Microsoft Dynamics CRM 2015 的作業系統和平台技術安全性考量
發行︰ 2016年11月
適用於: Dynamics CRM 2015
以廣義層面來看,安全性牽涉到威脅和存取之間的規劃和考量取捨。 例如,您可以將電腦鎖定,只允許一位系統管理員使用它。 這台電腦可能是安全的,但因為未和其他電腦連線,因此並不太實用。 如果您的企業使用者需要存取網際網路和公司內部網路,則您必須考量如何確保網路的安全性和可用性。
下列幾節包含如何提升電腦環境安全性相關資訊的連結。 總之,Microsoft Dynamics 365 資料安全性與作業系統和必要及選用軟體元件安全性有極大的關聯。
本主題內容
設定 Windows Server 的安全性
設定 SQL Server 安全性
設定 Exchange Server 與 Outlook 的安全性
保護行動裝置
設定 Windows Server 的安全性
Microsoft Dynamics 365 的基礎 Windows Server 提供複雜的網路安全性。 已經整合至 Active Directory 與 Active Directory Federation Services (AD FS) 的 Kerberos 第 5 版驗證協定,可讓您使用宣告型驗證來與 Active Directory 網域同盟。 這兩者都可提供強大的標準型驗證。 這些驗證標準可讓使用者針對跨網路的資源存取輸入單一使用者名稱與密碼登入。Windows Server 也包括數項可使網路變更安全的功能。
下列連結可提供這些功能的資訊。 您可以瞭解如何協助使 Windows Server 的部署更加安全:
Windows Server 2012
Windows 錯誤報告
Microsoft Dynamics 365 需要 Windows 錯誤報告 (WER) 服務,如果遺漏此服務,安裝程式將安裝它。WER 服務會收集資訊,例如 IP 位址。 我們不會將這些資訊用於識別使用者。WER 服務不會嘗試收集任何人的姓名、地址、電子郵件地址、電腦名稱或任何其他形式的個人識別資訊。 系統可能會從記憶體,或從開啟之檔案所收集的資料中擷取這些資訊,但 Microsoft 不會使用它們來識別使用者。 此外,在 Microsoft Dynamics 365 應用程式與 Microsoft 之間傳輸的資訊可能未受保護。 如需傳輸的資訊類型詳細資訊,請參閱 Microsoft 錯誤報告服務的隱私聲明。
病毒、惡意程式碼和身分保護
為協助保護您的身分與系統,防止惡意程式碼或病毒,請參閱下列資源:
Microsoft 安全性。 若想瞭解如何使電腦保持最新狀態和避免電腦遭盜用或受到間諜軟體或病毒的危害,此頁面會是很好的起點,這裡提供您相關秘訣、訓練和指示。
安全性技術中心 (Security TechCenter)。 此頁面包含技術佈告欄、建議、更新、工具和指示的連結,目的是使電腦和應用程式保持在最新和最安全的狀態。
更新管理
Microsoft Dynamics 365 更新包括安全性、效能和功能改善。 請確定 Microsoft Dynamics 365 應用程式具有最新的更新,以協助確認系統可有效且可靠地執行。
如需如何管理更新的資訊,請參閱下列項目:
設定 SQL Server 安全性
因為 Microsoft Dynamics 365 需要使用 SQL Server,所以請確定您已採取下列措施改善 SQL Server 資料庫的安全性:
請確定是否為最新的作業系統並且套用 SQL Server Service Pack (SP) 與更新。 請檢查 Microsoft 安全性網站以取得最新的詳細資料。
確認所有 SQL Server 資料和系統檔案均安裝在 NTFS 磁碟分割上,以取得檔案系統層級的安全性。 利用 NTFS 權限,限制只有具備系統管理或系統層級的使用者才能使用檔案。 若使用者於 MSSQLSERVER 服務未執行時存取這些檔案,此做法便能提供安全性防護。
使用低權限的網域帳戶。 或者,您可以為 SQL Server 服務指定「網路服務」或是「本機系統」帳戶。 然而,我們不建議您使用這些帳戶,因為網域使用者帳戶可以設定以較少權限管理 SQL Server 服務。 網域使用者帳戶應具備網域中的最低權限,這樣就算發生任何危害,也能有效降低 (但不會停止) 對伺服器的攻擊。 換言之,此帳戶只應具有網域中的本機使用者層級權限。 如果使用網域系統管理員帳戶來安裝 SQL Server 以執行服務,SQL Server 的危害將導致整個網域的危害。 如果您必須變更此設定,請使用 SQL Server Management Studio 來進行變更,因為檔案的存取控制清單 (ACL)、登錄和使用者權限將會自動變更。
SQL Server 會驗證具有 [Windows 驗證] 或 SQL Server 認證的使用者。 我們建議您使用 [Windows 驗證] 以便使用單一登入,並提供最安全的驗證方法。
根據預設,會停用 SQL Server 系統的稽核,因此不會稽核任何條件。 這將使得偵測入侵變得不易,並協助攻擊者隱藏其意圖。 您至少應啟用失敗登入的稽核。
報表伺服器管理員可以啟用 RDL 沙箱,以限制報表伺服器的存取。其他資訊:啟用及停用 RDL 沙箱
每個 SQL 登入均將 master 資料庫設定為預設資料庫。 雖然使用者不應具有 master 資料庫的存取權,但最佳的作法應該是將每個 SQL 登入 (具有 SYSADMIN 角色的除外) 的預設值變更為使用 OrganizationName_MSCRM 做為預設資料庫。其他資訊:設定 SQL Server 安全性
設定 Exchange Server 與 Outlook 的安全性
下列考量適用於 Microsoft Exchange Server,其中的部分內容適用於 Microsoft Dynamics 365 環境中的 Exchange Server:
Exchange Server 包含一系列豐富的機制,可讓您精確地管理其基礎結構。 特別是您可以使用系統管理群組來收集 Exchange Server 物件 (例如伺服器、連接器或原則等),然後您可以修改這些系統管理群組的 ACL,確認只有特定使用者才能存取它們。 例如,您可能想讓 Microsoft Dynamics 365 系統管理員控制部分會直接影響其應用程式的伺服器。 當您有效率地實作管理群組的使用時,您可以確定僅授與 Microsoft Dynamics 365 系統管理員執行其工作的必要權限。
您可能會發現,較方便的作法是為 Microsoft Dynamics 365 使用者建立個別的組織單位 (OU),並限制 Microsoft Dynamics 365 系統管理員對該 OU 的管理權限。 系統管理員可對該 OU 中的任何使用者進行變更,但無法變更該 OU 之外的任何使用者。
您應該確認已適當地防止未經授權的電子郵件轉送。 電子郵件轉送這項功能可讓 SMTP 用戶端使用 SMTP 伺服器將電子郵件訊息轉送至遠端網域。 根據預設,Microsoft Exchange Server 設定為防止電子郵件轉送。 您的實際設定將視訊息流程與網際網路服務提供者 (ISP) 的電子郵件伺服器設定而定。 然而,解決此問題的最佳方式是先鎖定您的電子郵件轉送設定,然後再逐步開放設定,直到電子郵件可以成功流通即可。 如需詳細資訊,請參閱Exchange Server說明。
如果您使用轉寄信箱監控,電子郵件路由器需要 Exchange Server 或 POP3 相容的信箱。 我們建議您將此信箱的權限設定為禁止其他使用者新增伺服器端規則。 如需 Exchange Server 信箱的詳細資訊,請參閱 信箱使用權限。。
Microsoft Dynamics 365電子郵件路由器服務會在「本機系統」帳戶下操作。 這允許電子郵件路由器存取指定的使用者信箱,並處理該信箱中的電子郵件。
如需如何使 Exchange Server 更加安全的詳細資訊,請參閱部署安全性檢查清單。
保護行動裝置
當組織轉型支援更多行動工作人員時,強式安全性保護措施仍為基礎。 下列資源為智慧型手機和平板電腦等行動裝置提供資訊和最佳做法:
另請參閱
規劃您的 Microsoft Dynamics CRM 2015 部署
設定及管理電子郵件處理和 CRM for Outlook
設定與管理行動電話和平板電腦
Microsoft Dynamics CRM 的安全性考量
© 2016 Microsoft Corporation. 著作權所有,並保留一切權利。 著作權