Microsoft Dynamics CRM 2015 操作系统和平台技术安全注意事项
发布日期: 2016年11月
适用于: Dynamics CRM 2015
从广义上来说,安全方面的注意事项涉及到威胁和访问之间的规划以及权衡问题。 例如,可以将计算机锁在保险库里,仅允许一名系统管理员访问。 尽管这台计算机或许是安全的,但却用处不大,因为它与其他任何计算机均不相连。 如果业务用户需要访问 Internet 和企业 Intranet,您必须考虑如何确保网络安全和可用。
您可以通过以下各节中所含的链接,了解如何提高计算环境安全性的信息。 从根本上讲,Microsoft Dynamics 365 数据的安全性在很大程度上取决于操作系统以及必需的和可选的软件组件的安全性。
本主题内容
确保 Windows 服务器安全
确保 SQL Server 的安全
确保 Exchange Server 和 Outlook 的安全
保护移动设备
确保 Windows 服务器安全
Windows Server 是 Microsoft Dynamics 365 的基础,可提供尖端的网络安全性。 通过集成到 Active Directory和 Active Directory 联合身份验证服务 (AD FS) 中的 Kerberos 第 5 版身份验证协议,您可以使用基于声明的身份验证来联合 Active Directory 域。 这两者共同为您提供基于标准的强大身份验证。 这些身份验证标准使用户能够输入单个用户名和密码登录组合,即可访问网络中的资源。Windows Server 还包括多项有助于增强网络安全性的功能。
您可以通过以下链接获取有关这些功能的信息。 您还可以了解到有关提高 Windows Server部署安全性的信息:
Windows Server 2012
Windows 错误报告
Microsoft Dynamics 365 需要 Windows 错误报告 (WER) 服务,如果缺少该服务,安装程序将安装它。WER 服务会收集诸如 IP 地址之类的信息。 这些信息不会用于识别用户。WER 服务不会有意收集用户的姓名、地址、电子邮件地址、计算机名称或其他任何形式的个人身份信息。 此类信息可能会存入内存或包含在由公开文件收集到的数据中,但是 Microsoft 不会使用这些信息来识别用户。 此外,在 Microsoft Dynamics 365 应用程序和 Microsoft 之间传送的某些信息可能会不安全。 有关传送的信息类型的详细信息,请参阅 Microsoft 错误报告服务隐私声明。
病毒、恶意软件和标识保护
若要使您的标识和系统免受恶意软件或病毒的伤害,请参阅以下资源:
Microsoft 安全性。 通过此页,您可以获取有关如何保持计算机最新以及防止计算机遭受漏洞利用、间谍程序和病毒威胁的提示、培训及指导信息。
安全技术中心。 您可以通过此页上的链接,浏览技术公告、参考性意见、更新、工具以及指导信息。这些信息不仅可令计算机和应用程序保持最新,而且可确保它们更安全。
更新管理
Microsoft Dynamics 365 更新包含安全性、性能和功能改进。 确保您的 Microsoft Dynamics 365 应用程序具有最新更新,从而有助于确保您的系统能够尽可能高效、可靠地运行。
有关如何管理更新的信息,请参阅以下内容:
确保 SQL Server 的安全
由于 Microsoft Dynamics 365 依赖 SQL Server,因此请确保采取以下措施来提高 SQL Server 数据库的安全性:
确保应用最新的操作系统和 SQL Server Service Pack (SP) 及更新。 访问 Microsoft 安全网站以了解最新详情。
确保所有 SQL Server 数据文件和系统文件都安装在 NTFS 分区上,以保障文件系统级别的安全。 应通过 NTFS 权限设置只允许具有管理权限或系统级别权限的用户访问文件。 这样可避免用户在 MSSQLSERVER 服务没有运行的情况下访问这些文件。
使用低特权域帐户。 您也可以为 SQL Server 服务指定网络服务或本地系统帐户。 但是,不建议您使用这些帐户,因为域用户帐户配置较小权限即可运行 SQL Server 服务。 域用户帐户在域中应具有最低权限,而且有助于在出现安全问题时牵制(而不是停止)对服务器的攻击。 换句话说,该帐户在域中仅应具有本地用户级别的权限。 如果通过使用域管理员帐户运行服务的方式来安装 SQL Server,则 SQL Server 的安全问题会危及整个域的安全。 如果必须更改此设置,请使用 SQL Server Management Studio进行更改,因为文件的访问控制列表 (ACL)、注册表以及用户权限会自动更改。
SQL Server 用于对具有 Windows 身份验证凭据或 SQL Server 凭据的用户进行身份验证。 建议您使用 Windows 身份验证来轻松实现单一登录并提供最安全的身份验证方法。
默认情况下,禁止审核 SQL Server 系统,因此不会审核任何条件。 这不利于入侵检测,而且有助于攻击者掩盖其攻击途径。 应至少对失败登录进行审核。
报表服务器管理员可以启用 RDL 沙盒来限制对报表服务器的访问。详细信息:启用和禁用 RDL 沙盒功能
每个 SQL 登录帐户都配置为使用 master 数据库作为默认数据库。 虽然用户不应有权访问主数据库,但作为最佳实践,您应更改每个 SQL 登录帐户(具有 SYSADMIN 角色的帐户除外)的默认设置,以将 OrganizationName_MSCRM 用作默认数据库。详细信息:确保 SQL Server 的安全
确保 Exchange Server 和 Outlook 的安全
以下注意事项针对 Microsoft Exchange Server,其中一些事项特定于 Microsoft Dynamics 365 环境中的 Exchange Server:
Exchange Server 提供了众多对基础结构实施精确管理的控制机制。 尤其值得一提的是,您可以使用管理组来收集 Exchange Server 对象(例如服务器、连接器或策略),然后修改这些管理组的 ACL 以确保只有特定用户才能访问这些组。 例如,您可能希望允许 Microsoft Dynamics 365 管理员在一定程度上控制直接影响其应用程序的服务器。 通过有效地利用管理组,您可以确保自己仅向 Microsoft Dynamics 365 管理员授予执行各自作业所需的权限。
在许多情况下,您可能会发现更为简便的方法就是为 Microsoft Dynamics 365 用户创建单独的部门 (OU),然后向 Microsoft Dynamics 365 管理员授予管理该 OU 的有限权限。 这使得管理员只能更改该 OU 中的用户,而无法更改该 OU 之外的用户。
您应确保实施充分的保护措施,以防范未经授权擅自使用邮件中继功能。 电子邮件中继功能可允许 SMTP 客户端利用 SMTP 服务器向远程域转发电子邮件。 默认情况下,Microsoft Exchange Server 被配置为阻止电子邮件中继。 您可以根据自己的邮件流和 Internet 服务提供商 (ISP) 的邮件服务器配置来配置相关设置。 但是,解决此问题的最佳办法是锁定电子邮件中继设置,然后逐步开放设置,以允许电子邮件成功流动。 有关详细信息,请参阅Exchange Server帮助。
如果您采用转发邮箱监视方式,则电子邮件路由器需要使用 Exchange Server 或符合 POP3 标准的邮箱。 建议将此邮箱的权限设置为阻止其他用户添加服务器端规则。 有关 Exchange Server 邮箱的详细信息,请参阅邮箱权限。
Microsoft Dynamics 365电子邮件路由器 服务是使用本地系统帐户运行的。 这样一来,电子邮件路由器 便能访问指定用户的邮箱并处理该邮箱中的电子邮件。
有关如何使 Exchange Server 更加安全的详细信息,请参阅部署安全清单
保护移动设备
当组织转向支持日益增多的移动劳动力时,强有力的安全保障仍然很重要。 以下资源提供了移动设备(例如智能手机和平板电脑)的相关信息和最佳实践:
另请参阅
规划 Microsoft Dynamics CRM 2015 的部署
设置和管理电子邮件处理和 CRM for Outlook
设置和管理手机和平板电脑
Microsoft Dynamics CRM 的安全注意事项
© 2016 Microsoft Corporation。 保留所有权利。 版权