مشاركة عبر

إطار الأمـان: التشفير| التخفيف من المخاطر

  • مقالة
المنتج /الخدمة مقالة
تطبيق ويب
Database
جهـاز IoT
بوابة سحابة IoT
عَميل Dynamics CRM Mobile
عَميل Dynamics CRM Outlook
Identity Server

استخدم شفرات الكتلة المتماثلة المعتمدة وأطوال المفاتيح المعتمدة فقط

العنوان التفاصيل
المكون تطبيق الويب
مرحلة SDL البنية
التقنيات القابلة للتطبيق العام
السمات غير متوفر
المراجع غير متوفر
‏‏الخطوات

يجب أن تستخدم المنتجات فقط شفرات الكتلة المتماثلة وأطوال المفاتيح المقترنة التي تمت الموافقة عليها صراحة مـن قبل Crypto Advisor في مؤسستك. تتضمن الخوارزميات المتماثلة المُعتمدة في Microsoft شفرات الكتلة التالية:

  • بالنسبة للتعليمات البرمجية الجديدة AES-128 و AES-192 و AES-256 مقبولـة
  • للتوافق مع الإصدارات السابقة مع التعليمات البرمجية الموجودة، يكون 3DES ثلاثي المفاتيح مقبولًا
  • للمنتجات التـي تستخدم شفرات كتلة متماثلة:
    • معيار التشفير المتقدم (AES) مطلوب للتعليمات البرمجية الجـديدة
    • يجوز استخدام معيار تشفير البيانات الثلاثي ثلاثي المفاتيح (3DES) في التعليمات البرمجية الموجودة للتوافق مـع الإصدارات السابقة
    • يُمكن استخدام جميع شفرات الكتل الأخرى، بما في ذلك RC2 و DES و2 Key 3DES و DESX و Skipjack، فقط لفك تشفير البيانات القديمة، ويجب استبدالها إذا تم استخدامها للتشفير
  • بالنسبة لخوارزميات تشفير الكتلة المتماثلة، يلزم الحد الأدنى لـطول المفتاح 128 بت. خوارزمية تشفير الكتلة الوحيدة الموصى بها للتعليمات البرمجية الجديدة هـي AES (AES-128 وAES-192 وAES-256 كلها مقبولة)
  • 3DES ثلاثية المفاتيح مقبول حاليًا إذا كان قيد الاستخدام بالفعل في التعليمات البرمجية الموجودة؛ يوصى بالانتقال إلـى AES. لـم تعد DES و DESX و RC2 و Skipjack تعتبر آمنة. يُمكن استخدام هذه الخوارزميات فقط لفك تشفير البيانات الموجودة من أجل التوافق مع الإصدارات السابقة، ويجب إعادة تشفير البيانات باستخدام تشفير كتلة موصى به

يرجى ملاحظة أنه يجب استخدام جميع شفرات الكتلة المتماثلة مع وضع تشفير مُعتمد، والذي يتطلب استخدام متجه تهيئة مناسب (IV). IV مناسب، عادة ما يكون رقمًا عشوائيًا ولا يمثل قيمة ثابتة أبدًا

قد يسمح باستخدام خوارزميات التشفير القديمة أو غير المعتمدة وأطوال المفاتيح الأصغر لقراءة البيانات الموجودة (بدلًا من كتابة بيانات جديدة) بعد مراجعة لوحة التشفير لمؤسستك. ومـع ذلك، يجب عليك تقديم استثناء مقابل هذا المطلب. بالإضافة إلى ذلك، في عمليات توزيع المؤسسات، يجب أن تفكر المنتجات في تحذير المسؤولين عند استخدام التشفير الضعيف لقراءة البيانات. وينبغي أن تكون هـذه التحذيرات توضيحية وقابلة للتنفيذ. في بعض الحالات، قـد يكون من المناسب أن يكون لديك نهج المجموعة التحكم في استخدام التشفير الضعيف

خوارزميات .NET المسموح بها لسرعة التشفير المُدارة (بترتيب التفضيل)

  • AesCng (متوافق مـع FIPS)
  • AuthenticatedAesCng (متوافق مـع FIPS)
  • AESCryptoServiceProvider (متوافق مـع FIPS)
  • AESManaged (غير متوافق مـع FIPS)

يرجى ملاحظة أنه لا يمكن تحديد أي من هذه الخوارزميات عبر SymmetricAlgorithm.Create الأساليب أو CryptoConfig.CreateFromName دون إجراء تغييرات على مَلف machine.config. لاحظ أيضًا أن AES في إصدارات .NET السابقة لـ .NET 3.5 تسمى RijndaelManaged، وAesCngوAuthenticatedAesCng وهي >متوفرة من خلال CodePlex وتتطلب CNG في نظام التشغيل الأساسي

استخدم أوضاع تشفير الكتلة المعتمدة ومتجهات التهيئة للشفرات المتماثلة

العنوان التفاصيل
المكون تطبيق الويب
مرحلة SDL البنية
التقنيات القابلة للتطبيق العام
السمات غير متوفر
المراجع غير متوفر
‏‏الخطوات يجب استخدام جميع شفرات الكتلة المتماثلة مع وضع تشفير متماثل مُعتمد. الأوضاع الوحيدة المعتمدة هـي CBC وCTS. وعلى وجه الخصوص، ينبغي تجنب طريقة تشغيل دفتر التعليمات البرمجية الإلكتروني؛ يتطلب استخدام البنك المركزي الأوروبي مراجعة لـوحة التشفير الخاصة بمؤسستك. يجب مراجعة جميع استخدامات OFB و CFB و CTR و CCM و GCM أو أي وضع تشفير آخر من قبل لوحة التشفير الخاصة بـمؤسستك. قد تؤدي إعادة استخدام متجه التهيئة نفسه (IV) مـع شفرات الكتلة في "أوضاع الشفرات المتدفقة"، مثل CTR، إلى الكشف عن البيانات المشفرة. يجب أيضًا استخدام جميع شفرات الكتلة المتماثلة مع متجه تهيئة مناسب (IV). الرابع المناسب هو رقم قوي بشكل مشفر وعشوائي ولا يمثل قيمة ثابتة أبدًا.

استخدام الخوارزميات غير المتماثلة المعتمدة وأطوال المفاتيح وترك المساحة

العنوان التفاصيل
المكون تطبيق الويب
مرحلة SDL البنية
التقنيات القابلة للتطبيق العام
السمات غير متوفر
المراجع غير متوفر
‏‏الخطوات

يشكل استخدام خوارزميات التشفير المحظورة خطرًا كبيرًا على أمان المنتج ويجب تجنبه. يجب أن تستخدم المنتجات خوارزميات التشفير هذه فقط وأطوال المفاتيح المرتبطة والحشو التي تمت الموافقة عليها صراحة مـن قبل لوحة التشفير الخاصة بمؤسستك.

  • RSA- يُمكن استخدامها للتشفير وتبادل المفاتيح والتوقيع. يجب أن يستخدم تشفير RSA وضعي OAEP أو RSA-KEM فقـط. قـد تستخدم التعليمات البرمجية الموجودة وضع ترك مساحة PKCS #1 v1.5 للتوافق فقط. يتم حظر استخدام المساحة الفارغة بـشكل صريح. المفاتيح >= 2048 بت مَطلوبة للتعليمات البرمجية الجديدة. قد تدعم التعليمات البرمجية الموجودة المفاتيح < 2048 بت فقط للتوافق مع الإصدارات السابقة بعد مراجعة مـن قبل لوحة التشفير الخاصة بمؤسستك. يُمكن استخدام المفاتيح < 1024 بت فقط لفك تشفير/التحقق من البيانات القديمة، ويجب استبدالها إذا تم استخدامها لعمليات التشفير أو التوقيع
  • ECDSA- يُمكن استخدامها للتوقيع فقط. ECDSA مـع >مفاتيح =256 بت مطلوبة للتعليمات البرمجية الجديدة. يجب أن تستخدم التواقيع المستندة إلى ECDSA أحد المنحنيات الثلاثة المُعتمدة مـن NIST (P-256 أو P-384 أو P521). لا يمكن استخدام المنحنيات التي تم تحليلها بدقة إلا بعد مراجعة مـع لوحة التشفير الخاصة بمؤسستك.
  • ECDH- يَمكن استخدامه لتبادل المفاتيح فقط. ECDH مَع >مفاتيح =256 بت مطلوبة للتعليمات البرمجية الجديدة. يجب أن يستخدم تبادل المفاتيح المستند إلى ECDH أحد المنحنيات الثلاثة المعتمدة مـن NIST (P-256 أو P-384 أو P521). لا يمكن استخدام المنحنيات التي تم تحليلها بدقة إلا بعد مراجعة مـع لوحة التشفير الخاصة بمؤسستك.
  • DSA - قد يكون مقبولًا بعد المراجعة والموافقة من مجلس التشفير الخاص بمؤسستك. اتصل بمستشار الأمان لجدولة مراجعة لـوحة التشفير الخاصة بمؤسستك. إذا تمت الموافقة على استخدامك لـ DSA، فلاحظ أنك ستحتاج إلى حظر استخدام مفاتيح أقل مـن 2048 بت في الطول. يدعم CNG أطوال المفاتيح 2048 بت وأكبر اعتبارًا من Windows 8.
  • Diffie-Hellman- يُمكن استخدامها لإدارة مفتاح الجلسة فقط. طول المفتاح >= 2048 بت مطلوب للتعليمات البرمجية الجديدة. قد تدعم التعليمات < البرمجية الموجودة أطوال المفاتيح 2048 بت فقط للتوافق مع الإصدارات السابقة بعد مراجعة مـن قبل لوحة التشفير الخاصة بمؤسستك. قـد لا يتم استخدام المفاتيح < 1024 بت.

    استخدام مولدات الأرقام العشوائية المُعتمدة

    العنوان التفاصيل
    المكون تطبيق الويب
    مرحلة SDL البنية
    التقنيات القابلة للتطبيق العام
    السمات غير متوفر
    المراجع غير متوفر
    ‏‏الخطوات

    يجب أن تستخدم المنتجات مولدات أرقام عشوائية مُعتمدة. يجب عدم استخدام دالات Pseudorandom مثل دالة وقت التشغيل C أو فئة .NET Framework System.Random أو وظائف النظام مثل GetTickCount في مثل هـذه التعليمات البرمجية. يُحظر استخدام خوارزمية مولد رقم عشوائي للمنحنى الناقص المزدوج (DUAL_EC_DRBG)

    • CNG- BCryptGenRandom(استخدام علامة BCRYPT_USE_SYSTEM_PREFERRED_RNG الموصى بها ما لم يكن المتصل قد يعمل فـي أي IRQL أكبر من 0 [أي، PASSIVE_LEVEL])
    • CAPI- cryptGenRandom
    • Win32/64- RtlGenRandom (يجب أن تستخدم التطبيقات الجديدة BCryptGenRandom أو CryptGenRandom) * rand_s * SystemPrng (لـوضع kernel)
    • . NET- RNGCryptoServiceProvider أو RNGCng
    • تطبيقات مَتجر Windows- Windows.Security.Cryptography.CryptographicBuffer.GenerateRandom أو . GenerateRandomNumber
    • Apple OS X (10.7+)/iOS(2.0+)- int SecRandomCopyBytes (SecRandomRef عشوائي، عـدد size_t، uint8_t *بايت )
    • Apple OS X (<10.7)- استِخدام /dev/random لاسترداد أرقام عشوائية
    • Java (بما في ذلك التعليمات البرمجية لـ Google Android Java)- فئة java.security.SecureRandom. لاحظ أنه بالنسبة إلى Android 4.3 (Jelly Bean)، يجب على المطورين اتباع الحل البديل الموصى بـه لنظام Android وتحديث تطبيقاتهم لتهيئة PRNG بشكل صريح باستخدام entropy مـن /dev/urandom أو /dev/random

    لا تستخدم شفرات الدفق المتماثل

    العنوان التفاصيل
    المكون تطبيق الويب
    مرحلة SDL البنية
    التقنيات القابلة للتطبيق العام
    السمات غير متوفر
    المراجع غير متوفر
    ‏‏الخطوات يجب عدم استخدام شفرات الدفق المُتماثل، مثل RC4. بدلًا من شفرات الدفق المتماثل، يجب أن تستخدم المنتجات تشفير كتلة، وتحديدًا AES بطول مفتاح لا يقل عن 128 بت.

    استخدام خوارزميات التجزئة المعتمدة لـ MAC/HMAC/keyed

    العنوان التفاصيل
    المكون تطبيق الويب
    مرحلة SDL البنية
    التقنيات القابلة للتطبيق العام
    السمات غير متوفر
    المراجع غير متوفر
    ‏‏الخطوات

    يجب أن تستخدم المنتجات فقط رمز مصادقة الرسالة المعتمدة (MAC) أو خوارزميات رمز مصادقة الرسائل المُستندة إلى التجزئة (HMAC).

    رمز مصادقة الرسالة (MAC) هو جزء من المعلومات المرفقة برسالة تسمح لمستلمها بالتحقق مِن صحة المرسل وتكامل الرسالة باستخدام مفتاح سري. يجوز استخدام MAC المستند إلى التجزئة (HMAC) أو MAC المستند إلى تشفير الكتلة طالما تمت الموافقة أيضا على جميع خوارزميات التجزئة الأساسية أو التشفير المتماثل للاستخدام؛ يتضمن هذا حاليا دالات HMAC-SHA2 (HMAC-SHA256 وHMAC-SHA384 وHMAC-SHA512) وCMAC/OMAC1 وOMAC2 المُستندة إلى التشفير (تستند هذه إلى AES).

    قد يكون استخدام HMAC-SHA1 مسموحًا به لتوافق النظام الأساسي، ولكن سوف يطلب منك تقديم استثناء لهذا الإجراء والخضوع لمراجعة التشفير الخاصة بمؤسستك. لا يسمح باقتطاع HMACs إلى أقل مـن 128 بت. لا تتم الموافقة على استخدام أساليب العملاء لتجزئة مُفتاح والبيانات، ويجب أن تخضع لمراجعة لوحة التشفير الخاصة بمؤسستك قبل الاستخدام.

    استخدم وظائف تجزئة التشفير المعتمدة فقط

    العنوان التفاصيل
    المكون تطبيق الويب
    مرحلة SDL البنية
    التقنيات القابلة للتطبيق العام
    السمات غير متوفر
    المراجع غير متوفر
    ‏‏الخطوات

    يجب أن تستخدم المنتجات مجموعة SHA-2 مـن خوارزميات التجزئة (SHA256 وSHA384 وSHA512). إذا كانت هناك حاجة إلى تجزئة أقصر، مثل طول إخراج 128 بت من أجل ملاءمة بنية بيانات مُصممة مـع وضع تجزئة MD5 الأقصر في الاعتبار، فقد تقوم فرق المنتج باقتطاع أحد تجزئات SHA2 (عادة SHA256). لاحظ أن SHA384 هو إصدار مقتطع مـن SHA512. لا يسمح باقتطاع تجزئات التشفير لأغراض أمنية إلى أقل مـن 128 بت. يجب ألا تستخدم التعليمات البَرمجية الجديدة خوارزميات تجزئة MD2 أو MD4 أو MD5 أو SHA-0 أو SHA-1 أو RIPEMD. تضاربات التجزئة مُمكنة حسابيا لهذه الخوارزميات، والتي تكسرها بشكل فعال.

    خوارزميات تجزئة .NET المَسموح بها لسرعة التشفير المدارة (بترتيب التفضيل):

    • SHA512Cng (مُتوافق مـع FIPS)
    • SHA384Cng (متوافق مَع FIPS)
    • SHA256Cng (متوافق مَع FIPS)
    • SHA512Managed (غير متوافق مـع FIPS) (استخدم SHA512 كاسم خوارزمية فـي الاستدعاءات إلى HashAlgorithm.Create أو CryptoConfig.CreateFromName)
    • SHA384Managed (غير متوافق مـع FIPS) (استخدم SHA384 كاسم خوارزمية فـي الاستدعاءات إلى HashAlgorithm.Create أو CryptoConfig.CreateFromName)
    • SHA256Managed (غير متوافق مَع FIPS) (استخدم SHA256 كاسم خوارزمية فـي الاستدعاءات إلى HashAlgorithm.Create أو CryptoConfig.CreateFromName)
    • SHA512CryptoServiceProvider (مُتوافق مع FIPS)
    • SHA256CryptoServiceProvider (مُتوافق مع FIPS)
    • SHA384CryptoServiceProvider (مُتوافق مَع FIPS)

    استخدم خوارزميات تشفير قوية لتشفير البيانات في قاعدة البيانات

    العنوان التفاصيل
    المكون قاعدة البيانات
    مرحلة SDL البنية
    التقنيات القابلة للتطبيق العام
    السمات غير متوفر
    المراجع اختيار خوارزمية تشفير
    ‏‏الخطوات تحدد خوارزميات التشفير تحويلات البيانات التي لا يُمكن للمستخدمين غير المصرح لهم عكسها بسهولة. يسمح SQL Server للمسؤولين والمطورين للاختيار مـن بين العديد من الخوارزميات، بما في ذلك DES و Triple DES TRIPLE_DES_3KEY و RC2 و RC4 و RC4 128 بت و DESX و AES 128 بت و AES 192 بت و 256 بت AES

    يجب تشفير حزم SSIS وتوقيعها رقميًا

    العنوان التفاصيل
    المكون قاعدة البيانات
    مرحلة SDL البنية
    التقنيات القابلة للتطبيق العام
    السمات غير متوفر
    المراجع تحديد مصدر الحزم مع التواقيع الرقمية والتخفيف مـن المخاطر والثغرات الأمنية (SQL Server Integration Services)
    ‏‏الخطوات مصدر الحزمة هـو الفرد أو المؤسسة التي أنشأت الحزمة. قد يكون تشغيل حزمة من مصدر غير معروف أو غير موثوق به محفوفًا بالمخاطر. لمنع العبث غير المصرح به فـي حزم SSIS، يجب استخدام التواقيع الرقمية. أيضًا، لضمان سرية الحزم أثناء التخزين أو النقل، يجب تشفير حزم SSIS

    إضافة توقيع رقمي إلى قاعدة البيانات الهامة القابلة للتأمين

    العنوان التفاصيل
    المكون قاعدة البيانات
    مرحلة SDL البنية
    التقنيات القابلة للتطبيق العام
    السمات غير متوفر
    المراجع إضافة توقيع (Transact-SQL)
    ‏‏الخطوات فـي الحالات التي يجب فيها التحقق مـن سلامة قاعدة بيانات هامة قابلة للتأمين، يجب استخدام التواقيع الرقمية. يُمكن توقيع قاعدة البيانات القابلة للتأمين مثل إجراء مخزن أو دالة أو تجميع أو مشغل رقميًا. فيما يلي مثال على الوقت الذي يمكن أن يكون فيه هذا مفيدًا: لنفترض أن بائع البرامج المستقل (بائع برامج مستقل) قـد قدم الدعم لبرنامج تم تسليمه إلى أحد عملائه. قبل تقديم الدعم، قد يرغب ISV فـي التأكد من عدم العبث بقاعدة بيانات قابلة للتأمين في البرنامج إما عن طريق الخطأ أو بمحاولة ضارة. إذا تم توقيع القابل للتأمين رقميًا، يمكن لـ ISV التحقق من توقيعه الرقمي والتحقق من سلامته.

    استخدم SQL خادم EKM لحماية مَفاتيح التشفير

    العنوان التفاصيل
    المكون قاعدة البيانات
    مرحلة SDL البنية
    التقنيات القابلة للتطبيق العام
    السمات غير متوفر
    المراجع Microsoft SQL Server إدارة المفاتيح القابلة للتوسيع (EKM)،إدارة المفاتيح الموسعة باستخدام Azure Key Vault (Microsoft SQL Server)
    ‏‏الخطوات Microsoft SQL Server تمكن إدارة المفاتيح الموسعة مفاتيح التشفير التي تحمي ملفات قاعدة البيانات من تخزينها في جهاز خارج الصندوق مثل بطاقة ذكية أو جهاز USB أو وحدة EKM/HSM. وهذا يتيح أيضًا حماية البيانات من مسؤولي قاعدة البيانات (باستثناء أعضاء مجموعة مسؤول النظام). يُمكن تشفير البيانات باستخدام مفاتيح التشفير التي يُمكن لمستخدم قاعدة البيانات فقط الوصول إليها على وحدة EKM/HSM الخارجية.

    استخدام ميزة AlwaysEncrypted إذا لم يتم الكشف عـن مفاتيح التشفير لمحرك قاعدة البيانات

    العنوان التفاصيل
    المكون قاعدة البيانات
    مرحلة SDL البنية
    التقنيات القابلة للتطبيق SQL Azure، OnPrem
    السمات إصـدار SQL - V12، MsSQL2016
    المراجع Always Encrypted (مشغل قاعدة البيانات)
    ‏‏الخطوات Always Encrypted هي ميزة مصممة لحماية البيانات الحساسة، مثل أرقام بطاقات الائتمان أو أرقام الهوية الوطنية/الإقليمية (مثل أرقام الضمان الاجتماعي في الولايات المتحدة)، المخزنة في قاعدة بيانات Azure SQL أو قواعد بيانات SQL Server. يسمح Always Encrypted للعملاء لتشفير البيانات الحساسة داخل تطبيقات العميل ولا تكشف أبداً مفاتيح التشفير إلى Database Engine (SQL Database أو SQL Server). ونتيجة لذلك، يوفر Always Encrypted فصل بين أولئك الذين يملكون البيانات (ويمكن مشاهدتها) وأولئك الذين يديرون البيانات (ولكن يجب أن يكون لا وصول)

    تخزين مفاتيح التشفير بأمان علـى جهاز IoT

    العنوان التفاصيل
    المكون جهاز IoT
    مرحلة SDL البنية
    التقنيات القابلة للتطبيق العام
    السمات نظام تشغيل الجهاز - Windows IoT Core، اتصـال الجهاز - SDKs لجهاز Azure IoT
    المراجع TPM علـى Windows IoT Core، إعداد TPM على Windows IoT Core، Azure IoT Device SDK TPM
    ‏‏الخطوات المفاتيح الخاصة المتماثلة أو الشهادة بشكل آمن فـي تخزين مَحمي بالأجهزة مثل TPM أو شرائح البطاقة الذكية. يدعم Windows 10 IoT Core مُستخدم TPM وهناك العديد من TPMs المتوافقة التي يمكن استخدامها: TPM مُنفصلة (dTPM). يوصى باستخدام برنامج ثابت أو TPM مُنفصل. يَجب استخدام TPM للبرامج فقط لأغراض التطوير والاختبار. بمجرد توفر TPM وتوفير المفاتيح فيه، يجب كتابة التعليمات البرمجية التي تنشئ الرمز المٌميز دون ترميز ثابت لأي معلومات حساسة فيه.

    مثال

    TpmDevice myDevice = new TpmDevice(0);
// Use logical device 0 on the TPM 
string hubUri = myDevice.GetHostName(); 
string deviceId = myDevice.GetDeviceId(); 
string sasToken = myDevice.GetSASToken(); 

var deviceClient = DeviceClient.Create( hubUri, AuthenticationMethodFactory. CreateAuthenticationWithToken(deviceId, sasToken), TransportType.Amqp);

    كما يُمكن رؤيته، المفتاح الأساسي للجهاز غير موجود في التعليمات البرمجية. بدلًا من ذلك، يتم تخزينه في TPM في الفتحة 0. ينشئ جهاز TPM رمز SAS قصير الأجل يتم استخدامه بعد ذلك للاتصال بـمركز IoT.

    إنشاء مفتاح متماثل عشوائي بطول كاف للمصادقة علـى IoT Hub

    العنوان التفاصيل
    المكون بوابة سحابة IoT
    مرحلة SDL البنية
    التقنيات القابلة للتطبيق العام
    السمات اختيـار البوابة - Azure IoT Hub
    المراجع غير متوفر
    ‏‏الخطوات يحتوي IoT Hub على سجل هوية جهاز وأثناء توفير جهاز، يقوم تلقائيًا بإنشاء مفتاح متماثل عشوائي. يوصى باستخدام هذه الميزة من Azure IoT Hub Identity Registry لإنشاء المفتاح المُستخدم للمصادقة. يسمح IoT Hub أيضًا بتحديد مفتاح أثناء إنشاء الجهاز. إذا تم إنشاء مفتاح خارج IoT Hub أثناء توفير الجهاز، فمن المُستحسن إنشاء مفتاح متماثل عشوائي أو 256 بت علـى الأقل.

    تأكد من وجود نهج إدارة الجهاز الذي يتطلب استخدام رمز PIN ويسمح بالمسح عـن بعد

    العنوان التفاصيل
    المكون عمـيل Dynamics CRM Mobile
    مرحلة دورة تطوير الأمان من Microsoft توزيع
    التقنيات القابلة للتطبيق العام
    السمات غير متوفر
    المراجع غير متوفر
    ‏‏الخطوات تأكد من وجود نهج إدارة الجهاز الذي يتطلب استخدام رمز PIN ويسمح بالمسح عـن بعد

    تأكد مـن وجود نهج إدارة الجهاز الذي يتطلب رقم التعريف الشخصي/كلمة المرور/التأمين التلقائي وتشفير جميع البيانات (على سبيل المثال BitLocker)

    العنوان التفاصيل
    المكون عميل Dynamics CRM Outlook
    مرحلة دورة تطوير الأمان من Microsoft البنية
    التقنيات القابلة للتطبيق العام
    السمات غير متوفر
    المراجع غير متوفر
    ‏‏الخطوات تأكد مـن وجود نهج إدارة الجهاز الذي يتطلب رقم التعريف الشخصي/كلمة المرور/التأمين التلقائي وتشفير جميع البيانات (على سبيل المثال BitLocker)

    تأكد من تمرير مفاتيح التوقيع عند استخدام Identity Server

    العنوان التفاصيل
    المكون خادم الهوية
    مرحلة SDL توزيع
    التقنيات القابلة للتطبيق العام
    السمات غير متوفر
    المراجع Identity Server - المفاتيح والتوقيعات والتشفير
    ‏‏الخطوات تأكد مـن تمرير مفاتيح التوقيع عند استخدام Identity Server. يشرح الارتباط في قسم المراجع كيفية تخطيط هذا دون التسبب فـي انقطاع التطبيقات التي تعتمد على Identity Server.

    تأكد من استخدام مُعرف العميل القوي مشفرًا، سر العميل في Identity Server

    العنوان التفاصيل
    المكون خادم الهوية
    مرحلة SDL البنية
    التقنيات القابلة للتطبيق العام
    السمات غير متوفر
    المراجع غير متوفر
    ‏‏الخطوات

    تأكد من استخدام معرّف العميل القوي من الناحية المشفرة وسر العميل في Identity Server. يجب استخدام الإرشادات التالية أثناء إنشاء معرّف العميل والبيانات السرية:

    • إنشاء GUID عشوائي كـمعرف العميل
    • قم بإنشاء مفتاح 256 بت عشوائي مشفر باعتباره السر