Considérations sur la sécurité des systèmes d'exploitation et des technologies de plateforme pour Microsoft Dynamics 365

Date de publication : janvier 2017

S’applique à : Dynamics 365 (on-premises), Dynamics CRM 2016

Planifier la sécurité de votre environnement et tenter de trouver le meilleur compromis entre les menaces et les accès. Ainsi, un ordinateur peut être enfermé dans une chambre forte à laquelle seul un administrateur système a accès. Cet ordinateur est donc sécurisé, mais difficile à utiliser puisqu’il n’est connecté à aucun autre. Si, pour les activités de l'entreprise, vos utilisateurs ont besoin d'un accès à Internet et à un intranet d'entreprise, vous devez réfléchir à la façon de rendre votre réseau à la fois sûr et utilisable.

Dans cette rubrique vous trouverez des informations et des liens utiles vers de nombreuses ressources que vous pouvez utiliser pour de renforcer la sécurité de votre environnement. Car au final, la sécurité des données Microsoft Dynamics 365 dépend largement de la sécurité des systèmes d'exploitation et des composants logiciels utilisés.

Contenu de la rubrique

Sécurisation de Windows Server

Sécurisation de SQL Server

Sécurisation d'Exchange Server et d'Outlook

Sécurisation des appareils mobiles

Sécurisation de Windows Server

Windows Server, pierre angulaire de Microsoft Dynamics 365, présente une sécurité réseau sophistiquée. Le protocole d'authentification Kerberos version 5 intégré à Active Directory et Services ADFS (Active Directory Federation Services) vous permet de fédérer les domaines Active Directory par le biais de l'authentification basée sur les revendications. Leur combinaison offre une authentification normalisée Ces normes d'authentification permettent aux utilisateurs d'entrer une seule combinaison de nom d'utilisateur et mot de passe pour accéder aux ressources sur le réseau.Windows Server propose également plusieurs fonctionnalités qui optimisent la sécurité du réseau.

Cliquez sur les liens suivants pour en savoir plus sur ces fonctionnalités et sur comment rendre votre déploiement Windows Server plus sécurisé :

• Windows Server 2012

  • Sécurisation de Windows Server 2012 R2 et Windows Server 2012

  • Windows Server 2012 Security Baseline

Rapports d'erreurs Windows

Microsoft Dynamics 365 requiert l'installation du service Rapports d'erreurs Windows, que le programme d'installation installera si nécessaire. Le service WER collecte des informations, telles que les adresses IP. Ces addresses IP ne sont pas utilisées à des fins d'identification des utilisateurs. Le service WER ne collecte pas les noms, les adresses, les adresses électroniques, les noms d'ordinateur ou toute autre information confidentielle de façon intentionnelle. Il se peut que ces informations soient recueillies dans la mémoire ou dans les données provenant d'autres fichiers ouverts, mais Microsoft ne les utilise pas pour identifier les utilisateurs. Par ailleurs, les informations transmises entre l’application Microsoft Dynamics 365 et Microsoft peuvent ne pas être sécurisées. Pour plus d’informations sur les types d’informations transmises, voir la déclaration de confidentialité du service de rapport d’erreurs Microsoft.

Virus, programmes malveillants, et protection d'identité

Pour protéger votre identité et votre système contre les programmes malveillants ou les virus, consultez les ressources suivantes :

• Microsoft Sécurité. Cette page vous permet d'accéder à des conseils, des cours de formation et des aides pour maintenir votre ordinateur à jour et le protéger d'une utilisation abusive, d'éventuels logiciels espions et autres virus.

• Centre de Sécurité TechNet. Cette page contient des liens vers des bulletins techniques, des conseils, des mises à jour, des outils et des aides conçus pour renforcer la sécurité de vos ordinateurs et applications, et les maintenir à jour.

Gestion des mises à jour

Les mises à jour Microsoft Dynamics 365 incluent des améliorations de la sécurité, des performances et des fonctionnalités. Assurez-vous que vos applications Microsoft Dynamics 365 disposent des mises à jour les plus récentes pour que votre système s'exécute de façon la plus efficace et la plus stable possible. Vous trouverez plus d'informations sur comment gérer les mises à jour ici :

• Services de mise à jour Windows Server (éventuellement en anglais)

• Mises à jour logicielles dans le gestionnaire de configuration

• Gestion des mises à jour dans Windows Server 2012 : présentation de la mise à jour adaptée aux clusters et la nouvelle génération de WSUS

Sécurisation de SQL Server

Dans la mesure où Microsoft Dynamics 365 utilise SQL Server, assurez-vous de prendre les mesures suivantes pour améliorer la sécurité de votre base de données SQL Server :

• Appliquez les Service Packs et mises à jour les plus récents pour le système d'exploitation et SQL Server. Consultez le site Web Microsoft Sécurité pour obtenir les informations les plus récentes.

• Installez tous les fichiers système et de données SQL Server sur des partitions NTFS pour bénéficier d'une sécurité au niveau du système de fichiers. Ces fichiers ne doivent être accessibles qu'aux utilisateurs de niveau administration ou système par l'intermédiaire des autorisations NTFS. Cela empêche les utilisateurs d'accéder à ces fichiers lorsque le service MSSQLSERVER n'est pas en cours d'exécution.

• Utilisez un compte de domaine avec peu de privilèges Sinon, spécifiez le service réseau ou le compte système local pour les services SQL Server. Toutefois, nous ne vous recommandons pas d'utiliser ces comptes car les comptes d'utilisateur de domaine peuvent être configurés avec moins d'autorisations pour exécuter les services SQL Server. Les comptes d’utilisateurs de domaine doivent disposer uniquement des droits strictement nécessaires dans le domaine et doit aider à contenir (mais pas arrêter) une attaque dirigée contre le serveur dans le cas où le système serait compromis. En d'autres termes, ces comptes doivent avoir uniquement des autorisations de niveau utilisateur dans le domaine. Si SQL Server est installé à l'aide d'un compte Administrateur de domaine pour exécuter les services, la compromission du serveur SQL Server met en péril tout le reste du domaine. Pour modifier ce paramètre, utilisez SQL Server Management Studio, dans la mesure où les listes de contrôle d'accès (ACL) associées aux fichiers, au registre et aux droits des utilisateurs seront automatiquement modifiées.

• Du fait que SQL Server authentifie les utilisateurs disposant des informations d’accès Authentification Windows ou SQL Server, nous vous suggérons d’utiliser l’Authentification Windows qui propose une ouverture de session unique facilitée et la méthode d’authentification la plus sécurisée.

• Vous devez au minimum activer l'audit des échecs de connexion. L'audit du système SQL Server est désactivé par défaut et aucune condition ne fait l'objet d'un audit. Il est par conséquent très difficile de détecter les intrusions et cela aide sans aucun doute les auteurs d’attaque à brouiller les pistes.

• Les administrateurs de Report Server doivent pouvoir activer la fonctionnalité de sandboxing RDL pour limiter l'accès au Report Server.Pour plus d'informations :Activation et désactivation de la fonctionnalité de sandboxing RDL

• Configurez chaque connexion SQL pour utiliser la base de données master comme base de données par défaut. Même si les utilisateurs ne doivent pas, en toute logique, avoir de droits sur la base de données master, il est recommandé, dans le cadre des meilleures pratiques, de modifier la valeur par défaut pour chaque connexion SQL (à l’exception des connexions avec le rôle SYSADMIN) et d’utiliser Nomorganisation_MSCRM comme base de données par défaut.Pour plus d'informations :Sécurisation de SQL Server

Sécurisation d'Exchange Server et d'Outlook

Les considérations suivantes concernent Microsoft Exchange Server ou Exchange Server dans un environnement Microsoft Dynamics 365 :

• Exchange Server comprend un éventail très complet de mécanismes qui fournissent un contrôle administratif granulaire de son infrastructure. Plus spécifiquement, il est possible d'utiliser les groupes administratifs pour regrouper des objets Exchange Server, tels que les serveurs, les connecteurs ou les stratégies, et ensuite de modifier les listes de contrôle d'accès (ACL) associées à ces groupes administratifs pour en contrôler l'accès. Vous pouvez, par exemple, autoriser des administrateurs Microsoft Dynamics 365 à bénéficier d'un certain niveau de contrôle sur les serveurs qui affectent directement leurs applications. Lorsque vous implémentez des groupes administratifs efficacement, vous savez que vous accordez aux administrateurs Microsoft Dynamics 365 exactement les droits dont ils ont besoin pour leur travail.

• Vous constaterez dans de nombreux cas, qu'il est souvent utile et pratique de créer une unité d'organisation distincte pour les utilisateurs Microsoft Dynamics 365 et d'octroyer aux administrateurs Microsoft Dynamics 365 des droits d'administration limités sur cette unité d'organisation. Les administrateurs peuvent effectuer des modifications pour tout utilisateur de cette unité d'organisation mais non pour un utilisateur qui n'en fait pas partie.

• Assurez-vous toujours de vous potéger comme il se doit contre le relais de messagerie non autorisé. Le relais de messagerie autorise un utilisateur SMTP à utiliser un serveur SMTP pour transférer des messages électroniques vers un domaine distant. Par défaut, Microsoft Exchange Server est configuré pour empêcher les relais de messagerie. Les paramètres exacts que vous configurez dépendent du flux de messages et de la manière le serveur de messagerie de votre fournisseur de services Internet est configuré. Cependant, la meilleure approche consiste à verrouiller complètement vos paramètres de relais de messagerie puis à les élargir progressivement pour permettre au courrier électronique d’accéder à votre système. Pour plus d’informations, voir l’aide du Exchange Server.

• Si vous utilisez une boîte aux lettres de transfert, E-mail Router requiert une boîte aux lettres Exchange Server ou POP3. Il est recommandé de définir les autorisations de cette boîte aux lettres de façon à empêcher d'autres utilisateurs d'ajouter des règles côté serveur. Pour plus d'informations sur les boîtes aux lettres Exchange Server, voir Autorisations des destinataires.

• Ce service Microsoft Dynamics 365E-mail Router s’exécute sous le compte Système local.E-mail Router peut ainsi accéder à la boîte aux lettres d'un utilisateur spécifié pour y traiter son courrier.

Pour plus d’informations sur la sécurisation d’Exchange Server, voir Liste de vérification pour la sécurité du déploiement.

Sécurisation des appareils mobiles

Alors que les organisations prennent en charge un nombre croissant d'employés mobiles, une sécurité forte reste indispensable. Voici quelques ressources pour vous aider à employer les meilleures pratiques avec des appareils mobiles, tels que des smartphones et des tablettes :

• Comment gérer les appareils mobiles à l'aide du Gestionnaire de configuration et de Windows Intune

• Windows pour les entreprises

• Considérations relatives à la sécurité (Microsoft Surface)

• iOS dans l'entreprise (iPad et iPhone)

Voir aussi

Planification du déploiement de Microsoft Dynamics 365
Intégrer (synchroniser) votre système de messagerie avec Microsoft Dynamics 365
Configurer et gérer les téléphones et les tablettes
Considérations relatives à la sécurité pour Microsoft Dynamics 365

© 2017 Microsoft. Tous droits réservés. Copyright