Compartir a través de

Prácticas recomendadas de seguridad de Microsoft Dynamics 365

  • Artículo

 

Publicado: enero de 2017

Se aplica a: Dynamics 365 (on-premises), Dynamics CRM 2016

Internet Information Services (IIS) es un servicio web consolidado que se incluye con Windows Server.Microsoft Dynamics 365 depende de un servicio web IIS eficaz y seguro. Tenga en cuenta lo siguiente:

  • En los archivos de configuración machine.config y web.config puede determinar si la depuración está habilitada y si se enviarán mensajes de error detallados al cliente. Debe asegurarse de que la depuración esté deshabilitada en todos los servidores de producción y de que se envíe un mensaje de error genérico al cliente en caso de que ocurra un problema. De esta manera se evita el envío de información innecesaria al cliente acerca de la configuración del servidor web.

  • Asegúrese de que se han aplicado los Service Packs y las actualizaciones más recientes del sistema operativo y de IIS. Para obtener la información más reciente, vea el sitio web de Microsoft Security.

  • El Programa de instalación de Microsoft Dynamics CRM Server crea grupos de aplicaciones denominados CRMAppPool y CRMDeploymentServiceAppPool que trabajan con las credenciales de usuario que se especificaron durante la instalación. Para disponer de un modelo con menos privilegios, es recomendable que especifique cuentas de usuario de dominio diferentes para estos grupos de aplicaciones en lugar de usar la cuenta de Servicio de red. Además, se recomienda que ninguna otra aplicación con conexión a ASP.NET se instale en este grupo de aplicaciones. Para obtener más información acerca de los permisos mínimos necesarios para estos componentes, consulte Permisos mínimos requeridos para la instalación y los servicios de Microsoft Dynamics CRM.

Importante

  • Asegúrese de que todos los sitios web que se ejecutan en el mismo equipo que el sitio web de Microsoft Dynamics 365 también tienen acceso a la base de datos de Dynamics 365.

  • Si usa una cuenta de usuario de dominio, antes de ejecutar la Programa de instalación de Microsoft Dynamics CRM Server, debe comprobar si el nombre principal de servicio (SPN) está establecido correctamente para dicha cuenta y, si es necesario, debe establecer el SPN correcto. Para obtener más información acerca de los SPN y cómo establecerlos, vea el tema sobre cómo usar SPN al configurar aplicaciones web que se hospedan en IIS.

Administración del nombre de entidad de seguridad de servicio en Microsoft Dynamics 365

El atributo de nombre principal de servicio (SPN) es un atributo multivalor no vinculado que se genera a partir del nombre de host DNS. El SPN se usa durante la autenticación mutua entre el cliente y el servidor que hospeda un servicio particular. El cliente encuentra una cuenta de equipo basada en el SPN del servicio al que se intenta conectar.

El instalador de Microsoft Dynamics 365 Server implementa servicios específicos de roles y grupos de aplicaciones web que funcionan con las credenciales de usuario especificadas durante la Programa de instalación. Para revisar la lista completa de roles y los requisitos de los permisos, vea Permisos mínimos requeridos para la instalación y los servicios de Microsoft Dynamics CRM.

Al implementar una infraestructura hospedada de Microsoft Dynamics 365, es posible que dos de estos roles requieran una mayor consideración:

  • Servicio web de implementación

  • Servicio de aplicaciones

En situaciones de granjas de servidores web, como es el caso de las ofertas hospedadas, se recomienda dejar la autenticación de modo kernel habilitada. Además, debería considerar el uso de cuentas de usuario de dominio independientes para ejecutar estos servicios porque:

  • Si tiene cuentas de servicio independientes para tales roles de servidor, esto facilita la implementación del equilibrio de carga del hardware.

  • El rol de servidor del Servicio web de implementación requiere permisos elevados para aprovisionar las organizaciones en la base de datos de Dynamics 365. Si desea adherirse a un modelo con menos privilegios, el enfoque más seguro para implementar los SPN en una infraestructura hospedada de Microsoft Dynamics 365 implicar tener el Servicio web de implementación ejecutándose en una cuenta de usuario de dominio distinta de la del servicio de aplicación.

Si sigue esta recomendación de usar cuentas de dominio independientes para estos roles de servidor, debe asegurarse de que el SPN sea correcto para cada cuenta antes de iniciar la Programa de instalación de Microsoft Dynamics CRM Server. De esta forma, le resultará más fácil establecer el SPN correcto cuando sea necesario.

Si se habilita la autenticación de modo kernel, se definirán los SPN para la cuenta del equipo, independientemente de la cuenta de servicio especificada. Al implementar una granja de servidores web, habilite la autenticación de modo kernel y cambie el archivo ApplicationHost.config local.

Si los servicios web de aplicación e implementación se ejecutan en el mismo sistema, y la autenticación de modo kernel está deshabilitada, podrá configurar los dos servicios para que se ejecuten bajo la misma cuenta de usuario de dominio para evitar problemas de SPN duplicados. Si la autenticación de modo kernel no se puede habilitar, instale los servicios web de aplicación e implementación en sistemas distintos. Es posible que los SPN aún tengan que crearse manualmente, ya que la autenticación de modo kernel está deshabilitada.

Para obtener más información acerca de los SPN y cómo establecerlos, consulte Lista de comprobación de Nombre de entidad de seguridad de servicio (SPN) para la autenticación Kerberos con IIS 7.0/7.5.

Ver también

Consideraciones de seguridad para Microsoft Dynamics 365
Prácticas recomendadas de administración para implementaciones locales de Microsoft Dynamics 365

© 2017 Microsoft. Todos los derechos reservados. Copyright