Práticas recomendadas de segurança do Microsoft Dynamics 365
Publicado: janeiro de 2017
Aplicável a: Dynamics 365 (on-premises), Dynamics CRM 2016
O Serviços de Informações da Internet (IIS) é um serviço Web maduro que é incluído no Windows Server. O Microsoft Dynamics 365 depende de um serviço Web do IIS eficiente e seguro. Considere estes fatores:
Nos arquivos de configuração machine.config e web.config, você pode determinar se a depuração será habilitada e se mensagens de erro detalhadas devem ser enviadas para o cliente. Verifique se a opção de depuração está desabilitada em todos os servidores de produção e também se uma mensagem de erro genérica é enviada ao cliente caso ocorra um problema. Esse procedimento evita que informações desnecessárias sobre a configuração do servidor Web sejam enviadas ao cliente.
Verifique se os service packs e as atualizações mais recentes do IIS e do sistema operacional foram aplicados. Para obter as informações atualizadas, consulte o site Segurança da Microsoft.
O Instalação do Servidor do Microsoft Dynamics CRM cria pools de aplicativos chamados CRMAppPool e CRMDeploymentServiceAppPool que operam com credenciais de usuário que você especifica durante a Instalação. Para facilitar um modelo de privilégios mínimos, recomendamos que você especifique contas de usuário de domínio separadas para esses pools de aplicativos em vez de usar a conta de Serviço de Rede. Além disso, recomendamos que nenhum outro aplicativo conectado ao ASP.NET seja instalado nesses pools de aplicativos. Para obter informações sobre as permissões mínimas necessárias para a execução desses componentes, consulte Permissões mínimas necessárias para instalação e serviços do Microsoft Dynamics CRM.
Importante
-
Certifique-se de que todos os sites executados no mesmo computador como site do Microsoft Dynamics 365 também podem ter acesso ao banco de dados do Dynamics 365.
-
Se você usar uma conta de usuário de domínio, antes de executar o Instalação do Servidor do Microsoft Dynamics CRM, talvez seja necessário verificar se o SPN (Nome Principal de Serviço) está definido corretamente para essa conta e, se necessário, definir o SPN correto. Para obter mais informações sobre SPNs e como defini-los, consulte Como usar SPNS ao configurar aplicativos Web hospedados no IIS.
Gerenciamento do nome principal de serviço no Microsoft Dynamics 365
O atributo Nome Principal de Serviço (SPN) é um atributo não vinculado e com vários valores criado a partir do nome de host DNS. O SPN é usado durante a autenticação mútua entre o cliente e o servidor que hospeda um serviço particular. O cliente localiza uma conta de computador baseada no SPN do serviço ao qual está tentando se conectar.
O instalador do Servidor do Microsoft Dynamics 365 implanta serviços específicos da função e pools de aplicativos Web que funcionam sob credenciais de usuário especificadas durante a instalação do Instalação. Para revisar a lista completa dessas funções e de seus requisitos de permissão, consulte Permissões mínimas necessárias para instalação e serviços do Microsoft Dynamics CRM.
Ao implantar uma infraestrutura hospedada do Microsoft Dynamics 365, duas destas funções podem exigir consideração adicional:
Serviço Web de Implantação
Serviço de Aplicativo
Em cenários de farm da Web, como é o caso de uma oferta hospedada, a recomendação é deixar a autenticação de modo kernel habilitada. Além disso, você deve considerar cuidadosamente o uso de contas de usuário do domínio separadas para a execução desses serviços porque:
Ter contas de serviço separadas para essas funções de servidor facilita a implementação de balanceamento de carga de hardware.
A função de servidor Serviço Web de Implantação exige permissões elevadas para provisionar organizações no banco de dados do Dynamics 365. Se quiser aderir a um modelo menos privilegiado, a abordagem mais segura para a implementação de SPNs em uma infraestrutura hospedada do Microsoft Dynamics 365 envolve a execução do Serviço Web de Implantação com uma conta de usuário do domínio diferente do Serviço de Aplicativo.
Se você seguir esta sugestão de usar contas do domínio separadas para as funções de servidor, deverá se certificar de que o SPN está correto para cada conta antes de iniciar a Instalação do Servidor do Microsoft Dynamics CRM. Isso facilitará a definição do SPN correto quando necessário.
Se a autenticação de modo kernel estiver habilitada, os SPNs serão definidos para a conta de máquina, independentemente da conta de serviço especificada. Ao implementar um farm da Web, habilite a autenticação de modo kernel e modifique o arquivo ApplicationHost.config local.
Se os serviços Web de aplicativo e de implantação estiverem em execução no mesmo sistema, e a autenticação de modo kernel estiver desabilitada, você poderia configurar a execução de ambos os serviços sob a mesma conta de usuário do domínio para impedir problemas de SPN duplicado. Se você não puder habilitar a autenticação do modo Kernel, instale os serviços Web Aplicativo e Implantação em sistemas separados. Ainda pode ser necessário criar SPNs manualmente, uma vez que a autenticação de modo kernel está desabilitada.
Para obter mais informações sobre SPNs e sobre como defini-los, consulte Lista de verificação de Nome Principal de Serviço (SPN) para autenticação Kerberos com IIS 7.0/7.5.
Confira Também
Considerações de segurança para o Microsoft Dynamics 365
Práticas recomendadas de administração para implantações locais do Microsoft Dynamics 365
© 2017 Microsoft. Todos os direitos reservados. Direitos autorais