Bekende risico's en kwetsbare plekken
Gepubliceerd: november 2016
Is van toepassing op: Dynamics CRM 2015
In dit onderwerp worden de risico's en kwetsbare plekken beschreven die kunnen bestaan wanneer u Microsoft Dynamics 365 gebruikt. Er worden ook deeloplossingen beschreven, mits van toepassing.
In dit onderwerp
Risico's wanneer gebruikers verbinding maken met CRM via een onbeveiligd netwerk
Aanbevelingen voor beveiliging op serverfunctie-installaties
Anonieme verificatie
De functie HelpServer isoleren voor IFD's (Internet-Facing Deployments)
Problemen en beperkingen van op claims gebaseerde verificatie
Het bestand web.config beveiligen
Uitgaande internetaanvragen uitgevoerd door de sandboxverwerking worden ingeschakeld
Beveiligde server-servercommunicatie
Aanvallen DNS-rebinding
JavaScript toegestaan voor Power BI URL's op persoonlijke dashboards
Risico's wanneer gebruikers verbinding maken met CRM via een onbeveiligd netwerk
Problemen die kunnen optreden wanneer u Microsoft Dynamics 365 uitvoert zonder Secure Sockets Layer (SSL) (HTTPS) te gebruiken, zijn de volgende:
- Microsoft Dynamics 365-gegevens door gebruikers geleverd, inclusief definities van visuele diagrammen kunnen via een onbeveiligde HTTP-verbinding veranderen door 'man in the middle'-aanvallen. Als u dit risico wilt beperken, configureert u Microsoft Dynamics 365 voor uitsluitend het gebruik van SSL. Voor meer informatie over hoe u Microsoft Dynamics CRM Server aanpast voor het gebruik van SSL, zie De netwerkcommunicatie tussen client en server van CRM veiliger maken.
Aanbevelingen voor beveiliging op serverfunctie-installaties
Met de volgende aanbevelingen kunt u uw Microsoft Dynamics 365-installatie betrouwbaarder en veiliger maken.
Serverfunctie |
Aanbeveling |
|---|---|
Sandboxverwerkingsservice |
Installeer deze functie op een speciale server op een afzonderlijk LAN (VLAN) vanaf andere computers waarop Microsoft Dynamics CRM Server-functies worden uitgevoerd. Als er dan een kwaadaardige invoegtoepassing wordt uitgevoerd in de sandbox die misbruik van de computer maakt, kan de netwerkisolatie van een afzonderlijk VLAN verhinderen dat andere Dynamics 365-resources worden aangetast. |
Help-server |
Installeer deze functie op een afzonderlijke computer voor IFD en intern gerichte installaties. Voor meer informatie raadpleegt u De functie HelpServer isoleren voor IFD's (Internet-Facing Deployments) verderop in dit onderwerp. |
Anonieme verificatie
Voor Microsoft Dynamics 365Internet Facing Deployment (IFD) is anonieme verificatie vereist op IIS voor op claims gebaseerde verificatie. Houd er rekening mee dat het op claims gebaseerde verificatietoken geen ruwe aanmeldgegevens of de verbindingstekenreeks naar Microsoft Dynamics CRM Server bevat. Het bestand web.config bevat echter wel configuratie-informatie over de verificatiemodus. Voor meer informatie raadpleegt u Het bestand web.config beveiligen verderop in dit onderwerp. Gebruik SSL om de website van Microsoft Dynamics 365 te beveiligen.
De functie HelpServer isoleren voor IFD's (Internet-Facing Deployments)
Voor Microsoft Dynamics 365Internet Facing Deployment (IFD) is anonieme verificatie vereist. Aangezien anonieme websiteverificatie wordt gebruikt, kan de virtuele map die door de Microsoft Dynamics CRM Help-site wordt gebruikt, het doel worden van DoS-aanvallen (Denial Of Service).
Als u de Microsoft Dynamics CRM Help-pagina's wilt isoleren en de andere Microsoft Dynamics CRM Server-functies wilt beschermen tegen mogelijke DoS-aanvallen, kunt u overwegen de Help-server-functie te installeren op een afzonderlijke computer.
Voor informatie over de opties voor het installeren van Microsoft Dynamics 365-rollen op afzonderlijke computers raadpleegt u de Microsoft Dynamics CRM-serverfuncties.
Voor meer informatie over het verkleinen van de kans op DoS-aanvallen raadpleegt u MSDN: Webtoepassingsbeveiliging verbeteren: risico's en tegenmaatregelen.
Problemen en beperkingen van op claims gebaseerde verificatie
In dit onderwerp worden problemen en beperkingen beschreven die u kunt hebben bij het gebruik van op claims gebaseerde verificatie met Microsoft Dynamics 365.
Controleren of de identiteitsprovider een beleid met sterke wachtwoorden hanteert
Wanneer u op claims gebaseerde verificatie gebruikt, raden we aan dat u controleert of de identiteitsprovider die wordt vertrouwd door de beveiligingstokenservice (STS) en ook door Microsoft Dynamics 365, een beleid met sterke wachtwoorden afdwingt.Microsoft Dynamics 365 zelf dwingt geen sterke wachtwoorden af. Als Active Directory wordt gebruikt als identiteitsprovider, wordt standaard een beleid met sterke wachtwoorden afgedwongen.
AD FS-federatieserversessies zijn ook voor gedeactiveerde of verwijderde gebruikers geldig tot 8 uur
Active Directory Federation Services (AD FS)-servertokens wijzen standaard een cookieverlooptijd voor web-SSO (Single Sign-On) van acht (8) uur toe. Daarom kan de gebruiker, zelfs wanneer deze is gedeactiveerd of wordt verwijderd van een verificatieprovider, nog steeds geverifieerd worden bij veilige resources zolang de gebruikerssessie actief is.
Kies een van de volgende mogelijkheden om dit probleem te omzeilen:
Schakel de gebruiker in Microsoft Dynamics 365 en in Active Directory uit. Voor informatie over het uitschakelen van een gebruiker in Microsoft Dynamics 365 raadpleegt u Gebruikers beheren. Voor informatie over het uitschakelen van een gebruiker in Active Directory, raadpleegt u de Help Active Directory-gebruikers en -computers.
Beperk de levensduur van de web-SSO. Raadpleeg hiervoor de Help van Active Directory Federation Services (AD FS)-beheer.
Het bestand web.config beveiligen
Het bestand web.config dat door Microsoft Dynamics 365 wordt gemaakt, bevat geen verbindingstekenreeksen of versleutelingssleutels. Het bestand bevat echter wel configuratie-informatie over de verificatiemodus en -strategie, ASP.NET -weergavestatusinformatie en de weergave van foutopsporingsberichten. Als dit bestand wordt gewijzigd met kwaadaardige bedoelingen, kan dit een bedreiging zijn voor de server waarop Microsoft Dynamics 365 wordt uitgevoerd. Voor het beveiligen van het bestand web.config raden we het volgende aan:
Verleen machtigingen aan de map waar het bestand web.config zich bevindt om alleen die gebruikersaccounts op te nemen waarvoor dit vereist is, zoals beheerders. Het bestand web.config staat standaard in de map <drive:>Program Files\Microsoft Dynamics CRM\CRMWeb.
Beperk het aantal gebruikers met interactieve toegang tot Dynamics 365-servers zoals de consoleaanmeldingsmachtiging.
Schakel het bladeren in mappen op de Dynamics 365-website uit. Dit is standaard uitgeschakeld. Voor meer informatie over het uitschakelen van bladeren in mappen raadpleegt u Internet Information Services (IIS) Manager Help.
Uitgaande internetaanvragen uitgevoerd door de sandboxverwerking worden ingeschakeld
Standaard zijn uitgaande gesprekken van aangepaste code die door de Microsoft Dynamics 365Sandboxverwerkingsservice worden uitgevoerd en toegang hebben tot services op internet, ingeschakeld. Voor sterk beveiligde installaties van Microsoft Dynamics 365 kan dit een beveiligingsrisico vormen. Als u geen uitgaande aanroepen van aangepaste code wilt toestaan, bijvoorbeeld Dynamics 365-invoegtoepassingen of aangepaste werkstroomactiviteiten, kunt u uitgaande verbindingen uitschakelen van aangepaste code die door Sandboxverwerkingsservice worden uitgevoerd door deze procedure te volgen.
In plaats van alle uitgaande gesprekken te blokkeren, kunt u de webtoegangsbeperkingen op sandbox-invoegtoepassingen afdwingen.Meer informatie:MSDN: isolatie, trusts en statistieken van invoegtoepassingen
Door het uitschakelen van uitgaande verbindingen voor aangepaste code worden ook uitgaande aanroepen uitgeschakeld naar cloudplatforms, zoals Microsoft Azure en Microsoft Azure SQL-database.
Uitgaande verbindingen uitschakelen voor aangepaste code op de computer die de sandboxverwerkingsservice uitvoert
Start op de computer Windows Server waar de serverrol Microsoft Dynamics 365Sandboxverwerkingsservice is geïnstalleerd Register-editor en zoek de volgende subsleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSCRMKlik met de rechtermuisknop op MSCRM, wijs Nieuw aan, klik op DWORD-waarde, typ SandboxWorkerDisableOutboundCalls en druk vervolgens op ENTER.
Klik met de rechtermuisknop op SandboxWorkerDisableOutboundCalls, klik op Wijzigen, typ 1 en druk vervolgens op ENTER.
Sluit Register-editor af.
Start de Sandboxverwerkingsservice opnieuw op. Klik hiervoor op Start, typ services.msc en druk vervolgens op ENTER.
Klik met de rechtermuisknop op Microsoft Dynamics CRM-service voor sandboxverwerking en klik vervolgens op Opnieuw starten.
Sluit de Microsoft Management Console (MMC)-module Services.
Beveiligde server-servercommunicatie
De server-servercommunicatie van Microsoft Dynamics 365, zoals communicatie tussen de Webtoepassingsserver-functie en de server met Microsoft SQL Server, wordt standaard niet uitgevoerd via een beveiligingskanaal. Daarom kan informatie die tussen servers wordt overgebracht, kwetsbaar zijn voor bepaalde aanvallen (bijvoorbeeld 'man in the middle'-aanvallen).
We raden aan dat u IPsec (Internet Protocol security) implementeert voor de beveiliging van informatie die wordt overgebracht tussen servers in uw organisatie. IPsec is een framework van open standaarden voor de beveiliging van communicatie via IP-netwerken (Internet Protocol) door het gebruik van cryptografische beveiligingsservices.Meer informatie:IPsec
Aanvallen DNS-rebinding
Net als veel andere webtoepassingen kan Microsoft Dynamics 365 kwetsbaar zijn voor DNS-rebindingaanvallen. Dit omvat het misleiden van een webbrowser om pagina's op te halen van twee verschillende servers waarbij wordt vertrouwd dat de servers zich in hetzelfde domein bevinden, waardoor het Same Origin Policy wordt geschonden. Met deze methode kan een hacker Dynamics 365-gegevens onrechtmatig wijzigen door de identiteit van het slachtoffer te gebruiken via cross-site scriptaanvallen op Dynamics 365-pagina's.
Meer informatie over hoe u zich kunt beveiligen tegen dergelijke aanvallen raadpleegt u Browsers beschermen tegen DNS-rebindingaanvallen.
JavaScript toegestaan voor Power BI URL's op persoonlijke dashboards
Aangezien JavaScript kan worden gebruikt zodat de persoonlijke dashboards gebruik kunnen maken van Power BIURLs, moet u zich bewust zijn van de volgende risico's op aanvallen via scriptinjectie vanuit kwaadaardige bronnen:
Willekeurige omleiding naar een onverwachte website, zoals een phishingwebsite.
Het maken van meerdere grote JavaScript-objecten in een poging om de webbrowser te laten vastlopen.
Overweeg de volgende aanbevolen procedures te implementeren om het risico te verminderen:
Sta alleen goedgekeurde SharePoint-locaties toe om Microsoft Office Excel-documenten te hosten die worden ontvangen voor insluiten van Power BI-rapporten in dashboards.Meer informatie:Inleiding tot Power BI voor Office 365-beheercentrum
Beveilig de SharePoint-locatie die de Power BI-onderdelen host zodanig dat alleen vertrouwde bronnen documenten kunnen toevoegen voor toevoeging aan dashboards.Lees over de machtigingsniveaus van SharePoint
Vertel Microsoft Dynamics 365-gebruikers dat zij geen onderdelen die niet zijn goedgekeurd moeten toevoegen aan hun dashboards. Dit is vergelijkbaar met gebruikers vragen geen bijlagen te openen of op hyperlinks te klikken in e-mailberichten uit onbekende bronnen.
Zie ook
Beveiligingsoverwegingen voor Microsoft Dynamics CRM
Netwerkpoorten voor Microsoft Dynamics CRM
Door Microsoft Dynamics CRM ondersteunde configuraties
© 2016 Microsoft Corporation. Alle rechten voorbehouden. Auteursrecht