesterne, vil en svækkelse af SQL Server resultere i en svækkelse af hele domænet. Hvis det er nødvendigt at ændre denne indstilling, skal du bruge SQL Server Management Studio til at foretage ændringen, da adgangskontrollisterne til filer, registreringsdatabasen og brugerrettigheder ændres automatisk.

• I SQL Server godkendes brugere, der har legitimationsoplysninger til enten Windows-godkendelse eller SQL Server. Det anbefales, at du bruger Windows-godkendelse for at opnå brugervenlig enkeltlogon og for at give den mest sikre godkendelsesmetode.

• Overvågning af SQL Server-systemer er som standard deaktiveret, så der ikke overvåges betingelser. Det gør det vanskeligt at registrere uautoriseret adgang og hjælper hackere med at dække deres angreb. Du skal som minimum aktivere overvågning af mislykkede logonforsøg.

• Rapportserver-administratorer kan aktivere RDL-sandkassefunktionen for at begrænse adgangen til Rapportserver.Flere oplysninger:Aktivering og deaktivering af RDL-sandkassefunktion

• Hvert SQL-logon er konfigureret til at bruge masterdatabasen som standarddatabase. Selvom brugere ikke skal have rettigheder til masterdatabasen, skal du benytte den bedste praksis og ændre standarden for hvert SQL-logon (undtagen dem med rollen SYSADMIN) til at bruge OrganizationName_MSCRM som standarddatabasen.Flere oplysninger:Sikring af SQL Server

Sikring af Exchange Server og Outlook

Du skal overveje følgende i forbindelse med Microsoft Exchange Server, og nogle af overvejelserne er specifikke for Exchange Server i et Microsoft Dynamics 365-miljø:

• Exchange Server indeholder en omfattende række mekanismer, der giver dig detaljeret administrativ kontrol over infrastrukturen. Du kan især bruge administrationsgrupper til at samle Exchange Server-objekter, f.eks. servere, forbindelser eller politikker, og derefter ændre ACL'erne i de pågældende administratorgrupper for at sikre, at det kun er visse brugere, der kan få adgang til dem. Du kan f.eks. give Microsoft Dynamics 365-administratorer en del kontrol over servere, der direkte har indvirkning på deres programmer. Når du implementerer en effektiv brug af administratorgrupper, kan du sikre, at du kun giver Microsoft Dynamics 365-administratorer de rettigheder, der er nødvendige, for at de kan udføre deres job.

• Det kan ofte være en god ide at oprette en separat afdeling for brugere af Microsoft Dynamics 365 og give administratorer af Microsoft Dynamics 365 begrænsede administrative rettigheder til den pågældende afdeling. De kan foretage ændringer for alle brugere i den pågældende afdeling, men ikke for brugere uden for afdelingen.

• Du skal sikre, at du er tilstrækkeligt beskyttet mod uautoriseret videresendelse af e-mail. Videresendelse af e-mail er en funktion, der giver en SMTP-klient mulighed for at bruge en SMTP-server til at videresende e-mails til et fjerndomæne. Som standard er Microsoft Exchange Server konfigureret til at forhindre videresendelse af e-mail. De indstillinger, du konfigurerer, afhænger af meddelelsesflowet og konfigurationen af e-mail-serveren fra den uafhængige softwareproducent. Men den bedste måde at løse dette problem på er at låse indstillingerne for videresendelse af e-mail og derefter gradvist låse dem op, så e-mail kan flyde, som den skal. Du kan finde flere oplysninger i Exchange Server Hjælp.

• Hvis du bruger overvågning af postkassen til videresendelse, kræver E-mail-router en Exchange Server- eller POP3-kompatibel postkasse. Det anbefales, at tilladelsen for denne postkasse angives for at forhindre, at andre brugere tilføjer serverregler. Du kan finde flere oplysninger om Exchange Server-postkasser i Tilladelser til postkasser.

• Tjenesten Microsoft Dynamics 365E-mail-router arbejder under den lokale systemkonto. Det giver E-mail-router adgang til en angivet brugers postkasse og mulighed for at behandle e-mail i den pågældende postkasse.

Du kan finde flere oplysninger om, hvordan du gør Exchange Server mere sikker, i Deployment Security Checklist.

Sikre mobilenheder

Efterhånden som organisationer skal understøtte flere og flere mobile medarbejdere, er en stærk sikkerhed meget vigtig. Følgende ressourcer indeholder oplysninger og bedste praksis for mobilenheder, f.eks smartphones og tablets:

• Sådan administreres mobilenheder ved hjælp af konfigurationsstyring og Windows Intune

• Windows Phone til virksomheder

• Overvejelser om sikkerhed (Microsoft Surface)

• iOS i Business (iPad og iPhone)

Se også

Planlægning af udrulning af Microsoft Dynamics CRM 2015
Konfigurer og administrer mailbehandling og CRM til Outlook
Konfigurer og administrer telefoner og tablets
Overvejelser om sikkerhed i Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Alle rettigheder forbeholdes. Ophavsret