Freigeben über


Bewährte Methoden für die Sicherheit von Microsoft Dynamics CRM

 

Veröffentlicht: November 2016

Gilt für: Dynamics CRM 2015

Bei Internetinformationsdienste (IIS) handelt es sich um einen ausgereiften in Windows Server integrierten Webdienst.Microsoft Dynamics 365 hängt von einem effizienten und sicheren IIS-Webdienst ab. Beachten Sie Folgendes:

  • In den Dateien machine.config und web.config können Sie festlegen, ob das Debuggen aktiviert werden soll und ausführliche Fehlermeldungen an den Client gesendet werden sollen. Stellen Sie sicher, dass das Debuggen auf allen Produktionsservern deaktiviert ist und im Fall von Problemen eine allgemeine Fehlermeldung an den Client gesendet wird. Dadurch wird verhindert, dass unnötige Informationen zur Konfiguration des Webservers an den Client gesendet werden.

  • Stellen Sie sicher, dass die neuesten Service Packs und Updates für das Betriebssystem und IIS installiert sind. Aktuelle Informationen finden Sie auf der Microsoft Security-Website.

  • Beim Microsoft Dynamics CRM Server-Setup werden Anwendungspools namens CRMAppPool und CRMDeploymentServiceAppPool erstellt, die unter den Benutzeranmeldeinformationen verwendet werden, die Sie beim Setup angegeben haben. Um ein Modell mit geringsten Rechten zu ermöglichen, wird empfohlen, separate Domänenbenutzerkonten für diese Anwendungspools anzugeben und nicht das Netzwerkdienstkonto zu verwenden. Es wird außerdem empfohlen, keine andere ASP.NET-Anwendung unter diesen Anwendungspools zu installieren. Informationen zu den für diese Komponenten erforderlichen Mindest-Berechtigungen finden Sie unter Für Microsoft Dynamics CRM-Setup und -Dienste erforderliche Mindestberechtigungen.

Wichtig

  • Achten Sie darauf, dass alle Websites, die auf dem gleichen Computer wie die Microsoft Dynamics 365-Website ausgeführt werden, ebenfalls über Zugriff auf die Dynamics 365-Datenbank verfügen.

  • Bei Verwendung eines Domänenbenutzerkontos müssen Sie vor der Ausführung von Microsoft Dynamics CRM Server-Setup überprüfen, ob der Dienstprinzipalname (Service Principal Name, SPN) für das Konto richtig festgelegt ist, und gegebenenfalls den richtigen Dienstprinzipalnamen festlegen. Weitere Informationen zu Dienstprinzipalnamen und deren Festlegung finden Sie unter Verwenden von Dienstprinzipalnamen bei der Konfiguration von Webanwendungen, die in IIS gehostet werden (möglicherweise in englischer Sprache).

Verwaltung von Dienstprinzipalnamen in Microsoft Dynamics CRM

Beim Attribut des Dienstprinzipalnamens (SPN) handelt es sich um ein nicht verknüpftes Attribut mit mehreren Werten, das aus dem DNS-Hostnamen erstellt wird. Der SPN wird bei der gegenseitigen Authentifizierung zwischen dem Client und dem Server, der einen bestimmten Dienst hostet, verwendet. Vom Client wird ein Computerkonto basierend auf dem SPN des Diensts gesucht, zu dem eine Verbindung hergestellt werden soll.

Vom Microsoft Dynamics CRM Server-Installationsdienst werden rollenspezifische Dienste und Webanwendungspools bereitgestellt, die mit den beim Setup angegebenen Benutzeranmeldeinformationen ausgeführt werden. Die vollständige Liste dieser Rollen und ihrer Berechtigungsanforderungen finden Sie unter Für Microsoft Dynamics CRM-Setup und -Dienste erforderliche Mindestberechtigungen.

Bei der Bereitstellung einer gehosteten Microsoft Dynamics 365-Infrastruktur erfordern zwei dieser Rollen möglicherweise zusätzliche Überlegungen:

  • Bereitstellungswebdienst

  • Anwendungsdienst

In einem Webfarmszenario, beispielsweise bei einer gehosteten Bereitstellung, wird empfohlen, die Kernelmodusauthentifizierung aktiviert zu lassen. Darüber hinaus sollten Sie aus folgenden Gründen die Verwendung separater Domänenbenutzerkonten zur Ausführung dieser Dienste in Betracht ziehen:

  • Durch zwei separate Dienstkonten für diese Serverrollen wird die Implementierung des Hardwarelastenausgleichs erleichtert.

  • Für die Serverrolle des Bereitstellungswebdiensts sind erhöhte Rechte zum Bereitstellen von Organisationen in der Dynamics 365 erforderlich. Wenn Sie ein Modell mit geringsten Rechten bereitstellen möchten, besteht der sicherste Ansatz für die Implementierung von Serverprinzipalnamen in einer gehosteten Microsoft Dynamics 365-Infrastruktur in der Ausführung des Bereitstellungswebdienst unter einem anderen Domänenbenutzerkonto als der Anwendungsdienst.

Wenn Sie separate Domänenkonten für diese Serverollen verwenden, sollten Sie überprüfen, ob der SPN der einzelnen Konten korrekt ist, bevor Sie Microsoft Dynamics CRM Server-Setup starten. Dadurch ist es einfacher, ggf. den richtigen SPN festzulegen.

Ist die Kernelmodusauthentifizierung aktiviert, werden die Serverprinzipalnamen für das Computerkonto unabhängig vom angegebenen Dienstkonto festgelegt. Beim Implementieren einer Webfarm aktivieren Sie Kernelmodusauthentifizierung und ändern Sie die lokale Datei ApplicationHost.config.

Werden der Anwendungs- und der Bereitstellungswebdienst bei deaktivierter Kernelmodusauthentifizierung im selben System ausgeführt, können Sie beide Dienste zur Ausführung unter demselben domaikuser-Benutzerkonto konfigurieren, um Probleme mit doppelten Serverprinzipalnamen zu vermeiden. Kann die Kernelmodusauthentifizierung nicht aktiviert werden, installieren Sie Anwendungs- und Bereitstellungswebdienst auf unterschiedlichen Systemen. Die Serverprinzipalnamen müssen möglicherweise trotzdem manuell erstellt werden, da die Kernelmodusauthentifizierung deaktiviert ist.

Weitere Informationen zu Serverprinzipalnamen und ihrer Festlegung finden Sie unter Checkliste der Dienstprinzipalnamen für die Kerberos-Authentifizierung mit IIS 7.0/7.5.

Siehe auch

Sicherheitsüberlegungen zu Microsoft Dynamics CRM
Bewährte Methoden für die Verwaltung für lokale Bereitstellungen von Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Alle Rechte vorbehalten. Copyright