Bekannte Risiken und Anfälligkeiten
Veröffentlicht: Januar 2017
Gilt für: Dynamics 365 (on-premises), Dynamics CRM 2016
In diesem Kapitel werden die Risiken und Anfälligkeiten erläutert, die bei der Verwendung von Microsoft Dynamics 365 auftreten können. Zudem werden mögliche Ausgleichslösungen und Problemumgehungen beschrieben.
In diesem Thema
Risiken, wenn Benutzer eine Verbindung zu Dynamics 365 über ein ungesichertes Netzwerk herstellen
Sicherheitsempfehlungen für Serverrollenbereitstellungen
Anonyme Authentifizierung
Isolieren der HelpServer-Rolle für Bereitstellungen mit Internetzugriff
Probleme und Beschränkungen bei der anspruchsbasierten Authentifizierung
Sichern der Datei "web.config"
Ausgehende Internet-Anrufe über benutzerdefinierten Code, der vom Sandbox-Verarbeitungsdienst ausgeführt wird, sind aktiviert
Sichere Kommunikation zwischen Servern
DNS-Rebinding-Attacken
JavaScript zulässig für Power BI URLs auf persönlichen Dashboards
Risiken, wenn Benutzer eine Verbindung zu Dynamics 365 über ein ungesichertes Netzwerk herstellen
Hier sind einige Probleme, die beim Ausführen von Microsoft Dynamics 365 ohne Transport Layer Security (TLS) oder Secure Sockets Layer (SSL) (HTTPS) auftreten können:
- Vom Benutzer bereitgestellte Microsoft Dynamics 365-daten, z. B. Visuelle Diagrammdefinitionen, können über eine ungesicherte HTTP-Verbindung mittels "Man-in-the-Middle"-Angriffen verändert werden. Um dieses Sicherheitsrisiko zu verringern, konfigurieren Sie Microsoft Dynamics 365 für die ausschließliche Verwendung von TLS/SSL. Weitere Informationen zur Verwendung des Konfigurieren von Microsoft Dynamics 365 Server zur Verwendung von TLS/SSL finden Sie unter Erhöhen der Sicherheit der Client-Server-Netzwerkkommunikation von Dynamics 365.
Sicherheitsempfehlungen für Serverrollenbereitstellungen
Die folgenden Empfehlungen können Sie dabei unterstützen, die Microsoft Dynamics 365-Bereitstellung zuverlässiger und sicherer zu gestalten:
Serverrolle |
Empfehlung |
|---|---|
Sandkasten-Verarbeitungsdienst |
Installieren Sie diese Rolle auf einem dedizierten Server in einem virtuellen LAN (VLAN) getrennt von anderen Computern, die Microsoft Dynamics 365 Server-Rollen ausführen. Wird im Sandkasten ein bösartiges Plug-In ausgeführt, dass den Computer gefährdet, kann die Netzwerkisolation von einem separaten VLAN dazu beitragen, andere Dynamics 365-Ressourcen vor der Gefährdung zu schützen. |
Hilfeserver |
Installieren Sie diese Rolle auf einem separaten Computer, sowohl für IFD als auch interne Bereitstellungen. Weitere Informationen finden Sie unter Isolieren der HelpServer-Rolle für Bereitstellungen mit Internetzugriff weiter unten in diesem Abschnitt. |
Anonyme Authentifizierung
Microsoft Dynamics 365Bereitstellung mit Internetzugriff (IFD) erfordert eine anonyme Authentifizierung, die die in IIS für die anspruchsbasierte Authentifizierung aktiviert ist. Beachten Sie, dass der Token der anspruchsbasierten Authentifizierung keine unformatierte Anmeldeinformationen oder die Verbindungszeichenfolge zu Microsoft Dynamics 365 Server enthält. Die Datei web.config enthält jedoch Konfigurationsinformationen über den Authentifizierungsmodus. Weitere Informationen finden Sie unter Sichern der Datei "web.config" weiter unten in diesem Abschnitt. Verwenden Sie TLS/SSL, um die Microsoft Dynamics 365-Website zu sichern.
Isolieren der HelpServer-Rolle für Bereitstellungen mit Internetzugriff
Microsoft Dynamics 365Bereitstellung mit Internetzugriff (IFD) erfordert eine anonyme Authentifizierung. Durch die Verwendung der anonymen Websiteauthentifizierung kann das virtuelle Verzeichnis der Microsoft Dynamics 365 Hilfe-Website Ziel von Denial-of-Service (DoS)-Angriffen werden.
Um die Seiten der Microsoft Dynamics 365 Hilfe zu isolieren und die anderen Microsoft Dynamics 365 Server -Rollen vor möglichen DoS-Angriffen zu schützen, sollten Sie die Implementierung einer Hilfeserver-Rolle auf einem separaten Computer erwägen.
Weitere Informationen zu den Optionen bei der Installation von Microsoft Dynamics 365-Rollen auf separaten Computern finden Sie im Microsoft Dynamics 365-Serverrollen.
Weitere Informationen zum Verringern des Risikos von DoS-Angriffen finden Sie unter MSDN: Erhöhen der Sicherheit für Webanwendungen: Bedrohungen und Gegenmaßnamen.
Probleme und Beschränkungen bei der anspruchsbasierten Authentifizierung
In diesem Artikel sind die Probleme und Beschränkungen erläutert, die bei der Verwendung der anspruchsbasierten Authentifizierung mit Microsoft Dynamics 365 auftreten können.
Sicherstellen, dass der Identitätsanbieter eine sichere Kennwortrichtlinie verwendet
Bei der Verwendung der anspruchsbasierten Authentifizierung sollten Sie überprüfen, ob dem Identitätsanbieter vom Sicherheitstokendienst (STS) vertraut wird, somit auch von Microsoft Dynamics 365, und sichere Kennwortrichtlinien erzwingt.Microsoft Dynamics 365 erzwingt keine sicheren Kennwörter. Wenn Active Directory als Identitätsanbieter verwendet wird, wird von diesem Dienst standardmäßig eine sichere Kennwortrichtlinie durchgesetzt.
Gültigkeitsdauer der AD FS-Verbundserversitzungen von bis zu acht Stunden, auch für deaktivierte oder gelöschte Benutzer
Standardmäßig wird von den Active Directory Federation Services (AD FS)-Servertoken ein Cookieablauf für die einmalige Webanmeldung (SSO) von acht Stunden zugewiesen. Das heißt: Auch wenn ein Benutzer in einem Authentifizierungsanbieter deaktiviert oder gelöscht wird, kann der Benutzer weiterhin zum Schutz der Ressourcen authentifiziert werden, solange die Benutzersitzung aktiv ist.
Verwenden Sie eine dieser Optionen, um dieses Problem zu umgehen:
Deaktivieren Sie den Benutzer in Microsoft Dynamics 365 und Active Directory. Weitere Informationen zum Deaktivieren eines Benutzers in Verwalten von Benutzern finden Sie unter Microsoft Dynamics 365. Weitere Informationen zum Deaktivieren eines Benutzers in Active Directory finden Sie in der Active Directory-Benutzer und -Computer-Hilfe.
Verringern die Gültigkeitsdauer der einmaligen Webanmeldung. Informationen hierzu finden Sie in der Hilfe zur Active Directory Federation Services (AD FS)-Verwaltung.
Sichern der Datei "web.config"
Die von Microsoft Dynamics 365 erstellte Datei "web.config" enthält keine Verbindungszeichenfolgen oder Verschlüsselungsschlüssel. Die Datei enthält jedoch Konfigurationsinformationen zu Authentifizierungsmodus und -strategie, ASP.NET-Ansichtsstatusinformationen sowie eine Anzeige von Debug-Fehlermeldungen. Wird diese Datei mit bösartigem Inhalt verändert, kann dadurch der Server gefährdet sein, auf dem Microsoft Dynamics 365 ausgeführt wird. Zum Sichern der Datei web.config wird folgende Vorgehensweise empfohlen:
Gewähren Sie auf den Ordner mit der Datei web.config nur den Benutzerkonten Berechtigungen, die sie benötigen, wie beispielsweise Administratoren. Die web.config-Datei ist standardmäßig im <drive:>Program Files\Microsoft Dynamics CRM\CRMWeb-Ordner gespeichert.
Weisen Sie die Berechtigungen nur einer beschränkten Anzahl von Benutzern mit interaktivem Zugriff auf Dynamics 365-Server zu, wie beispielsweise die Berechtigung zur Anmeldung an der Konsole.
Deaktivieren Sie die Verzeichnissuche auf der Dynamics 365-Website. Diese Option ist standardmäßig deaktiviert. Weitere Informationen zum Deaktivieren der Verzeichnissuche finden Sie in der Hilfe zu Internetinformationsdienste (IIS)-Manager.
Ausgehende Internet-Anrufe über benutzerdefinierten Code, der vom Sandbox-Verarbeitungsdienst ausgeführt wird, sind aktiviert
Standardmäßig sind ausgehende Anrufe, die vom Microsoft Dynamics 365Sandkasten-Verarbeitungsdienst ausgeführt werden, der auf Services über das Internet zugreift, aktiviert. Für Hochsicherheitsbereitstellungen von Microsoft Dynamics 365 kann dies ein Sicherheitsrisiko darstellen. Sollen ausgehende Aufrufe nicht vom benutzerdefinierten Code ausgeführt werden, wie Dynamics 365-Plug-Ins oder benutzerdefinierten Workflowaktivitäten, können Sie ausgehende Verbindungen über benutzerdefinierten Code, der vom Sandkasten-Verarbeitungsdienst ausgeführt wird, deaktivieren, indem Sie diese Vorgehensweise befolgen.
Anstatt alle ausgehenden Anrufe zu sperren, können Sie Internet-Zugriffsbeschränkungen auf Sandboxplug-ins erzwingen.Weitere Informationen:MSDN: Plug-In-Isolation, Vertrauensstellungen und Statistiken
Das Deaktivieren benutzerdefinierten Codes für ausgehende Verbindungen schließt das Deaktivieren von Anrufen an Cloudservices wie Microsoft Azure und Microsoft Azure-SQL_Datenbank ein.
Deaktivieren ausgehender Verbindungen für benutzerdefinierten Code auf dem Computer, auf dem der Sandbox-Verarbeitungsdienst ausgeführt wird
Starten Sie auf dem Windows Server-Computer, auf dem die Microsoft Dynamics 365Sandkasten-Verarbeitungsdienst-Serverrolle installiert ist, Registrierungs-Editor, und suchen Sie den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSCRMKlicken Sie mit der rechten Maustaste auf MSCRM, zeigen Sie auf Neu, klicken Sie auf DWORD Value, geben Sie SandboxWorkerDisableOutboundCalls ein, und drücken Sie die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf SandboxWorkerDisableOutboundCalls, klicken Sie auf Ändern, geben Sie 1 ein, und drücken Sie dann die EINGABETASTE.
Schließen Sie Registrierungs-Editor.
Starten Sie den Sandkasten-Verarbeitungsdienst neu. Klicken Sie dazu auf Start, geben Sie services.msc, und drücken Sie dann die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf Microsoft Dynamics 365 Sandbox Processing Service und anschließend auf Neu starten.
Schließen Sie das Microsoft Management Console (MMC) Services-Snap-In.
Sichere Kommunikation zwischen Servern
Standardmäßig wird die Kommunikation zwischen Servern in Microsoft Dynamics 365, wie beispielsweise die Kommunikation zwischen der Webanwendungsserver-Rolle und dem Server mit Microsoft SQL Server, nicht über einen sicheren Kanal ausgeführt. Daher können zwischen Servern übertragene Informationen anfällig für bestimmte Angriffe sein, wie beispielsweise für "Man-in-the-Middle"-Attacken.
Sie sollten ein sicheres Networking, wie z. B. mit der Windows-Firewall, implementieren, um die zwischen Servern in Ihrer Organisation übertragenen Informationen zu schützen.Weitere Informationen:Windows-Firewall mit erweiterter Sicherheit – Übersicht
DNS-Rebinding-Attacken
Wie viele webbasierte Anwendungen kann Microsoft Dynamics 365 für DNS-Rebinding-Attacken anfällig sein. Dieser Angriff besteht darin, dass ein Webbrowser dazu gebracht wird, Seiten von zwei verschiedenen Servern abzurufen, die sich in derselben Domäne befinden und dann die unterbrochen, die sind Same-Origin-Richtlinie zu verletzen. Mithilfe dieser Technik kann ein Angreifer Dynamics 365-Daten manipulieren, indem er die Identität des Opfers für siteübergreifende Skriptingangriffe auf Dynamics 365-Seiten verwendet.
Weitere Information, wie sich gegen solche Angriffe schützen können, finden Sie unter Schützen von Browsern vor DNS-Rebinding-Attacken.
JavaScript zulässig für Power BI URLs auf persönlichen Dashboards
Da JavaScript verwendet werden kann, damit persönliche Dashboards Power BIURLs verwenden können, berücksichtigen Sie folgende von Risiken durch Einschleusung von Skriptbefehlen aus böswilligen Quellen:
Willkürliche Umleitung zu einer unerwarteten Website, wie einer Phishing-Website.
Die Erstellung von mehreren großen JavaScript-Objekten, um den Webbrowser abstürzen zu lassen.
Um das Risiko zu verringern, sollten Sie die folgenden bewährten Verfahren implementieren:
Nur zulässigen SharePoint-Websites gestatten, Microsoft Office Excel-Dokumente zu hosten, die zum Einbetten von Power BI-Berichten in Dashboards verwendet werden.Weitere Informationen:Einführung in Power Bi für Office 365-Administrator-Center
Speichern Sie die SharePoint-Website, die die Power BI-Komponenten hostet, sodass nur vertrauenswürdige Quellen Dokumente hinzufügen können, die auf die Dashboards hinzugefügt werden.Lesen Sie mehr zu SharePoint-Berechtigungsstufen
Fordern Sie Microsoft Dynamics 365-Benutzer auf, nicht genehmigte Komponenten nicht auf ihren Dashboards hinzuzufügen. Dies ist so ähnlich, wie Benutzer dazu zu erziehen, keine Anhänge zu öffnen, oder auf Hyperlinks in E-Mail-Nachrichten von unbekannten Quellen zu klicken.
Siehe auch
Sicherheitsüberlegungen zu Microsoft Dynamics 365
Netzwerkports für Microsoft Dynamics 365
Microsoft Dynamics 365 unterstützte Konfigurationen
© 2017 Microsoft. Alle Rechte vorbehalten. Copyright