Überlegungen zur Betriebssystem- und Plattformtechnologiesicherheit für Microsoft Dynamics CRM 2015

 

Veröffentlicht: November 2016

Gilt für: Dynamics CRM 2015

Im weitesten Sinn umfasst Sicherheit das Planen und Bewerten von Kompromissen zwischen Bedrohungen und Zugriff. Beispielsweise kann ein Computer in einem Tresorraum eingeschlossen und nur für einen Systemadministrator verfügbar sein. Dieser Computer ist möglicherweise sicher, er ist jedoch nicht gut einsetzbar, weil er nicht mit anderen Computern verbunden ist. Wenn die Benutzer in Ihrem Unternehmen Zugriff auf das Internet und das Unternehmensintranet benötigen, müssen Sie überlegen, wie Sie das Netzwerk zugleich sicher und zweckmäßig einrichten können.

Die folgenden Abschnitte enthalten Links zu Informationen, mit denen die Sicherheit der Computerumgebung erhöht werden kann. Letztendlich hängt die Microsoft Dynamics 365-Datensicherheit größtenteils von der Sicherheit des verwendeten Betriebssystems und der erforderlichen und optionalen Softwarekomponenten ab.

In diesem Thema

Sichern von Windows Server

Sichern von SQL Server

Sichern von Exchange Server und Outlook

Sichern von Mobilgeräten

Sichern von Windows Server

Windows Server, die Grundlage für Microsoft Dynamics 365, bietet hoch entwickelte Netzwerksicherheit. Das Authentifizierungsprotokoll Kerberos, Version 5, ist in Active Directory und Active Directory Federation Services (AD FS) integriert und ermöglicht Ihnen den Verbund von Active Directory-Domänen, indem die anspruchsbasierte Authentifizierung verwendet wird. Durch die beiden Tools kann eine leistungsstarke, auf Standards basierende Authentifizierung erzielt werden. Mithilfe dieser Authentifizierungsstandards können sich Benutzer beim Zugriff auf verschiedene Ressourcen im Netzwerk mit nur einem Benutzernamen und Kennwort anmelden.Windows Server beinhaltet auch mehrere Funktionen, mit denen die Sicherheit des Netzwerks erhöht werden kann.

Über die folgenden Links erhalten Sie Informationen zu diesen Funktionen. Sie erfahren, wie die Sicherheit der Bereitstellung von Windows Server erhöht werden kann:

• Windows Server 2012

  • Sichern von Windows Server 2012 R2 und Windows Server 2012

  • Windows Server 2012-Sicherheits-Baseine (möglicherweise in englischer Sprache)

Windows-Fehlerberichterstattung

Der Windows-Fehlerberichterstattungs-Dienst ist in Microsoft Dynamics 365 erforderlich und wird von Setup installiert, falls er nicht vorhanden ist. Mit dem WER-Dienst werden Informationen erfasst, beispielsweise IP-Adressen. Diese werden nicht zum Identifizieren von Benutzern verwendet. Mit dem WER-Dienst werden Namen, Adressen, E-Mail-Adressen, Computernamen oder andere persönliche Informationen nicht absichtlich erfasst. Es ist möglich, dass solche Informationen im Arbeitsspeicher oder in den Daten aus geöffneten Dateien erfasst werden. Sie werden jedoch nicht von Microsoft verwendet, um Benutzer zu identifizieren. Außerdem sind möglicherweise einige der zwischen der Microsoft Dynamics 365-Anwendung und Microsoft übertragenen Informationen nicht sicher. Weitere Informationen zu der Art von Informationen, die gesendet wurden, finden Sie unter Datenschutzbestimmungen für den Microsoft-Fehlerberichterstattungsdienst.

Virus, Schadsoftware und Identitätsschutz

Um Ihrer Identität und das System gegen Schadsoftware oder Viren oder zu schützen, vergleichen Sie die folgenden Ressourcen:

• Microsoft Security. Diese Seite bietet Tipps, Schulungen und Anweisungen dazu, wie der Computer auf dem neuesten Stand gehalten wird und wie Sie vermeiden können, dass der Computer für Missbrauch, Spyware und Viren anfällig ist.

• Sicherheits-TechCenter. Diese Seite bietet Links zu technischen Bulletins, Beratungen, Updates, Tools und einen Leitfaden, damit Computer und Anwendungen auf dem neuesten Stand und sicherer sind.

Updateverwaltung

Microsoft Dynamics 365-Updates enthalten Verbesserungen in Bezug auf Sicherheit, Leistung und Funktionen. Stellen Sie sicher, dass die neuesten Updates für die Microsoft Dynamics 365-Anwendungen installiert wurden. So kann sichergestellt werden, dass das System so effizient und zuverlässig wie möglich ausgeführt wird.

Informationen zum Verwalten von Updates finden Sie in den folgenden Themen:

• Windows Server Update Services

• Updateverwaltung in System Center Essentials

• Aktualiseren der Verwaltung in Windows Server 2012: Darstellung der clusterfähigen Aktualisierung und der neuen Generation von WSUS

Sichern von SQL Server

Da Microsoft Dynamics 365 von SQL Server abhängig ist, sollten Sie unbedingt die folgenden Maßnahmen ergreifen, um die Sicherheit der SQL Server-Datenbank zu erhöhen:

• Stellen Sie sicher, dass das aktuelle Betriebssystem und die neuesten Service Packs (SP) und Updates für SQL Server installiert sind. Aktuelle Informationen hierzu finden Sie auf der Microsoft Security-Website.

• Stellen Sie sicher, dass alle SQL Server-Datendateien und -Systemdateien auf NTFS-Partitionen installiert sind, damit die Sicherheit auf Dateisystemebene gewahrt ist. Sie sollten die Dateien mithilfe von NTFS-Berechtigungen nur für Administratoren oder Systembenutzer zur Verfügung stellen. Dieses Vorgehen bietet Schutz vor Benutzern, die auf die Dateien zugreifen, wenn der MSSQLSERVER-Dienst nicht ausgeführt wird.

• Verwenden Sie ein Domänenkonto mit niedrigen Rechten. Sie können aber auch den Netzwerkdienst oder das lokale Systemkonto für die SQL Server-Dienste angeben. Es wird jedoch nicht empfohlen, dass Sie diese Konten verwenden, da Domänenbenutzerkonten mit weniger Berechtigungen so konfiguriert werden können, dass sie die SQL Server-Dienste ausführen. Das Domänenbenutzerkonto sollte über minimale Rechte in der Domäne verfügen und dazu beitragen, die Auswirkungen eventueller Angriffe auf den Server zu begrenzen (auch wenn es diese nicht verhindern kann). Anders ausgedrückt: Dieses Konto sollte nur über Berechtigungen auf lokaler Benutzerebene in der Domäne verfügen. Wenn SQL Server mithilfe eines Domänenadministratorkontos installiert wird, das zum Ausführen der Dienste verwendet wird, führt eine Gefährdung von SQL Server zu einer Gefährdung der gesamten Domäne. Wenn Sie diese Einstellung ändern müssen, sollten Sie die Änderung mithilfe von SQL Server Management Studio vornehmen, da hierbei die Zugriffssteuerungslisten (Access Control Lists, ACLs) für Dateien, die Registrierung und die Benutzerrechte automatisch geändert werden.

• In SQL Server werden Benutzer anhand der Windows-Authentifizierung oder über die SQL Server-Anmeldeinformationen authentifiziert. Die Verwendung der Windows-Authentifizierung ist empfehlenswert, um einmaliges Anmelden zu vereinfachen und die sicherste Authentifizierungsmethode bereitzustellen.

• Die Überwachung des SQL Server-Systems ist standardmäßig deaktiviert, sodass keine Zustände überwacht werden. Dies erschwert das Erkennen von Angriffen und erleichtert es Angreifern, ihre Spuren zu verwischen. Sie sollten zumindest die Überwachung fehlgeschlagener Anmeldungen aktivieren.

• Berichtsserveradministratoren können RDL-Sandkasten aktivieren, um den Zugriff auf den Berichtsserver einzuschränken.Weitere Informationen:Aktivieren und Deaktivieren von RDL-Sandkasten

• Jede SQL-Anmeldung ist so konfiguriert, dass die master-Datenbank als Standarddatenbank verwendet wird. Obwohl Benutzer nicht über Rechte für die master-Datenbank verfügen sollten, sollten Sie für jede SQL-Anmeldung (außer bei Anmeldungen mit der SYSADMIN-Rolle) als Standarddatenbank OrganizationName_MSCRM angeben.Weitere Informationen:Sichern von SQL Server

Sichern von Exchange Server und Outlook

Die folgenden Überlegungen gelten für Microsoft Exchange Server, und einige gelten speziell für Exchange Server in einer Microsoft Dynamics 365-Umgebung:

• Exchange Server umfasst eine umfangreiche Auswahl von Mechanismen für eine genaue administrative Steuerung der Infrastruktur. Insbesondere können Sie mithilfe administrativer Gruppen bestimmte Exchange Server-Objekte erfassen, beispielsweise Server, Konnektoren oder Richtlinien, und anschließend die ACLs (Zugriffskontrolllisten) für diese administrativen Gruppen ändern, um sicherzustellen, dass nur bestimmte Personen darauf zugreifen können. Auf diese Weise können Sie beispielsweise Microsoft Dynamics 365-Administratoren Steuerungsmöglichkeiten für genau die Server bieten, die direkte Auswirkung auf ihre Anwendungen haben. Durch die effiziente Verwendung administrativer Gruppen können Sie sicherstellen, dass Microsoft Dynamics 365-Administratoren nur die Rechte erhalten, die sie zum Erfüllen ihrer Aufgaben benötigen.

• Häufig kann es zweckmäßig sein, eine separate Organisationseinheit (Organizational Unit, OU) für Microsoft Dynamics 365-Benutzer zu erstellen und Microsoft Dynamics 365-Administratoren eingeschränkte administrative Rechte für diese Organisationseinheit zu erteilen. Sie können dann die Änderung für jeden Benutzer in dieser Organisationseinheit vornehmen, aber nicht für Benutzer außerhalb der Organisationseinheit.

• Stellen Sie sicher, dass Sie gegen die unautorisierte E-Mail-Weiterleitung angemessen geschützt sind. Die E-Mail-Weiterleitung ist eine Funktion, mit der ein SMTP-Client E-Mail-Nachrichten über einen SMTP-Server an eine Remotedomäne weiterleiten kann.Microsoft Exchange Server ist standardmäßig so konfiguriert, dass die E-Mail-Weiterleitung verhindert wird. Die Konfiguration der Einstellungen hängt vom Nachrichtenfluss und der Konfiguration des E-Mail-Servers Ihres Internetdienstanbieters ab. Es ist empfehlenswert, folgendermaßen mit dem Problem umzugehen: legen Sie in den Einstellungen für die E-Mail-Weiterleitung Sperren fest und entfernen Sie diese anschließend schrittweise, um einen erfolgreichen E-Mail-Fluss zu erreichen. Weitere Informationen finden Sie in der Hilfe zu Exchange Server.

• Wenn Sie die Weiterleitungspostfach-Überwachung verwenden, wird für den E-Mail-Router ein Exchange Server oder POP3-kompatibles Postfach benötigt. Es wird empfohlen, die Berechtigungen für dieses Postfach so festzulegen, dass andere Benutzer keine serverseitigen Regeln hinzufügen können. Weitere Informationen zu Exchange Server-Postfächern finden Sie unter Postfach-Berechtigungen.

• Der Microsoft Dynamics 365E-Mail-Router wird unter dem lokalen Systemkonto ausgeführt. Dadurch kann der E-Mail-Router auf das Postfach eines angegebenen Benutzers zugreifen und E-Mails in diesem Postfach verarbeiten.

Weitere Informationen zum Sichern von Exchange Server finden Sie unter Checkliste für Bereitstellungssicherheit.

Sichern von Mobilgeräten

Während Organisationen in zunehmendem Maße mobiles Personal unterstützen, bleibt eine starke Sicherheit grundlegend. In den folgenden Ressourcen finden Sie Informationen und bewährte Methoden für Mobilgeräte wie Smartphones und Tablet-Computer:

• So verwalten Sie Mobilgeräte mithilfe des Konfigurations-Managers nd Windows Intune

• Windows Phone für Unternehmen

• Überlegungen in Bezug auf die Sicherheit (Microsoft Surface)

• iOS im Unternehmen (iPad und iPhone)

Siehe auch

Planen der Bereitstellung von Microsoft Dynamics CRM 2015
Installieren und Verwalten von E-Mail-Verarbeitung und CRM für Outlook
Installieren und Verwalten von Smartphones und Tablets
Sicherheitsüberlegungen zu Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Copyright