Aanbevolen procedures voor het beheren van on-premises installaties van Microsoft Dynamics CRM
Gepubliceerd: november 2016
Is van toepassing op: Dynamics CRM 2015
Door enkele eenvoudige beheerregels te volgen kunt u de beveiliging van de Microsoft Dynamics 365-on-premises-omgeving aanzienlijk verhogen:
Gewoonlijk is het niet nodig dat Dynamics 365-gebruikers beheerdersbevoegdheden in het domein hebben. Daarom moeten alle Dynamics 365-gebruikersaccounts worden beperkt tot het lidmaatschap van Domeingebruikers. Volgens het principe van zo min mogelijk bevoegdheden moet bovendien iedereen die het Dynamics 365-systeem gebruikt, minimale rechten hebben. Dit begint op domeinniveau. Er moet een domeingebruikersaccount worden gemaakt en gebruikt om Dynamics 365 uit te voeren. Er mogen nooit domeinbeheerdersaccounts worden gebruikt om Dynamics 365 uit te voeren.
Beperk het aantal Microsoft Dynamics 365Installatiebeheerder- en systeembeheerdersrollen tot enkele personen die verantwoordelijk zijn voor regelaanpassingen. Andere SQL Server-, Microsoft Exchange Server- of Active Directory-beheerders hoeven geen lid te zijn van de Dynamics 365-gebruikersgroep.
Zorg ervoor dat minstens twee of drie vertrouwde personen de rol Installatiebeheerder hebben. Hierdoor voorkomt u dat het systeem wordt vergrendeld als de primaire Installatiebeheerder niet beschikbaar is.
In sommige organisaties worden wachtwoorden op verschillende systemen en domeinen hergebruikt. Een beheerder die bijvoorbeeld verantwoordelijk is voor twee domeinen, kan in elk domein een domeinbeheerdersaccount maken met hetzelfde wachtwoord, en zelfs lokale beheerderswachtwoorden instellen op domeincomputers die in het hele domein hetzelfde zijn. In zo'n geval kan een inbreuk op één account of computer leiden tot een inbreuk op het hele domein. Wachtwoorden mogen nooit op deze manier worden hergebruikt.
Domeinbeheerdersaccounts worden ook vaak gebruikt als serviceaccounts voor algemene services zoals back-upsystemen. Het is echter een beveiligingsrisico om domeinbeheerdersaccounts te gebruiken als serviceaccounts. Het wachtwoord kan eenvoudig worden teruggevonden door iemand met beheerdersrechten op de computer. In zo'n geval kan de inbreuk het hele domein betreffen. Serviceaccounts moeten nooit domeinbeheerdersaccounts zijn en er moeten zo weinig mogelijk machtigingen worden toegekend aan serviceaccounts.
Een domeingebruikersaccount die is opgegeven voor het uitvoeren van een Microsoft Dynamics 365-service mag niet tevens worden geconfigureerd als Dynamics 365-gebruiker. Dit kan leiden tot onverwacht gedrag in de toepassing.
Zie ook
Beveiligingsoverwegingen voor Microsoft Dynamics CRM
Aanbevolen methodes voor Microsoft Dynamics CRM-beveiliging
Netwerkpoorten voor Microsoft Dynamics CRM
Beveiligingsconcepten voor Microsoft Dynamics CRM
© 2016 Microsoft Corporation. Alle rechten voorbehouden. Auteursrecht