Considérations sur la sécurité des systèmes d'exploitation et des technologies de plateforme pour Microsoft Dynamics CRM 2015

Date de publication : novembre 2016

S’applique à : Dynamics CRM 2015

Planifier la sécurité de votre environnement et tenter de trouver le meilleur compromis entre les menaces et les accès. Ainsi, un ordinateur peut être enfermé dans une chambre forte à laquelle seul un administrateur système a accès. Cet ordinateur est donc sécurisé, mais difficile à utiliser puisqu’il n’est connecté à aucun autre. Si, pour les activités de l'entreprise, vos utilisateurs ont besoin d'un accès à Internet et à un intranet d'entreprise, vous devez réfléchir à la façon de rendre votre réseau à la fois sûr et utilisable.

Les sections suivantes contiennent des liens vers des informations vous permettant de renforcer la sécurité de votre environnement. Au final, la sécurité des données Microsoft Dynamics 365 dépend largement de la sécurité des systèmes d'exploitation et des composants logiciels obligatoires et facultatifs.

Contenu de la rubrique

Sécurisation de Windows Server

Sécurisation de SQL Server

Sécurisation d'Exchange Server et d'Outlook

Sécurisation des appareils mobiles

Sécurisation de Windows Server

Windows Server, pierre angulaire de Microsoft Dynamics 365, présente une sécurité réseau sophistiquée. Le protocole d'authentification Kerberos version 5 intégré à Active Directory et Services ADFS (Active Directory Federation Services) vous permet de fédérer les domaines Active Directory par le biais de l'authentification basée sur les revendications. Leur combinaison offre une authentification normalisée et grâce à ces normes d'authentification, les utilisateurs sont en mesure d'utiliser une seule combinaison de nom d'utilisateur et mot de passe pour accéder aux ressources sur le réseau.Windows Server propose également plusieurs fonctionnalités qui optimisent la sécurité du réseau.

Utilisez les liens suivants pour obtenir des informations sur ces fonctionnalités. Vous y découvrirez comment améliorer la sécurité du déploiement de Windows Server :

• Windows Server 2012

  • Sécurisation de Windows Server 2012 R2 et Windows Server 2012

  • Windows Server 2012 Security Baseline

Rapports d'erreurs Windows

Microsoft Dynamics 365 requiert l'installation du service Rapports d'erreurs Windows, que le programme d'installation installera si nécessaire. Le service WER collecte des informations, telles que les adresses IP. Ces dernières ne sont pas utilisées à des fins d'identification des utilisateurs. Le service WER ne collecte pas les noms, les adresses, les adresses électroniques, les noms d'ordinateur ou toute autre information d'ordre privé de façon intentionnelle. Il se peut que ces informations soient recueillies dans la mémoire ou dans les données provenant d'autres fichiers ouverts, mais Microsoft ne les utilise pas pour identifier les utilisateurs. Par ailleurs, les informations transmises entre l’application Microsoft Dynamics 365 et Microsoft peuvent ne pas être sécurisées. Pour plus d’informations sur les types d’informations transmises, voir la déclaration de confidentialité du service de rapport d’erreurs Microsoft.

Virus, programmes malveillants, et protection d'identité

Pour protéger votre identité et votre système contre les programmes malveillants ou les virus, voir les ressources suivantes :

• Microsoft Sécurité. Cette page vous permet d'accéder à des conseils, des cours de formation et des aides pour maintenir votre ordinateur à jour et le protéger d'une utilisation abusive, d'éventuels logiciels espions et autres virus.

• Centre de Sécurité TechNet. Cette page contient des liens vers des bulletins techniques, des conseils, des mises à jour, des outils et des aides conçus pour renforcer la sécurité de vos ordinateurs et applications, et les maintenir à jour.

Gestion des mises à jour

Les mises à jour Microsoft Dynamics 365 incluent des améliorations de la sécurité, des performances et des fonctionnalités. Assurez-vous que vos applications Microsoft Dynamics 365 disposent des mises à jour les plus récentes pour que votre système fonctionne de façon la plus efficace et la plus stable possible.

Pour obtenir des informations sur la gestion des mises à jour, consultez les liens suivants :

• Services de mise à jour Windows Server (éventuellement en anglais)

• Gestion des mises à jour dans System Center Essentials

• Gestion des mises à jour dans Windows Server 2012 : présentation de la mise à jour adaptée aux clusters et la nouvelle génération de WSUS

Sécurisation de SQL Server

Dans la mesure où Microsoft Dynamics 365 utilise SQL Server, assurez-vous de prendre les mesures suivantes pour améliorer la sécurité de votre base de données SQL Server :

• Vérifiez que les Service Packs et les mises à jour les plus récents pour SQL Server sont appliqués. Consultez le site Web Microsoft Sécurité pour obtenir les informations les plus récentes.

• Vérifiez que tous les fichiers système et de données SQL Server sont installés sur des partitions NTFS pour bénéficier d'une sécurité au niveau du système de fichiers. Ces fichiers ne doivent être accessibles qu'aux utilisateurs de niveau administration ou système par l'intermédiaire des autorisations NTFS. Cela empêche les utilisateurs d'accéder à ces fichiers lorsque le service MSSQLSERVER n'est pas en cours d'exécution.

• Utilisez un compte de domaine avec peu de privilèges Sinon, vous pouvez spécifier le service réseau ou le compte système local pour les services SQL Server. Toutefois, nous ne vous recommandons pas d'utiliser ces comptes car les comptes d'utilisateur de domaine peuvent être configurés avec moins d'autorisations pour exécuter les services SQL Server. Le compte d’utilisateur de domaine doit disposer uniquement des droits strictement nécessaires dans le domaine et doit aider à contenir (mais pas arrêter) une attaque dirigée contre le serveur dans le cas où le système serait compromis. En d'autres termes, ce compte doit avoir uniquement des autorisations de niveau utilisateur dans le domaine. Si SQL Server est installé à l'aide d'un compte Administrateur de domaine pour exécuter les services, la compromission du serveur SQL Server met en péril tout le reste du domaine. Pour modifier ce paramètre, utilisez SQL Server Management Studio, dans la mesure où les listes de contrôle d'accès (ACL) associées aux fichiers, au registre et aux droits des utilisateurs seront automatiquement modifiées.

• SQL Server authentifie les utilisateurs disposant des informations d'accès Authentification Windows ou SQL Server. Il est conseillé d'utiliser l'Authentification Windows qui propose une ouverture de session unique facilitée et la méthode d'authentification la plus sécurisée.

• Puisque l'audit du système SQL Server est désactivé par défaut, aucune condition ne fait l'objet d'un audit. Il est par conséquent très difficile de détecter les intrusions et cela aide sans aucun doute les auteurs d'attaques à brouiller les pistes. Vous devez au minimum activer l'audit des échecs de connexion.

• Les administrateurs de Report Server peuvent activer la fonctionnalité de sandboxing RDL pour limiter l'accès au Report Server.Pour plus d'informations :Activation et désactivation de la fonctionnalité de sandboxing RDL

• Chaque connexion SQL est configurée pour utiliser la base de données master comme base de données par défaut. Même si les utilisateurs ne doivent pas, en toute logique, avoir de droits sur la base de données master, il est recommandé, dans le cadre des meilleures pratiques, de modifier la valeur par défaut pour chaque connexion SQL (à l’exception des connexions avec le rôle SYSADMIN) et d’utiliser Nomorganisation_MSCRM comme base de données par défaut.Pour plus d'informations :Sécurisation de SQL Server

Sécurisation d'Exchange Server et d'Outlook

Les considérations suivantes concernent Microsoft Exchange Server, et certaines sont spécifiques à Exchange Server dans un environnement Microsoft Dynamics 365 :

• Exchange Server comprend un éventail très complet de mécanismes qui fournissent un contrôle administratif granulaire de son infrastructure. Plus spécifiquement, il est possible d'utiliser les groupes administratifs pour regrouper des objets Exchange Server, tels que les serveurs, les connecteurs ou les stratégies, et ensuite de modifier les listes de contrôle d'accès (ACL) associées à ces groupes administratifs pour en contrôler l'accès. Vous pouvez, par exemple, autoriser des administrateurs Microsoft Dynamics 365 à bénéficier d'un certain niveau de contrôle sur les serveurs qui affectent directement leurs applications. En utilisant efficacement les groupes administratifs, vous pouvez faire en sorte que les administrateurs Microsoft Dynamics 365 bénéficient uniquement des droits nécessaires à l'exécution de leur travail.

• Vous constaterez dans de nombreux cas, qu'il est souvent utile et pratique de créer une unité d'organisation distincte pour les utilisateurs Microsoft Dynamics 365 et d'octroyer aux administrateurs Microsoft Dynamics 365 des droits d'administration limités sur cette unité d'organisation. Ils pourront alors effectuer des modifications pour tout utilisateur de cette unité d'organisation mais non pour un utilisateur qui n'en fait pas partie.

• Vous devez vous assurer de bénéficier d'une protection adéquate contre le relais de messagerie non autorisé. Le relais de messagerie est une fonctionnalité qui autorise un utilisateur SMTP à utiliser un serveur SMTP pour transférer des messages électroniques vers un domaine distant. Par défaut, Microsoft Exchange Server est configuré pour empêcher les relais de messagerie. Les paramètres exacts que vous configurez dépendent de la configuration et du flux de messages au niveau du serveur de messagerie de votre fournisseur de services Internet. Cependant, la meilleure approche consiste à verrouiller complètement vos paramètres de relais de messagerie puis à les élargir progressivement pour permettre au courrier électronique d’accéder à votre système. Pour plus d’informations, voir l’aide du Exchange Server.

• Si vous utilisez une boîte aux lettres de transfert, E-mail Router requiert une boîte aux lettres Exchange Server ou POP3. Il est recommandé de définir les autorisations sur cette boîte aux lettres de façon à empêcher d'autres utilisateurs d'ajouter des règles côté serveur. Pour plus d'informations sur les boîtes aux lettres Exchange Server, voir Autorisations de boîte aux lettres.

• Ce service Microsoft Dynamics 365E-mail Router s’exécute sous le compte Système local.E-mail Router peut ainsi accéder à la boîte aux lettres d'un utilisateur spécifié pour y traiter son courrier.

Pour plus d’informations sur la sécurisation d’Exchange Server, voir Liste de vérification pour la sécurité du déploiement.

Sécurisation des appareils mobiles

Alors que les organisations prennent en charge un nombre croissant d'employés mobiles, une sécurité forte reste indispensable. Les ressources suivantes fournissent des informations et répertorie les meilleures pratiques pour les appareils mobiles, tels que des téléphones de type smartphone et tablettes :

• Comment gérer les appareils mobiles à l'aide du Gestionnaire de configuration et de Windows Intune

• Windows Phone pour l'entreprise

• Considérations relatives à la sécurité (Microsoft Surface)

• iOS dans l'entreprise (iPad et iPhone)

Voir aussi

Planification du déploiement de Microsoft Dynamics CRM 2015
Configurer et gérer le traitement du courrier électronique et CRM pour Outlook
Configurer et gérer les téléphones et les tablettes
Considérations relatives à la sécurité pour Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Tous droits réservés. Copyright