Condividi tramite

Rischi e vulnerabilità noti

  • Articolo

 

Data di pubblicazione: novembre 2016

Si applica a: Dynamics CRM 2015

In questo argomento vengono descritti i rischi e le vulnerabilità che si possono presentare quando si utilizza Microsoft Dynamics 365. Laddove possibile, viene inoltre indicato come attenuare i rischi o risolvere i problemi.

In questo argomento

Rischi quando gli utenti si connettono a CRM in una rete non sicura

Consigli di sicurezza nelle distribuzioni dei ruoli server

Autenticazione autonoma

Isolare il ruolo HelpServer per le distribuzioni con connessione Internet

Problemi e limiti dell'autenticazione basata sulle attestazioni

Proteggere il file web.config

Le chiamate Internet in uscita tramite codice personalizzato eseguito dal servizio di elaborazione in modalità sandbox sono abilitate

Proteggere la comunicazione tra server

Attacchi di rebinding DNS

JavaScript consentito per URL Power BI in dashboard personali

Rischi quando gli utenti si connettono a CRM in una rete non sicura

I problemi che si possono verificare quando si esegue Microsoft Dynamics 365 senza utilizzare SSL (Secure Sockets Layer) (HTTPS) sono i seguenti:

  • I dati fornito dall'utente Microsoft Dynamics 365 , comprese le definizioni dei grafici, in una connessione HTTP non sicura, possono essere alterate tramite attacchi di tipo "man-in-the-middle". Per attenuare questa vulnerabilità, configurare Microsoft Dynamics 365 per l'utilizzo solo di SSL. Per ulteriori informazioni su come configurare Server Microsoft Dynamics CRM da utilizzare SSL, vedere Rendere più sicure le comunicazioni di rete tra client CRM e server.

Consigli di sicurezza nelle distribuzioni dei ruoli server

I consigli seguenti consentono di rendere la distribuzione di Microsoft Dynamics 365 più affidabile e sicura.

Ruolo server

Consiglio

Servizio di elaborazione in modalità sandbox

Installare questo ruolo in un server dedicato facente parte di una LAN virtuale separata dagli altri computer che eseguono ruoli di Server Microsoft Dynamics CRM. In seguito, se un plug-in dannoso viene eseguito nel sandbox che sfrutta il computer, l'isolamento della rete da una VLAN separata consente di proteggere altre risorse di Dynamics 365 da un'eventuale compromissione.

Server della Guida

Installare questo ruolo in un computer distinto, sia per IFD che per le distribuzioni interne. Per ulteriori informazioni, vedere Isolare il ruolo HelpServer per le distribuzioni con connessione Internet più avanti in questo argomento.

Autenticazione autonoma

Distribuzione con connessione Internet di Microsoft Dynamics 365 richiede l'autenticazione anonima abilitata in IIS per l'autenticazione basata sulle attestazioni. Si noti che il token per l'autenticazione basata sulle attestazioni non contiene le credenziali non elaborate o la stringa di connessione a Server Microsoft Dynamics CRM. Il file web.config contiene tuttavia informazioni di configurazione sulla modalità di autenticazione. Per ulteriori informazioni, vedere Proteggere il file web.config più avanti in questo argomento. Per proteggere il sito Web Microsoft Dynamics 365, utilizzare SSL.

Isolare il ruolo HelpServer per le distribuzioni con connessione Internet

Una Distribuzione con connessione Internet di Microsoft Dynamics 365 richiede l'autenticazione anonima. Poiché viene utilizzata l'autenticazione anonima del sito Web, la directory virtuale utilizzata per il sito della Guida di Microsoft Dynamics CRM può essere oggetto di attacchi Denial of Service.

Per isolare le pagine della Guida di Guida di Microsoft Dynamics CRM e proteggere gli altri ruoli di Server Microsoft Dynamics CRM da potenziali attacchi DoS è consigliabile installare il ruolo Server della Guida su un computer diverso.

Per informazioni sulle opzioni disponibili per l'installazione dei ruoli di Microsoft Dynamics 365 in computer distinti, vedere la Ruoli server di Microsoft Dynamics CRM.

Per ulteriori informazioni sulla riduzione del rischio di attacchi Denial of Service, vedere la pagina relativa al MSDN: Miglioramento della sicurezza per le applicazioni Web: minacce e contromisure.

Problemi e limiti dell'autenticazione basata sulle attestazioni

In questo argomento vengono descritti i problemi e i limiti legati all'utilizzo dell'autenticazione basata sulle attestazioni con Microsoft Dynamics 365.

Verificare che il provider di identità utilizzi un criterio per le password complesse

Quando si utilizza l'autenticazione basata sulle attestazioni, è consigliabile verificare che il provider di identità considerato attendibile dal servizio token di sicurezza e da Microsoft Dynamics 365 applichi criteri per l'utilizzo di password complesse. In Microsoft Dynamics 365 non vengono applicate password complesse. Per impostazione predefinita, quando il servizio directory Active Directory viene utilizzato come provider di identità, applica criteri per l'utilizzo di password complesse.

Le sessioni del server federativo AD FS sono valide fino a 8 ore anche per gli utenti disattivati o eliminati

Per impostazione predefinita, i token del server Active Directory Federation Services (ADFS) assegnano una scadenza di otto (8) ore a un cookie del servizio Web Single Sign-on (SSO). Pertanto, anche quando un utente viene disattivato o eliminato da un provider di autenticazione, fino a quando la sessione dell'utente è attiva questi può continuare ad essere autenticato per le risorse protette.

Per risolvere il problema, scegliere una delle soluzioni seguenti.

  • Disabilitare l'utente Microsoft Dynamics 365 e Active Directory. Per informazioni sulla disabilitazione di un utente in Microsoft Dynamics 365, vedere Gestire utenti. Per informazioni su come disabilitare un utente in Active Directory, vedere la guida Utenti e computer di Active Directory

  • Ridurre la durata del Web single sign-on (SSO). A tale scopo, vedere la Guida di Gestione Active Directory Federation Services (ADFS).

Proteggere il file web.config

Il file web.config creato da Microsoft Dynamics 365 non contiene stringhe di connessione o chiavi di crittografia. Il file contiene tuttavia informazioni sulla modalità e la strategia di autenticazione, informazioni sullo stato della visualizzazione di ASP.NET , nonché messaggi di errore di debug visualizzati. Se questo file viene modificato da un attacco dannoso risulta minacciato il server in cui viene eseguito Microsoft Dynamics 365. Per proteggere il file web.config, è consigliabile seguire le precauzioni seguenti:

  • Concedere autorizzazioni per la cartella in cui si trova il file web.config solo agli account utenti che lo richiedono, ad esempio gli amministratori. Per impostazione predefinita, i file del web.config è localizzato nella cartella <drive:>Program Files\Microsoft Dynamics CRM\CRMWeb.

  • Limitare il numero di utenti con accesso interattivo ai server Dynamics 365, ad esempio l'autorizzazione di accesso alla console.

  • Disabilitare l'esplorazione delle directory nel sito Web di Dynamics 365. Questa possibilità è disabilitata per impostazione predefinita. Per informazioni su come disabilitare l'esplorazione delle directory, vedere la Guida di Gestione Internet Information Services (IIS).

Le chiamate Internet in uscita tramite codice personalizzato eseguito dal servizio di elaborazione in modalità sandbox sono abilitate

Per impostazione predefinita, le chiamate in uscita tramite codice personalizzato eseguito da Servizio di elaborazione in modalità sandbox di Microsoft Dynamics 365 che accede ai servizi su Internet sono abilitate. Per le distribuzioni di Microsoft Dynamics 365 ad alta sicurezza, questo aspetto può comportare un rischio per la sicurezza. Se non si desidera consentire chiamate in uscita tramite codice personalizzato, ad esempio plug-in di Dynamics 365 o attività del flusso di lavoro personalizzate, è possibile disattivare le connessioni in uscita da codice personalizzato eseguito da Servizio di elaborazione in modalità sandbox attenendosi alla procedura seguente.

Anziché bloccare le chiamate in uscita, è possibile applicare restrizioni all'accesso Web sui plug-in modalità sandbox.Ulteriori informazioni:MSDN: Isolamento di plug-in, attendibilità e statistiche

Si noti che per disattivare le connessioni in uscita per il codice personalizzato comporta la disabilitazione delle chiamate alle piattaforme cloud come Microsoft Azure e Microsoft Azure SQL Database.

Disabilitare le connessioni in uscita per il codice personalizzato sul computer che esegue il servizio di elaborazione in modalità sandbox

  1. Nel computer Windows Server dove è installato il ruolo di server di Servizio di elaborazione in modalità sandboxMicrosoft Dynamics 365 avviare Editor del Registro di sistema e localizzare la seguente sottochiave:
    HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSCRM

  2. Fare clic con il pulsante destro del mouse su MSCRM, scegliere Nuovo, scegliere Valore DWORD, digitare SandboxWorkerDisableOutboundCalls, quindi premere INVIO.

  3. Fare clic con il pulsante destro del mouse su SandboxWorkerDisableOutboundCalls, scegliere Modifica, digitare 1, quindi premere INVIO.

  4. Chiudere Editor del Registro di sistema.

  5. Riavviare Servizio di elaborazione in modalità sandbox. A tale scopo, fare clic sul pulsante Startservices.msc, quindi premere INVIO.

  6. Fare clic con il pulsante destro del mouse su Servizio di elaborazione in modalità sandbox di Microsoft Dynamics CRM, quindi scegliere Riavvia.

  7. Chiudere lo snap-in Servizi Microsoft Management Console (MMC).

Proteggere la comunicazione tra server

Per impostazione predefinita, la comunicazione tra server Microsoft Dynamics 365, ad esempio la comunicazione tra il ruolo Server applicazione Web e il server che esegue Microsoft SQL Server, non avviene tramite un canale sicuro. Pertanto, le informazioni trasmesse tra i server sono soggette a possibili attacchi, ad esempio quelli di tipo man-in-the-middle.

Per proteggere le informazioni trasmesse tra i server dell'organizzazione, è consigliabile implementare IPsec (Internet Protocol security). IPsec è framework di standard aperti per la protezione della comunicazione in reti con protocollo IP (Internet Protocol) tramite l'utilizzo di servizi di sicurezza crittografica.Ulteriori informazioni:IPsec

Attacchi di rebinding DNS

Come molte applicazioni basate sul Web, Microsoft Dynamics 365 potrebbe essere soggetto ad attacchi di rebinding DNS. Questo exploit fa in modo che un Web browser recuperi erroneamente pagine di due server diversi presupponendo i server appartengano allo stesso dominio e comprometta di conseguenza i criteri di corrispondenza dell'origine. Tramite questa tecnica, un pirata informatico può manomettere i dati di Dynamics 365 utilizzando l'identità della vittima mediante attacchi tramite script tra siti nelle pagine di Dynamics 365.

Per ulteriori informazioni su come migliorare la protezione da tali attacchi, vedere Protezione dei browser da attacchi di rebinding DNS.

JavaScript consentito per URL Power BI in dashboard personali

Poiché JavaScript può essere utilizzato per permettere ai dashboard personali di utilizzare gli URLsPower BI, tenere presente i seguenti rischi di attacchi script injection da origini dannose:

  • Reindirizzamento arbitrario a un sito Web imprevisto, ad esempio un sito Web di phishing.

  • La creazione di più oggetti JavaScript di grandi dimensioni nel tentativo di arrestare in modo anomalo il Web browser.

Per ridurre i rischi, è consigliabile implementare le seguenti procedure consigliate:

  • Consentire solo ai siti approvati di SharePoint di ospitare documenti di Microsoft Office Excel utilizzati per l'aggiunta di report Power BI nei dashboard.Ulteriori informazioni:Introduzione all'interfaccia di amministrazione di Power BI per Office 365

  • Proteggere il sito di SharePoint che ospita i componenti di Power BI in modo che solo origini attendibili possano aggiungere documenti ai dashboard.Leggere le informazioni sui livelli di autorizzazioni di SharePoint

  • Indicare agli utenti Microsoft Dynamics 365 di evitare di aggiungere componenti non approvati ai dashboard. Analogamente all'indicazione per gli utenti di non aprire gli allegati o fare clic sui collegamenti ipertestuali presenti nei messaggi di posta elettronica da origini sconosciute.

Vedere anche

Considerazioni sulla sicurezza per Microsoft Dynamics CRM
Porte di rete per Microsoft Dynamics CRM
Configurazioni supportate di Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Tutti i diritti sono riservati. Copyright