Microsoft Dynamics C5 Security Guide DK
INDHOLDSFORTEGNELSE Indledning... 3 Gennemgang af sikkerhedsstrukturen i Microsoft Dynamics C5.... 3 Grundlæggende begreber... 3 Windows sikkerhedsstruktur... 3 UAC (User Account Control)... 4 WOW64 (Windows on Windows på 64-bit Windows Vista og Windows 7)... 5 Microsoft Dynamics C5... 5 todelt installation... 6 Sikkerhedssystemet i Microsoft Dynamics C5... 7 Kryptering og Passwords... 8 Første opstart af Microsoft Dynamics C5... 9 Menuen Adgangskontrol i Microsoft Dynamics C5... 12 Brugere og grupper... 13 Opsætning Windows Authentication... 13 Synkronisering fra C5 til Windows... 14 Fil-rettigheder i C5... 16 Brugerprofiler... 18 Koder... 18 Sikkerhedsindstillinger/Rettigheder... 18 Installations Scenarier... 20 Enkeltbruger installation (single-user)... 20 Lokalt netværk (peer-to-peer)... 20 Domæne baseret (domain eller active directory)... 23 Generelt om sikkerhed... 25 Operativsystem... 25 Netværk/Internet... 25 Adgangs kontrol og rettigheder... 26 Backup... 26 Microsoft Dynamics C5 2012 : Security Guide DK 2
INDLEDNING Dette dokument henvender sig primært til Microsoft Dynamics C5 systemudviklere og andre med teknisk indsigt, som beskæftiger sig med Microsoft Dynamics C5 og EDB sikkerhed. Dokumentet er opdelt i en del, som omhandler ændringer i Microsoft Dynamics C5 s sikkerhedsstruktur, og en del med mere generelle anbefalinger omkring sikkerhed. Gennemgangen af C5 s sikkerhedsstruktur er baseret på Microsoft Dynamics C5 2012 installeret på en computer med en engelsksproget version af Windows 7 Enterprise. GENNEMGANG AF SIKKERHEDSSTRUKTUREN I MICROSOFT DYNAMICS C5. Microsoft Dynamics C5 2012 kerne anvender Windows Authentication til at validere brugeren, som starter C5. I Microsoft Dynamics C5 er Windows sikkerhedssystemet anvendt til både at validere C5 brugeren på basis af brugerens Windows brugernavn og denne brugers rettigheder til mappen, hvori C5 er installeret. C5 kernen mapper Windows brugeren, som starter C5, til den interne C5 bruger, som via de interne C5 brugergrupper har rettigheder i C5. Den interne sikkerhedsstruktur i C5 er stort set uændret i forhold til tidligere versioner af C5. GRUNDLÆGGENDE BEGREBER WINDOWS SIKKERHEDSSTRUKTUR I Windows operativsystemet styres adgangskontrol og brugerrettigheder af 2 hovedelementer: Windows brugernavne og Windows gruppenavne. Når en bruger logger på Windows, gøres dette med et brugernavn (alias) og en dertilhørende adgangskode (password). I Windows findes en række brugergrupper, som brugeren kan være medlem af. En brugers medlemskab af forskellige brugergrupper afgør, hvilke rettigheder en bruger har i Windows. I Windows findes en række indbyggede brugere og brugergrupper, som altid er til stede, og som ikke kan slettes. Et eksempel herpå er brugeren Administrator og brugergruppen Administrators. Microsoft Dynamics C5 2012 : Security Guide DK 3
Et andet eksempel er brugergruppen Users, som alle brugere, som oprettes i Windows, automatisk bliver medlem af. Ud over de indbyggede brugere og brugergrupper, er det også muligt at tilføje yderligere brugere og brugergrupper. I filsystemet i Windows (harddisken) tildeles brugerne rettigheder på basis af deres medlemskab af brugergrupper og disse brugergruppers tildelte adgangsrettigheder på filer og mapper. På denne måde kan to forskellige brugere af en computer under normale forhold ikke tilgå hinandens filer i mappen Documents. UAC (USER ACCOUNT CONTROL) På Windows Vista, Windows Server 2008, Windows 7 og Windows Server 2008 R2 er der indført et nyt sikkerhedsbegreb UAC (User Account Control). Under UAC afvikles alle programmer og processer med lavest mulige rettigheder, for at gøre det sværere at kompromittere operativsystemet. Dette betyder at en bruger, som er Lokal Administrator, som hovedregel afvikler sine programmer som ikke-privilegeret bruger. Når en Lokal Administrator, skal afvikle programmer eller udføre processer, som kræver administrative rettigheder, vil brugeren blive mødt med en elevations dialog, som beder om brugerens tilladelse til at fortsætte. Efterfølgende startes et nyt program eller en ny proces, med Administrator privilegier, hvori den Lokale Administrator kan udføre de handlinger, som kræver Administrator privilegier. Når den/de ønskede handling(er) er afsluttet, lukkes eller afsluttes det eleverede program eller den eleverede proces, og den Lokale Administrator afviklers igen som ikke privilegeret bruger. Microsoft Dynamics C5 2012 : Security Guide DK 4
Bemærk: Dette har betydning for C5 s mulighed for at kunne oprette Windows brugergrupper, tilføje brugere til eller fjerne brugere fra Windows brugergrupper. Hvis der i C5 skal foretages administration af brugere og grupper skal C5 startes med Administrator privilegier. Dette gøres ved at højreklikke på C5 ikonet og vælge Run as Administrator. Se billede nedenfor: Et eksempel på dette er når man skal indlæse koder i C5, og integrationen til Windows Authentication efterfølgende automatisk initialiseres. WOW64 (WINDOWS ON WINDOWS PÅ 64-BIT WINDOWS VISTA OG WINDOWS 7) Microsoft Dynamics C5 er et 32-bit program. På 64-bit Windows platforme afvikles 32- bit programmer i et emuleret x86 miljø inklusiv et separat område i registreringsdatabasen. I 64-bit Windows Vista/Windows 7 findes mange hjælpeprogrammer i både 32-bit og i 64-bit versioner. Ikke alle 32-bit versioner af hjælpeprogrammer er umiddelbart tilgængelige. Nogle kan tilgås i kontrolpanel, andre, heriblandt 32-bit ODBC administrator skal findes i %systemdrive%\windows\syswow64. MICROSOFT DYNAMICS C5 C5 anvender i lighed med Windows tilsvarende C5 brugere og C5 brugergrupper. I den nye Microsoft Dynamics C5 skal en Windows bruger, som ønsker at starte C5, være oprettet som C5 bruger i C5. Findes Windows brugeren ikke i C5 s bruger database, kan C5 ikke startes op. Eneste undtagelse fra denne regel er, at medlemmer af Windows Microsoft Dynamics C5 2012 : Security Guide DK 5
brugergruppen Administrators kan starte C5. Dette kan dog kræve at brugeren kender adgangskoden for den interne C5 administrator, som har C5 brugernavnet Supervisor. Når C5 er startet, bestemmes C5 brugerens rettigheder i C5 af C5 brugerens medlemskab af C5 brugergrupper og de rettigheder, som C5 brugergrupperne er blevet tildelt til C5 databasen, C5 processer og C5 brugerprofiler. Administration af Brugere, Grupper og Rettigheder i Microsoft Dynamics C5 tilgås fra menuen Adgangskontrol under Generelt\Tilpasning. Se afsnittet Menuen Adgangskontrol i Microsoft Dynamics C5. TODELT INSTALLATION Microsoft Dynamics C5 installeres til 2 mapper: Program Files og ProgramData. Dette er gjort for at overholde Windows politik for installation i mappen Program Files. Ændringen øger også C5 installationens sikkerhed. Begge mapper Program Files og ProgramData tilhører gruppen af velkendte mapper i Windows. Dette betyder at C5 på 32-bit platform og 64-bit platform ikke installeres til helt samme mapper. Nedenfor vises en tabel, som viser placeringen af mapperne på henholdsvis 32 bit Windows Vista/Windows 7 og 64 bit Windows Vista/Windows 7, hvor Windows er installeret på C drevet. Program Files ProgramData Filer 32 bit Windows Vista/Windows 7 64 bit Windows Vista/Windows 7 Kerner, DLL er ODBC-driver C:\Program Files\ C:\Program Files (x86) Resten af C5 installationen C:\ProgramData C:\ProgramData ProgramData mappen på Windows Vista og Windows 7 er som standard skjulte mapper. For brugere, som vedligeholder og/eller tager backup af C5, bør mappen ProgramData gøres synlig ved at ændre de grundlæggende indstillinger for visning i Explorer: Microsoft Dynamics C5 2012 : Security Guide DK 6
SIKKERHEDSSYSTEMET I MICROSOFT DYNAMICS C5 Sikkerhedssystemet i Microsoft Dynamics C5 virker ved at der sker en mapning mellem Windows brugere og C5 brugere, og Windows brugergrupper og C5 brugergrupper. Standard opsætningen af C5 tjekker at brugere som oprettes i C5, også eksisterer i Windows sikkerhedssystemet. Tilsvarende tjekkes om brugergrupper, som oprettes i C5, også eksisterer i Windows sikkerhedssystemet. Hvis brugergruppen ikke eksisterer i Windows sikkerhedssystemet, tilbyder C5 at oprette den tilsvarende Windows brugergruppe. Dette kræver dog at brugeren som afvikler C5, også har de fornødne rettigheder som Windows bruger. Dette vil i praksis sige at brugeren skal være medlem af Windows brugergruppen Administrators. Standardopsætningen af Microsoft Dynamics C5 indeholder 2 C5 brugergrupper. Det er administratorgruppen C5Administrators, som C5 brugeren Supervisor er medlem af, og C5 brugergruppen C5Users, som er beregnet til almindelige brugere af C5. I C5 har C5Administrators fulde rettigheder til alt, mens C5Users har begrænsede rettigheder, som ikke tillader brugeren at udføre administrations- eller udviklingsopgaver. Microsoft Dynamics C5 2012 : Security Guide DK 7
Bemærk: C5 administratorer skal være opmærksom på at C5 brugergruppen C5Users er blevet tildelt rettigheden QTEDIT for tillade adgang til dokumentstyringsfunktionaliteten i C5. I Windows er Windows brugergrupperne C5Administrators og C5Users tildelt læse- og skrive-rettigheder til mappen, hvori C5 applikationen er installeret. KRYPTERING OG PASSWORDS Begyndende med Microsoft Dynamics C5 2010 er der sket en løbende opdatering af sikkerhedsmekanismerne i Microsoft Dynamics C5. Dette medfører følgende ændringer i Microsoft Dynamics C5 2012 i forhold til tidligere versioner: Mulighed for at kryptere inhold af password beskyttede tabeller er blevet fjernet. Kryptering på password beskyttede tabeller fjernes af kernen, hvis krypterede tabeller forefindes. Brugeren informeres via dialog efter password på tabellen er indtastet. Mulighed for at exportere/importere applikationselementer med kryptering er blevet fjernet. Mulighed for at exportere/importere data krypteret ved hjælp af WRITE AS ENCRYPTED /READ AS ENCRYPTED er blevet fjernet. Mulighed for at kryptere data med eksisterende funktionskald SysInfo(5013) er blevet fjernet. Mulighed for at dekryptere data med eksisterende funktionskald SysInfo((5014) er blevet fjernet. Password håndtering er blevet opdateret. Eksisterende passwordbeskyttede dele af C5 vil stadig valideres med gammelt password, men brugeren opfordres til at opgradere passwordet ved at genindtaste passwordet (næste 2 billeder): Microsoft Dynamics C5 2012 : Security Guide DK 8
FØRSTE OPSTART AF MICROSOFT DYNAMICS C5 Som nævnt ovenfor skal en Windows bruger, som ønsker at starte C5, være oprettet som C5 bruger i C5. For at kunne installere C5, er det nødvendigt at brugeren har Administrator rettigheder. Dette betyder at brugeren skal være medlem af Windows brugergruppen Administrators. Første gang C5 startes eksisterer brugeren endnu ikke som C5 bruger. Brugeren tillades adgang til C5 på basis af sit medlemskab af Windows brugergruppen Administrators. Ved nyinstallation er der ikke password på brugeren Supervisor. Det anbefales kraftigt at man efterfølgende sætter password på C5 brugeren Supervisor. Dette gøres under menupunktet Generelt\Tilpasning\Adgangskontrol\Brugere og grupper Se afsnittet Menuen Adgangskontrol i Microsoft Dynamics C5. Såfremt der er sat password på brugeren Supervisor vil brugeren blive mødt med følgende dialogboks: Ved første opstart af C5 på Windows Vista/Windows 7 skal C5 startes ved at højre-klikke på C5 ikonet og vælge Run as Administrator Microsoft Dynamics C5 2012 : Security Guide DK 9
Når C5 starter op spørges brugeren om der skal indlæses koder. Hvis der svares Ja, og koder indlæses, afvikles efterfølgende en kørsel, som tjekker at Windows brugergrupperne C5Administrators og C5Users eksisterer. Efterfølgende tilbyder C5 at oprette brugeren som C5 bruger: Hvis man svarer Ja til dialogboksen, bliver brugeren oprettet i C5 som C5 bruger, og bliver tilknyttet C5 brugergruppen C5Users og bliver tildelt rettigheden til at kunne skifte til C5 brugeren Supervisor, som er Administrator i C5. Samtidig bliver brugeren indmeldt i Windows brugergrupperne C5Administrators og C5Users. For at ændringerne til sikkerheds systemerne i Windows kan træde i kraft, skal C5 afsluttes og Windows genstartes: Microsoft Dynamics C5 2012 : Security Guide DK 10
Når brugeren så næste gang starter C5, bliver brugeren valideret på baggrund af sit Windows brugernavn. Herefter kan C5 sættes op via forskellige wizards mere herom i dokumentet Kom nemt i gang. Microsoft Dynamics C5 2012 : Security Guide DK 11
MENUEN ADGANGSKONTROL I MICROSOFT DYNAMICS C5 Administration af Brugere, Grupper og Rettigheder i Microsoft Dynamics C5 tilgås fra menuen Adgangskontrol under Generelt\Tilpasning. Bemærk: Hvis der i C5 skal foretages administration af brugere og grupper skal C5 startes med Administrator privilegier. Dette gøres ved at ved at højre-klikke på C5 ikonet og vælge Run as Administrator. Se billede nedenfor: Adgangskontrol er noget af det første, der skal tilpasses, når flere brugere skal have adgang til C5. Adgangskontrollen har til formål at beskytte og begrænse adgangen til virksomhedens data. Man kan således forhindre, at uvedkommende får adgang til systemet, og sikre sig, at kun relevante grupper af brugere har mulighed for at se, ændre, oprette og slette i kartoteker samt benytte applikationens forskellige funktioner/elementer. Adgangskontrollen er baseret på en række grupper, som har adgang til data, processer og applikationsdele. Den enkelte bruger tilknyttes en række grupper og har dermed rettigheder, der modsvarer disse gruppers rettigheder. Dvs. det er gruppen, der bestemmer, hvad den enkelte bruger har adgang til. Microsoft Dynamics C5 2012 : Security Guide DK 12
Adgangskontrollen baserer sig på processen Bruger-rettigheder. Denne proces beskrives udførligt i Teknisk reference manual i kapitlet: Bruger-rettigheder. Vedligeholdelsen af adgangskontrollen foretages under Generelt/Tilpasning/Adgangskontrol og er opdelt i følgende menupunkter. BRUGERE OG GRUPPER Menupunktet benyttes til oprettelse og vedligeholdelse af brugere og grupper, herunder hvilke brugere, der er medlem af de enkelte grupper. Funktionen kan også aktiveres i Udviklingsmenuen under DBD/Diverse. Formen indeholder i forhold til tidligere versioner 3 nye lokalmenupunkter, som er beskrevet i de følgende 3 underafsnit: OPSÆTNING WINDOWS AUTHENTICATION I dette menupunkt opsættes integrationen mellem C5 og sikkerhedssystemet i Windows. Standard er, at integration til Windows Authentication er slået til. I konfigurationer, hvor C5 kun bruges på én computer (single-user), vil opsætningen af C5 brugere og deres tilhørsforhold til C5 brugergrupper blive afspejlet i /replikeret til brugergrupperne i Windows. En forudsætning er dog, at C5 brugeren som Windows bruger, har Administrator rettigheder på computeren, hvorpå C5 er installeret. Når en C5 bruger oprettes i C5, tjekkes der på om brugeren også eksisterer i Windows sikkerhedssystemet. Microsoft Dynamics C5 2012 : Security Guide DK 13
Hvis en C5 brugergruppe oprettes i C5, tjekkes der på om brugergruppen også eksisterer i Windows sikkerhedssystemet. Hvis brugergruppen ikke eksisterer i Windows sikkerhedssystemet, foreslår C5 at oprette den tilsvarende brugergruppe i Windows. Hvis en C5 brugergruppe omdøbes, foreslår C5 at omdøbe den tilsvarende brugergruppe i Windows. Hvis en C5 brugergruppe slettes, foreslår C5 ikke at slette den tilsvarende Windows brugergruppe. Dette skal gøres manuelt af en Windows bruger med Administrator rettigheder. Når en C5 bruger tilføjes eller fjernes fra en C5 brugergruppe, tilføjes og fjernes den tilsvarende Windows bruger også fra den tilsvarende Windows brugergruppe. Hvis C5 køres over lokalnetværk (peer-to-peer), er det nødvendigt at slå dele af integrationen til Windows Authentication fra. Se senere afsnit om dette. Under konverteringer eller andre forhold, hvor et større antal brugere skal håndteres, kan det ligeledes være praktisk at slå Windows Authentication fra, og efterfølgende synkronisere fra C5 til Windows med menupunktet: Synkronisering fra C5 til Windows SYNKRONISERING FRA C5 TIL WINDOWS Dette menupunkt laver en synkronisering af den samlede opsætning af C5 brugere og C5 brugergrupper fra C5 til Windows. Under kørslen gennemløbes C5 brugergrupper, C5 brugere og C5 brugernes medlemskab af C5 brugergrupper. Hvis der har været ændringer i sikkerhedsopsætningen vises følgende dialogboks: Microsoft Dynamics C5 2012 : Security Guide DK 14
Man skal efterfølgende huske at man skal logge ud af Windows og logge på igen før eventuelle ændringer i brugerens egne rettigheder slår igennem. Microsoft Dynamics C5 2012 : Security Guide DK 15
FIL-RETTIGHEDER I C5 Dette menupunkt tildeler C5Users og yderligere brugeroprettede C5 brugergrupper læse- og skrive-rettigheder til mappen hvori C5 er installeret. De grundlæggende adgangsrettigheder til mappen hvori C5 er installeret etableres af installationsprogrammet til C5. Installationsprogrammet etablerer følgende adgangsrettigheder: Administrators: SYSTEM: C5Administrators: C5Administrators: C5Users: C5Users: Full Read Write Read Write Full Dette sikrer at det kun brugere, som er medlem af ovenstående Windows brugergrupper, som har adgang til fil-mappen hvori C5 er installeret. Bemærk. Det er dog vigtigt at forstå at medlemmer af ovenstående Windows brugergrupper har rettigheder til at kunne ændre/beskadige en C5 installation. Windows brugergrupperne C5Administrators og C5Users er tildelt minimum rettigheder for at kunne afvikle C5. Medlemmer af Windows brugergrupperne C5Administrators og C5Users kan ikke slette filer i C5 installations mappen, som brugeren ikke selv har oprettet, men kan modificere/beskadige filer i C5 installations mappen. Microsoft Dynamics C5 2012 : Security Guide DK 16
I nogle tilfælde kan det være nødvendigt at øge Windows brugergruppen C5Administrators rettigheder til installationsmappen og underliggende filer og undermapper. Microsoft Dynamics C5 2012 : Security Guide DK 17
BRUGERPROFILER Menupunktet benyttes til at vise/skjule menupunkter og vise/skjule databasefelter, som er relevante for de enkelte C5 brugergrupper. KODER Indtastning af koder til oplåsning af program- eller applikationsmoduler. Funktionen kan også aktiveres i Udviklingsmenuen under DBD/Diverse. Det er vigtigt at indtaste koderne nøjagtigt, som de er blevet oplyst. Når en kode er indtastet korrekt, markeres dette med et flueben udfor koden og giver dermed adgang til program- eller applikationsmodulet. En manglende eller forkert kode markeres med "!" udfor koden, og der er ikke adgang til program- eller applikationsmodulet. Det skal bemærkes, at Microsoft Dynamics C5 skal lukkes ned og genstartes, før de indtastede koder har effekt. SIKKERHEDSINDSTILLINGER/RETTIGHEDER Menupunktet benyttes til vedligeholdelse af de enkelte gruppers rettigheder til: Kartoteker Processer Applikationselementer Funktionen kan også aktiveres i Udviklingsmenuen under DBD/Diverse. Microsoft Dynamics C5 2012 : Security Guide DK 18
Det aktuelle menupunkt giver en oversigt over en gruppes rettigheder til alle elementerne under ét. Derfor anbefales det at benytte dette menupunkt til opsætning og kopiering af gruppers rettigheder. Microsoft Dynamics C5 2012 : Security Guide DK 19
INSTALLATIONS SCENARIER Der findes 3 grundlæggende installations/afviklings scenarier for C5: Enkeltbruger installation (single-user) Lokalt netværk (peer-to-peer) Domæne baseret (domain eller active directory) Fælles for alle 3 scenarier gælder at de alle starter som en enkeltbruger installation via C5 installationsprogrammet. I det følgende beskrives specielle forhold omkring hvert af scenarierne. Der tages udgangspunkt i formen Generelt/Dagligt/Adgangskontrol/Brugere og grupper ENKELTBRUGER INSTALLATION (SINGLE-USER) Enkeltbruger installation dækker også over scenariet, hvor flere brugere af den samme computer skal kunne starte C5. I dette scenarium eksisterer alle Windows brugere kun i det lokale Windows sikkerhedssystem på computeren. I C5 vil lokale Windows brugere kunne oprettes på 2 forskellige måder. Brugeren kan i C5 repræsenteres ved sit Windows alias eller med et computer-kvalificeret navn computername\alias. Da alle Windows brugere og brugergrupper eksisterer på samme Windows sikkerhedssystem, kan alle funktioner i menupunktet Opsætning Windows Authentication være slået til. LOKALT NETVÆRK (PEER-TO-PEER) I lokalt netværks installation befinder Windows brugere og brugergrupper sig i adskilte Windows sikkerhedssystemer, som ikke har mulighed for at validere hinandens brugere. Microsoft Dynamics C5 2012 : Security Guide DK 20
For at kunne dele filer skal alle brugere være oprettet i Windows sikkerhedssystemet på den computer, som filerne deles fra. Der ud over skal den enkelte bruger være oprettet i Windows sikkerhedssystemet på sin lokale computer. Da Windows sikkerhedssystemet på den enkelte computer kun kan administrere egne Windows brugere og brugergrupper, er det ikke muligt at bruge C5 s integration til automatisk vedligeholdelse af Windows brugere og brugergrupper. Alle funktioner i menupunktet Opsætning Windows Authentication skal således være slået fra. En simpel opsætning af brugere kunne se således ud: Det anbefales at kvalificere brugernavne med computernavn, men det er ikke strengt nødvendigt. Bemærk: Hvis brugere er oprettet på flere computere med samme alias og brugernavne i C5 er oprettet uden computernavn-kvalificerede navne, vil C5 ikke kunne kende forskel på 2 brugere med samme alias, som starter C5 fra forskellige computere. I det omfang C5 benytter check på medlemskab af Windows brugergrupper til validering af privilegier, kan dette kun foregå imod lokale Windows brugergrupper på den enkelte computer. Dette er f.eks. tilfældet med rettigheden til at kunne skifte bruger til Supervisor. Microsoft Dynamics C5 2012 : Security Guide DK 21
Menupunkterne Synkronisering fra C5 til Windows og Fil-rettigheder i C5 kan i begrænset omfang bruges til at replikere sikkerhedsopsætningen i C5 ud på de lokale computere. Der vil opstå fejl i de situationer, hvor Windows sikkerhedssystemet på den enkelte computer ikke kan opløse en Windows bruger, som hører til i Windows sikkerhedssystemet på en anden computer. I ovenstående eksempel fejler synkroniseringen for den fremmede Windows bruger C5- VPC2\User2, mens synkroniseringen lykkes for den lokale Windows bruger C5- VPC1\User1. Microsoft Dynamics C5 2012 : Security Guide DK 22
DOMÆNE BASERET (DOMAIN ELLER ACTIVE DIRECTORY) I et domæne eller active directory baseret netværk er hele Windows sikkerhedssystemet samlet ét sted. Da alle Windows brugere og brugergrupper eksisterer på samme Windows sikkerhedssystem, kan alle funktioner i menupunktet Opsætning Windows Authentication i princippet være slået til. Man skal selvfølgelig også være opmærksom på et det kræver domæne administrator rettigheder at kunne vedligeholde domæne sikkerhedsinformation fra C5. Ofte vil vedligeholdelsen af denne type information blive foretaget i andre værktøjer af en domæne-administrator. I så fald skal alle funktioner i menupunktet Opsætning Windows Authentication være slået fra. Bemærk: Ved domænebaserede installationer anbefales det som udgangs punkt at alle funktioner i menupunktet Opsætning Windows Authentication er slået fra, idet ændringer i domæne grupper kan have konsekvenser for mange domænebrugere. Hvis domænebrugere og domænegrupper vedligeholdes direkte fra C5, bør der altid anvendes domæne-kvalificerede bruger- og gruppenavne, idet ikke-domænekvalificerede bruger- og gruppenavne af C5 opfattes som lokale bruger- og gruppenavne. Af denne grund bør vedligeholdelse af domænebrugere og domænegrupper i C5 ikke foregå fra domæne-serverens (domain controlerens) konsol. C5s Windows Authentication kan ikke skelne mellem fuldt kvalificerede domæne brugernavne/-gruppenavne og fuldt kvalificerede lokale brugernavne/-gruppenavne hvor computernavnet er det samme som domænenavnet. For at imødegå konsekvensen af dette bør der være password på Supervisor på en domænebaseret installation af C5. Som vist ovenfor er C5 brugeren Supervisor tilføjet domænegruppen C5-Domain\C5Administrators. Tilknytningen har den specielle funktion, at der ved test på retten til at skifte til C5 brugeren Supervisor, tjekkes på om brugeren er medlem af én af de Windows brugergrupper, som C5 brugeren Supervisor er medlem af. Tilknytningen Microsoft Dynamics C5 2012 : Security Guide DK 23
af Supervisor til C5-Domain\C5Administrators vil kun kunne gøres med alle funktioner i menupunktet Opsætning Windows Authentication slået fra, da C5 brugeren Supervisor ikke eksisterer som domænebruger. I ovenstående eksempel har C5 brugeren C5-Domain\User1 ret til at skifte til Supervisor, hvis Windows brugeren C5- Domain\User1 er tilføjet Windows brugergruppen C5-Domain1\C5Administrators. En simplere opsætning kunne være at omdøbe de eksisterende C5 brugergrupper C5Administrators og C5Users til C5-Domain\C5Administrators og C5-Domain\C5Users. Som ovenfor vil medlemsskab af Windows brugergruppen C5-Domain\C5Administrators give mulighed for at kunne at en C5 bruger kan sættes op til at kunne skifte til Supervisor uden at være lokal administrator på domæne eller klient. Microsoft Dynamics C5 2012 : Security Guide DK 24
GENERELT OM SIKKERHED OPERATIVSYSTEM Den grundlæggende beskyttelse af Microsoft Dynamics C5 installation og data skal foregå ved at operativsystem og hardware beskyttes mod indtrængen udefra. For enkeltbruger installationer af Microsoft Dynamics C5 i SOHO (Small Office and Home Office) konfigurationer opnås dette simplest ved at følge anbefalinger fra Microsoft på hjemmesiden: http://www.microsoft.com/danmark/sikkerhed/default.aspx For flerbruger installationer af Microsoft Dynamics C5 i netværk gælder for de enkelte computere (klient computere og servere) samme retnings linjer som nævnt ovenfor. For flerbruger installationer kan opnåelse af optimalt sikkerheds beredskab være meget komplekst. Til validering af sikkerheds niveau på enkelte eller flere computere ad gangen kan man eventuelt anvende Microsoft Baseline Security Analyzer, som kan downloades på hjemmesiden: http://www.microsoft.com/technet/security/tools/mbsahome.mspx Dette værktøj kan validere både klient og server operativsystemer samt en række server komponenter som for eksempel IIS (Internet Information Server) og MS SQL Server. NETVÆRK/INTERNET For enkeltbruger installationer af Microsoft Dynamics C5 i SOHO (Small Office and Home Office) konfigurationer vil største usikkerheds faktor være forbindelsen til Internettet. Ud over software baseret firewall, som anbefales til beskyttelse af den enkelte computer, vil anvendelse af dedikeret fysisk firewall, firewall funktionalitet indbygget i router eller for eksempel MAC adresse filtrering på Wireless Access Points være forholdsregler, som vil mindske eksponeringen af computeren mod Internettet. Microsoft Dynamics C5 2012 : Security Guide DK 25
For flerbruger installationer af Microsoft Dynamics C5 i netværk gælder i princippet det samme som nævnt ovenfor. Her bør datasikkerhed generelt planlægges i samarbejde med EDB leverandør og/eller firmaer specialiseret i EDB sikkerhed. ADGANGS KONTROL OG RETTIGHEDER For adgangs kontrol gælder både for enkeltbruger og flerbruger installationer, at adgang til både computeren og Microsoft Dynamics C5 bør være beskyttet med brugernavn og password. Passwords bør bestå af både almindelige bogstaver, specialtegn og tal. Passwords bør skiftes med regelmæssige mellemrum. For adgangsrettigheder gælder både for enkeltbruger og flerbruger installationer, at brugeren ikke bør tildeles flere adgangsrettigheder end krævet for at kunne udføre sine gøremål. Selv på en enkelbruger installation bør man ikke have administrator rettigheder under daglig brug. For Microsoft Dynamics C5 gælder kun, at brugeren skal have læse og skrive rettigheder til den folder, hvori Microsoft Dynamics C5 er installeret. Som nævnt under netværk bør datasikkerhed for flerbruger installationer generelt planlægges i samarbejde med EDB leverandør og/eller firmaer specialiseret i EDB sikkerhed. BACKUP En meget væsentlig del af sikkerhedsberedskabet for både enkeltbruger og flerbruger installationer af Microsoft Dynamics C5 er Backup eller sikkerhedskopiering. Korrekt udført sikkerhedskopiering er den væsentligste forudsætning for at forretningskritiske data kan gendannes efter brand, tyveri eller computer nedbrud med et minimum af datatab. Sikkerhedskopiering bør foretages dagligt på Microsoft Dynamics C5 installationer, hvor data ændres dagligt. I alle andre situationer bør sikkerhedskopiering foretages mindst én gang om ugen. Denne version af Microsoft Dynamics C5 indeholder et lille Backup program, som er beregnet til at lette Backup af C5 for mindre virksomheder, som ikke allerede foretager regelmæssig Backup. Se særskilt dokumentation for dette værktøj. Microsoft Dynamics C5 2012 : Security Guide DK 26
For sikkerhedskopiering bør der være lagt en strategi for daglig opbevaring, rotation af datamedier, udskiftning af datamedier og arkivering af enkelte medier eksternt. Det bør jævnligt sikres at sikkerhedskopier kan genindlæses fra medier. Genindlæsning skal dog foretages på test computer eller alternativ placering på original computer for at forhindre at Microsoft Dynamics C5s data bliver overskrevet med gamle data. Som tidligere nævnt bør datasikkerhed for flerbruger installationer generelt planlægges i samarbejde med EDB leverandør og/eller firmaer specialiseret i EDB sikkerhed. Microsoft Dynamics C5 2012 : Security Guide DK 27
Microsoft Dynamics is a line of integrated, adaptable business management solutions that enables you and your people to make business decisions with greater confidence. Microsoft Dynamics works like and with familiar Microsoft software, automating and streamlining financial, customer relationship and supply chain processes in a way that helps you drive business success. U.S. and Canada Toll Free 1-888-477-7989 Worldwide +1-701-281-6500 www.microsoft.com/dynamics The information contained in this document represents the current view of Microsoft Corporation on the issues discussed as of the date of publication. Because Microsoft must respond to changing market conditions, this document should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information presented after the date of publication. This White Paper is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED, OR STATUTORY, AS TO THE INFORMATION IN THIS DOCUMENT. Complying with all applicable copyright laws is the responsibility of the user. Without limiting the rights under copyright, no part of this document may be reproduced, stored in or introduced into a retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying, recording, or otherwise), or for any purpose, without the express written permission of Microsoft Corporation. Microsoft may have patents, patent applications, trademarks, copyrights, or other intellectual property rights covering subject matter in this document. Except as expressly provided in any written license agreement from Microsoft, the furnishing of this document does not give you any license to these patents, trademarks, copyrights, or other intellectual property. 2011 Microsoft Corporation. All rights reserved. Microsoft, the Microsoft Dynamics Logo, BizTalk, FRx, Microsoft Dynamics,..NET Framework, SharePoint, Visual Basic, Visual C++, Visual SourceSafe, Visual Studio, Windows, and Windows Server are either registered trademarks or trademarks of Microsoft Corporation, FRx Software Corporation, or Microsoft Business Solutions ApS in the United States and/or other countries. Microsoft Business Solutions ApS and FRx Software Corporation are subsidiaries of Microsoft Corporation. Microsoft Dynamics C5 2012 : Security Guide DK 28