Freigeben über


Überlegungen zur Betriebssystem- und Plattformtechnologiesicherheit für Microsoft Dynamics 365

 

Veröffentlicht: Januar 2017

Gilt für: Dynamics 365 (on-premises), Dynamics CRM 2016

Im weitesten Sinn umfasst Sicherheit das Planen und Bewerten von Kompromissen zwischen Bedrohungen und Zugriff. Beispielsweise kann ein Computer in einem Tresorraum eingeschlossen und nur für einen Systemadministrator verfügbar sein. Dieser Computer ist möglicherweise sicher, er ist jedoch nicht gut einsetzbar, weil er nicht mit anderen Computern verbunden ist. Wenn die Benutzer in Ihrem Unternehmen Zugriff auf das Internet und das Unternehmensintranet benötigen, müssen Sie überlegen, wie Sie das Netzwerk zugleich sicher und zweckmäßig einrichten können.

In diesem Thema finden Sie hilfreiche Informationen und Links zu viele Ressourcen, die Sie verwenden können, um die Ihre Computerumgebung noch sicherer zu machen. Denn hängt letztendlich die Microsoft Dynamics 365-Datensicherheit größtenteils davon ab, wie gut Sie zuvor das Betriebssystems und die Softwarekomponenten absichern.

In diesem Thema

Sichern von Windows Server

Sichern von SQL Server

Sichern von Exchange Server und Outlook

Sichern von Mobilgeräten

Sichern von Windows Server

Windows Server, die Grundlage für Microsoft Dynamics 365, bietet hoch entwickelte Netzwerksicherheit. Das Authentifizierungsprotokoll Kerberos, Version 5, ist in Active Directory und Active Directory Federation Services (AD FS) integriert und ermöglicht Ihnen den Verbund von Active Directory-Domänen, indem die anspruchsbasierte Authentifizierung verwendet wird. Durch die beiden Tools kann eine leistungsstarke, auf Standards basierende Authentifizierung erzielt werden. Mithilfe dieser Authentifizierungsstandards können Benutzer sich beim Zugriff auf verschiedene Ressourcen im Netzwerk mit nur einem Benutzernamen und Kennwort anmelden.Windows Server beinhaltet auch mehrere Funktionen, mit denen die Sicherheit des Netzwerks sogar noch weiter erhöht werden kann.

Weitere Informationen zu diesen Funktionen und zur sichereren Bereitstellung von Windows Server erhalten Sie unter diesen Links.

Windows-Fehlerberichterstattung

Der Windows-Fehlerberichterstattungs-Dienst ist in Microsoft Dynamics 365 erforderlich und wird von Setup installiert, falls er nicht vorhanden ist. Mit dem WER-Dienst werden Informationen erfasst, beispielsweise IP-Adressen. Diese IP-Adressen werden nicht zum Identifizieren von Benutzern verwendet. Mit dem WER-Dienst werden Namen, Adressen, E-Mail-Adressen, Computernamen oder andere persönliche Informationen nicht absichtlich erfasst. Es ist möglich, dass solche Informationen im Arbeitsspeicher oder in den Daten aus geöffneten Dateien erfasst werden. Sie werden jedoch nicht von Microsoft verwendet, um Benutzer zu identifizieren. Außerdem sind möglicherweise einige der zwischen der Microsoft Dynamics 365-Anwendung und Microsoft übertragenen Informationen nicht sicher. Weitere Informationen zu der Art von Informationen, die gesendet wurden, finden Sie unter Datenschutzbestimmungen für den Microsoft-Fehlerberichterstattungsdienst.

Virus, Schadsoftware und Identitätsschutz

Um Ihrer Identität und das System besser gegen Schadsoftware oder Viren oder zu schützen, nutzen Sie die folgenden Ressourcen:

  • Microsoft Security. Diese Seite bietet Tipps, Schulungen und Anweisungen dazu, wie der Computer auf dem neuesten Stand gehalten wird und wie Sie vermeiden können, dass der Computer für Missbrauch, Spyware und Viren anfällig ist.

  • Sicherheits-TechCenter. Diese Seite bietet Links zu technischen Bulletins, Beratungen, Updates, Tools und einen Leitfaden, damit Computer und Anwendungen auf dem neuesten Stand und sicherer sind.

Updateverwaltung

Microsoft Dynamics 365-Updates enthalten Verbesserungen in Bezug auf Sicherheit, Leistung und Funktionen. Stellen Sie sicher, dass die neuesten Updates für die Microsoft Dynamics 365-Anwendungen installiert wurden. So kann sichergestellt werden, dass das System so effizient und zuverlässig wie möglich ausgeführt wird. Sie finden mehr Informationen darüber, wie Sie Updates verwalten können, hier:

Sichern von SQL Server

Da Microsoft Dynamics 365 von SQL Server abhängig ist, sollten Sie unbedingt die folgenden Maßnahmen ergreifen, um die Sicherheit der SQL Server-Datenbank zu erhöhen:

  • Das neueste Betriebssystem, SQL Server-Serviepakete (SPs) und Updates übernehmen. Aktuelle Informationen hierzu finden Sie auf der Microsoft Security-Website.

  • Installieren Sie alle SQL Server-Datendateien und -Systemdateien auf NTFS-Partitionen, damit die Sicherheit auf Dateisystemebene gewahrt ist. Sie sollten die Dateien mithilfe von NTFS-Berechtigungen nur für Administratoren oder Systembenutzer zur Verfügung stellen. Dadurch wird verhindert, dass Benutzer auf diese Dateien zugreifen, wenn der MSSQLSERVER-Dienst nicht ausgeführt wird.

  • Verwenden Sie ein Domänenkonto mit niedrigen Rechten. Sie können aber auch den Netzwerkdienst oder das lokale Systemkonto für die SQL Server-Dienste angeben. Es wird jedoch nicht empfohlen, dass Sie diese Konten verwenden, da Domänenbenutzerkonten mit weniger Berechtigungen so konfiguriert werden können, dass sie die SQL Server-Dienste ausführen. Domänenbenutzerkonten sollte über minimale Rechte in der Domäne verfügen und dazu beitragen, die Auswirkungen eventueller Angriffe auf den Server zu begrenzen (auch wenn es diese nicht verhindern kann). Anders ausgedrückt: Diese Domänenbenutzerkonten sollte nur über Berechtigungen auf lokaler Benutzerebene in der Domäne verfügen. Wenn SQL Server mithilfe eines Domänenadministratorkontos installiert wird, das zum Ausführen der Dienste verwendet wird, führt eine Gefährdung von SQL Server zu einer Gefährdung der gesamten Domäne. Wenn Sie diese Einstellung ändern müssen, sollten Sie die Änderung mithilfe von SQL Server Management Studio vornehmen, da hierbei die Zugriffssteuerungslisten (Access Control Lists, ACLs) für Dateien, die Registrierung und die Benutzerrechte automatisch geändert werden.

  • Weil in SQL Server Benutzer anhand von Windows-Authentifizierung oder SQL Server-Anmeldeinformationen authentifiziert werden, empfielht sich die Verwendung von Windows-Authentifizierung, um einmaliges Anmelden zu vereinfachen und die sicherste Authentifizierungsmethode bereitzustellen.

  • Sie sollten zumindest die Überwachung fehlgeschlagener Anmeldungen aktivieren. Die Überwachung des SQL Server-Systems ist standardmäßig deaktiviert, und es werden keine Zustände überwacht. Dies erschwert das Erkennen von Angriffen und erleichtert es Angreifern, ihre Spuren zu verwischen.

  • Berichtsserver-Administratoren sollten RDL-Sandkasten aktivieren, um den Zugriff auf den Berichtsserver einzuschränken.Weitere Informationen:Aktivieren und Deaktivieren von RDL-Sandkasten

  • Konfigurieren Sie jede SQL-Anmeldung so, dass die master-Datenbank als Standarddatenbank verwendet wird. Obwohl Benutzer nicht über Rechte für die master-Datenbank verfügen sollten, sollten Sie für jede SQL-Anmeldung (außer bei Anmeldungen mit der SYSADMIN-Rolle) als Standarddatenbank OrganizationName_MSCRM verwenden.Weitere Informationen:Sichern von SQL Server

Sichern von Exchange Server und Outlook

Die folgenden Überlegungen gelten für Microsoft Exchange Server oder Exchange Server in einer Microsoft Dynamics 365-Umgebung.

  • Exchange Server umfasst eine umfangreiche Auswahl von Mechanismen für eine genaue administrative Steuerung der Infrastruktur. Insbesondere können Sie mithilfe administrativer Gruppen bestimmte Exchange Server-Objekte erfassen, beispielsweise Server, Konnektoren oder Richtlinien, und anschließend die ACLs (Zugriffskontrolllisten) für diese administrativen Gruppen ändern, um sicherzustellen, dass nur bestimmte Personen darauf zugreifen können. Auf diese Weise können Sie beispielsweise Microsoft Dynamics 365-Administratoren Steuerungsmöglichkeiten für genau die Server bieten, die direkte Auswirkung auf ihre Anwendungen haben. Wenn Sie die administrativen Gruppen effektiv implementieren, können Sie davon ausgehen, dass die Microsoft Dynamics 365 Administratoren die Rechte erhalten, die sie zum Ausführen ihrer Aufgaben benötigen.

  • Häufig kann es zweckmäßig sein, eine separate Organisationseinheit (Organizational Unit, OU) für Microsoft Dynamics 365-Benutzer zu erstellen und Microsoft Dynamics 365-Administratoren eingeschränkte administrative Rechte für diese Organisationseinheit zu erteilen. Administratoren können Änderung für jeden Benutzer in dieser Organisationseinheit vornehmen, aber nicht für Benutzer außerhalb der Organisationseinheit.

  • Stellen Sie immer sicher, dass Sie gegen die unautorisierte E-Mail-Weiterleitung angemessen geschützt sind. Mit der E-Mail-Weiterleitung kann ein SMTP-Client E-Mail-Nachrichten über einen SMTP-Server an eine Remotedomäne weiterleiten.Microsoft Exchange Server ist standardmäßig so konfiguriert, dass die E-Mail-Weiterleitung verhindert wird. Die Konfiguration der Einstellungen hängt vom Nachrichtenfluss und der Konfiguration des E-Mail-Servers Ihres Internetdienstanbieters ab. Der beste Ansatz besteht hier jedoch darin, Ihre Einstellungen für die E-Mail-Weiterleitung zu sperren und sie dann schrittweise zu öffnen, um eine erfolgreiche E-Mail-Übertragung zu erreichen. Weitere Informationen finden Sie in der Hilfe zu Exchange Server.

  • Wenn Sie die Weiterleitungspostfach-Überwachung verwenden, wird für den E-Mail-Router ein Exchange Server oder POP3-kompatibles Postfach benötigt. Es wird empfohlen, die Berechtigungen für dieses Postfach so festzulegen, dass andere Benutzer keine serverseitigen Regeln hinzufügen können. Weitere Informationen zu Exchange Server-Postfächern finden Sie unter Empfängerberechtigungen.

  • Der Microsoft Dynamics 365E-Mail-Router wird unter dem lokalen Systemkonto ausgeführt. Dadurch kann der E-Mail-Router auf das Postfach eines angegebenen Benutzers zugreifen und E-Mails in diesem Postfach verarbeiten.

Weitere Informationen zum Sichern von Exchange Server finden Sie unter Checkliste für Bereitstellungssicherheit.

Sichern von Mobilgeräten

Während Organisationen in zunehmendem Maße mobiles Personal unterstützen, bleibt eine starke Sicherheit grundlegend. Hier sind einige Ressourcen, die Ihnen helfen, bewährte Methoden für mobile Geräte wie Smartphones und Tablets zu implementieren:

Siehe auch

Planen der Bereitstellung von Microsoft Dynamics 365
Integrieren (synchronisieren) Sie Ihr E-Mail-System mit Microsoft Dynamics 365
Installieren und verwalten von Smartphones und Tablets
Sicherheitsüberlegungen zu Microsoft Dynamics 365

© 2017 Microsoft. Alle Rechte vorbehalten. Copyright