Considerazioni sulla sicurezza del sistema operativo e della tecnologia della piattaforma per Microsoft Dynamics 365

 

Data di pubblicazione: gennaio 2017

Si applica a: Dynamics 365 (on-premises), Dynamics CRM 2016

Nella scelta del tipo di sicurezza è importante valutare attentamente i pro e i contro relativi a minacce e accessi. È possibile, ad esempio, chiudere un computer in una stanza a cui ha accesso solo l'amministratore di sistema. In questo modo il computer è sicuro, ma non è molto utile poiché non è collegato ad altri computer. Se gli utenti aziendali devono poter accedere a Internet e alla rete Intranet aziendale, è necessario configurare la rete in modo sicuro e funzionale.

In questo argomento troverai informazioni e collegamenti utili a molte risorse per rendere più sicuro l'ambiente informatico. Oggi la sicurezza dei dati di Microsoft Dynamics 365 dipende in larga misura dalla sicurezza del sistema operativo e dei componenti software utilizzati.

In questo argomento

Protezione di Windows Server

Proteggere SQL Server

Protezione di Exchange Server e Outlook

Proteggere i dispositivi mobili

Protezione di Windows Server

Windows Server, che costituisce la base di Microsoft Dynamics 365, offre una sicurezza della rete molto sofisticata. Il protocollo di autenticazione Kerberos versione 5 integrato in Active Directory e Active Directory Federation Services (ADFS) consente di federare i domini di Active Directory tramite l'autenticazione basata sulle attestazioni. Entrambi offrono una potente autenticazione basata su standard. Tali standard di autenticazione consentono agli utenti di immettere una sola combinazione di nome utente e password per tutte le risorse della rete.Windows Server include anche diverse funzionalità che contribuiscono ad aumentare la sicurezza della rete.

Usa questi collegamenti per ottenere ulteriori informazioni sulle funzionalità e su come rendere più sicura la tua distribuzione Windows Server:

• Windows Server 2012

  • Proteggere Windows Server 2012 R2 e Windows Server 2012

  • Guida di base alla sicurezza in Windows Server 2012

Segnalazione errori Windows

Microsoft Dynamics 365 richiede il servizio Segnalazione errori Windows, che viene installato dal programma di installazione se non è presente. Il servizio Segnalazione errori Windows raccoglie informazioni quali gli indirizzi IP. Questi indirizzi IP non vengono usati per identificare gli utenti. Il servizio Segnalazione errori Windows non raccoglie intenzionalmente nomi, indirizzi, indirizzi e-mail, nomi di computer o qualsiasi altra informazione personale (PII, Personally Identifiable Information). Nel caso in cui informazioni di questo tipo vengano acquisite in memoria o nei dati raccolti da file aperti, non verranno comunque utilizzate da Microsoft per identificare gli utenti. Inoltre alcune delle informazioni che vengono scambiate tra l'applicazione Microsoft Dynamics 365 e Microsoft potrebbero non essere sicure. Per ulteriori informazioni sul tipo di informazioni trasmesse, vedere la pagina dedicata all'informativa sulla privacy per il servizio Segnalazione errori Microsoft.

Virus, malware e protezione di identità

Per proteggere meglio la tua identità e il tuo sistema da malware o virus, vedi le risorse seguenti:

• Microsoft Security. Questa pagina è un importante punto di accesso a suggerimenti, materiale formativo e linee guida su come mantenere aggiornato il computer ed evitare che sia vulnerabile a exploit, spyware e virus.

• Security TechCenter. Questa pagina contiene collegamenti a comunicati tecnici, avvisi, aggiornamenti, strumenti e linee guida realizzati per mantenere i computer sempre aggiornati e più sicuri.

Gestione dell'aggiornamento

Gli aggiornamenti di Microsoft Dynamics 365 includono miglioramenti a livello di sicurezza, prestazioni e funzionalità. Fare in modo che le applicazioni Microsoft Dynamics 365 includano sempre gli aggiornamenti più recenti garantisce che il sistema funzioni nel modo più efficiente e affidabile possibile. Di seguito puoi trovare ulteriori informazioni sulla gestione degli aggiornamenti:

• Windows Server Update Services

• Aggiornamenti software in Gestione configurazione

• Gestione degli aggiornamenti in Windows Server 2012: aggiornamento in ambito cluster e la nuova generazione di servizi WSUS

Proteggere SQL Server

Poiché Microsoft Dynamics 365 si basa su SQL Server, è importante intraprendere le misure descritte di seguito per aumentare la sicurezza del database di SQL Server:

• Applica il sistema operativo più recente, i SQL Server Service Pack (SP) e gli aggiornamenti. Per informazioni dettagliate e aggiornate, visita il sito Web Microsoft Security.

• Installa tutti i file di sistema e dati di SQL Server in partizioni NTFS per una sicurezza a livello di file system. I file dovranno essere disponibili solo agli utenti di livello amministratore o sistema tramite autorizzazioni NTFS. In questo modo si impedisce agli utenti di accedere a tali file quando il servizio MSSQLSERVER non è in esecuzione.

• Utilizzare un account di dominio con privilegi limitati. In alternativa, specifica l'account di sistema locale o servizio di rete per i servizi SQL Server. Tuttavia, non consigliamo di usare questi account poiché gli account utente di dominio possono essere configurati con un minor numero di autorizzazioni per eseguire i servizi SQL Server. Gli account utente di dominio devono avere diritti minimi per il dominio che dovrebbero contribuire a contenere (ma non a bloccare) un eventuale attacco al server. In altre parole, gli account utente di dominio dovrebbero avere solo autorizzazioni a livello utente nel dominio. Nel caso in cui SQL Server venga installato utilizzando un account amministratore di dominio per eseguire i servizi, una compromissione di SQL Server impatterebbe sulla sicurezza dell'intero dominio. Per modificare questa impostazione, utilizzare SQL Server Management Studio per apportare le modifiche necessarie, perché gli elenchi di controllo dell'accesso (ACL) sui file, il Registro di sistema e i diritti utente verranno modificati automaticamente.

• Poiché SQL Server autentica gli utenti che dispongono di credenziali Autenticazione di Windows o SQL Server, suggeriamo di usare Autenticazione di Windows per la semplicità d'uso del servizio Single Sign-on e per implementare il metodo di autenticazione più sicuro.

• È consigliabile attivare almeno il controllo degli accessi non riusciti. Per impostazione predefinita, il controllo del sistema SQL Server è disattivato e non viene quindi verificata alcuna condizione. Questo rende difficoltosa la rilevazione di un'intrusione e favorisce l'occultamento delle tracce da parte degli aggressori.

• Gli amministratori del Server di report devono abilitare RDL Sandboxing per limitare l'accesso al Server di report.Ulteriori informazioni:Abilitare e disabilitare la funzionalità RDL Sandboxing

• Configura ogni accesso a SQL in modo da utilizzare il database master come database predefinito. Anche se gli utenti non dovrebbero disporre dei diritti di accesso al database master, consigliamo di cambiare l'impostazione predefinita per ogni accesso a SQL (ad eccezione di quelli con ruolo SYSADMIN) in modo che venga utilizzato NomeOrganizzazione_MSCRM come database predefinito.Ulteriori informazioni:Proteggere SQL Server

Protezione di Exchange Server e Outlook

Le considerazioni riportate di seguito sono valide per Microsoft Exchange Server o Exchange Server in un ambiente Microsoft Dynamics 365:

• Exchange Server contiene numerosi meccanismi in grado di fornire un controllo amministrativo a elevata granularità dell'infrastruttura. In particolare, puoi usare i gruppi amministrativi per raccogliere oggetti di Exchange Server quali server, connettori o criteri e modificare gli elenchi di controllo di accesso di tali gruppi amministrativi per assicurarti che vi possano accedere solo determinati utenti. Puoi ad esempio concedere agli amministratori di Microsoft Dynamics 365 un certo controllo sui server che hanno conseguenze dirette sulle loro applicazioni. Quando implementi in modo efficiente i gruppi amministrativi, hai la certezza di fornire agli amministratori di Microsoft Dynamics 365 esattamente i diritti di cui hanno bisogno per svolgere le loro mansioni.

• Spesso può essere utile creare un'unità organizzativa distinta per gli utenti di Microsoft Dynamics 365 e concedere agli amministratori di Microsoft Dynamics 365 diritti amministrativi limitati per tale unità organizzativa. Gli amministratori possono apportare modifiche a qualsiasi utente dell'unità organizzativa, ma non agli utenti esterni all'unità.

• Assicurati sempre di fornire una protezione adeguata dall'inoltro non autorizzato della posta elettronica. L'inoltro della posta elettronica è una funzionalità che consente a un client SMTP di utilizzare un server SMTP per inoltrare messaggi di posta elettronica a un dominio remoto. Per impostazione predefinita, Microsoft Exchange Server è configurato per impedire l'inoltro della posta elettronica. Le impostazioni da configurare variano a seconda del flusso di messaggi e della configurazione del server di posta elettronica del provider di servizi Internet (ISP). Il miglior approccio consiste tuttavia nel disabilitare completamente le opzioni di inoltro della posta e nell'abilitarle gradualmente per consentire un flusso corretto dei messaggi di posta elettronica. Per ulteriori informazioni, vedere la Guida di Exchange Server.

• Se si utilizza il monitoraggio della cassetta postale di inoltro, il Router e-mail richiede una cassetta postale di Exchange Server o conforme a POP3. Ti consigliamo di impostare le autorizzazioni per questa cassetta postale per impedire ad altri utenti di aggiungere regole lato server. Per ulteriori informazioni sulle cassette postali di Exchange Server, vedi Autorizzazioni dei destinatari.

• Il servizio del Router e-mail di Microsoft Dynamics 365 viene eseguito con l'account di sistema locale. Ciò consente al Router e-mail di accedere alla cassetta postale dell'utente specificato e di elaborare la posta elettronica che vi è contenuta.

Per ulteriori informazioni su come rendere Exchange Server più sicuro, vedere Elenco di controllo sulla sicurezza della distribuzione.

Proteggere i dispositivi mobili

Man mano che le organizzazioni devono supportare una forza lavoro mobile in continuo aumento, una sicurezza elevata deve rimanere un aspetto essenziale. Di seguito sono elencate alcune risorse che ti aiutano a implementare le procedure consigliate per i dispositivi mobili, ad esempio smartphone e tablet:

• Come gestire i dispositivi mobili utilizzando il connettore Windows Intune in Configuration Manager

• Windows per l'azienda

• Considerazioni sulla sicurezza (Microsoft Surface)

• iOS in azienda (iPad e iPhone)

Vedere anche

Pianificare la distribuzione di Microsoft Dynamics 365
Integrare (sincronizzare) il sistema e-mail con Microsoft Dynamics 365
Configurare e gestire telefoni e tablet
Considerazioni sulla sicurezza per Microsoft Dynamics 365

© 2017 Microsoft. Tutti i diritti sono riservati. Copyright