分享方式:

已知的風險與弱點

  • 文章

 

發佈日期: 2016年11月

適用對象: Dynamics CRM 2015

此主題描述當您使用 Microsoft Dynamics 365 時可能存在的風險和弱點。 此外,也描述補救和因應措施 (如果有的話)。

本主題內容

使用者透過不安全的網路連線至 CRM 的風險

伺服器角色部署的安全性建議

匿名驗證

在網際網路對向部署隔離 HelpServer 角色

宣告型驗證問題與限制

保護 web.config 檔案

啟用沙箱處理服務執行之自訂程式碼的輸出網際網路呼叫

保護伺服器與伺服器通訊的安全

DNS 重新繫結攻擊

個人儀表板上 JavaScript 允許使用 Power BI URL

使用者透過不安全的網路連線至 CRM 的風險

當您未使用安全通訊端層 (SSL) (HTTPS) 執行 Microsoft Dynamics 365 時可能發生的問題如下:

  • Microsoft Dynamics 365 使用者提供的資料,包含視覺圖表定義,有可能經由不安全的 HTTP 連線被「攔截式」類型攻擊加以修改。 若要補救此弱點,請設定 Microsoft Dynamics 365 僅使用 SSL。 如需如何設定 Microsoft Dynamics CRM Server 以使用 SSL,請見 讓 CRM 用戶端至伺服器的網路通訊更加安全

伺服器角色部署的安全性建議

下列建議有助於讓您的 Microsoft Dynamics 365 部署更加可靠和安全。

伺服器角色

建議

沙箱處理服務

將此角色安裝到與執行 Microsoft Dynamics CRM Server 角色的電腦不同之虛擬 LAN (VLAN) 上的專用伺服器。 接著,如果在沙箱中執行了會盜用電腦內容的惡意外掛程式,則與獨立的 VLAN 隔離的網路可協助防護其他 Dynamics 365 資源不受到危害。

說明伺服器

請在不同的電腦上針對 IFD 以及內部對象部署安裝此角色。 如需詳細資訊,請於稍後參閱本主題的 在網際網路對向部署隔離 HelpServer 角色。

匿名驗證

Microsoft Dynamics 365網際網路對向部署 (IFD) 針對宣告型驗證在 IIS 啟用匿名驗證。 請注意宣告型驗證 token 不包含原始的認證或連線至 Microsoft Dynamics CRM Server 的字串。 不過,web.config 檔案會包含驗證模式的設定資訊。 如需詳細資訊,請於稍後參閱本主題的 保護 web.config 檔案。 為保護 Microsoft Dynamics 365 網站,請使用 SSL。

在網際網路對向部署隔離 HelpServer 角色

Microsoft Dynamics 365網際網路對向部署 (IFD) 需要匿名驗證。 因為使用匿名網站驗證,所以 Microsoft Dynamics CRM 說明 網站使用的虛擬目錄可能會受到拒絕服務 (DoS) 的攻擊。

若要隔離 Microsoft Dynamics CRM 說明頁面,並協助防護其他 Microsoft Dynamics CRM Server 角色免於潛在 DoS 攻擊的危害,如果您實作,請考慮在不同的電腦上安裝說明伺服器角色。

如需在不同電腦上安裝 Microsoft Dynamics 365 角色之選項的詳細資訊,請參閱Microsoft Dynamics CRM 伺服器角色

如需降低 DoS 攻擊風險的詳細資訊,請參閱 MSDN:改善 Web 應用程安全性:威脅與因應措施

宣告型驗證問題與限制

本主題說明當您將宣告型驗證與與 Microsoft Dynamics 365 搭配使用時的問題與限制。

確認身分識別提供者使用強式密碼原則

當您使用宣告型驗證時,我們建議您確認身分識別提供者受 Security Token Service (STS) 信任,如此 Microsoft Dynamics 365 就會強制執行強式密碼原則。Microsoft Dynamics 365 本身並不會強制執行強式密碼。 根據預設,當它做為身分識別提供者時,Active Directory 會強制執行強式密碼原則。

AD FS 同盟伺服器工作階段即使對已停用或刪除的使用者也可維持高達 8 小時的有效期間

根據預設,Active Directory Federation Services (AD FS) 伺服器 Token 會配置 8 小時的 Web 單一登入 (SSO) Cookie 到期期限。 因此即使從驗證提供者停用或刪除一個使用者,只要使用者工作階段仍然為使用中,即可繼續驗證使用者以保護資源的安全性。

若要解決此問題,請選用下列其中一個選項。

  • 停用 Microsoft Dynamics 365 與 Active Directory 的使用者。 如需如何停用 Microsoft Dynamics 365 使用者的資訊,請參閱 管理使用者。 如需如何於 Active Directory 停用,請參閱 Active Directory 使用者和電腦 說明。

  • 縮短 Web SSO 存留期。 若要這樣做,請參閱 Active Directory Federation Services (AD FS) 管理說明。

保護 web.config 檔案

Microsoft Dynamics 365 建立的 web.config 檔案不包含連接字串或加密金鑰。 不過,檔案確實包含驗證模式與策略的設定資訊、ASP.NET 檢視狀態資訊以及偵錯錯誤訊息顯示。 如果這個檔案遭到惡意修改,它可能會威脅執行 Microsoft Dynamics 365 的伺服器。 若要協助保護 web.config 檔案的安全,我們建議執行下列動作:

  • 將權限授與 web.config 檔案所在的資料夾,以便只包括需要它的使用者帳戶,例如系統管理員。 根據預設,web.config檔案位於 <drive:>Program Files\Microsoft Dynamics CRM\CRMWeb 資料夾中。

  • 限制對 Dynamics 365 伺服器具有互動存取權的使用者數目,例如主控台登入權限。

  • 停用在 Dynamics 365 網站上的目錄瀏覽。 預設為停用。 如需如何停用目錄瀏覽的資訊,請參閱 Internet Information Services (IIS) Manager 說明。

啟用沙箱處理服務執行之自訂程式碼的輸出網際網路呼叫

根據預設,會啟用 Microsoft Dynamics 365沙箱處理服務 執行之自訂程式碼的輸出呼叫 (存取網際網路上的服務)。 對於 Microsoft Dynamics 365 的高安全性部署,這會構成安全性風險。 如果您不要讓自訂程式碼 (例如 Dynamics 365 外掛程式或自訂工作流程活動) 進行輸出呼叫,可以依照下列程序,停用 沙箱處理服務 執行之自訂程式碼的輸出連線。

您可以對沙箱化外掛程式強制執行 Web 存取限制,而不封鎖所有的輸出呼叫。其他資訊:MSDN:外掛程式隔離、信任和統計資料

請注意,停用自訂程式碼的輸出連線包括停用對雲端平台 (例如 Microsoft Azure 和 Microsoft Azure SQL 資料庫) 的呼叫。

在執行沙箱處理服務的電腦上停用自訂程式碼輸出連線

  1. 在安裝了 Microsoft Dynamics 365沙箱處理服務 伺服器角色的 Windows Server 電腦上,啟動 登錄編輯程式 並尋找下列子機碼:
    HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSCRM

  2. 以滑鼠右鍵按一下 [MSCRM]、指向 [新增]、按一下 [DWORD 值] 以輸入 SandboxWorkerDisableOutboundCalls,然後按 ENTER。

  3. 以滑鼠右鍵按一下 [SandboxWorkerDisableOutboundCalls]、按一下 [修改] 以輸入 1,然後按 ENTER。

  4. 關閉 登錄編輯程式。

  5. 重新啟動 沙箱處理服務。 若要這麼做,請按一下 [開始]、輸入 services.msc,然後按 ENTER。

  6. 以滑鼠右鍵按一下 [Microsoft Dynamics CRM Sandbox Processing Service],然後按一下 [重新啟動]。

  7. 關閉 Microsoft Management Console (MMC) 服務嵌入式管理單元。

保護伺服器與伺服器通訊的安全

根據預設,Microsoft Dynamics 365 伺服器與伺服器的通訊 (例如 Web 應用程式伺服器 角色與執行 Microsoft SQL Server 的伺服器之間的通訊) 並未透過安全性通道執行。 因此,在伺服器之間傳輸的資訊可能易遭到某些攻擊,例如攔截式攻擊。

我們建議您實作網際網路通訊協定安全性 (IPsec),以協助保護組織中伺服器之間傳輸的資訊。 IPsec 是開放式標準的架構,可藉由使用加密編譯安全性服務來保護透過網際網路協定 (IP) 網路的通訊。其他資訊:IPsec

DNS 重新繫結攻擊

就像許多 Web 應用程式一樣,Microsoft Dynamics 365 很容易受到 DNS 重新繫結攻擊。 這種惡意入侵存心誤導網頁瀏覽器,使之從兩個不同伺服器擷取頁面,從而信任伺服器是來自相同的網域,結果就違反了同源原則。 攻擊者可以使用此技術,利用受害者的身分識別透過對 Dynamics 365 頁面進行跨網站指令碼攻擊以竄改 Dynamics 365 資料。

如何避免受到這些攻擊的詳細資訊,請參閱 保護瀏覽器免於 DNS 重新繫結攻擊

個人儀表板上 JavaScript 允許使用 Power BI URL

因為可使用 JavaScript,所以個人儀表板可以使用 Power BIURLs,請注意來自惡意來源指令碼插入攻擊的下列風險:

  • 全意重新導向至未預期的網站,例如網路釣魚網站。

  • 建立多個大型 JavaScript 物件,試圖讓網頁瀏覽器當機。

為降低風險,請考慮實作下列最佳作法:

  • 只允許核准的 SharePoint 網站託管儀表板中內嵌 Power BI 報表使用的 Microsoft Office Excel 文件。其他資訊:Office 365 系統管理中心 Power BI 簡介

  • 保護託管 Power BI 元件的 SharePoint 網站,以便只有信任的來源可以新增文件至儀表板。閱讀 SharePoint 權限等級

  • 告知 Microsoft Dynamics 365 使用者,避免新增未核准元件至儀表板。 這類似於教導使用者,不開啟從不明來源的電子郵件附件或按一下超連結。

另請參閱

Microsoft Dynamics CRM 的安全性考量
Microsoft Dynamics CRM 的網路連接埠
Microsoft Dynamics CRM 支援的設定

© 2016 Microsoft Corporation. 著作權所有,並保留一切權利。 著作權