Riscos e vulnerabilidades conhecidos
Publicado: janeiro de 2017
Aplicável a: Dynamics 365 (on-premises), Dynamics CRM 2016
Este tópico descreve os riscos e vulnerabilidades que podem existir ao ser usado o Microsoft Dynamics 365. Paliativos e soluções alternativas também são descritos quando aplicáveis.
Neste tópico
Riscos quando os usuários se conectam ao Dynamics 365 em uma rede desprotegida
Recomendações de segurança em implantações de função de servidor
Autenticação anônima
Isolar a função HelpServer para implantações para a Internet
Limitações e problemas da autenticação baseada em declarações
Proteger o arquivo web.config
As chamadas de saída de internet de execução de código personalizado para o serviço de processamento de área restrita estão ativadas.
Comunicação segura entre servidores
Invasões de rebinding de DNS
Javascript permitido para URLs do Power BI em painéis pessoais
Riscos quando os usuários se conectam ao Dynamics 365 em uma rede desprotegida
Aqui estão alguns problemas que podem ocorrer quando o Microsoft Dynamics 365 é executado sem o protocolo Transport Layer Security (TLS) ou Secure Sockets Layer (SSL) (HTTPS):
- Os dados fornecidos pelo usuário do Microsoft Dynamics 365, incluindo definições de gráficos visuais, podem ser alterados em uma conexão HTTP desprotegida usando ataques do tipo intermediário. Para atenuar essa vulnerabilidade, configure o Microsoft Dynamics 365 para usar somente TLS/SSL. Para obter mais informações sobre como configurar o Servidor do Microsoft Dynamics 365 para usar o TLS/SSL, consulte Aumente a segurança nas redes cliente-servidor do Dynamics 365.
Recomendações de segurança em implantações de função de servidor
As recomendações a seguir podem ajudar a tornar sua implantação do Microsoft Dynamics 365 mais confiável e segura.
Função de servidor |
Recomendação |
|---|---|
Serviço de Processamento em Área Restrita |
Instale esta função em um servidor dedicado em uma VLAN (LAN virtual) separada de outros computadores que executam funções do Servidor do Microsoft Dynamics 365. Se houver um plug-in maligno executado na área restrita que explora o computador, o isolamento da rede de uma VLAN separada poderá ajudar a proteger outros recursos do Dynamics 365 contra comprometimento. |
Servidor de Ajuda |
Instale esta função em um computador separado para implantações internas e do IFD. Para obter mais informações, consulte Isolar a função HelpServer para implantações para a Internet, posteriormente neste tópico. |
Autenticação anônima
O Microsoft Dynamics 365Implantação para a Internet (IFD) exige autenticação anônima habilitada no IIS para autenticação baseada em declarações. O token de autenticação baseado em declarações não contém credenciais brutas ou a cadeia de conexão para o Servidor do Microsoft Dynamics 365. No entanto, o arquivo web.config contém informações de configuração sobre o modo de autenticação. Para obter mais informações, consulte Proteger o arquivo web.config, posteriormente neste tópico. Para proteger o site do Microsoft Dynamics 365, use TLS/SSL.
Isolar a função HelpServer para implantações para a Internet
A Microsoft Dynamics 365Implantação para a Internet (IFD) exige autenticação anônima. Como é usada autenticação de site anônima, o diretório virtual usado pelo site do Ajuda do Microsoft Dynamics 365 pode ser definido como alvo de ataques de DoS (negação de serviço).
Para isolar as páginas do Ajuda do Microsoft Dynamics 365 e ajudar a proteger outras funções do Servidor do Microsoft Dynamics 365 de possíveis ataques DoS, considere instalar a função Servidor de Ajuda em um computador separado.
Para obter mais informações sobre as opções para instalar as funções do Microsoft Dynamics 365 em computadores separados, consulte Funções de servidor do Microsoft Dynamics 365.
Para obter informações sobre como reduzir o risco de ataques de DoS, consulte MSDN: Aperfeiçoando a segurança do aplicativo Web: ameaças e medidas defensivas.
Limitações e problemas da autenticação baseada em declarações
Este tópico descreve os problemas e as limitações ao usar autenticação baseada em declarações com o Microsoft Dynamics 365.
Verificar se o provedor de identidades usa uma diretiva de senha forte
Ao usar autenticação baseada em declarações, recomendamos verificar se o provedor de identidades que tem a confiança do serviço de token de segurança (STS) e, por sua vez, do Microsoft Dynamics 365, impõe diretivas de senha forte. O Microsoft Dynamics 365 em si não impõe senhas fortes. Por padrão, quando é usado como provedor de identidades, o Active Directory impõe uma diretiva de senha forte.
As sessões de servidor de federação do AD FS são válidas por até oito horas, inclusive para usuários inválidos ou excluídos.
Por padrão, os tokens de servidor do Serviços de Federação do Active Directory (AD FS) alocam uma expiração de cookie de SSO (logon único) da Web de 8 (oito) horas. Assim, mesmo quando um usuário é desativado ou excluído de um provedor de autenticação, desde que a sessão do usuário ainda esteja ativa, o usuário pode continuar sendo autenticado para proteger os recursos.
Use qualquer uma dessas opções contornar esse problema:
Desabilitar o usuário no Microsoft Dynamics 365 e no Active Directory. Para obter informações sobre como desabilitar um usuário no Microsoft Dynamics 365, consulte Gerenciar usuários. Para obter informações sobre como desabilitar um usuário no Active Directory, consulte a Ajuda do Usuários e Computadores do Active Directory.
Reduzir a vida útil de SSO da Web. Para fazer isso, consulte a Ajuda de Gerenciamento do Serviços de Federação do Active Directory (AD FS).
Proteger o arquivo web.config
O arquivo web.config criado pelo Microsoft Dynamics 365 não contém cadeias de caracteres de conexão ou chaves de criptografia. No entanto, o arquivo não contém informações de configuração sobre o modo de autenticação e a estratégia, a informação de estado de exibição do ASP.NET e a exibição da mensagem de erro de depuração. Se esse arquivo for modificado com má-fé, ele poderá ameaçar o servidor em que o Microsoft Dynamics 365 é executado. Para ajudar a proteger o arquivo web.config, recomendamos fazer o seguinte:
Conceder permissões à pasta em que o arquivo web.config está localizado para incluir somente as contas de usuário que precisam dele, como os administradores. Por padrão, o arquivo web.config está localizado na pasta <drive:>Program Files\Microsoft Dynamics CRM\CRMWeb.
Limitar a quantidade de usuários que têm acesso interativo aos servidores do Dynamics 365, como a permissão de logon de console.
Desabilitar a navegação de diretórios no site do Dynamics 365. Por padrão, esse recurso é desabilitado. Para obter mais informações sobre como desabilitar a navegação de diretórios, consulte a Ajuda do Gerenciador dos Serviços de Informações da Internet (IIS).
As chamadas de saída de internet de execução de código personalizado para o serviço de processamento de área restrita estão ativadas.
Por padrão, as chamadas de saída do código personalizado executado pelo Microsoft Dynamics 365 executado por Serviço de Processamento em Área Restrita que acessam os serviços na Internet estão habilitadas. Para implantações de alta segurança de Microsoft Dynamics 365, isso poderia ser um risco à segurança. Se não desejar permitir chamadas de saída de código personalizado, como plug-ins do Dynamics 365 ou atividades personalizadas de fluxo de trabalho, é possível desabilitar as conexões de saída do código personalizado executado pelo Serviço de Processamento em Área Restrita seguindo este procedimento.
Em vez de bloquear os telefonemas de saída, você poderá executar as restrições de acesso à web em sandboxed plug-ins.Para obter mais informações:MSDN: Isolamento, estatísticas e confianças de plug-in
Desativar conexões de saída para códigos personalizados inclui desabilitar chamadas para serviços em nuvem, como Microsoft Azure e o Banco de Dados SQL de Microsoft Azure.
Desabilitar conexões de saída do código personalizado no computador que executa o serviço de processamento em área restrita
No computador do Windows Server onde a função do servidor do Microsoft Dynamics 365Serviço de Processamento em Área Restrita está instalada, inicie o Editor do Registro e localize a seguinte subchave:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSCRMClique com o botão direito em MSCRM, aponte para Novo,, clique em Valor DWORD, digite SandboxWorkerDisableOutboundCalls e depois pressione ENTER.
Clique com o botão direito em SandboxWorkerDisableOutboundCalls, clique em Modificar,, digite 1 e pressione ENTER.
Feche o Editor do Registro.
Reinicie o Serviço de Processamento em Área Restrita. Para fazer isso, clique em Iniciar e digite services.msc, depois, pressione ENTER.
Clique com o botão direito do mouse em Serviço de Processamento de Área Restrita do Microsoft Dynamics 365 e clique em Reiniciar.
Feche o Console de Gerenciamento Microsoft (MMC) snap-in Serviços.
Comunicação segura entre servidores
Por padrão, a comunicação entre servidores do Microsoft Dynamics 365, como a comunicação entre a função Servidor de Aplicativos Web e o servidor que está executando o Microsoft SQL Server, não é executada em um canal seguro. Portanto, as informações transmitidas entre os servidores podem ser suscetíveis a determinados ataques, como os ataques intermediários.
Recomendamos implementar a rede segura, como Firewall do Windows para ajudar a proteger as informações transmitidas entre os servidores de sua organização.Para obter mais informações:Visão geral do Firewall do Windows com segurança avançada
Invasões de rebinding de DNS
Como muitos aplicativos baseados na Web, o Microsoft Dynamics 365 pode ser vulnerável às invasões de rebinding do DNS. Esta utilização envolve enganar um navegador em recuperar páginas de dois servidores diferentes baseados que, portanto, os servidores são mesmo domínio e r interromper subsequentemente A mesma diretiva de origem. Usando essas técnicas, o invasor pode realizar adulterações com dados do Dynamics 365 usando a identidade da vítima por meio de ataques de script entre sites em páginas do Dynamics 365 .
Para obter mais informações sobre como ajudar a proteger contra esses ataques, consulte Proteger navegadores de ataques de rebinding de DNS.
Javascript permitido para URLs do Power BI em painéis pessoais
Como o JavaScript pode ser usado para que os painéis pessoais possam usar o Power BIURLs, lembre-se destes riscos de ataques de injeção de script de fontes mal-intencionadas:
Reorientação arbitrária para um site inesperado, como um site de phishing.
A criação de vários grandes objetos JavaScript na tentativa de derrubar o navegador.
Para reduzir o risco, considere implementar as seguintes práticas recomendadas:
Permitir somente sites do SharePoint aprovados para hospedar documentos do Microsoft Office Excel usados para integrar relatórios do Power BI em painéis.Para obter mais informações:Introdução ao Power BI para o Centro de Administração do Office 365
Proteger o site do SharePoint que hospeda os componentes do Power BI de forma que só fontes confiáveis possam adicionar documentos a serem adicionados aos painéis.Leia sobre os níveis de permissão do SharePoint
Peça aos usuários do Microsoft Dynamics 365 para evitar adicionar componentes não aprovados em seus painéis. Ela é semelhante a instruir usuários a não abrir anexos ou clicar em hiperlinks encontrados em mensagens de email de fontes desconhecidas.
Confira Também
Considerações de segurança para o Microsoft Dynamics 365
Portas de rede para o Microsoft Dynamics 365
Configurações suportadas do Microsoft Dynamics 365
© 2017 Microsoft. Todos os direitos reservados. Direitos autorais