Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Im weitesten Sinn umfasst Sicherheit das Planen und Bewerten von Kompromissen zwischen Bedrohungen und Zugriff. Beispielsweise kann ein Computer in einem Tresorraum eingeschlossen und nur für einen Systemadministrator verfügbar sein. Dieser Computer ist möglicherweise sicher, er ist jedoch nicht gut einsetzbar, weil er nicht mit anderen Computern verbunden ist. Wenn die Benutzer in Ihrem Unternehmen Zugriff auf das Internet und das Unternehmensintranet benötigen, müssen Sie überlegen, wie Sie das Netzwerk zugleich sicher und zweckmäßig einrichten können.
In diesem Thema finden Sie hilfreiche Informationen und Links zu viele Ressourcen, die Sie verwenden können, um die Ihre Computerumgebung noch sicherer zu machen. Denn hängt letztendlich die Dynamics 365 Customer Engagement (on-premises)-Datensicherheit größtenteils davon ab, wie gut Sie zuvor das Betriebssystems und die Softwarekomponenten absichern.
Sichern von Windows Server (möglicherweise in englischer Sprache)
Windows Server, die Grundlage für Dynamics 365 Customer Engagement (on-premises), bietet hoch entwickelte Netzwerksicherheit. Das Authentifizierungsprotokoll Kerberos, Version 5, ist in Active Directory und Active Directory-Verbunddienste (AD FS) integriert und ermöglicht Ihnen den Verbund von Active Directory-Domänen, indem die anspruchsbasierte Authentifizierung verwendet wird. Durch die beiden Tools kann eine leistungsstarke, auf Standards basierende Authentifizierung erzielt werden. Mithilfe dieser Authentifizierungsstandards können Benutzer sich beim Zugriff auf verschiedene Ressourcen im Netzwerk mit nur einem Benutzernamen und Kennwort anmelden. Windows Server beinhaltet auch mehrere Funktionen, mit denen die Sicherheit des Netzwerks sogar noch weiter erhöht werden kann.
Weitere Informationen zu diesen Funktionen und zur sichereren Bereitstellung von Windows Server erhalten Sie unter diesen Links.
Windows-Fehlerberichterstattung
Der Windows-Fehlerberichterstattungs-Dienst ist in Dynamics 365 Customer Engagement (on-premises) erforderlich und wird von Setup installiert, falls er nicht vorhanden ist. Mit dem WER-Dienst werden Informationen erfasst, beispielsweise IP-Adressen. Diese IP-Adressen werden nicht zum Identifizieren von Benutzern verwendet. Mit dem WER-Dienst werden Namen, Adressen, E-Mail-Adressen, Computernamen oder andere persönliche Informationen nicht absichtlich erfasst. Es ist möglich, dass solche Informationen im Arbeitsspeicher oder in den Daten aus geöffneten Dateien erfasst werden. Sie werden jedoch nicht von Microsoft verwendet, um Benutzer zu identifizieren. Außerdem sind möglicherweise einige der zwischen der Dynamics 365 Customer Engagement (on-premises)-Anwendung und Microsoft übertragenen Informationen nicht sicher. Weitere Informationen zu der Art von Informationen, die gesendet wurden, finden Sie unter Datenschutzbestimmungen für den Microsoft-Fehlerberichterstattungsdienst.
Updateverwaltung
Dynamics 365 Customer Engagement (on-premises)-Updates enthalten Verbesserungen in Bezug auf Sicherheit, Leistung und Funktionen. Stellen Sie sicher, dass die neuesten Updates für die Dynamics 365 Customer Engagement (on-premises)-Anwendungen installiert wurden. So kann sichergestellt werden, dass das System so effizient und zuverlässig wie möglich ausgeführt wird. Sie finden mehr Informationen darüber, wie Sie Updates verwalten können, hier:
Sichern von SQL Server
Da Dynamics 365 Customer Engagement (on-premises) von SQL Server abhängig ist, sollten Sie unbedingt die folgenden Maßnahmen ergreifen, um die Sicherheit der SQL Server-Datenbank zu erhöhen:
Das neueste Betriebssystem, SQL Server-Serviepakete (SPs) und Updates übernehmen. Aktuelle Informationen hierzu finden Sie auf der Microsoft Security-Website.
Installieren Sie alle SQL Server-Datendateien und -Systemdateien auf NTFS-Partitionen, damit die Sicherheit auf Dateisystemebene gewahrt ist. Sie sollten die Dateien mithilfe von NTFS-Berechtigungen nur für Administratoren oder Systembenutzer zur Verfügung stellen. Dadurch wird verhindert, dass Benutzer auf diese Dateien zugreifen, wenn der MSSQLSERVER-Dienst nicht ausgeführt wird.
Verwenden Sie ein Domänenkonto mit niedrigen Rechten. Sie können aber auch den Netzwerkdienst oder das lokale Systemkonto für die SQL Server-Dienste angeben. Es wird jedoch nicht empfohlen, dass Sie diese Konten verwenden, da Domänenbenutzerkonten mit weniger Berechtigungen so konfiguriert werden können, dass sie die SQL Server-Dienste ausführen. Domänenbenutzerkonten sollte über minimale Rechte in der Domäne verfügen und dazu beitragen, die Auswirkungen eventueller Angriffe auf den Server zu begrenzen (auch wenn es diese nicht verhindern kann). Anders ausgedrückt: Diese Domänenbenutzerkonten sollte nur über Berechtigungen auf lokaler Benutzerebene in der Domäne verfügen. Wenn SQL Server mithilfe eines Domänenadministratorkontos installiert wird, das zum Ausführen der Dienste verwendet wird, führt eine Gefährdung von SQL Server zu einer Gefährdung der gesamten Domäne. Wenn Sie diese Einstellung ändern müssen, sollten Sie die Änderung mithilfe von SQL Server Management Studio vornehmen, da hierbei die Zugriffssteuerungslisten (Access Control Lists, ACLs) für Dateien, die Registrierung und die Benutzerrechte automatisch geändert werden.
Weil in SQL Server Benutzer anhand der Windows-Authentifizierung oder SQL Server-Anmeldeinformationen authentifiziert werden, empfiehlt sich die Verwendung der Windows-Authentifizierung, um einmaliges Anmelden zu vereinfachen und die sicherste Authentifizierungsmethode bereitzustellen.
Mindestens Überwachung fehlgeschlagener Anmeldungen aktivieren. Standardmäßig ist die SQL Server-System-Überwachung deaktiviert, und keine Zustände werden überwacht. Dies erschwert das Erkennen von Angriffen und erleichtert es Angreifern, ihre Spuren zu verwischen.
Berichtsserver-Administratoren sollten RDL-Sandkasten aktivieren, um den Zugriff auf den Berichtsserver einzuschränken. Weitere Informationen: Aktivieren und Deaktivieren von RDL-Sandkasten
Konfigurieren Sie jede SQL-Anmeldung so, dass die master-Datenbank als Standarddatenbank verwendet wird. Obwohl Benutzer nicht über Rechte für die master-Datenbank verfügen sollten, sollten Sie für jede SQL-Anmeldung (außer bei Anmeldungen mit der SYSADMIN-Rolle) als Standarddatenbank OrganizationName_MSCRM verwenden. Mehr Informationen: Sichern von SQL-Server
Sichern von Exchange Server und Outlook
Die folgenden Überlegungen gelten für Microsoft Exchange Server oder Exchange Server in einer Dynamics 365 Customer Engagement (on-premises)-Umgebung.
Exchange Server umfasst eine umfangreiche Auswahl von Mechanismen für eine genaue administrative Steuerung der Infrastruktur. Insbesondere können Sie mithilfe administrativer Gruppen bestimmte Exchange Server-Objekte erfassen, beispielsweise Server, Konnektoren oder Richtlinien, und anschließend die ACLs (Zugriffskontrolllisten) für diese administrativen Gruppen ändern, um sicherzustellen, dass nur bestimmte Personen darauf zugreifen können. Auf diese Weise können Sie beispielsweise Dynamics 365 Customer Engagement (on-premises)-Administratoren Steuerungsmöglichkeiten für genau die Server bieten, die direkte Auswirkung auf ihre Anwendungen haben. Wenn Sie die administrativen Gruppen effektiv implementieren, können Sie davon ausgehen, dass die Dynamics 365 Customer Engagement (on-premises) Administratoren die Rechte erhalten, die sie zum Ausführen ihrer Aufgaben benötigen.
Häufig kann es zweckmäßig sein, eine separate Organisationseinheit (Organizational Unit, OU) für Dynamics 365 Customer Engagement (on-premises)-Benutzer zu erstellen und Dynamics 365 Customer Engagement (on-premises)-Administratoren eingeschränkte administrative Rechte für diese Organisationseinheit zu erteilen. Administratoren können Änderung für jeden Benutzer in dieser Organisationseinheit vornehmen, aber nicht für Benutzer außerhalb der Organisationseinheit.
Stellen Sie immer sicher, dass Sie gegen die unautorisierte E-Mail-Weiterleitung angemessen geschützt sind. Mit der E-Mail-Weiterleitung kann ein SMTP-Client E-Mail-Nachrichten über einen SMTP-Server an eine Remotedomäne weiterleiten. Microsoft Exchange Server ist standardmäßig so konfiguriert, dass die E-Mail-Weiterleitung verhindert wird. Die Konfiguration der Einstellungen hängt vom Nachrichtenfluss und der Konfiguration des E-Mail-Servers Ihres Internetdienstanbieters ab. Der beste Ansatz besteht hier jedoch darin, Ihre Einstellungen für die E-Mail-Weiterleitung zu sperren und sie dann schrittweise zu öffnen, um eine erfolgreiche E-Mail-Übertragung zu erreichen. Weitere Informationen finden Sie in der Exchange Server-Hilfe.
Sichern von Mobilgeräten
Während Organisationen in zunehmendem Maße mobiles Personal unterstützen, bleibt eine starke Sicherheit grundlegend. Hier sind einige Ressourcen, die Ihnen helfen, bewährte Methoden für mobile Geräte wie Smartphones und Tablets zu implementieren:
iOS im Unternehmen (iPad und iPhone)
Siehe auch
Planen Ihrer Bereitstellung von Microsoft Dynamics 365
Einrichtungsübersicht für mobile Apps