Microsoft Dynamics 365 操作系统和平台技术安全注意事项
发布日期: 2017年1月
适用于: Dynamics 365 (on-premises),Dynamics CRM 2016
从广义上来说,安全方面的注意事项涉及到威胁和访问之间的规划以及权衡问题。 例如,可以将计算机锁在保险库里,仅允许一名系统管理员访问。 尽管这台计算机或许是安全的,但用处却不大,因为它与其他任何计算机均不相连。 如果业务用户需要访问 Internet 和企业 Intranet,您必须考虑如何确保网络安全和可用。
在本主题中,您将找到有用的信息和许多资源链接,使用它们可使您的计算环境更安全。 因为从根本上讲,Microsoft Dynamics 365 数据的安全性在很大程度上取决于您在保护操作系统和软件组件的安全方面做得如何。
在本主题中
确保 Windows 服务器安全
确保 SQL Server 的安全
确保 Exchange Server 和 Outlook 的安全
保护移动设备
确保 Windows 服务器安全
Windows Server 是 Microsoft Dynamics 365 的基础,可提供尖端的网络安全性。 通过集成到 Active Directory 和 Active Directory 联合身份验证服务 (AD FS) 中的 Kerberos 第 5 版身份验证协议,您可以使用基于声明的身份验证来联合 Active Directory 域。 这两者共同为您提供基于标准的强大身份验证。 这些身份验证标准使用户能够输入单个用户名和密码登录组合,即可访问网络中的资源。Windows Server 还包括多项有助于增强网络安全性的功能。
单击以下链接可了解有关这些功能的更多信息以及如何使您的 Windows Server 部署更安全:
Windows Server 2012
Windows 错误报告
Microsoft Dynamics 365 需要 Windows 错误报告 (WER) 服务,如果缺少该服务,安装程序将安装它。WER 服务会收集诸如 IP 地址之类的信息。 这些 IP 地址不用于识别用户。WER 服务不会有意收集用户的姓名、地址、电子邮件地址、计算机名称或其他任何形式的个人身份信息 (PII)。 此类信息可能会存入内存或包含在由公开文件收集到的数据中,但是 Microsoft 不会使用这些信息来识别用户。 此外,在 Microsoft Dynamics 365 应用程序和 Microsoft 之间传送的某些信息可能会不安全。 有关传送的信息类型的详细信息,请参阅 Microsoft 错误报告服务隐私声明。
病毒、恶意软件和标识保护
要更好地保护您的身份和系统免受恶意软件或病毒的侵害,请参阅以下资源:
Microsoft 安全性。 通过此页,您可以获取有关如何保持计算机最新以及防止计算机遭受漏洞利用、间谍程序和病毒威胁的提示、培训及指导信息。
安全技术中心。 您可以通过此页上的链接浏览技术公告、参考性意见、更新、工具以及指导信息。这些信息不仅可以使计算机和应用程序保持最新,而且可确保它们更安全。
更新管理
Microsoft Dynamics 365 更新包含安全性、性能和功能改进。 确保您的 Microsoft Dynamics 365 应用程序具有最新更新,从而有助于确保您的系统能够尽可能高效、可靠地运行。 您可以在此找到有关如何管理更新的详细信息:
确保 SQL Server 的安全
由于 Microsoft Dynamics 365 依赖 SQL Server,因此请确保采取以下措施来提高 SQL Server 数据库的安全性:
应用最新的操作系统、SQL Server Service Pack (SP) 和更新。 访问 Microsoft 安全网站以了解最新详情。
将所有 SQL Server 数据文件和系统文件都安装在 NTFS 分区上,以保障文件系统级别的安全。 应通过 NTFS 权限设置只允许具有管理权限或系统级别权限的用户访问文件。 这样一来,就可避免用户在 MSSQLSERVER 服务没有运行的情况下访问这些文件。
使用低特权域帐户。 或者,为 SQL Server 服务指定网络服务或本地系统帐户。 但是,不建议您使用这些帐户,因为域用户帐户配置较小权限即可运行 SQL Server 服务。 域用户帐户在域中应具有最低权限,这有助于在出现安全问题时牵制(而不是停止)对服务器的攻击。 换句话说,域用户帐户在域中应仅具有本地用户级别的权限。 如果通过使用域管理员帐户运行服务的方式来安装 SQL Server,则 SQL Server 的安全问题会危及整个域的安全。 如果必须更改此设置,请使用 SQL Server Management Studio进行更改,因为文件的访问控制列表 (ACL)、注册表以及用户权限会自动更改。
由于 SQL Server 对具有 Windows 身份验证 凭据或 SQL Server 凭据的用户进行身份验证,所以建议您使用 Windows 身份验证 来轻松实现单一登录并获得最安全的身份验证。
应至少启用对失败登录的审核。 默认情况下,SQL Server 系统审核处于禁用状态,不会审核任何条件。 这不利于入侵检测,而且有利于攻击者掩盖其攻击途径。
报表服务器 管理员应启用 RDL 沙盒来限制对 报表服务器 的访问。详细信息:启用和禁用 RDL 沙盒功能
将每个 SQL 登录帐户都配置为使用 master 数据库作为默认数据库。 虽然用户不应有权访问 master 数据库,但作为最佳实践,您应更改每个 SQL 登录帐户(具有 SYSADMIN 角色的帐户除外)的默认设置,以使用 OrganizationName_MSCRM 作为默认数据库。详细信息:确保 SQL Server 的安全
确保 Exchange Server 和 Outlook 的安全
以下注意事项针对Microsoft Dynamics 365 环境中的 Microsoft Exchange Server 或 Exchange Server:
Exchange Server 提供了众多对基础结构实施精确管理的控制机制。 尤其值得一提的是,您可以使用管理组来收集 Exchange Server 对象(例如服务器、连接器或策略),然后修改这些管理组的 ACL 以确保只有某些用户才能访问这些组。 例如,您可能希望允许 Microsoft Dynamics 365 管理员控制直接影响其应用程序的服务器。 当您有效地实施管理组时,您将知道应该严格按照工作需要给予 Microsoft Dynamics 365 管理员权限。
在许多情况下,您可能会发现更为简便的方法就是为 Microsoft Dynamics 365 用户创建单独的部门 (OU),然后向 Microsoft Dynamics 365 管理员授予管理该 OU 的有限权限。 管理员可以针对该 OU 中的任何用户进行更改,但无法针对该 OU 之外的任何用户进行更改。
您应确保实施充分的保护措施,以防范未经授权擅自使用电子邮件中继功能。 电子邮件中继功能可允许 SMTP 客户端利用 SMTP 服务器向远程域转发电子邮件。 默认情况下,Microsoft Exchange Server 被配置为阻止电子邮件中继。 您配置的设置将取决于您自己的邮件流和 Internet 服务提供商 (ISP) 的邮件服务器配置。 但是,解决此问题的最佳办法是锁定电子邮件中继设置,然后逐步开放设置,以允许电子邮件成功通过。 有关详细信息,请参阅Exchange Server帮助。
如果您采用转发邮箱监视方式,则电子邮件路由器需要使用 Exchange Server 或符合 POP3 标准的邮箱。 建议将此邮箱的权限设置为阻止其他用户添加服务器端规则。 有关 Exchange Server 邮箱的详细信息,请参阅收件人权限。
Microsoft Dynamics 365电子邮件路由器 服务是使用本地系统帐户运行的。 这样一来,电子邮件路由器 便能访问指定用户的邮箱并处理该邮箱中的电子邮件。
有关如何使 Exchange Server 更加安全的详细信息,请参阅部署安全清单
保护移动设备
当组织转向支持日益增多的移动劳动力时,强有力的安全保障仍然很重要。 以下是一些可帮助您实现移动设备(例如智能手机和平板电脑)最佳实践的资源:
另请参阅
规划您的 Microsoft Dynamics 365 部署
将电子邮件系统与 Microsoft Dynamics 365 集成(同步)
设置和管理手机和平板电脑
Microsoft Dynamics 365 的安全注意事项
© 2017 Microsoft。 保留所有权利。 版权