Del via

Kendte problemer og sikkerhedsrisici

  • Artikel

 

Udgivet: januar 2017

Gælder for: Dynamics 365 (on-premises), Dynamics CRM 2016

I dette emne beskrives de problemer og sikkerhedsrisici, der kan opstå, når du bruger Microsoft Dynamics 365. Eventuelle afhjælpninger og løsninger beskrives også.

Dette emne indeholder

Risici, når brugere opretter forbindelse til Dynamics 365 via et usikkert netværk

Sikkerhedsmæssige anbefalinger på installationer med serverroller

Anonym godkendelse

Isolering af rollen HelpServer til installationer med adgang via internettet

Problemer og begrænsninger i forbindelse med kravsbaseret godkendelse

Sikring af web.config-filen

Udgående internetopkald fra brugerdefineret kode udført af Sandbox Processing Service er aktiveret

Sikring af server til server-kommunikation

DNS-rebinding angreb

JavaScript, der er tilladt for URL-adresser til Power BI på private dashboards

Risici, når brugere opretter forbindelse til Dynamics 365 via et usikkert netværk

Her er nogle problemer, der kan opstå, når du kører Microsoft Dynamics 365 uden brug af TLS (Transport Layer Security) eller SSL (Secure Sockets Layer) (HTTPS):

  • Brugergenereret Microsoft Dynamics 365-data, herunder definitioner af visuelle diagrammer, kan ændres via en usikker HTTP-forbindelse ved hjælp af angreb af typen "man in the middle". Hvis du vil afhjælpe denne sårbarhed, skal du konfigurere Microsoft Dynamics 365 til kun at bruge TLS/SSL. Du kan finde flere oplysninger om, hvordan du konfigurerer Microsoft Dynamics 365 Server til at bruge TLS/SSL i Større sikkerhed i forbindelse med klient til server-netværkskommunikation i Dynamics 365.

Sikkerhedsmæssige anbefalinger på installationer med serverroller

Følgende anbefalinger kan hjælpe dig med at gøre Microsoft Dynamics 365-installationen mere pålidelig og sikker.

Serverrolle

Anbefaling

Tjeneste til sandkassebehandling

Installer denne rolle på en dedikeret server på et virtuelt lokalnetværk, der er adskilt fra andre computere, som kører Microsoft Dynamics 365 Server-roller. Det medfører, at hvis der kører en ondsindet plug-in i sandkassen, der udnytter computeren, kan netværkets isolation fra et separat virtuelt lokalnetværk hjælpe med at beskytte andre Dynamics 365-ressourcer mod angreb.

Hjælp-server

Installer denne rolle på en separat computer for både IFD og installationer med adgang via internet. Du kan finde flere oplysninger under Isolering af rollen HelpServer til installationer med adgang via internettet senere i dette emne.

Anonym godkendelse

Microsoft Dynamics 365Installation med adgang via internet kræver anonym godkendelse aktiveret på IIS for kravsbaseret godkendelse. Tokenet for kravsbaseret godkendelse indeholder ikke rå legitimationsoplysninger eller forbindelsesstrengen til Microsoft Dynamics 365 Server. Filen web.config indeholder dog konfigurationsoplysninger om godkendelsestilstanden. Du kan finde flere oplysninger under Sikring af web.config-filen senere i dette emne. Brug TLS/SSL til at beskytte Microsoft Dynamics 365-webstedet.

Isolering af rollen HelpServer til installationer med adgang via internettet

Microsoft Dynamics 365Installation med adgang via internet kræver anonym godkendelse. Da der bruges anonym godkendelse af websteder, kan den virtuelle mappe, der bruges af Microsoft Dynamics 365 Hjælp-webstedet, udsættes for DoS-angreb (Denial of Service).

Hvis du vil isolere siderne i Microsoft Dynamics 365 Hjælp og opnå en bedre beskyttelse af de andre Microsoft Dynamics 365 Server-roller mod potentielle DoS-angreb, kan du overveje at installere rollen Hjælp-server på en separat computer, hvis du implementerer en .

Du kan finde flere oplysninger om indstillinger for installation af Microsoft Dynamics 365-roller på separate computere i Microsoft Dynamics 365-serverroller.

Du kan finde flere oplysninger om, hvordan du reducerer risikoen for DoS-angreb, under MSDN: Forbedring af sikkerheden i webprogrammer: trusler og modtræk.

Problemer og begrænsninger i forbindelse med kravsbaseret godkendelse

I dette emne beskrives de problemer og begrænsninger, der kan opstå, når du bruger kravsbaseret godkendelse sammen med Microsoft Dynamics 365.

Kontrollere, at identitetsudbyderen bruger en politik med en stærk adgangskode

Når du bruger kravsbaseret godkendelse, skal du kontrollere, at den identitetsudbyder, som sikkerhedstokentjeneste (STS) og dermed Microsoft Dynamics 365 har tillid til, bruger en politik med en stærk adgangskode. I Microsoft Dynamics 365 kan stærke adgangskoder ikke gennemtvinges. Når Active Directory bruges som identitetsudbyder, gennemtvinges der som standard en politik med en stærk adgangskode.

Serversessioner med det federerede AD FS-netværk er gyldige i op til otte timer også for deaktiverede eller slettede brugere

Active Directory Federation Services (AD FS)-servertokens allokerer som standard et udløb på otte timer for cookies for enkeltlogon på internettet. Så selv når en bruger er deaktiveret eller slettet fra en godkendelsesprovider, og brugersessionen stadig er aktiv, kan brugeren fortsat godkendes af sikre ressourcer.

Du kan løse dette problem ved at bruge en af disse indstillinger:

  • Deaktivere brugeren i Microsoft Dynamics 365 og i Active Directory. Du kan finde oplysninger om, hvordan du deaktiverer en bruger, i Microsoft Dynamics 365 under Administrere brugere. Du kan finde oplysninger om, hvordan du deaktiverer en bruger i Active Directory ved at se hjælpen til Active Directory-brugere og -computere.

  • Reducere levetiden for enkeltlogon på internettet. Hvis du vil gøre det, kan du gå til Active Directory Federation Services (AD FS) Management Hjælp.

Sikring af web.config-filen

Filen web.config, der oprettet af Microsoft Dynamics 365, indeholder ikke strenge eller krypteringsnøgler. Men filen indeholder konfigurationsoplysninger om godkendelsestilstand og -strategi, oplysninger om ASP.NET-visningstilstand og visning af fejlmeddelelser. Hvis filen ændres i et ondsindet angreb, kan den være en trussel for den server, Microsoft Dynamics 365 kører på. Vi anbefaler, at du gør følgende for at hjælpe med at sikre filen web.config:

  • Giv tilladelser til den mappe, hvor filen web.config er placeret, til de brugerkonti, der kræver den, f.eks. administratorer. Filen web.config findes som standard i mappen <drive:>Program Files\Microsoft Dynamics CRM\CRMWeb.

  • Begræns antallet af brugere, der har interaktiv adgang til Dynamics 365-servere, f.eks. logontilladelser til konsollen.

  • Deaktiver søgning i mapper på Dynamics 365-webstedet. Det er som standard deaktiveret. Du kan finde flere oplysninger om, hvordan du deaktiverer søgning i mapper, i Internet Information Services (IIS) Manager Hjælp.

Udgående internetopkald fra brugerdefineret kode udført af Sandbox Processing Service er aktiveret

Som standard er udgående opkald fra brugerdefineret kode udført af Microsoft Dynamics 365Tjeneste til sandkassebehandling, som anvender tjenester på internettet, aktiveret. For installationer af Microsoft Dynamics 365 med høj sikkerhed kan det udgøre en sikkerhedsrisiko. Hvis du ikke vil tillade udgående opkald fra brugerdefineret kode, som f.eks. Dynamics 365-plug-ins eller brugerdefinerede arbejdsprocesaktiviteter, kan du deaktivere udgående forbindelser fra brugerdefineret kode udført af Tjeneste til sandkassebehandling på følgende måde.

I stedet for at blokere alle udgående kald kan du gennemtvinge webadgangsbegrænsninger for sandkasse-plug-ins.Flere oplysninger:MSDM: Plug-in-isolation, -tillidsforhold og -statistik

Deaktivering af udgående forbindelser til brugerdefineret kode omfatter deaktivering af kald til skytjenester som Microsoft Azure og Microsoft Azure SQL Database.

Deaktiver udgående forbindelser til brugerdefineret kode på den computer, der kører Sandbox Processing Service

  1. På den Windows Server-computer, hvor serverrollen Microsoft Dynamics 365Tjeneste til sandkassebehandling er installeret, skal du starte Registreringseditor og finde følgende undernøgle:
    HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSCRM

  2. Højreklik på MSCRM, peg på Ny, klik på DWORD-værdi, skriv SandboxWorkerDisableOutboundCalls, og tryk derefter på ENTER.

  3. Højreklik på SandboxWorkerDisableOutboundCalls, klik på Rediger, skriv 1, tryk derefter på ENTER.

  4. Luk Registreringseditor.

  5. Genstart Tjeneste til sandkassebehandling. Det gør du ved at klikke på Start, skrive services.msc og derefter trykke på ENTER.

  6. Højreklik på Microsoft Dynamics 365 Sandbox Processing Service, og klik derefter på Genstart.

  7. Luk snap-in'en MMC (Microsoft Management Console) Services.

Sikring af server til server-kommunikation

Server til server-kommunikation i Microsoft Dynamics 365, f.eks. kommunikation mellem Webprogramserver-rolle og den server, der kører Microsoft SQL Server, køres ikke som standard via en sikker kanal. Oplysninger, der overføres mellem servere, kan derfor være sårbare over for visse angreb, f.eks. angreb af typen man-in-the-middle.

Det anbefales, at du implementerer netværkssikring, f.eks. Windows Firewall, for at hjælpe med at beskytte oplysninger, der overføres mellem servere i organisationen.Flere oplysninger:Oversigt over Windows Firewall med avanceret sikkerhedspolitik

DNS-rebinding angreb

Som de fleste webbaserede applikationer kan Microsoft Dynamics 365 være sårbar over for DNS-rebinding angreb. Ved denne form for udnyttelse snydes en webbrowser til at hente sider fra to forskellige servere, så der er tillid til, at serverne er fra samme domæne, hvorefter politikken om samme oprindelse politik overtrædes. Ved hjælp af denne teknik kan hackeren manipulere med Dynamics 365-data ved at bruge offerets identitet via scripting-angreb på tværs af steder på Dynamics 365-siderne.

Du kan finde flere oplysninger om, hvordan du beskytter dig mod denne type angreb, under Beskyttelse af browsere mod DNS-rebinding angreb.

JavaScript, der er tilladt for URL-adresser til Power BI på private dashboards

Da JavaScript kan bruges, så personlige dashboards kan bruge Power BIURLs, skal du være opmærksom på følgende risici for scriptinjektionsangreb fra skadelig kilder:

  • Vilkårlig omdirigering til et uventet websted, som f.eks. et phishing-websted.

  • Oprettelse af flere store JavaScript-objekter i et forsøg på at få webbrowseren til at gå ned.

Hvis du vil reducere risikoen, kunne du overveje at implementere følgende bedste fremgangsmåder:

  • Tillad kun godkendte SharePoint-websteder til vært for Microsoft Office Excel-dokumenter, der bruges til at integrere Power BI-rapporter i dashboards.Flere oplysninger:Introduktion til Power BI til Office 365 Admin Center

  • Sikre det SharePoint-websted, der hoster Power BI-komponenterne, så der kun pålidelige kilder kan indsætte dokumenter, der skal føjes til dashboards.Læs om SharePoint-tilladelsesniveauer

  • Spørg Microsoft Dynamics 365-brugerne om det for at undgå at få tilføjet ikke-godkendte komponenter til deres dashboards. Dette svarer til at lære brugerne ikke at åbne vedhæftede filer eller klikke på hyperlinks, som de finder i e-mail-meddelelser fra ukendte kilder.

Se også

Overvejelser om sikkerhed i Microsoft Dynamics 365
Netværksporte til Microsoft Dynamics 365
Understøttede konfigurationer af Microsoft Dynamics 365

© 2017 Microsoft. Alle rettigheder forbeholdes. Ophavsret