Первой мерой по укреплению защиты системы Microsoft Dynamics AX является ее развертывание в безопасном окружении. Для сети, соединенной с любой другой сетью, включая Интернет, сети экстранет и другие внутренние сети, это означает обеспечение достаточных мер предосторожности для защиты этой сети от угроз извне.
Кроме того, при внесении в систему изменений необходимо планировать обеспечение безопасности новой системы. Дополнительные сведения см. в разделе Secure deploymentsруководства по установке Microsoft Dynamics AX.
Для получения последних сведений о безопасности посетите веб-узел TechNet Security Center, предлагающий средства безопасности, сведения по безопасности (такие как бюллетени по безопасности и предупреждения о вирусах), а также рекомендации корпорации Майкрософт по безопасности, призванные помочь специалистам в области информационных технологий при защите систем.
Основные сведения
Microsoft Dynamics AX для поддержки пользовательской структуры требует наличия службы Active Directory. Служба Active Directory должна быть правильно настроена, чтобы обеспечить соответствие политикам компании в отношении доступа пользователей. Компьютеры, на которых работает Microsoft Dynamics AX, должны иметь доступ к компьютерам в том же домене, в котором работает программа Active Directory, сконфигурированная в собственном режиме. Возможно, не всем пользователям в сети потребуется доступ к Microsoft Dynamics AX. Поэтому более безопасно просто не предоставлять им доступ в Active Directory. Дополнительные сведения об интеграции Microsoft Dynamics AX со службой Active Directory с целью безопасности см. в разделе Работа с пользователями из Active Directory. Самые последние рекомендации по настройке службы см. на веб-узле Центр технологии Active Directory для Microsoft Windows Server 2003.
Для развертываний, которые включают корпоративный портал, должны быть решены дополнительные задачи обеспечения безопасности среды. Сеть должна иметь брандмауэр. Она также должна иметь один или два контроллера домена, один во внутренней сети и один в пограничной сети.
Эта настройка выполняется с помощью Active Directory. Дополнительные сведения о настройке безопасности для корпоративного портала см. в разделе Настройка безопасности корпоративного порталаруководства по администрированию корпоративного портала.
Запуск службы Application Object Server (AOS) с минимальными привилегиями
При установке сервера Application Object Server (AOS) пользователь для службы AOS задается либо для учетной записи сетевой службы, либо для учетной записи домена. Если требуется выбрать использование учетной записи домена для службы AOS, необходимо предоставить для новой учетной записи как можно более низкие (наиболее ограниченные) привилегии, чтобы снизить опасность процессов, которые могут причинить вред серверу. Дополнительные сведения см. в разделах Install an Application Object Server (AOS) instanceи Infrastructure security considerationsруководства по установке Microsoft Dynamics AX.
Защита журналов баз данных
Журналы баз данных могут содержать уязвимые данные. По умолчанию любой пользователь, имеющий доступ к базе данных, может запросить любой созданный файл журнала базы данных. Пользователи могут запросить файл журнала с помощью Business Connector, X++, оповещений или используя прямой доступ к базе данных. Чтобы защитить данные, ограничьте разрешения для таблицы sysdatabaselog. Подробные сведения см. в разделе "Свойства таблицы" в комплекте Microsoft Dynamics AX SDK.
Безопасная пакетная обработка
Выполнение приведенных ниже рекомендаций поможет предотвратить отправку пользователями групп пакетов, которые обрабатываются с более высоким уровнем разрешений.
-
Ограничьте количество групп пользователей, имеющих доступ к пункту меню > > и пункту меню. > > . Дополнительные сведения см. в разделе Управление разрешениями на доступ для комбинаций групп пользователей и доменов.
-
Примените ограничения безопасности на уровне записей для таблицы BatchGroup. Дополнительные сведения см. в разделе Управление доступом на уровне записей.
Атаки типа отказ в обслуживании
Чтобы предотвратить атаки типа отказ в обслуживании на корпоративный портал, можно изменить значения перечисленных ниже команд конфигурации в файле конфигурации Application Object Server (AOS):
-
MaxConcurrentGuestSessions— это значение определяет максимальное количество одновременных сеансов гостей (анонимных пользователей). Значение по умолчанию — 65535. Уменьшая это значение, можно уменьшить количество сеансов, которое может использовать злоумышленник. После задания этого значения необходимо перезапустить службу AOS, чтобы изменения вступили в силу.
-
MaxConcurrentWebSessions— это значение определяет максимальное количество одновременных сеансов на корпоративном портале, включая сеансы гостей. Значение по умолчанию — 65535. Уменьшая это значение, можно уменьшить количество сеансов, которое может использовать злоумышленник. После задания этого значения необходимо перезапустить службу AOS, чтобы изменения вступили в силу.
-
MaxMemLoad— это значение определяет максимальный объем используемой памяти (максимальный процент используемой физической памяти компьютера). Значение по умолчанию — 100. Уменьшая это значение, можно уменьшить количество сеансов, которые может запустить злоумышленник. После задания этого значения необходимо перезапустить службу AOS, чтобы изменения вступили в силу.
Подробные сведения об использовании команд MaxConcurrentGuestSessions, MaxConcurrentWebSessions, MaxMemLoadи других команд конфигурации см. в разделе Использование командной строки для управления AOS.
Рекомендации
Ниже перечислены рекомендации по администрированию безопасности среды Microsoft Dynamics AX:
-
Все учетные записи пользователей Microsoft Dynamics AX должны быть собраны в правильно настроенных закрытых группах пользователей. Пользователям Microsoft Dynamics AX не требуется иметь административные привилегии по домену. Кроме того, в соответствии с принципом наименьших привилегий любой пользователь, использующий систему Microsoft Dynamics AX, должен иметь минимальные права. Это определяется на уровне домена. Учетная запись пользователя домена должна создаваться и использоваться для работы с системой Microsoft Dynamics AX.
-
Если вы не уверены, разрешать ли доступ к определенному элементу, оставьте разрешения на уровне . Лучше запретить доступ к элементу и предложить пользователю запросить разрешение для своей группы, нежели предоставить разрешение доступа к области, к которой группе обращаться не следует.
-
Ограничивайте число пользователей, являющихся членами группы Администраторы, которые по умолчанию имеют доступ ко всем полям, таблицам, отчетам и модулям Microsoft Dynamics AX. Пользователи, ставшие членами группы Администраторы, потенциально могут просмотреть отчеты или данные, к которым они не должны иметь доступа, или изменить конфигурации и деловую логику системы. Рекомендуется назначать членами группы Администраторытолько тех пользователей, которые настраивают и управляют Microsoft Dynamics AX. Права доступа в группе Администраторыне могут быть изменены.
-
Чтобы определить уровни разрешений, обратитесь к менеджерам, наблюдающим за разными группами в вашей компании или организации. Например, обратитесь к менеджеру в финансовом отделе, чтобы определить уровни разрешений для финансовой группы или групп. Менеджер знает, какие группы должны иметь доступ к элементам, таким как Главная книгаи Банк, включая разрешения на доступ к дочерним узлам.
-
Никогда не используйте пароли, общие для всей системы или домена. Например, администратор, ответственный за два домена, может создать в каждом из них учетные записи администратора домена с одним паролем и даже задать один и тот же пароль для локальных администраторов на всех компьютерах домена. В этом случае нарушение безопасности одной учетной записи или компьютера может подорвать безопасность всего домена. Использовать общий пароль для многих элементов системы недопустимо.
-
Учетные записи служб никогда не должны быть учетными записями администратора домена, и их полномочия должны быть максимально ограничены. Учетные записи администратора домена обычно используются как учетные записи служб для таких общих служб, как архивация системы. Однако это рискованно для безопасности системы, поскольку в этом случае пароль администратора домена должен быть сохранен, или кэширован, на каждом локальном компьютере, где работает данная служба. Пароль может легко узнать любой пользователь с административными правами на данном компьютере. Такое нарушение безопасности всего на одном компьютере может подорвать безопасность целого домена. Учетные записи служб никогда не должны быть учетными записями администратора домена, и их полномочия должны быть максимально ограничены.
-
После изменения разрешений для группы пользователей, особенно при понижении уровня разрешений, следует перезапустить сервер. Если не перезапустить сервер, члены группы могут сохранить свои прежние разрешения до следующей перезагрузки сервера.
-
Перед изменением разрешений предложите членам группы выйти из Microsoft Dynamics AX и сообщите всем пользователям Microsoft Dynamics AX о перезагрузке сервера. При необходимости перед изменением разрешений группы пользователей выберите пользователей в ( > Обычные формы> ) и щелкните .
Для получения дополнительных сведений см. раздел Удаление пользователей.