Microsoft Dynamics GP. Beveiliging voorbereiden

Microsoft Dynamics™ GP

Beveiliging voorbereiden

Copyright

Copyright © 2005 Microsoft Corporation. Alle rechten voorbehouden. Het is de verantwoordelijkheid van de gebruiker aan alle van toepassing zijnde auteursrechtwetten te voldoen. Zonder de rechten met betrekking tot auteursrechten te beperken mag geen enkel deel van dit document worden gereproduceerd, opgeslagen of ingevoerd in een systeem voor het ophalen van informatie, of overgebracht in enige vorm of op enige wijze (elektronisch, mechanisch, door middel van fotokopieën, opname of anderszins) of voor enig doel, zonder de uitdrukkelijke geschreven toestemming van Microsoft Corporation. Niettegenstaande het voorgaande mag degene die een licentie heeft voor de software die bij dit document is geleverd, een redelijk aantal kopieën van dit document maken om enkel intern te worden gebruikt.

Merken

Microsoft, Dexterity, Microsoft Dynamics, Visual Basic, Windows en Windows Server zijn gedeponeerde merken of merken van Microsoft Corporation of dochterbedrijven in de Verenigde Staten en/of andere landen. FairCom en c-tree Plus zijn merken van FairCom Corporation en zijn gedeponeerd in de Verenigde Staten en andere landen. De namen van bedrijven en producten die hier worden genoemd zijn wellicht merken of gedeponeerde merken (in de Verenigde Staten en/of andere landen) van hun respectievelijke eigenaren. Tenzij anders is aangegeven, zijn de gebruikte e-mailadressen, logo's en gebeurtenissen en de namen van bedrijven, organisaties, producten, domeinen, mensen en plaatsen fictief. Ze zijn geenszins bedoeld om werkelijke bedrijven, organisaties, producten, domeinnamen, emailadressen, logo's, mensen, plaatsen of gebeurtenissen voor te stellen, noch om een dergelijke associatie te impliceren.

Intellectueel eigendom

Microsoft bezit mogelijk patenten, gepatenteerde toepassingen, merken, auteursrechten of andere rechten met betrekking tot intellectueel eigendom voor bepaalde zaken die in dit document worden genoemd. Tenzij uitdrukkelijk anders vermeld in een schriftelijke licentieovereenkomst van Microsoft verschaft de inhoud van dit document u geen licentie voor deze patenten, merken, auteursrechten of ander intellectueel eigendom.

Afstand van garantie

Microsoft Corporation wijst alle garantie van de hand met betrekking tot de voorbeeldcode in deze documentatie, waaronder de garanties voor verkoopbaarheid en geschiktheid voor een bepaald doel.

Beperking van aansprakelijkheid

De inhoud van dit document is alleen bedoeld ter informatie, kan zonder voorafgaande kennisgeving worden gewijzigd en moet niet worden opgevat als een toezegging door Microsoft Corporation. Microsoft Corporation is niet verantwoordelijk of aansprakelijk voor mogelijke fouten of onnauwkeurigheden in dit document. Microsoft Corporation of personen die betrokken zijn geweest bij de totstandkoming, productie of aflevering van deze documentatie zijn niet aansprakelijk voor enige indirecte, incidentele, speciale, morele of gevolgschade, inclusief maar niet beperkt tot enig verlies van verwachte winst of voordelen, die het resultaat is van deze documentatie of voorbeeldcode.

Gebruiksrechtovereenkomst Gebruik van dit product valt onder een gebruiksrechtovereenkomst die wordt geleverd bij het product. Neem contact op met Microsoft Dynamics GP Customer Assistance Department via 800-456-0025 (in de Verenigde Staten of Canada) of +1-701-281-6500, wanneer u vragen hebt.

Publicatiedatum

Oktober 2005

Inhoud Introductie ................................................................................................................................................... 1 Wat vindt u in dit document .......................................................................................................................1 Symbolen en conventies...............................................................................................................................2 Stuur ons uw commentaar op deze documentatie ..................................................................................2

Hoofdstuk 1: Aanbevolen basisbeveiliging .................................................................. 3 Maatregelen die moeten worden getroffen om deze installatie van Microsoft Dynamics GP te beveiligen ................................................................................................3 Fysieke beveiliging .......................................................................................................................................4 Werknemers ...................................................................................................................................................5 Systeembeheerders .......................................................................................................................................6 Beheer van beveiligingspatches..................................................................................................................6 Microsoft Dynamics GP-servicepacks .......................................................................................................8 Beveiligingspatches voor clients.................................................................................................................8

Hoofdstuk 2: Het besturingssysteem van de server beveiligen ................ 9 Beveiliging van besturingssystemen van servers ....................................................................................9 Verificatie......................................................................................................................................................10 Wachtwoordbeveiliging .............................................................................................................................10 Sterke wachtwoorden................................................................................................................................. 11 Wachtwoordbeleid vaststellen ..................................................................................................................13 Accountvergrendelingsbeleid definiëren ................................................................................................13 Toegangsbeheer...........................................................................................................................................14 Eenmalige aanmelding...............................................................................................................................16 Firewall voor externe beveiliging .............................................................................................................16 ISA Server 2000 ...........................................................................................................................................16 Aanvullende beveiligingsinstellingen van SQL Server 2000................................................................17

Hoofdstuk 3: Beveiliging van het netwerk ................................................................. 19 Strategieën voor netwerkbeveiliging .......................................................................................................19 Draadloze netwerken .................................................................................................................................20 Scenario's voor de beveiliging van netwerken .......................................................................................21

Hoofdstuk 4: Bescherming tegen virussen ................................................................ 25 Overzicht van virussen ..............................................................................................................................25 Soorten virussen..........................................................................................................................................25

B E V E I L I G I N G V O O R B E R E I D E N

i

IN H O U D

Hoofdstuk 5: Microsoft Dynamics GP-beveiliging .............................................. 29 Gebieden waarop beveiligingsinstellingen van invloed zijn ...............................................................29 Toegang tot gegevens verlenen.................................................................................................................30 De manier waarop wachtwoorden worden gebruikt in Microsoft Dynamics GP ............................31 Items waarvoor u beveiliging kunt instellen ..........................................................................................32 Geavanceerde beveiliging..........................................................................................................................33 Veldbeveiliging............................................................................................................................................33 Beveiliging van de toepassing...................................................................................................................33 Microsoft Dynamics GP beveiliging van hulpprogramma's ................................................................34 Infolabels van Office...................................................................................................................................35 Beveiligingsproblemen oplossen ..............................................................................................................36

Hoofdstuk 6: Het Microsoft Dynamics GP-beveiligingsmodel voor databases ..................................................................................................................................... 37 Wachtwoordbeveiliging .............................................................................................................................37 De databaserol DYNGRP...........................................................................................................................37 Een gebruikersaccount toevoegen aan de vaste serverrol SysAdmin.................................................38

Hoofdstuk 7: De belangrijkste taken voor toepassingsbeveiliging .... 39 Gebruikersrecords maken..........................................................................................................................39 Gebruikersrecords verwijderen ................................................................................................................40 Toegang verlenen aan gebruikers.............................................................................................................40 Back-ups maken van databases ................................................................................................................41 Databases herstellen ...................................................................................................................................41 Business Alerts ............................................................................................................................................42 SQL-onderhoud...........................................................................................................................................42 Bedrijven verwijderen ................................................................................................................................42 Gestrande gebruikersaccounts verwijderen ...........................................................................................43

Hoofdstuk 8: Veelgestelde vragen ..................................................................................... 45 Gebruikeraccounts......................................................................................................................................45 Vensters van Microsoft Dynamics GP......................................................................................................45 Beveiliging in Microsoft Dynamics GP....................................................................................................47

ii

B E V E I L I G I N G

V O O R B E R E I DE N

Introductie Gebruik de informatie in dit document als hulp bij het voorbereiden van de beveiliging in Microsoft Dynamics GP. Deze introductie bestaat uit de volgende onderdelen: • • •

Wat vindt u in dit document Symbolen en conventies Stuur ons uw commentaar op deze documentatie

Wat vindt u in dit document Dit document is bedoeld om u te wijzen op acties die u kunt ondernemen om uw gegevens van Microsoft Dynamics GP zo veilig mogelijk te houden. Microsoft Windows®, de basis van Microsoft Dynamics GP, bevat geavanceerde, op standaarden gebaseerde netwerkbeveiligingsvoorzieningen. Grofweg komen bij beveiliging twee factoren bij elkaar: een goede voorbereiding en overweging van compromissen. Een computer kan bijvoorbeeld achter slot en grendel worden bewaard en alleen toegankelijk zijn voor een systeembeheerder. Deze computer is dan wel veilig, maar niet erg bruikbaar omdat er geen verbinding is met andere computers. Het is van belang een goed evenwicht te vinden tussen veiligheid en bruikbaarheid van het netwerk. De meeste organisaties treffen maatregelen tegen aanvallen van buiten en installeren firewalls, maar veel bedrijven vergeten dat ook maatregelen nodig zijn om de schade te beperken als een kwaadwillende gebruiker toch binnendringt door de firewall. Beveiligingsmaatregelen in de bedrijfsomgeving functioneren goed als gebruikers niet al te veel procedures en stappen hoeven uit te voeren om hun bezigheden op een veilige manier uit te voeren. De implementatie van beveiligingsbeleid moet zo eenvoudig mogelijk zijn voor gebruikers. Als het te ingewikkeld is, zoeken ze een minder veilige manier om hun werk te doen. Aangezien de omvang van implementaties van Microsoft Dynamics GP enorm kan verschillen, is het belangrijk om de behoeften van kleinere bedrijven goed te inventariseren en de effectiviteit van beveiliging af te wegen tegen de kosten. Gebruik uw gezonde verstand om een beleid aan te bevelen dat helpt om te voldoen aan beveiligingsvereisten. Dit document is onderverdeeld in de volgende onderwerpen: •

Hoofdstuk 1, Aanbevolen basisbeveiliging, geeft enkele algemene aanbevelingen voor de beveiliging die u kunt opvolgen om de Microsoft Dynamics GP-gegevens zo veilig mogelijk te houden.

•

Hoofdstuk 2, Het besturingssysteem van de server beveiligen, biedt informatie over de beveiliging van serverbesturingssystemen.

•

Hoofdstuk 3, Beveiliging van het netwerk, biedt informatie over beveiliging van het netwerk.

•

Hoofdstuk 4, Bescherming tegen virussen, bevat informatie over de verschillende soorten virussen die er zijn en wat u kunt doen om te voorkomen dat uw computers hiermee worden geïnfecteerd.


1

I N T R O D U C T I E

•

Hoofdstuk 5, Microsoft Dynamics GP-beveiliging, geeft een overzicht van de beveiligingsvoorzieningen van Microsoft Dynamics GP.

•

Hoofdstuk 6, Het Microsoft Dynamics GP-beveiligingsmodel voor databases, geeft informatie over het beveiligingsmodel voor databases van Microsoft Dynamics GP.

•

In Hoofdstuk 7, De belangrijkste taken voor toepassingsbeveiliging, worden de veiligste opties beschreven om veelvoorkomende beveiligingstaken in Microsoft Dynamics GP uit te voeren.

•

Hoofdstuk 8, Veelgestelde vragen, geeft antwoorden op veelgestelde vragen over beveiliging in Microsoft Dynamics GP.

Symbolen en conventies In dit document worden de volgende symbolen gebruikt om uw aandacht te vestigen op informatie. Symbool

Beschrijving Met de gloeilamp worden handige tips, snelle methoden en suggesties aangegeven. Met het waarschuwingssymbool worden situaties aangeduid waaraan u extra aandacht moet schenken wanneer u taken uitvoert.

In dit document worden de volgende conventies gebruikt om te verwijzen naar secties, navigatie en andere informatie. Conventie

Beschrijving

Een batch maken

Een cursief lettertype duidt de naam van een sectie of procedure aan.

Bestand >> Afdrukken Met het symbool (>>) of (>) wordt een opeenvolging van acties aangeduid, zoals het selecteren van items in een menu of op of Bestand > de werkbalk, of het klikken op knoppen in een venster. In dit Afdrukken voorbeeld gaat u eerst naar het menu Bestand en kiest u vervolgens Afdrukken. TAB

of ENTER

Woorden in hoofdletters geven de naam van een toets of toetscombinatie aan.

Stuur ons uw commentaar op deze documentatie Wij zijn zeer geïnteresseerd in uw opmerkingen met betrekking tot de bruikbaarheid van de Microsoft Dynamics GP-documentatie. Als u bepaalde suggesties of opmerkingen hebt naar aanleiding van dit document, vragen wij u uw commentaar via e-mail te versturen naar het volgende adres: [email protected]. Als u opmerkingen over specifieke onderwerpen wilt verzenden vanuit de Helpinformatie, klikt u op de koppeling voor feedback over de documentatie onder aan elk Help-onderwerp. Opmerking: wanneer u suggesties naar Microsoft® verzendt, geeft u Microsoft volledige toestemming deze suggesties op elke gewenste manier te gebruiken.

2


V O O R B E R E I D E N

Hoofdstuk 1:

Aanbevolen basisbeveiliging De volgende informatie bevat aanbevelingen voor de beveiliging. U doet er verstandig aan hiervan kennis te nemen voordat u Microsoft Dynamics GP installeert en configureert. De informatie is onderverdeeld in de volgende onderwerpen: • • • • • • •

Maatregelen die moeten worden getroffen om deze installatie van Microsoft Dynamics GP te beveiligen Fysieke beveiliging Werknemers Systeembeheerders Beheer van beveiligingspatches Microsoft Dynamics GP-servicepacks Beveiligingspatches voor clients

Maatregelen die moeten worden getroffen om deze installatie van Microsoft Dynamics GP te beveiligen Als u een veilige Microsoft Dynamics GP-omgeving wilt, treft u de volgende maatregelen om de communicatie tussen de Microsoft Dynamics GP-client en SQL Server te beveiligen. Als u deze richtlijnen niet volgt, staat de installatie van Microsoft Dynamics GP bloot aan een aantal ernstige veiligheidsrisico's. Als u Microsoft SQL Server 2000 gebruikt, is het noodzakelijk dat u protocolcertificaten van Secure Sockets Layer (SSL) gebruikt om de communicatiekoppeling tussen de Microsoft Dynamics GP-client en Microsoft SQL Server 2000 te beveiligen. Wanneer u SQL Server configureert voor SSL, worden alle gegevens die worden uitgewisseld tussen de client en server gecodeerd om er zeker van te zijn dat de gegevens vertrouwelijk blijven tijdens de uitwisseling tussen de client en SQL Server. Als u nog geen gebruikmaakt van SSL-certificaten, gaat u naar Microsoft Certificate Services om deze aan te vragen. U wordt ook aangeraden de instructies in de handleiding Microsoft SQL Server 2000 Books Online op te volgen om de communicatiekoppeling tussen SQL Server en een client te beveiligen. Microsoft SQL Server 2005 codeert standaard de uitwisseling van referenties voordat wordt aangemeld, maar als u de hele communicatiesessie tussen SQL Server 2005 en Microsoft Dynamics GP wilt coderen, volgt u de instructies in de handleiding Microsoft SQL Server 2005 Books Online. Raadpleeg de volgende websites voor meer informatie over beveiliging van uw netwerk: Toegang tot gegevens beveiligen http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/ html/SecNetch12.asp SSL-certificaten gebruiken om alle communicatie tussen client en server te coderen http://msdn.microsoft.com/library/default.asp?url=/library/en-us /dnnetsec/html/secnetht19.asp


3

H O O F D ST U K

1

A A N B E V O L E N

B AS I S B E V E I L I G I N G

Werken met Microsoft SQL Server 2005 http://www.microsoft.com/sql/2005/default.mspx Voor een veilige Microsoft Dynamics GP-omgeving moet u zich houden aan enkele algemene regels voor beheer: •

Aangenomen dat de eigenaar of manager beheerdersrechten heeft, hebben gebruikers, zoals medewerkers van de afdeling Debiteuren, kassiers of verkopers, geen beheerdersrechten nodig voor het domein. De gebruikersaccounts hebben genoeg aan de rechten van domeingebruikers.

•

Gebruik wachtwoord niet meerdere malen. Het gebeurt vaak dat dezelfde wachtwoorden worden gebruikt voor meerdere systemen en domeinen. Een beheerder die verantwoordelijk is voor twee domeinen, kan domeinbeheerdersaccounts maken met hetzelfde wachtwoord voor elk domein en zelfs in het hele domein dezelfde lokale beheerderswachtwoorden op domeincomputers instellen. In dergelijke gevallen kan een inbraak op een enkele account of computer leiden tot inbraak op het hele domein.

•

Gebruik domeinbeheerdersaccounts niet als serviceaccounts. Het komt ook veel voor dat domeinbeheerdersaccounts worden gebruikt als serviceaccounts voor algemene services zoals het maken van backups van systemen. Dit levert echter een risico op omdat het wachtwoord lokaal op elke computer waarop de service zich bevindt, moet worden opgeslagen of gecachet. Het wachtwoord kan eenvoudig worden achterhaald door iedereen met beheerdersrechten voor de computer. In dergelijke gevallen kan een inbraak op een computer leiden tot inbraak op het hele domein. Serviceaccounts moeten nooit domeinbeheerdersaccounts zijn en de rechten moeten zo veel mogelijk worden beperkt.

•

Hoewel Microsoft Dynamics GP kan worden gebruikt op diverse besturingssystemen, is het verstandig de nieuwste besturingssystemen met de meest geavanceerde beveiligingsvoorzieningen te gebruiken. Vaak hebben versies van besturingssystemen voor zakelijke doeleinden meer beveiligingsvoorzieningen.

•

Gebruik het hulpmiddel Windows Update, dat wordt meegeleverd bij Windows 2000, Windows XP en Windows Server 2003, om over de laatste beveiligingspatches te beschikken.

•

Als u van plan bent gebruik te maken van Microsoft Dynamics GP Bedrijfsportaal, wordt u aangeraden de aanbevelingen op het gebied van beveiliging te volgen in de installatiehandleiding bij Bedrijfsportaal. U vindt deze handleiding op de website CustomerSource.

De rest van dit document bevat aanbevelingen met betrekking tot diverse methoden om de beveiliging van de installatie van Microsoft Dynamics GP te verbeteren. Hoewel deze aanbevelingen ten zeerste worden aangeraden, zijn ze niet verplicht.

Fysieke beveiliging Het beste uitgangspunt bij het voorkomen van kwaadwillende aanvallen is fysieke beveiliging. Als er bijvoorbeeld een vaste schijf wordt gestolen, worden ook de gegevens op de schijf gestolen. Breng de volgende punten van fysieke beveiliging aan de orde wanneer u een beleid ontwikkelt met gebruikers:

4



H O O F D S T U K

1

A AN B E V O L E N

B A S IS B E V E ILI G IN G

•

Bij grote configuraties met specialistische IT-afdelingen zorgt u ervoor dat serverruimten en locaties waar software en handleidingen worden bewaard afgesloten worden.

•

Houd onbevoegde gebruikers uit de buurt van de aan-/uitknop en resetknop van de server.

•

Bedenk of het verstandig is om verwijderbare opslagapparatuur, zoals cdbranders, te verwijderen uit clientwerkstations.

•

Zorg voor inbraakalarminstallaties ongeacht de gevoeligheid van de gegevens.

•

Zorg ervoor dat back-ups van kritieke gegevens buiten het bedrijf worden bewaard en dat software wordt bewaard in een verpakking of kast die bestand is tegen water en vuur als de software niet wordt gebruikt.

Werknemers Het is verstandig om beheerdersrechten voor alle producten en voorzieningen te beperken. Geef werknemers standaard alleen-lezen toegang tot systeemfuncties, tenzij ze meer rechten nodig hebben om hun werk te kunnen doen. Het volgende principe van zo min mogelijk rechten wordt aanbevolen: geef gebruikers de minimumrechten die nodig zijn om toegang te hebben tot gegevens en functionaliteit. Voorkom bijvoorbeeld dat beheerdersrechten nodig zijn om voorzieningen te gebruiken. Voormalig werknemers en ontevreden werknemers vormen een risico voor de veiligheid van het netwerk. Voer het volgende beleid met betrekking tot werknemers: •

Onderzoek hun achtergrond voordat personeel in dienst wordt genomen.

•

Houd rekening met 'wraakacties' van ontevreden werknemers en voormalig werknemers.

•

Controleer of alle Windows-accounts en wachtwoorden ongeldig zijn gemaakt na het vertrek van een werknemer. Verwijder gebruikers niet, zodat ze nog beschikbaar zijn voor rapportagedoeleinden.

•

Train gebruikers om alert te zijn en verdachte activiteiten te melden.

•

Geef rechten niet automatisch. Als gebruikers geen toegang nodig hebben tot bepaalde computers, computerruimten of bestanden, zorgt u ervoor dat ze die toegang ook niet hebben.

•

Train leidinggevenden om mogelijke problemen met werknemers op te merken en erop te reageren.

•

Controleer het systeem op ongewone activiteiten.

•

Zorg ervoor dat medewerkers weten wat er van ze wordt verwacht met betrekking tot de beveiliging van het netwerk.

•

Geef een exemplaar van het bedrijfsbeleid aan alle werknemers.

•

Laat gebruikers hun eigen software niet zelf installeren.


5

H O O F D ST U K

1

A A N B E V O L E N


Systeembeheerders Het wordt ten sterkste aangeraden dat systeembeheerders zorgen voor de laatste beveiligingscorrecties die Microsoft uitbrengt. Hackers zijn zeer bekwaam in het combineren van kleine fouten om zo op grote schaal in te breken in een netwerk. Beheerders moeten er ten eerste voor zorgen dat alle afzonderlijke computers zo veilig mogelijk zijn en hierna updates en patches voor de beveiliging toevoegen. U vindt veel koppelingen en resources in deze gids als hulp bij het zoeken naar informatie en aanbevolen procedures met betrekking tot beveiliging. Complexiteit levert ook een aantal nadelen op bij de beveiliging van uw netwerk. Hoe complexer het netwerk, des te moeilijker is het te beveiligen en te verbeteren zodra een insluiper zich toegang heeft verschaft. De beheerder moet de netwerktopografie goed documenteren en deze zo eenvoudig mogelijk houden. Beveiliging is vooral een kwestie van risicobeheer. Het gebruik van technologie op zich garandeert geen veiligheid. Effectieve beveiliging vergt een combinatie van technologie en beleid. Veiligheid staat of valt met de manier waarop technologie wordt gebruikt. Microsoft levert technologie en voorzieningen die helpen bij de beveiliging, maar alleen de beheerder en het management kunnen het juiste beleid voor elke organisatie bepalen. Tref voorbereidingen voor beveiliging in een vroeg stadium van de implementatie en ingebruikname. Ga na wat uw bedrijf nodig heeft om zichzelf te beschermen en wat het bereid is daarvoor te doen. Zorg ook voor plannen voor onvoorziene gebeurtenissen voordat deze zich voordoen en combineer een degelijke planning met degelijke technologie. Raadpleeg ‘The Ten Immutable Laws of Security Administration’, te vinden op http://www.microsoft.com/technet/archive/community/columns/security/ essays/10salaws.mspx voor meer informatie over algemene beveiliging.

Beheer van beveiligingspatches Besturingssystemen en toepassingen zijn vaak enorm complex. Ze bestaan vaak uit miljoenen regels code die worden geschreven door vele programmeurs. Het is van essentieel belang dat de software betrouwbaar is en geen risico vormt voor de beveiliging of stabiliteit van de IT-omgeving. Programma's worden uitgebreid getest voordat ze worden uitgebracht om de kans op problemen zo klein mogelijk te houden. Kwaadwillenden zijn echter dag en nacht bezig met het zoeken naar zwakke plekken in software. Het is daarom niet mogelijk alle toekomstige aanvallen voor te zijn. Voor veel organisaties is het beheer van patches onderdeel van de strategie voor beheer van wijzigingen en configuraties. Hoe groot of klein de organisatie ook is en op welk terrein ze ook werkzaam is, een goede strategie voor beheer van patches is van essentieel belang. Zelfs als de organisatie nog niet beschikt over effectief beleid ten aanzien van het beheer van wijzigingen en configuraties. Het overgrote merendeel van geslaagde aanvallen op computersystemen betreffen systemen waarop beveiligingspatches (nog) niet zijn geïnstalleerd. Beveiligingspatches vormen een probleem voor de meeste organisaties. Zodra een zwakke plek in software is gevonden, stellen kwaadwillenden direct de hele hackergemeenschap hiervan op de hoogte. Wanneer een zwakke plek wordt gevonden in zijn software, streeft Microsoft ernaar zo snel mogelijk een beveiligingspatch beschikbaar te stellen. Totdat de patch in gebruik wordt genomen, is de beveiliging waar de gebruiker van uitgaat en op rekent in hoge mate verminderd.

6



H O O F D S T U K

1

A AN B E V O L E N

B A S IS B E V E ILI G IN G

In de Windows-omgeving zorgt u ervoor dat u de nieuwste beveiligingspatches hebt geïnstalleerd in het hele systeem. Het gebruik van de technologieën die Microsoft hiervoor ter beschikking stelt, maakt deze taak een stuk eenvoudiger. Deze technologieën zijn: Microsoft Security Notification Service De Security Notification Service is een e-maillijst die zorgt voor de verspreiding van waarschuwingen zodra een update beschikbaar is. Deze waarschuwingen vormen een belangrijk onderdeel van een proactieve beveiligingsstrategie. De waarschuwingen zijn ook beschikbaar op de website TechNet Product Security Notification: http://www.microsoft.com/ technet/security/bulletin/notify.mspx. Microsoft Security Bulletin Search Tool Het zoekhulpmiddel voor beveiligingsbulletins is beschikbaar op de website HotFix & Security Bulletin Service. U kunt vaststellen welke updates u nodig hebt op basis van het besturingssysteem, de toepassingen en service packs die u momenteel gebruikt. Raadpleeg http://www.microsoft.com/technet/security/current.aspx voor meer informatie over het Microsoft Security Bulletin Search Tool Microsoft Baseline Security Analyzer (MBSA) Dit grafische hulpprogramma is beschikbaar op de website van Microsoft Baseline Security Analyzer. Dit hulpprogramma vergelijkt de huidige status van een computer met de lijst met updates die wordt bijgehouden door Microsoft. MBSA voert ook enkele algemene controles van de beveiliging uit, zoals de sterkte van wachtwoorden en de vervaldatums hiervan, beleid ten aanzien van gastaccounts en een aantal andere gebieden. MBSA zoekt ook naar zwakke plekken in Microsoft Internet Information Services (IIS), Microsoft SQL Server™ 2000, Microsoft Exchange 5.5, Microsoft Exchange 2000 en Microsoft Exchange Server 2003. Raadpleeg http:// www.microsoft.com/technet/security/tools/mbsahome.mspx voor meer informatie over de Microsoft Baseline Security Analyzer. Microsoft Software Update Services (SUS) Dit hulpmiddel, dat vroeger Windows Update Corporate Edition heette, biedt ondernemingen de mogelijkheid alle kritieke updates en beveiligingspakketten (SRP's) te hosten die beschikbaar zijn op de openbare website Windows Update. Dit hulpmiddel werkt met een nieuwe versie van automatische updateclients (AU) en vormt zo de basis van een krachtige strategie voor het automatisch downloaden en installeren van updates. De nieuwe AU-clientset omvat een client voor de besturingssystemen Windows 2000 en Windows Server 2003 en biedt de mogelijkheid om updates automatisch te downloaden en te installeren. Raadpleeg http://www.microsoft.com/ windows2000/windowsupdate/sus/default.asp voor meer informatie over Microsoft SUS. Microsoft Systems Management Server (SMS) Software Update Services Feature Pack . Het SMS Software Update Services Feature Pack bevat een aantal hulpmiddelen die zijn bedoeld om het proces van de uitgifte van software-updates in de onderneming te vergemakkelijken. De hulpmiddelen omvatten een Security Update Inventory Tool, een Microsoft Office Inventory Tool for Updates, de wizard Distribute Software Updates en een SMSwebrappportageprogramma met de invoegtoepassing Web Reports voor softwareupdates. Raadpleeg http://www.microsoft.com/smserver/downloads/20/ featurepacks/suspack/ voor meer informatie over de verschillende hulpmiddelen. U wordt aangeraden kennis te nemen van elk van deze beveiligingshulpmiddelen en we bevelen het gebruik ervan van harte aan. Het is erg belangrijk dat


7

H O O F D ST U K

1

A A N B E V O L E N


beveiligingsproblemen zo snel mogelijk worden aangepakt en dat hierbij de stabiliteit van de omgeving behouden blijft.

Microsoft Dynamics GP-servicepacks Microsoft Dynamics GP beveiligingspatches worden uitgebracht als onderdeel van servicepacks. Servicepacks vindt u in het gedeelte Downloads and Updates van de website CustomerSource. Bezoek deze website regelmatig om er zeker van te zijn dat u volledig op de hoogte bent van eventuele beveiligingsproblemen die van invloed zijn op Microsoft Dynamics GP. Bijgewerkte instructies voor het uitvoeren van upgrades naar de nieuwste versie van Microsoft Dynamics GP vindt u op http://mbs.microsoft.com/public/gponline.

Beveiligingspatches voor clients Gebruikers van Microsoft Dynamics GP kunnen ervoor zorgen dat hun clientcomputers beschikken over de laatste beveiligingspatches voor Microsoft Windows 2000, Windows XP en Windows Server 2003 door gebruik te maken van het hulpmiddel Windows Update dat onderdeel is van deze systemen. Als Microsoft Security Update Services wordt geïnstalleerd op de server, kan een groot deel van het updateproces worden geautomatiseerd door de IT-afdeling van de organisatie. De Microsoft Security Notification Service zorgt voor verzending van details van alle beveiligingspatches voor SQL Server 2000.

8



Hoofdstuk 2:

Het besturingssysteem van de server beveiligen De volgende informatie bevat enkele aanbevolen procedures voor het beveiligen van besturingssystemen van servers. Lees deze informatie aandachtig door voordat u Microsoft Dynamics GP in gebruik neemt. De informatie is onderverdeeld in de volgende onderwerpen: • • • • • • • • • •

Beveiliging van besturingssystemen van servers Verificatie Wachtwoordbeveiliging Sterke wachtwoorden Wachtwoordbeleid vaststellen Accountvergrendelingsbeleid definiëren Toegangsbeheer Eenmalige aanmelding Firewall voor externe beveiliging ISA Server 2000

Beveiliging van besturingssystemen van servers Sommige kleine bedrijven hebben mogelijk geen serverbesturingssysteem. Toch is het belangrijk voor managers in het midden- en kleinbedrijf om kennis te nemen van de aanbevolen procedures die gelden voor grote bedrijven met complexere netwerkomgevingen. Veel van de beleidsmaatregelen en aanbevolen procedures in dit document kunnen eenvoudig worden toegepast in bedrijven die alleen beschikken over clientbesturingssystemen. De concepten in dit gedeelte gelden voor zowel Microsoft Windows 2000 Server als Microsoft Windows Server™ 2003, hoewel de meeste informatie afkomstig is uit de online Help-functie bij Windows Server 2003. Windows Server 2003 biedt een krachtig pakket beveiligingsvoorzieningen. De online Help bij Windows Server 2003 bevat volledige informatie over alle beveiligingsvoorzieningen en procedures. Ga naar het Windows 2000 Server Security Center, dat u vindt op http:// www.microsoft.com/technet/security/prodtech/win2000/default.mspx, voor meer informatie over Windows 2000 Server. Microsoft heeft de Windows Server 2003 Security Guide gepubliceerd op http:// www.microsoft.com/technet/security/prodtech/win2003/w2003hg/sgch00.mspx, voor meer informatie over Windows 2003 Server. De belangrijkste voorzieningen van het beveiligingsmodel voor Windows-servers zijn verificatie, toegangsbeheer en eenmalige aanmelding, zoals hierna wordt beschreven. •

Verificatie is het proces waarbij het systeem de identiteit van een gebruiker controleert aan de hand van zijn of haar aanmeldreferenties. De naam en het wachtwoord van een gebruiker worden vergeleken met een lijst met bevoegden. Als er een overeenkomst wordt gevonden, wordt toegang verleend op het niveau dat is bepaald in de lijst met machtigingen voor die gebruiker.

•

Met behulp van toegangsbeheer wordt de toegang van gebruikers beperkt tot informatie of bronnen op basis van de identiteit van de gebruiker en zijn/haar


9

H O O F D ST U K

2

H E T

B E S T U R I N G S S Y S T E E M

V A N

D E

S E R V ER

B E V E I L I G E N

lidmaatschap van diverse vooraf gedefinieerde groepen. Toegangsbeheer wordt meestal gebruikt door systeembeheerders om de toegang van gebruikers tot netwerkbronnen, zoals servers, mappen en bestanden, te beperken en wordt vaak aangewend om gebruikers en groepen machtigingen te verlenen voor toegang tot bepaalde objecten. •

Dankzij eenmalige aanmelding kan een gebruiker zich aanmelden bij het Windows-domein met één wachtwoord waarna hij/zij kan werken op elke willekeurige computer in het Windows-domein. Eenmalige aanmelding stelt beheerders ook in staat om beveiligde wachtwoordverificatie te implementeren op het hele Windows-netwerk, waarbij eindgebruikers heel gemakkelijk toegang krijgen tot wat ze nodig hebben.

De volgende onderwerpen geven een gedetailleerdere beschrijving van deze drie sleutelvoorzieningen voor de beveiliging van uw computeromgeving.

Verificatie Verificatie is een fundamenteel aspect van systeembeveiliging. Hiermee wordt de identiteit gecontroleerd van alle gebruikers die zich proberen aan te melden bij een domein of toegang proberen te krijgen tot netwerkbronnen. Wachtwoorden van gebruikers vormen de zwakke schakel in alle verificatiesystemen. Wachtwoorden vormen de eerste verdedigingslinie tegen onbevoegde toegang tot het domein en lokale computers. U wordt aangeraden de aanbevolen procedures voor wachtwoorden te implementeren in uw organisatie. Raadpleeg Wachtwoordbeveiliging op pagina 10, Sterke wachtwoorden op pagina 11 en Wachtwoordbeleid vaststellen op pagina 13 voor meer informatie.

Wachtwoordbeveiliging Het is altijd belangrijk dat gebruikers gebruikmaken van wachtwoorden en de volgende richtlijnen voor wachtwoorden opvolgen.

10


•

Stel altijd sterke wachtwoorden verplicht. Raadpleeg Sterke wachtwoorden op pagina 11 voor meer informatie.

•

Als wachtwoorden moeten worden opgeschreven op een stuk papier, bewaart u dat papier op een veilige plaats en vernietigt u het zodra het niet meer nodig is.

•

Laat niemand uw wachtwoorden weten.

•

Gebruik verschillende wachtwoorden voor alle gebruikersaccounts.

•

Wijzig wachtwoorden onmiddellijk als ze bekend zijn geworden.

•

Wees voorzichtig met het opslaan van wachtwoorden op computers. In sommige dialoogvenster wordt een optie gegeven om wachtwoorden op te slaan of te onthouden. Dit komt vaak voor bij externe toegang en andere telefoonverbindingen. Als u deze optie inschakelt, is dit een potentieel risico voor de beveiliging aangezien het wachtwoord wordt opgeslagen in het systeemregister.


H O O F D S T U K

2

H E T


V A N

D E

S ER V E R

B E V E I LI G E N

Sterke wachtwoorden De rol van wachtwoorden in de beveiliging van het netwerk van een organisatie wordt vaak onderschat en over het hoofd gezien. Zoals gezegd zijn wachtwoorden de eerste verdedigingslinie tegen onbevoegde toegang tot uw organisatie. De Windows Server 2003-familie beschikt over een nieuwe voorziening die de complexiteit van het wachtwoord van de beheerdersaccount controleert tijdens de configuratie van het besturingssysteem. Als het wachtwoord leeg is of niet voldoet aan de vereiste complexiteit, wordt een dialoogvenster weergegeven met een waarschuwing voor het gevaar van het ontbreken van een sterk wachtwoord voor de beheerdersaccount. In een werkgroepomgeving kan een gebruiker geen toegang krijgen tot een computer via het netwerk als hij/zij een account gebruikt met een leeg wachtwoord. Zwakke wachtwoorden geven aanvallers een gemakkelijke opening tot computers en het netwerk, terwijl sterke wachtwoorden aanzienlijk moeilijker te kraken zijn, zelfs met behulp van de speciale software voor het kraken van wachtwoorden die vandaag de dag beschikbaar is. Programma's voor het kraken van wachtwoorden worden steeds beter en de computers die worden gebruikt om wachtwoorden te kraken worden steeds krachtiger. Bij het kraken van wachtwoorden wordt een van drie volgende methoden gebruikt: intelligent gokken, woordenboeken en geautomatiseerde brute kracht waarbij elke mogelijke combinatie van tekens wordt geprobeerd. Als er voldoende tijd is, kan met een geautomatiseerde methode elk wachtwoord worden gekraakt. Sterke wachtwoorden zijn echter veel moeilijker te kraken dan zwakke wachtwoorden. Een veilige computer heeft sterke wachtwoorden voor alle gebruikeraccounts. Een zwak wachtwoord •

Is helemaal geen wachtwoord.

•

Bevat de gebruikersnaam, echte naam of bedrijfsnaam van de gebruiker.

•

Bevat een volledig bestaand woord. Het woord Wachtwoord is bijvoorbeeld een zwak wachtwoord.

Een sterk wachtwoord •

Bestaat uit ten minste zeven tekens.

•

Bevat niet de gebruikersnaam, echte naam of bedrijfsnaam van de gebruiker.

•

Bevat geen volledig bestaand woord.

•

Verschilt genoeg van vorige wachtwoorden. Wachtwoorden die stapsgewijs toenemen, zoals wachtwoord1, wachtwoord2, wachtwoord3, zijn niet sterk.


11

H O O F D ST U K

2

H E T


•

V A N

D E

S E R V ER

B E V E I L I G E N

Bevat tekens uit elk van de vier groepen in de volgende tabel.

Groep

Voorbeeld

Hoofdletters

ABCD

Kleine letters

abcd

Cijfers

01234

Symbolen

‘~@#$%^&*()_+-={}[]\:“;<>?,./

Voorbeelden van sterke wachtwoorden zijn W@chtwo0rd en J*p2le04>F. Een wachtwoord kan voldoen aan de meeste criteria voor een sterk wachtwoord en toch redelijk zwak zijn. Zo is Hello2U! een relatief zwak wachtwoord, hoewel het toch voldoet aan de meeste criteria voor sterke wachtwoorden en aan de vereiste complexiteit van wachtwoordbeleid. H!alZl2o is een sterk wachtwoord omdat in het bestaande woord symbolen, cijfers en andere letters staan. Het is belangrijk om alle gebruikers voor te lichten over de voordelen van sterke wachtwoorden en ze te leren hoe ze wachtwoorden kunnen kiezen die ook daadwerkelijk sterk zijn. Wachtwoorden kunnen tekens bevatten uit de uitgebreide ASCII-tekenset. Als gebruik wordt gemaakt van uitgebreide ASCII-tekens, kunnen gebruikers kiezen uit meer tekens bij het samenstellen van wachtwoorden. Daardoor kan het langer duren voordat kraaksoftware wachtwoorden met deze uitgebreide ASCII-tekens kan kraken. Test wachtwoorden met uitgebreide ASCII-tekens grondig voordat u ze gaat gebruiken. Het is belangrijk dat wachtwoorden met uitgebreide ASCII-tekens bruikbaar zijn in combinatie met andere toepassingen die in de organisatie worden gebruikt. Wees vooral voorzichtig met het gebruik van uitgebreide ASCII-tekens in wachtwoorden als in de organisatie verschillende besturingssystemen worden gebruikt. U vindt de uitgebreide ASCII-tekens in Speciale tekens. Sommige uitgebreide ASCII-tekens kunnen beter niet worden gebruikt in wachtwoorden. Gebruik een teken niet als er geen toetsaanslag voor is gedefinieerd in de rechterbenedenhoek van het dialoogvenster Speciale tekens. Raadpleeg de online Help bij Windows Server voor informatie over het gebruik van speciale tekens. Voorbeelden van wachtwoorden met tekens uit de uitgebreide ASCII-tekenset zijn kUµ!0o en Wf©$0k#"g¤5ªrd. U kunt een wachtwoordbeleid instellen waarbij speciale eisen worden gesteld aan de complexiteit van wachtwoorden. Raadpleeg ‘Wachtwoorden moeten voldoen aan complexiteitsvereisten’ in de on line Help bij Windows Server voor meer informatie over dit beleid. Windows-wachtwoorden kunnen uit maximaal 127 tekens bestaan. Als u werkt in een netwerk waarin ook computers met Windows 98 worden gebruikt, kunt u beter geen wachtwoorden gebruiken van meer dan 14 tekens. Microsoft Windows 98 biedt ondersteuning voor wachtwoorden van maximaal 14 tekens. Als een wachtwoord langer is, is het mogelijk dat gebruikers zich niet vanaf die computers kunnen aanmelden bij het netwerk.

12



H O O F D S T U K

2

H E T


V A N

D E

S ER V E R

B E V E I LI G E N

Wachtwoordbeleid vaststellen Wanneer u beleid voor wachtwoorden vaststelt, is het belangrijk dat alle gebruikersaccounts verplicht sterke wachtwoorden moeten hebben. Voor de volgende instellingen van Windows Server zijn sterke wachtwoorden verplicht. •

Stel de optie Uniekheid van wachtwoorden forceren zo in dat een aantal vorige wachtwoorden wordt onthouden. Met deze instelling kunnen gebruikers niet hetzelfde wachtwoord kiezen wanneer hun wachtwoord verloopt.

•

Stel de optie Maximale wachtwoordduur zo in dat wachtwoorden verlopen zo vaak als nodig is voor de omgeving van de client. Dit is meestal tussen de 30 en 90 dagen.

•

Stel de optie Minimale wachtwoordduur zo in dat wachtwoorden niet kunnen worden gewijzigd tot ze een bepaald aantal dagen oud zijn. Deze instelling werkt in combinatie met de instelling Uniekheid van wachtwoorden forceren. Als er een minimaal aantal dagen voor wachtwoorden wordt ingesteld, kunnen gebruikers niet hun wachtwoord zo vaak wijzigen dat ze de instelling voor de uniekheid van wachtwoorden kunnen omzeilen en het oorspronkelijke wachtwoord weer kunnen instellen. Gebruikers moeten het opgegeven aantal dagen wachten voordat ze hun wachtwoorden kunnen wijzigen.

•

Stel de optie Minimale wachtwoordlengte zo in dat wachtwoorden ten minste het opgegeven aantal tekens moeten bevatten. Lange wachtwoorden van zeven of meer tekens zijn meestal sterker dan korte. Met deze instelling kunnen gebruikers geen lege wachtwoorden gebruiken en moeten ze wachtwoorden samenstellen van ten minste een bepaald aantal tekens.

•

Schakel de optie Wachtwoorden moeten voldoen aan complexiteitsvereisten in. Met deze instelling worden alle nieuwe wachtwoorden gecontroleerd om er zeker van te zijn dat ze voldoen aan de basisvereisten voor sterke wachtwoorden. Raadpleeg ‘Wachtwoorden moeten voldoen aan complexiteitsvereisten’ in de on line Help bij Windows Server voor een volledig overzicht van deze vereisten.

Accountvergrendelingsbeleid definiëren Ga zorgvuldig te werk bij het definiëren van accountvergrendelingsbeleid. Dit beleid moet niet ondoordacht worden ingesteld. Hoewel de waarschijnlijkheid van het verhinderen van ongeoorloofde toegang tot uw organisatie wordt verhoogd met accountvergrendeling, is het ook mogelijk dat u onbedoeld bevoegde gebruikers buitensluit, wat een kostbare aangelegenheid kan zijn voor uw organisatie. Als u besluit accountvergrendelingsbeleid in te stellen, stelt u de optie Drempel voor accountvergrendelingen in op een hoog genoeg getal zodat de gebruikersaccounts van bevoegde gebruikers niet onbruikbaar worden omdat het wachtwoord verkeerd wordt getypt. Bevoegde gebruikers kunnen worden buitengesloten als ze hun wachtwoord op de ene computer wijzigen, maar niet op een andere. De computer waarop het oude wachtwoord nog wordt gebruikt, probeert steeds de gebruiker te verifiëren met het oude wachtwoord en uiteindelijk wordt de gebruikersaccount vergrendeld. Dit kan een kostbaar gevolg zijn van accountvergrendelingsbeleid, aangezien bevoegde gebruikers geen toegang hebben tot netwerkbronnen totdat de vergrendeling van hun account wordt opgeheven. Dit probleem is niet relevant binnen organisaties die


13

H O O F D ST U K

2

H E T


V A N

D E

S E R V ER

B E V E I L I G E N

alleen gebruikmaken van domeincontrollers die deel uitmaken van de Windows Server-familie. Raadpleeg ‘Overzicht van accountvergrendelingsbeleid’ in de on line Help bij Windows Server voor meer informatie over dit beleid. Raadpleeg ‘Accountvergrendelingsbeleid toepassen of wijzigen’ in de on line Help bij Windows Server voor meer informatie over het toepassen of wijzigen van accountvergrendelingsbeleid.

Toegangsbeheer Een Windows-netwerk en de bijbehorende bronnen kunnen worden beveiligd door goed af te wegen welke rechten gebruikers, gebruikersgroepen en andere computers nodig hebben op het netwerk. U kunt een computer of meerdere computers beveiligen door gebruikers of groepen bepaalde rechten te verlenen. U kunt een object, bijvoorbeeld een bestand of map, beveiligen door machtigingen toe te wijzen zodat gebruikers of groepen bepaalde acties op dat object kunnen uitvoeren. Toegangsbeheer bestaat uit de volgende hoofdbestanddelen: • • • • •

Machtigingen Eigendom van objecten Overname van machtigingen Gebruikersrechten Objectcontrole

Machtigingen Machtigingen bepalen het type toegang dat een gebruiker of groep heeft tot een object of eigenschap van een object, zoals bestanden mappen en registerobjecten. Machtigingen gelden voor beveiligde objecten zoals bestanden of registerobjecten. Machtigingen kunnen worden verleend aan een gebruiker, groep of computer. Het is verstandig om machtigingen aan groepen toe te wijzen.

Eigendom van objecten De eigenaar van een object wordt bepaald op het moment dat het object wordt gemaakt. De maker van een object is standaard de eigenaar in Windows 2000 Server. Dit is gewijzigd in Windows Server 2003 voor objecten die zijn gemaakt door leden van de groep Administrators. Wanneer een lid van de groep Administrators een object maakt in Windows Server 2003, wordt de groep Administrators de eigenaar, niet de afzonderlijke account die het object heeft gemaakt. Dit gedrag kan worden gewijzigd via de module voor lokale beveiligingsinstellingen van Microsoft Management Console (MMC) met de optie Systeemobjecten: standaardeigenaar van objecten die door leden van de groep Administrators zijn gemaakt. Ongeacht de machtigingen die zijn ingesteld op een object, kan de eigenaar van het object de machtigingen op het object altijd wijzigen. Raadpleeg ‘Eigendom"’in de on line Help bij Windows Server voor meer informatie.

Overname van machtigingen Dankzij overname kunnen beheerders machtigingen eenvoudig toewijzen en beheren. Deze voorziening zorgt ervoor dat alle objecten in een container alle machtigingen van die container die hiervoor geschikt zijn overnemen. Zo nemen de bestanden in een map bij het maken de machtigingen van de map over. Alleen machtigingen die zijn gemarkeerd voor overname worden overgenomen.

14



H O O F D S T U K

2

H E T


V A N

D E

S ER V E R

B E V E I LI G E N

Gebruikersrechten Gebruikersrechten verlenen gebruikers en computers in de computeromgeving bepaalde bevoegdheden en aanmeldingsrechten. Raadpleeg ‘Gebruikersrechten’ in de on line Help bij Windows Server voor meer informatie.

Objectcontrole U kunt de toegang van gebruikers tot objecten controleren. Vervolgens kunt u deze beveiligingsgebeurtenissen bekijken in het beveiligingslogboek met behulp van Logboeken. Raadpleeg ‘Controle’ in de online Help bij Windows Server voor meer informatie.

Aanbevolen procedures voor toegangsbeheer Gebruik de volgende informatie wanneer u toegang tot het serverbesturingssysteem verleent of weigert. •

Wijs machtigingen toe aan groepen in plaats van gebruikers. Het is niet efficiënt om gebruikersaccounts rechtstreeks te beheren. Wijs machtigingen daarom zo min mogelijk toe aan afzonderlijke gebruikersaccounts.

•

Gebruik de vermelding Weigeren alleen voor speciale gevallen. U kunt de vermelding Weigeren gebruiken om een subset van een groep met toegang uit te sluiten. Gebruik de vermelding Weigeren om één speciale machtiging uit te sluiten wanneer u al volledige controle aan een gebruiker of groep hebt verleend.

•

Weiger de groep Iedereen nooit de toegang tot een object. Als u iedereen de toegang tot een object weigert, geldt dat ook voor beheerders. U kunt beter de groep Iedereen verwijderen als u tenminste andere gebruikers, groepen of computers machtigingen op dat object verleent.

•

Wijs machtigingen op een object zo hoog mogelijk in de structuur toe en pas vervolgens overname toe om de beveiligingsinstellingen in de structuur te laten 'uitwaaieren'. U kunt toegangsbeheerinstellingen snel en effectief toepassen op alle onderliggende elementen of een substructuur van een bovenliggend object. Op die manier hebt u een zo groot mogelijk effect met zo min mogelijk inspanning. De machtigingsinstellingen die u hanteert, zouden afdoende moeten zijn voor het merendeel van gebruikers, groepen en computers.

•

Expliciete machtigingen hebben soms voorrang boven overgenomen machtigingen. Overgenomen vermeldingen Weigeren voorkomen geen toegang tot een object als het object een expliciete vermelding Toestaan heeft. Expliciete machtigingen hebben voorrang op overgenomen machtigingen, zelfs overgenomen vermeldingen Weigeren.

•

Voor machtigingen op Active Directory®-objecten is het belangrijk dat u op de hoogte bent van aanbevolen procedures voor Active Directory-objecten. Raadpleeg ‘Aanbevolen procedures voor het toewijzen van machtigingen op Active Directory-objecten’ in de on line Help bij Windows Server 2003.


15

H O O F D ST U K

2

H E T


V A N

D E

S E R V ER

B E V E I L I G E N

Eenmalige aanmelding Een van de belangrijkste voorzieningen voor verificatie van de Windows Serverfamilie is de ondersteuning van eenmalige aanmelding. Dankzij eenmalige aanmelding kan een gebruiker zich aanmelden bij het Windows-domein met één wachtwoord waarna hij/zij kan werken op elke willekeurige computer in het Windows-domein zonder het wachtwoord opnieuw in te voeren. Eenmalige aanmelding heeft twee belangrijke voordelen voor de beveiliging. Het gebruik van één wachtwoord of smartcard vermindert de kans op verwarring en verbetert de efficiëntie voor de gebruiker. Het voordeel voor beheerders is de afname van de hoeveelheid ondersteuning die moet worden geboden aan domeingebruikers, aangezien de beheerder slechts één account per gebruiker hoeft te beheren. Verificatie, inclusief eenmalige aanmelding, wordt geïmplementeerd als proces met twee delen: interactieve aanmelding en netwerkverificatie. Geslaagde verificatie van gebruikers steunt op beide processen. Raadpleeg de on line Help bij Windows Server voor informatie over het configureren van de voorziening voor eenmalige aanmelding van Windows.

Firewall voor externe beveiliging Een firewall is hardware of software die voorkomt dat gegevenspakketten een bepaald netwerk binnengaan of verlaten. De verkeersstromen worden geregeld door genummerde poorten in de firewall te openen of te sluiten voor informatiepakketten. De firewall controleert verschillende gegevens voor elk binnenkomend en uitgaand pakket: • • • •

Het protocol waarmee het pakket wordt afgeleverd De bestemming of afzender van het pakket Het type inhoud van het pakket Het poortnummer waarnaar het wordt verzonden

Als de firewall zo is geconfigureerd dat het opgegeven protocol wordt geaccepteerd via de opgegeven poort, wordt het pakket doorgelaten. Microsoft Windows Small Business Server 2003 Premium Edition wordt geleverd met Microsoft ISA Server 2000 (Internet Security and Acceleration) als firewall.

ISA Server 2000 ISA Server 2000 (Internet Security and Acceleration) zorgt voor een veilige routering van aanvragen en antwoorden tussen internet en clientcomputers binnen het interne netwerk. ISA Server fungeert als veilige gateway naar internet voor clients in het lokale netwerk. De ISA Server-computer is transparant voor de andere deelnemers in het communicatiepad. De internetgebruiker zou niet mogen merken dat er een firewallserver is, tenzij de gebruiker probeert toegang te krijgen tot een service of site waartoe de ISA Server-computer de toegang weigert. De internetserver waartoe toegang wordt gezocht, interpreteert de aanvragen van de ISA Server-computer alsof de aanvragen afkomstig zijn van de clienttoepassing. Wanneer u kiest voor IP-fragmentfilters (Internet Protocol), schakelt u de services Webproxy en Firewall in om fragmenten van pakketten uit te filteren. Door

16



H O O F D S T U K

2

H E T


V A N

D E

S ER V E R

B E V E I LI G E N

fragmenten van pakketten te filteren worden alle gefragmenteerde IP-pakketten genegeerd. Een bekende manier van aanvallen vindt plaats door het verzenden van gefragmenteerde pakketten die vervolgens weer bij elkaar worden gezocht en schade aan het systeem kunnen veroorzaken. ISA Server bevat een mechanisme voor het opsporen van indringers dat het tijdstip registreert waarop een aanval wordt gedaan op het netwerk en dat een set geconfigureerde acties (of waarschuwingen) uitvoert in geval van een aanval. Als IIS (Internet Information Services) is geïnstalleerd op de ISA Server-computer, configureert u dit zo dat geen gebruik wordt gemaakt van poorten die ISA Server gebruikt voor uitgaande webaanvragen (dit is standaard poort 8080) en voor inkomende webaanvragen (dit is standaard poort 80). U kunt IIS zo instellen dat poort 81 wordt gecontroleerd en vervolgens de ISA Server-computer zo configureren dat binnenkomende webaanvragen worden omgeleid naar poort 81 op de lokale computer waarop IIS wordt uitgevoerd. Als er een conflict bestaat tussen poorten die worden gebruikt door ISA Server en IIS, wordt de IIS-publicatieservice gestopt. U kunt dan de instellingen van IIS wijzigen zodat een andere poort wordt gecontroleerd en hierna de IISpublicatieservice weer starten.

Beleid voor ISA Server U kunt een beleid voor ISA Server definiëren dat binnenkomende en uitgaande toegang bepaalt. Regels voor sites en inhoud bepalen tot welke sites en inhoud toegang kan worden verkregen. Protocolregels geven aan of een bepaald protocol toegankelijk is voor inkomende en uitgaande communicatie. U kunt regels maken voor sites en inhoud, protocollen, webpublicatie en IPpakketfilters. Dit beleid bepaalt hoe de ISA Server-clients communiceren met internet en welke communicatie wordt toegestaan.

Aanvullende beveiligingsinstellingen van SQL Server 2000 Aangezien Microsoft Dynamics GP afhankelijk is van SQL Server 2000, is het belangrijk dat u maatregelen treft om de beveiliging van de SQL Server 2000installatie te optimaliseren. De volgende stappen helpen u de beveiliging van SQL Server te verbeteren: •

Controleer of u de laatste versie van de service packs voor het besturingssysteem en SQL Server 2000 en updates hebt geïnstalleerd. Ga naar de website Microsoft Security & Privacy (http://www.microsoft.com/ security/default.asp) voor de laatste informatie.

•

Voor beveiliging op het niveau van het bestandssysteem controleert u of alle gegevens- en systeembestanden van SQL Server 2000 zijn geïnstalleerd op NTFS-partities. Deze bestanden moeten alleen toegankelijk zijn voor gebruikers op beheerders- of systeemniveau via NTFS-machtigingen. Dit voorkomt dat gebruikers toegang krijgen tot die bestanden wanneer de service SQL Server 2000 (MSSQLSERVER) niet wordt uitgevoerd.

•

Gebruik een domeinaccount met weinig rechten of de account Lokaal systeem voor de service SQL Server 2000 (MSSQLSERVER). Deze account moet beschikken over minimale rechten in het domein en moet helpen bij het


17

H O O F D ST U K

2

H E T


V A N

D E

S E R V ER

B E V E I L I G E N

beperken van de schade van een aanval op de server. Met andere woorden, deze account moet slechts machtigingen voor het domein hebben op het niveau van lokale gebruikers. Als voor SQL Server 2000 de account van een domeinbeheerder wordt gebruikt om de services uit te voeren, heeft een inbraak op de server veel grotere gevolgen voor het hele domein. U kunt deze instelling wijzigen met SQL Server Enterprise Manager. De toegangsbeheerlijsten (ACL's) voor bestanden, het register en gebruikersrechten worden automatisch gewijzigd. Als de Microsoft Dynamics GP-installatie is gebruikt om MSDE 2000 te installeren, wordt de service standaard uitgevoerd met de account Lokaal systeem. •

De meeste versies van SQL Server 2000 worden geïnstalleerd met twee standaarddatabases, Noordenwind en pubs. Beide databases zijn voorbeelddatabases en worden gebruikt voor testen, training en algemene voorbeelden. Deze databases zijn niet bedoeld om te worden gebruikt in een productiesysteem. Als bekend is dat deze databases aanwezig zijn, kan dit een aansporing zijn voor een hacker om te proberen misbruik te maken van standaardinstellingen en standaardconfiguraties. Als Noordenwind en pubs aanwezig zijn op de productiecomputer met SQL Server 2000, verwijdert u deze. Bij MSDE 2000 worden deze databases niet standaard geïnstalleerd.

•

Met de standaardinstellingen kan het SQL Server 2000-systeem niet worden gecontroleerd en wordt dus geen status gecontroleerd. Dit maakt het moeilijk om inbraken op te sporen en helpt hackers hun sporen te wissen. Het is verstandig om ten minste controle van mislukte aanmeldingen in te schakelen.

Ga naar http://www.microsoft.com/sql/techinfo/administration/2000/security/ default.asp voor de allerlaatste informatie over beveiliging van SQL Server 2000.

18



Hoofdstuk 3:

Beveiliging van het netwerk Gebruik de volgende informatie om meer te weten te komen over hoe u uw netwerk beveiligt. De informatie is onderverdeeld in de volgende onderwerpen: • • •

Strategieën voor netwerkbeveiliging Draadloze netwerken Scenario's voor de beveiliging van netwerken

Strategieën voor netwerkbeveiliging Het ontwerp van IP-internetwerkomgevingen en de manier waarop deze worden gebruikt vragen een goede balans tussen privé en openbare netwerkvereisten. Daarom is de firewall een onmisbare factor geworden voor de bescherming van de integriteit van het netwerk. Een firewall is geen op zich staand onderdeel. De NCSA (National Computer Security Association) definieert een firewall als "een systeem of combinatie van systemen die een grens vormen tussen twee of meer netwerken". Hoewel verschillende benamingen worden gebruikt, wordt die grens vaak een randnetwerk genoemd. Het randnetwerk beveiligt uw intranet of bedrijfs-LAN tegen inbraak door de toegang vanaf internet of andere grote netwerken te beheren. De onderstaande afbeelding toont een randnetwerk dat wordt begrensd door firewalls en dat zich tussen een privé-netwerk en internet bevindt om het privénetwerk te beveiligen.

Organisaties hebben verschillende werkwijzen bij het gebruik van firewalls voor de beveiliging. IP-pakketfilters bieden een zwakke beveiliging, zijn moeilijk te beheren en eenvoudig te omzeilen. Toepassingsgateways zijn veiliger dan pakketfilters en eenvoudiger te beheren, aangezien deze gelden voor enkele specifieke toepassingen, zoals een bepaald e-mailsysteem. Circuitlaaggateways zijn het meest doeltreffend wanneer de gebruiker van een netwerktoepassing belangrijker is dan de gegevens die door de toepassing worden doorgegeven. Een proxyserver is een uitgebreid beveiligingsmiddel dat een toepassingsgateway, veilige toegang voor anonieme gebruikers en andere services omvat. Hierna volgt enige extra informatie over elk van deze verschillende opties: IP-pakketfilters IP-pakketfilters waren de eenvoudigste implementatie van firewalltechnologie. Pakketheaders worden gecontroleerd op bron- en doeladres, TCP- (Transmission Control Protocol) en UDP-poortnummers (User Datagram Protocol) en andere gegevens. Pakketfilters zijn een beperkte technologie die het best functioneert in een duidelijke beveiligingsomgeving, waarbij bijvoorbeeld alles buiten het randnetwerk niet wordt vertrouwd en alles erbinnen wel. De laatste jaren


19

H O O F D ST U K

3

B EV EI LI G IN G

V AN

HE T

N E T WE R K

hebben fabrikanten pakketfilters verbeterd door intelligente voorzieningen toe te voegen, waardoor een nieuwe vorm van pakketfilters ontstond met de naam stateful protocol inspection. U kunt pakketfilters zo configureren dat (1) bepaalde typen pakketten worden geaccepteerd en alle andere worden geweigerd of (2) bepaalde typen pakketten worden geweigerd en alle andere worden geaccepteerd. Toepassingsgateways Toepassingsgateways worden gebruikt wanneer de inhoud van een toepassing de belangrijkste factor is. Het feit dat toepassingsgateways zijn toegespitst op een toepassing is zowel hun sterke punt als hun beperking omdat ze niet eenvoudig kunnen worden aangepast aan ontwikkelingen in de technologie. Circuitlaaggateways Circuitlaaggateways zijn tunnels door een firewall die bepaalde processen of systemen aan de ene kant verbinden met bepaalde processen of systemen aan de andere kant. Circuitlaaggateways zijn het meest geschikt in situaties waarbij degene die een toepassing gebruikt een groter risico vormt dan de informatie die via de toepassing wordt getransporteerd. De circuitlaaggateway onderscheidt zich van een pakketfilter in de mogelijkheid om verbinding te maken met een out-of-bandtoepassingsschema dat extra informatie kan toevoegen. Proxyservers Proxyservers zijn uitgebreide beveiligingsmiddelen die de functionaliteit van een firewall en toepassingsgateway in zich hebben en die internetverkeer van en naar een LAN beheren. Proxyservers bieden ook documentcaching en toegangsbeheer. Een proxyserver kan de prestaties verbeteren door veelgevraagde gegevens op te slaan in de cache en deze direct aan te leveren, zoals een favoriete webpagina. Een proxyserver kan ook aanvragen filteren en negeren die door de eigenaar als ongewenst worden beschouwd, zoals aanvragen voor onbevoegde toegang tot eigen bestanden. Het is verstandig om optimaal te profiteren van de veiligheidsvoorzieningen van firewalls. Plaats een randnetwerk in de netwerktopologie op een punt waar al het verkeer van buiten het bedrijfsnetwerk langs de begrenzing moet die wordt onderhouden door de externe firewall. U kunt het toegangsbeheer voor de firewall nauwkeurig instellen zodat het precies voldoet aan de vereisten van uw organisatie. Bovendien kunt u firewalls zo configureren dat alle pogingen tot onbevoegde toegang worden gemeld. U kunt het aantal poorten dat moet worden geopend in de binnenste firewall beperken door een toepassingslaagfirewall zoals ISA Server 2000 te gebruiken. Raadpleeg ‘Designing a TCP/IP Network’, dat u vindt op http:// www.microsoft.com/resources/documentation/WindowsServ/2003/all/ deployguide/en-us/dnsbb_tcp_overview.asp voor meer informatie over TCP/IP.

Draadloze netwerken Draadloze netwerken worden meestal geconfigureerd op een manier waarbij de draadloze signalen kunnen worden afgeluisterd. Ze zijn gevoelig voor toegang door kwaadwillende buitenstaanders vanwege de standaardinstellingen op bepaalde draadloze hardware, de toegankelijkheid van draadloze netwerken en de huidige codeermethoden. Er zijn configuratieopties en hulpmiddelen die afluisteren kunnen voorkomen, maar houd er rekening mee dat deze de computers niet beschermen tegen hackers en virussen die binnenkomen via internetverbindingen. Het is daarom van cruciaal belang dat u een firewall installeert om de computers te beveiligen tegen ongewenste indringers op internet.

20



H O O F D S T U K

3


V A N

H E T

N E TW E R K

Raadpleeg ‘How to Make your 802.11b Wireless Home Network More Secure’ voor meer informatie over het beveiligen van draadloze netwerken. U vindt dit artikel op: http://support.microsoft.com/default.aspx?scid=kb;en-us;309369.

Scenario's voor de beveiliging van netwerken De mate van netwerkbeveiliging die nodig is voor uw organisatie is afhankelijk van een aantal factoren. Meestal is het een kwestie van een compromis tussen budget en de noodzaak om bedrijfsgegevens te beveiligen. Een klein bedrijf kan een zeer complexe beveiligingsstructuur willen implementeren met de best mogelijke netwerkbeveiliging, maar dat is mogelijk niet te bekostigen voor een klein bedrijf. In dit gedeelte worden enkele scenario's beschreven en aanbevelingen gedaan voor diverse beveiligingsniveaus met relatieve prijskaartjes. Geen firewall Als uw organisatie een verbinding heeft met internet maar geen firewall, moet enige vorm van netwerkbeveiliging worden geïmplementeerd. Er zijn eenvoudige netwerkfirewallapparaten, zoals beschreven in het volgende gedeelte, die voldoende beveiliging bieden om de meeste amateurhackers af te schrikken. Eén eenvoudige firewall Het minimumbeveiligingsniveau dat wordt aanbevolen is een enkele firewall tussen internet en uw gegevens. Deze firewall biedt waarschijnlijk geen geavanceerde beveiliging en kan niet als erg veilig worden beschouwd. Maar het is beter dan niets.


21

H O O F D ST U K

3

B EV EI LI G IN G

V AN

HE T

N E T WE R K

Hopelijk kunt u zich een veiliger oplossing veroorloven die uw bedrijfsgegevens beveiligt. Zo'n oplossing is bijvoorbeeld ISA Server. De hogere kosten van deze extra server bieden een veel betere beveiliging dan de doorsnee firewall voor eindgebruikers aangezien deze alleen netwerkadresomzetting (NAT) en pakketfilters bieden.

De oplossing met één firewall is veiliger dan een firewallapparaat op ingangsniveau en biedt speciale Windows-beveiligingsservices. Eén bestaande firewall Als u een bestaande firewall hebt die uw intranet scheidt van internet, is het het overwegen waard om een extra firewall te installeren waarmee u interne bronnen naar internet op meerdere manieren kunt configureren. U kunt hierbij bijvoorbeeld denken aan webpublicatie. Hierbij wordt ISA Server ingezet voor de webserver van een organisatie die toegang biedt aan internetgebruikers. Voor inkomende webaanvragen kan ISA Server zich voor de buitenwereld voordoen als webserver en clientaanvragen voor webinhoud afhandelen vanuit de cache. ISA Server stuurt aanvragen alleen door naar de webserver als de aanvragen niet kunnen worden afgehandeld vanuit de cache.

22



H O O F D S T U K

3


V A N

H E T

N E TW E R K

Een andere methode is serverpublicatie. ISA Server maakt publicatie van interne servers op internet mogelijk zonder de veiligheid van het interne netwerk in gevaar te brengen. U kunt regels voor webpublicatie en serverpublicatie configureren die bepalen welke aanvragen moeten worden doorgestuurd naar een server in het lokale netwerk, wat extra beveiliging biedt voor interne servers.


23

H O O F D ST U K

3

B EV EI LI G IN G

V AN

HE T

N E T WE R K

Twee bestaande firewalls In het vierde scenario zijn er twee firewalls die zijn geïmplementeerd met een geïnstalleerd randnetwerk (DMZ). Een of meer van deze servers biedt omgekeerde proxyservices zodat internetclients niet rechtstreeks toegang krijgen tot servers in het intranet. Een van de firewalls, liefst de interne firewall, onderschept netwerkaanvragen voor interne servers, inspecteert de pakketten en stuurt deze vervolgens door namens de internethost.

Dit scenario lijkt op het voorgaande nadat de tweede firewall is toegevoegd. Het enige verschil is dat de interne firewall die fungeert als omgekeerde proxy geen ISA Server is. In dit scenario is het belangrijk om nauw samen te werken met de beheerders van elke firewall om regels voor serverpublicatie te definiëren die voldoen aan het beveiligingsbeleid.

24



Hoofdstuk 4:

Bescherming tegen virussen Gebruik de volgende informatie om meer te weten te komen over de verschillende soorten computervirussen en wat u kunt doen om te voorkomen dat de computers in uw bedrijf worden geïnfecteerd met een computervirus. De informatie is onderverdeeld in de volgende onderwerpen: • •

Overzicht van virussen Soorten virussen

Overzicht van virussen Een computervirus is een uitvoerbaar bestand dat is ontworpen om zichzelf te vermenigvuldigen, gegevensbestanden en programma's te wissen of te beschadigen en te voorkomen dat het wordt ontdekt. Virussen worden vaak herschreven en aangepast zodat ze niet kunnen worden ontdekt. Virussen worden vaak verzonden als bijlagen bij e-mailberichten. Antivirusprogramma's moeten steeds worden bijgewerkt zodat kan worden gezocht naar nieuwe en aangepaste virussen. Virussen zijn de meestvoorkomende manier van computervandalisme. Antivirussoftware is speciaal ontworpen om virusprogramma's op te sporen en uit te schakelen. Aangezien er steeds nieuwe virusprogramma's worden gemaakt, bieden veel fabrikanten van antivirusproducten periodieke updates van hun software aan hun klanten. Microsoft raadt u ten zeerste aan antivirussoftware te implementeren in uw organisatie. Virussoftware wordt meestal op een van deze drie locaties geïnstalleerd: werkstations van gebruikers, servers en het netwerk waar e-mail de organisatie binnenkomt (en soms ook verlaat). Raadpleeg de volgende Microsoft websites over beveiliging voor meer informatie over virussen en algemene beveiliging van computers: •

Microsoft Security & Privacy (http://www.microsoft.com/security/ default.asp).

•

Beveiligingsdocumentatie op Microsoft TechNet (http://www.microsoft.com/ technet/security/Default.mspx).

Soorten virussen Er zijn vier hoofdtypen virussen die computersystemen infecteren: virussen voor de opstartsector, virussen die bestanden infecteren, Trojaanse paarden en macrovirussen. Virussen die de opstartsector infecteren Wanneer een computer wordt opgestart, wordt de opstartsector van de vaste schijf gescand voordat het besturingssysteem en andere opstartbestanden worden geladen. Een virus voor de opstartsector is ontworpen om informatie in de opstartsector van de vaste schijf te overschrijven met eigen code. Wanneer een computer is geïnfecteerd met een opstartsectorvirus, wordt de code van het virus in het geheugen gelezen voor enige andere informatie. Zodra het virus in het geheugen zit, kan het zichzelf vermenigvuldigen naar andere schijven die zich in de geïnfecteerde computer bevinden.


25

H O O F D ST U K

4

B ES C H E R M I N G

T E G E N

V I R U S S E N

Virussen die bestanden infecteren Het meestvoorkomende soort virus, een virus dat bestanden infecteert, koppelt zichzelf aan een uitvoerbaar programmabestand door de eigen code toe te voegen aan het uitvoerbare bestand. De viruscode wordt meestal op zo'n manier toegevoegd dat deze niet gemakkelijk kan worden ontdekt. Wanneer het geïnfecteerde bestand wordt uitgevoerd, koppelt het virus zich aan andere uitvoerbare bestanden. Bestanden die zijn geïnfecteerd met dit type virus hebben meestal de bestandsextensie .COM, .EXE of .SYS. Sommige virussen die bestanden infecteren zijn speciaal toegespitst op bepaalde programma's. Programmatypen die vaak het doelwit zijn, zijn overlaybestanden (.OVL) en Dynamic Link Library-bestanden (.DLL). Hoewel deze bestanden niet worden uitgevoerd, worden ze wel aangeroepen door uitvoerbare bestanden. Het virus verspreidt zich wanneer de aanroep plaatsvindt. Gegevens worden beschadigd wanneer het virus wordt geactiveerd. Een virus kan worden geactiveerd wanneer een geïnfecteerd bestand wordt uitgevoerd of wanneer wordt voldaan aan een bepaalde omgevingsvoorwaarde zoals een bepaalde systeemdatum. Trojaanse paarden Een Trojaans paard is eigenlijk geen virus. Het belangrijkste verschil tussen een virus en een Trojaans paard is dat een Trojaans paard zichzelf niet vermenigvuldigt; het vernietigt alleen informatie op de vaste schijf. Een Trojaans paard doet zich voor als een legitiem programma, zoals een spel of hulpprogramma. Wanneer het wordt uitgevoerd, kan het gegevens vernietigen of beschadigen. Macrovirussen Een macrovirus is een type computervirus dat wordt opgeslagen in een macro in een bestand, sjabloon of invoegtoepassing. U kunt het verspreiden van een macrovirus voorkomen. Hier volgen enkele tips om infectie te voorkomen die van belang zijn voor de hele organisatie.

26


•

Installeer een antivirusprogramma dat inkomende berichten van internet controleert op virussen voordat de berichten door de router gaan. Zo worden emailberichten gecontroleerd op bekende virussen.

•

Controleer de bron van documenten die u ontvangt. Open alleen documenten die afkomstig zijn van iemand die u vertrouwt.

•

Neem contact op met degene die het document heeft gemaakt. Als u ook maar enigszins twijfelt of het document veilig is, neemt u contact op met degene die het document heeft gemaakt.

•

Gebruik de bescherming tegen macrovirussen van Microsoft Office. In de Office-toepassingen wordt de gebruiker gewaarschuwd als een document macro's bevat. Deze voorziening stelt de gebruiker in staat de macro's in of uit te schakelen wanneer het document wordt geopend.

•

Gebruik virusscansoftware om macrovirussen op te sporen en te verwijderen. Virusscansoftware kan macrovirussen in document opsporen en deze vaak verwijderen. Microsoft beveelt het gebruik van antivirussoftware aan dat is goedgekeurd door de ICSA (International Computer Security Association).


H O O FD ST U K

•

4

B ES C H E R M I N G

T E G E N

V I R U S S E N

Stel het niveau van de macrobeveiliging van Microsoft Office in op Hoog of Gemiddeld en gebruik digitale handtekeningen. Een digitale handtekening is een elektronische, gecodeerde, veilige verzegeling van een macro of document. Deze handtekening bevestigt dat de macro of het document afkomstig is van de ondertekenaar en niet is gewijzigd. Ga naar de website Microsoft Office Online (http://office.microsoft.com/en-us/default.aspx) voor meer informatie over de beveiligingsvoorzieningen in Microsoft Office.


27

28



Hoofdstuk 5:

Microsoft Dynamics GP-beveiliging Microsoft Dynamics GP biedt verschillende typen beveiliging. De volgende informatie geeft een overzicht van de beveiligingsvoorzieningen in Microsoft Dynamics GP. Raadpleeg Deel 2: Gebruikersinstellingen en Deel 5: Organisatiestructuur van de handleiding Microsoft Dynamics GP Systeeminstellingen voor stapsgewijze instructies voor het configureren van beveiliging in de Microsoft Dynamics GPtoepassing. Raadpleeg de handleiding Microsoft Dynamics GP Geavanceerde beveiliging voor informatie over het gebruik van geavanceerde beveiliging. Beide handleidingen zijn beschikbaar via de optie Afdrukbare handleidingen in het menu Help van Microsoft Dynamics GP en kunnen worden gedownload van de website CustomerSource. Microsoft Dynamics GP maakt gebruik van vaste serverrollen en databaserollen van Microsoft SQL Server voor een effectiever beveiligingsbeheer. De informatie is onderverdeeld in de volgende onderwerpen: • • • • • • • • • •

Gebieden waarop beveiligingsinstellingen van invloed zijn Toegang tot gegevens verlenen De manier waarop wachtwoorden worden gebruikt in Microsoft Dynamics GP Items waarvoor u beveiliging kunt instellen Geavanceerde beveiliging Veldbeveiliging Beveiliging van de toepassing Microsoft Dynamics GP beveiliging van hulpprogramma's Infolabels van Office Beveiligingsproblemen oplossen

Gebieden waarop beveiligingsinstellingen van invloed zijn De volgende gebieden van Microsoft Dynamics GP worden beïnvloed door beveiligingsinstellingen. Systeem Systeembeveiliging beheert toegang tot configuratiegegevens voor het systeem, zoals het maken van nieuwe bedrijven, het configureren van nieuwe gebruikersrecords, het toewijzen van gebruikersbeveiliging en het afdrukken van rapporten met die informatie. Beveiliging op systeemniveau wordt geregeld via het gebruik van een wachtwoord. Bedrijf Bedrijfsbeveiliging beheert toegang tot bedrijven per gebruiker. Wanneer een beheerder een nieuwe gebruikersrecord configureert, heeft die persoon geen toegang tot bedrijven. De nieuwe gebruiker moet toegang worden verleend via het venster Instellingen voor gebruikerstoegang voordat de gebruiker zich kan aanmelden bij Microsoft Dynamics GP. Wanneer een nieuwe gebruiker wordt toegevoegd, heeft de gebruiker standaard toegang tot bijna alle aspecten van de bedrijfsgegevens tot die toegang wordt beperkt.


29

H O O F D ST U K

5

M IC R O S O F T

D Y N A M I C S

G P -B EV EI L I G I N G

Venster Wanneer een gebruiker toegang wordt verleend tot een bedrijf in Microsoft Dynamics GP, heeft de gebruiker standaard toegang tot bijna alle vensters in het systeem. Een systeembeheerder kan de toegang tot vensters in het systeem per gebruiker beheren, hetzij expliciet hetzij met behulp van gebruikersklassen. Rapport Wanneer een gebruiker toegang wordt verleend tot een bedrijf in Microsoft Dynamics GP, heeft de gebruiker standaard toegang tot alle rapporten in het systeem. Een systeembeheerder kan de toegang tot rapporten in het systeem per gebruiker beheren, hetzij expliciet hetzij met behulp van gebruikersklassen. Wanneer een rapport wordt gewijzigd of gemaakt, hebben gebruikers niet standaard toegang tot het rapport. Hun moet toegang worden verleend voordat ze het nieuwe of gewijzigde rapport kunnen openen. Tabellen Wanneer een gebruiker toegang wordt verleend tot een bedrijf in Microsoft Dynamics GP, heeft de gebruiker standaard toegang tot alle tabellen in het systeem. Een systeembeheerder kan de toegang tot tabellen in het systeem per gebruiker beheren, hetzij expliciet hetzij met behulp van gebruikersklassen. Als de toegang tot een tabel in Microsoft Dynamics GP wordt geweigerd, kan de gebruiker rapporten die gebruikmaken van die tabel niet afdrukken. De gebruiker kan wel vensters openen en processen uitvoeren waarvoor toegang tot die tabel is vereist. Specifieke taken voor een module De meeste modules van Microsoft Dynamics GP hebben specifieke taken die zo kunnen worden geconfigureerd dat er een wachtwoord nodig is. Voor elke taak kan een ander wachtwoord worden ingesteld. Als een wachtwoord vereist is, moeten alle gebruikers die die taak proberen uit te voeren het wachtwoord opgeven. Raadpleeg de installatiedocumentatie bij elke module voor informatie over deze wachtwoorden. Als u meerdere bedrijven configureert in Microsoft Dynamics GP (en geen gebruikmaakt van Microsoft Dynamics GP Geavanceerde beveiliging), geldt de instelling van beveiligingsopties voor afzonderlijke gebruikers slechts voor één bedrijf, terwijl beveiligingsopties die zijn ingesteld voor gebruikersklassen voor alle bedrijven gelden. Als u wel gebruikmaakt van Microsoft Dynamics GP Geavanceerde beveiliging, kunt u ervoor kiezen om beveiligingswijzigingen door te geven aan verschillende bedrijven.

Toegang tot gegevens verlenen Een systeembeheerder kan de toegang ontzeggen tot delen van het Microsoft Dynamics GP-systeem in alle bedrijven voor afzonderlijke gebruikers of groepen gebruikers, ook wel gebruikersklassen genoemd. Klassen worden gemaakt met het venster Instellingen gebruikersklasse en afzonderlijke gebruikers worden toegewezen aan de klassen met het venster Gebruikersinstellingen. Als u Rapportschrijver of Wijzigingsprogramma gebruikt om rapporten of vensters te wijzigen, moet een beheerder individuele beveiliging instellen of gebruikersklassen gebruiken om toegang te verlenen tot gewijzigde rapporten en vensters. De typen items die kunnen worden beheerd via gebruikersklassen of individuele beveiliging worden later genoemd in Items waarvoor u beveiliging kunt instellen op pagina 32. Klassen functioneren het best als alle leden van de klasse dezelfde toegang hebben binnen Microsoft Dynamics GP. Wanneer toegang wordt toegevoegd of weggenomen van een hele klasse en de wijzigingen worden doorgegeven aan alle leden van die klasse, wordt de toegang voor elk lid van die klasse ingesteld op de toegang die is toegewezen aan de klasse. Als u wijzigingen hebt aangebracht in de toegangsrechten van afzonderlijke leden van de klasse, worden die wijzigingen

30



H O O FD ST U K

5

M I C R O S O F T

D Y N A M IC S

G P - B E V E ILI G IN G

overschreven door de toegang die aan de hele klasse wordt toegewezen. Als afzonderlijke gebruikers enigszins afwijkende toegang hebben of als een gebruiker toegang krijgt tot verschillende delen van Microsoft Dynamics GP binnen verschillende bedrijven, maakt u een aparte klasse voor elk type toegang. Een andere manier om vergelijkbare toegang te verlenen aan verschillende gebruikers is het gebruik van de kopieerfunctie van Geavanceerde beveiliging. De kopieerfunctie kan worden gebruikt om de toegang die is verleend aan de ene gebruiker ook te verlenen aan andere gebruikers of om de toegang die een gebruiker heeft binnen het ene bedrijf te kopiëren naar andere bedrijven. De nieuwe verleende toegang kan vervolgens worden gewijzigd als de gebruiker een enigszins afwijkende toegang nodig heeft. Afzonderlijke gebruikers Individuele beveiliging geeft flexibiliteit dankzij het aanpassen van beveiligingsinstellingen voor afzonderlijke gebruikers, hetzij in combinatie met hetzij in plaats van beveiliging met gebruikersklassen. Een beheerder kan toegang tot delen van het Microsoft Dynamics GP-systeem verlenen of weigeren voor een afzonderlijke gebruiker en administratie via het venster Instellingen beveiliging. Specifieke taken voor een module De meeste modules van Microsoft Dynamics GP hebben specifieke taken die zo kunnen worden geconfigureerd dat er een wachtwoord nodig is. Voor elke taak kan een ander wachtwoord worden ingesteld. Als een wachtwoord vereist is, moeten alle gebruikers die die taak proberen uit te voeren het wachtwoord opgeven. Raadpleeg de installatiedocumentatie bij elke module voor informatie over deze wachtwoorden.

De manier waarop wachtwoorden worden gebruikt in Microsoft Dynamics GP In Microsoft Dynamics GP worden wachtwoorden gebruikt om de toegang tot een bedrijf en geselecteerde delen van het boekhoudsysteem te beheren. Wachtwoorden kunnen hoofdletters en kleine letters, numerieke tekens, interpunctie en ingesloten spaties bevatten. Er zijn drie soorten wachtwoorden. Gebruikerswachtwoorden Gebruikerswachtwoorden bepalen of een bepaalde gebruiker toegang heeft tot Microsoft Dynamics GP. Gebruikerswachtwoorden worden in eerste instantie ingesteld in het venster Gebruikersinstellingen door een beheerder of worden opgegeven tijdens het eerste installatieproces van Microsoft Dynamics GP. Gebruikers kunnen hun eigen wachtwoord wijzigen in het venster Instellingen gebruikerswachtwoord. Systeemwachtwoorden Het systeemwachtwoord bepaalt de toegang tot configuratiegegevens voor het systeem, zoals het configureren van nieuwe gebruikersrecords, het toewijzen van gebruikersbeveiliging en het afdrukken van rapporten met die informatie. Het systeemwachtwoord wordt ingesteld via het venster Instellingen systeemwachtwoord. Taakwachtwoorden De meeste modules van Microsoft Dynamics GP hebben specifieke taken die zo kunnen worden geconfigureerd dat er een wachtwoord nodig is. Voor elke taak kan een ander wachtwoord worden ingesteld. Als een wachtwoord vereist is, moeten alle gebruikers die die taak proberen uit te voeren het wachtwoord opgeven. Raadpleeg de installatiedocumentatie bij elke module voor informatie over deze wachtwoorden.


31

H O O F D ST U K

5

M IC R O S O F T

D Y N A M I C S


Items waarvoor u beveiliging kunt instellen Via het venster Instellingen gebruikersklasse kunt u toegang instellen tot items in Microsoft Dynamics GP voor een gebruikersklasse. Als u toegang wilt instellen voor afzonderlijke gebruikers en administraties gebruikt u het venster Instellingen beveiliging. U kunt beveiliging instellen voor de volgende items in Microsoft Dynamics GP en producten die hier nauw mee verbonden zijn. Item

Beschrijving

Vensters

Vensters in het geselecteerde product.

Rapporten

Rapporten in het geselecteerde product.

Gewijzigde vensters

Vensters die zijn aangepast met behulp van Wijzigingsprogramma.

Gewijzigde rapporten

Primaire exemplaren van rapporten die zijn gemaakt met Rapportschrijver. Opmerking: De naam van het rapport die door Rapportschrijver wordt gegenereerd wordt weergegeven in de lijst. Deze naam wordt ook weergegeven in de titelbalk van het venster Schermuitvoer wanneer u een rapport afdrukt.

Bestanden

Tabellen in het geselecteerde product.

Alternatieve Microsoft Dynamics GP rapporten*

Microsoft Dynamics GP-rapporten die deel uitmaken van nauwverbonden producten die u hebt geïnstalleerd.

Alternatieve Microsoft Dynamics GP-vensters*

Microsoft Dynamics GP-vensters die deel uitmaken van nauwverbonden producten die u hebt geïnstalleerd.

Gewijzigde alternatieve Microsoft Dynamics GPrapporten*

Alternatieve rapporten die zijn aangepast met Rapportschrijver.

Gewijzigde alternatieve Microsoft Dynamics GPvensters*

Alternatieve vensters die zijn aangepast met Wijzigingsprogramma.

Aangepaste rapporten

Secundaire exemplaren en nieuwe rapporten die zijn gemaakt in Rapportschrijver.

Geavanceerde financiële rapporten

Aangepaste geavanceerde financiële rapporten

Machtigingen voor het boeken van hoofdgroepen

Specifieke boekingstaken voor elk Microsoft Dynamics GP-product dat u hebt aangeschaft.

Hulpmiddelen om het systeem aan te passen

Hulpmiddelen die u gebruikt om het boekhoudsysteem aan te passen, zoals Rapportschrijver of Wijzigingsprogramma. Nieuwe gebruikers hebben geen toegang tot deze hulpmiddelen. De toegang moet hun worden verleend.

Microsoft Dynamics GPimport **

Microsoft Dynamics GP Integratiebeheer. Hiermee configureert u ook de beveiliging voor het importprogramma van Microsoft Dynamics GP. Nieuwe gebruikers hebben geen toegang tot deze hulpmiddelen. De toegang moet hun worden verleend.

Toegang tot documenten

Offertes, orders, facturen, retouren en naleveringen voor Verkoopadministratie. Standaardinkooporders en inkooporders voor directe levering voor Verkoopadministratie.

*Deze items worden alleen weergegeven als u een nauwverbonden product gebruikt en dit hebt geselecteerd in de lijst Product. **Deze typen worden alleen weergegeven als het corresponderende item is geïnstalleerd en geregistreerd.

32



H O O FD ST U K

5

M I C R O S O F T

D Y N A M IC S


Geavanceerde beveiliging Geavanceerde beveiliging biedt gebruikers een alternatieve gebruikersinterface waarmee beveiliging binnen Microsoft Dynamics GP kan worden ingesteld. De beveiligingsinstellingen van klassen kunnen zonder gevolgen voor andere wijzigingen worden doorgegeven aan resources op het niveau van de gebruiker. De interface biedt de mogelijkheid om gelijktijdig dezelfde beveiligingsopties in te stellen voor meerdere gebruikers, klassen of bedrijven. Geavanceerde beveiliging bevat de volgende voorzieningen: •

Een grafische interface die eenvoudig in het gebruik is.

•

Beveiligingsinstellingen van klassen die kunnen worden doorgegeven zonder gevolgen voor andere wijzigingen aan resources op het niveau van de gebruiker.

•

Een kopieerfunctie die kan worden gebruikt om de toegang die is verleend aan de ene gebruiker ook te verlenen aan andere gebruikers of om de toegang die een gebruiker heeft binnen het ene bedrijf te kopiëren naar andere bedrijven.

•

Beveiliging voor SmartLists is geïntegreerd in Geavanceerde beveiliging zodat u geen apart venster hoeft te openen om dit te configureren.

•

De mogelijkheid om de weergave te kiezen (op dictionary of met een navigatiemenu) om beveiliging in te stellen.

•

De mogelijkheid om wijzigingen op te slaan totdat u klaar bent met het instellen van de beveiliging en deze vervolgens op het gewenste moment toe te passen op het systeem.

Raadpleeg de handleiding bij Microsoft Dynamics GP Geavanceerde beveiliging voor meer informatie. Als u besluit dat u Geavanceerde beveiliging wilt gebruiken om de beveiliging van uw bedrijf te configureren en te beheren, wordt u aangeraden het te gebruiken voor alle beveiligingsinstellingen en niet slechts voor enkele opties, terwijl u andere opties rechtstreeks in de beveiligingsvensters van de Microsoft Dynamics GP-toepassing zelf instelt.

Veldbeveiliging Veldbeveiliging biedt extra beveiliging voor velden in Microsoft Dynamics GP. Gebruikers, gebruikersklassen en bedrijven die zijn gemaakt of gewijzigd in Geavanceerde beveiliging worden ook weergegeven in het venster Veldbeveiliging. Zo zijn ook alle wijzigingen aan gebruikers en klassen die worden aangebracht in het venster Veldbeveiliging van toepassing op Geavanceerde beveiliging. In Veldbeveiliging kunt u wachtwoorden instellen en velden, formulieren en vensters verbergen en deactiveren.

Beveiliging van de toepassing Gebruik de volgende informatie voor meer inzicht in de manier waarop de beveiliging van de Microsoft Dynamics GP-toepassing wordt geregeld.


33

H O O F D ST U K

5

M IC R O S O F T

D Y N A M I C S


•

De volgende taken moeten worden uitgevoerd door een beheerder: backups maken, bedrijven maken en nieuwe gebruikers-id's maken.

•

De eigenaar van de database wordt ingesteld op DYNSA voor alle Microsoft Dynamics GP-databases. Het is van cruciaal belang dat DYNSA de eigenaar blijft van alle Microsoft Dynamics GP-databases. Als er een andere eigenaar wordt toegewezen, kan dit problemen geven wanneer gebruikersaccounts worden verwijderd en toegang wordt verleend tot bedrijven.

•

Alle gebruikers moeten een geldig wachtwoord hebben om zich te kunnen aanmelden bij de toepassing. Als er een leeg wachtwoord wordt aangetroffen, wordt de gebruiker gedwongen dit wachtwoord te wijzigen om zich te kunnen aanmelden bij de toepassing. Daarnaast wordt aanbevolen om alle niet-actieve gebruikersaccounts te verwijderen of een geldig wachtwoord te geven en alle toegang tot bedrijven te verwijderen.

•

Alle gebruikersaccounts in Microsoft Dynamics GP hebben standaard geen toegang tot het venster Onderhoud maatwerk, het venster Status maatwerk, Wijzigingsprogramma, Rapportschrijver, het venster Microsoft Dynamics GP Import, Human Resources Letters en de tabel Stambestand systeem.

•

Trainingsgebruikers hebben alleen toegang tot het voorbeeldbedrijf.

•

Het gebruik van de vaste serverrollen en databaserollen van Microsoft SQL is uitgebreid zodat gebruikers die aan deze rollen zijn toegewezen nu toegang hebben tot functies van Microsoft Dynamics GP die eerder waren voorbehouden aan een gebruikersaccount van een systeembeheerder.

Microsoft Dynamics GP beveiliging van hulpprogramma's Alle leden van de vaste serverrol SysAdmin kunnen een upgrade uitvoeren op een vorige versie of Microsoft Dynamics GP installeren.

Beveiliging voor nieuwe installaties Hulpprogramma’s voor Microsoft Dynamics GP controleert of de aanmelding DYNSA bestaat. Als dit niet het geval is, wordt de aanmelding gemaakt en moet de DYNSA-gebruiker een wachtwoord opgeven om door te gaan. DYNSA wordt ingesteld als database-eigenaar voor ALLE Microsoft Dynamics GP-databases.

34


•

Wanneer de aanmelding DYNSA wordt gemaakt, wordt deze toegewezen aan de vaste serverrollen SecurityAdmin en dbCreator.

•

Alle gebruikers met de juiste SQL-machtigingen kunnen Microsoft Dynamics GP installeren.

•

Bij het installeren van het voorbeeldbedrijf moeten wachtwoorden worden opgegeven bij het maken van de accounts voor VOORBEELDGEBRUIKER.

•

Wanneer de aanmeldingen DYNSA, LESSONUSER1 en LESSONUSER2 worden gemaakt, hebben deze geen toegang tot de tabel SY02400 (Tabel Stambestand systeemwachtwoord). Dit betekent dat deze aanmeldingen ook geen toegang tot deze tabel hebben via Rapportschrijver.


H O O FD ST U K

5

M I C R O S O F T

D Y N A M IC S


Upgrades uitvoeren op een vorige versie •

Wanneer de systeembeheerder (‘sa’) zich aanmeldt bij Hulpprogramma’s voor Microsoft Dynamics GP, wordt gecontroleerd of het wachtwoord voor DYNSA of TOEGANG is. Als een van deze wachtwoorden is ingesteld, moet de gebruiker een nieuw DYNSA-wachtwoord opgeven om de upgrade te kunnen uitvoeren.

•

Toegang tot de tabel SY02400 (Stambestand systeemwachtwoord) in Rapportschrijver wordt voor alle gebruikers verwijderd.

•

Wanneer de aanmelding DYNSA wordt gemaakt, wordt deze automatisch toegewezen aan de vaste serverrollen SecurityAdmin en dbCreator.

Infolabels van Office Microsoft Office Infolabelbeheer wordt gebruikt om Office Infolabels te configureren en activeren in de Microsoft Dynamics GP-toepassing. Microsoft Office Infolabels hebben niets te maken met de beveiliging in Microsoft Dynamics GP. Office Infolabelbeheer kan afzonderlijk worden gedownload van het gedeelte Downloads & Updates van de website CustomerSource. Raadpleeg de handleiding Microsoft Dynamics GP Office Smart Tags voor uitgebreide instructies voor het installeren van Office Infolabels. Office Infolabels zijn gebaseerd op netwerkgroepen zodat gebruikers met gemeenschappelijke behoeften (bijvoorbeeld medewerkers van de klantenservices, bedrijfsanalisten en verkopers) toegang hebben tot dezelfde set Infolabels en dezelfde bedrijfsdatabases. De netwerkgroep moet worden voorbereid en geconfigureerd voordat Office Infolabelbeheer wordt geïnstalleerd. Nadat Office Infolabelbeheer is geïnstalleerd en de netwerkgroepen zijn gemaakt, waarbij gebruikers zijn toegevoegd aan de juiste groepen, moet in het hulpprogramma Office Infolabelbeheer de toegang tot de betreffende entiteiten, acties en bedrijven worden gedefinieerd voor alle netwerkgroepen. Entiteiten en acties kunnen afzonderlijk of allemaal tegelijk beschikbaar worden gesteld. Wanneer een entiteit niet beschikbaar is, zijn alle bijbehorende acties ook niet beschikbaar. U moet een groep toegang verlenen tot ten minste een entiteit, actie en bedrijf zodat Office Infolabelbeheer beschikbaar is voor de leden van de groep. Office Infolabels zijn herkenbaar aan het type gegevens of entiteiten van de Microsoft Dynamics-toepassingen die worden herkend. Elke entiteit kan diverse acties uitvoeren. De acties bieden directe koppelingen naar de Microsoft Dynamicstoepassingen vanuit Office. Voor elke groep van Office Infolabelbeheer moet u de toegang tot Infolabelentiteiten inschakelen die van toepassing zijn op de zakelijke behoeften van de groep. Zo hebben medewerkers van de klantenservice behoefte aan toegang tot de Infolabels Klant, Artikel en Account en bedrijfsanalisten hebben alle Microsoft Infolabels nodig. U moet ook de toegang tot acties inschakelen voor alle ingeschakeld Infolabelentiteiten op basis van wat nodig is voor de groep. Zo is het voldoende om weergaveacties in te schakelen voor medewerkers van de klantenservice die alleen maar hoeven te reageren op vragen van klanten naar aanleiding van bestellingen. Deze medewerkers hoeven geen toepassingsvensters te kunnen openen.


35

H O O F D ST U K

5

M IC R O S O F T

D Y N A M I C S


Voor elke groep van Office Infolabelbeheer moet u ook de toegang tot bepaalde bedrijven binnen een Microsoft Dynamics-toepassing inschakelen. Deze toegang moet worden gebaseerd op de gemeenschappelijke zakelijke behoeften van de gebruikers. Wanneer een gebruiker lid is van meerdere groepen van Office Infolabelbeheer, heeft de gebruiker alleen toegang tot de Infolabelentiteiten, acties en bedrijven die in alle groepen zijn ingeschakeld. Als een entiteit, actie of bedrijf niet beschikbaar is in een van de groepen, is die entiteit, actie of dat bedrijf niet beschikbaar voor de gebruiker. Bovendien kunt u geen netwerkgroep maken met de naam ‘Infolabels’ of ‘SmartTags’ aangezien deze woorden gereserveerd zijn binnen de toepassing.

Beveiligingsproblemen oplossen Voor veel van de processen in Microsoft Dynamics GP, zoals boeken en afdrukken, is het nodig dat de gebruiker die het proces uitvoert toegang heeft tot meerdere vensters, rapporten en tabellen. Als een gebruiker geen toegang heeft tot een item dat deel uitmaakt van een proces, kan de gebruiker dat proces niet uitvoeren. Er wordt een bericht weergegeven dat de gebruiker niet over de juiste rechten beschikt om te bron te openen. Er wordt echter niet altijd een bericht weergegeven met een uitleg van het probleem. Als toegang tot een tabel wordt geweigerd, zijn alleen rapporten die gebruikmaken van die tabel ontoegankelijk. Als u gebruikmaakt van Geavanceerde beveiliging, kunt u het venster Geavanceerde beveiliging gebruiken om de beveiligingsinstellingen voor gebruikersrecords en de bedrijven en klassen die gerelateerd zijn aan de gebruikers controleren op fouten. Als er fouten zijn, hebt u de mogelijkheid de betreffende fout te verhelpen, alle gevonden fouten te verhelpen of de fout niet te verhelpen.

36



Hoofdstuk 6:

Het Microsoft Dynamics GPbeveiligingsmodel voor databases Gebruik deze informatie om meer te weten te komen over het beveiligingsmodel voor databases van Microsoft Dynamics GP. De informatie is onderverdeeld in de volgende onderwerpen: • • •

Wachtwoordbeveiliging De databaserol DYNGRP Een gebruikersaccount toevoegen aan de vaste serverrol SysAdmin

Wachtwoordbeveiliging Gebruikersaccounts moeten worden gemaakt binnen de Microsoft Dynamics GPtoepassing om er zeker van te zijn dat beveiliging wordt toegepast op alle vensters en rapporten van Microsoft Dynamics GP. Microsoft Dynamics GP codeert het wachtwoord terwijl de gebruiker het maakt voordat het wordt doorgegeven aan Microsoft SQL Server. Als een gebruikersaccount wordt gemaakt met het wachtwoord '1234', ondergaat dat wachtwoord voordat de gebruikersaccount wordt gemaakt in Microsoft SQL Server het coderingsproces van Microsoft Dynamics GP en wordt het veranderd in iets dat lijkt op 'ABCD'. Wanneer dit gebeurt, kunnen alleen de Microsoft Dynamics GP-toepassing en andere toepassingen die gebruikmaken van de codering van Microsoft Dynamics GP het wachtwoord van de gebruiker vertalen voordat het wordt verzonden naar Microsoft SQL Server. Als een gebruiker toegang probeert te krijgen tot Microsoft SQL Server van buiten de Microsoft Dynamics GP-toepassing, wordt de aanmeldingspoging geweigerd omdat de wachtwoorden niet overeenkomen. Microsoft Dynamics GP staat niet toe dat een gebruiker zijn/haar wachtwoord leeg laat of decodeert. Dit geeft een betere beveiliging.

De databaserol DYNGRP Het is van vitaal belang voor de beveiliging van gegevens dat u de databaserol DYNGRP goed begrijpt. De databaserol DYNGRP wordt gebruikt om toegang te krijgen tot de objecten, zoals tabellen, opgeslagen procedures en weergaven, die binnen de database bestaan. Dit vereenvoudigt het toewijzingsproces van bepaalde machtigingen op de databaseobjecten. Als u de machtigingen SELECTEREN, BIJWERKEN, INVOEGEN, VERWIJDEREN en UITVOEREN toewijst aan de databaserol DYNGRP voor alle objecten binnen de database, is het niet meer nodig om expliciet toegang tot objecten te verlenen aan afzonderlijke gebruikers via SQL DBA's en de Microsoft Dynamics GP-toepassing. De afzonderlijke gebruikers van Microsoft Dynamics GP zijn lid van de database DYNGRP en die gebruikers nemen dezelfde machtigingen over. Wanneer een beheerder een gebruiker toegang verleent tot een bedrijf in Microsoft Dynamics GP, wordt de gebruiker ook lid van de rol DYNGRP voor de bijbehorende database. Hoewel deze databaserol wordt gebruikt in combinatie met de Microsoft Dynamics GP-toepassing, is het belangrijk dat u zich ervan bewust bent dat alleen gebruikers van Microsoft Dynamics GP lid van deze rol mogen zijn. Als gebruikersaccounts zonder gecodeerde wachtwoorden in deze databaserol worden geplaatst, hebben gebruikers mogelijk toegang via andere toepassingen. Als andere toepassing toegang nodig hebben tot gegevens van Microsoft Dynamics GP, maakt de


37

HOOFDSTUK 6

HET MICROSOFT DYNAMICS GP-BEVEILIGINGSMODEL VOOR DATABASES

beheerder nieuwe rollen met de specifieke machtigingen voor alleen die objecten waartoe afzonderlijke gebruikers toegang nodig hebben. Als u deze richtlijnen volgt, vermindert u de kans dat onbevoegde gebruikers toegang krijgen tot uw gegevens.

Een gebruikersaccount toevoegen aan de vaste serverrol SysAdmin Er zijn twee soorten SQL Server-rollen: vaste server en database. Vaste serverrollen worden gebruikt om SQL Server te beheren en functies uit te voeren die van invloed zijn op de beschikbaarheid en processen van SQL Server, zoals het maken van databases en toevoegen van aanmeldingen. Databaserollen worden gebruikt om de specifieke database te beheren waaraan de databaserollen zijn toegewezen. Databasebeheerfuncties zijn bijvoorbeeld het verlenen van gebruikerstoegang, machtigingen op databaseobjecten en het maken van backups van de database. Het proces is hetzelfde ongeacht of de gebruiker wordt toegevoegd aan een vaste serverrol of een databaserol.

Een gebruikersaccount toevoegen aan de vaste serverrol SysAdmin 1.

Controleer of de SQL-aanmelding bestaat in Microsoft SQL Server. Open Enterprise Manager en klik op het +-teken naast de SQL Server-naam en het +teken naast de beveiligingsmap. Klik op het pictogram Aanmeldingen om de aanmeldingen weer te geven in het rechterdeelvenster. Als u de gezochte aanmelding niet ziet, klikt u met rechtermuisknop op het pictogram Aanmeldingen en kiest u de optie Vernieuwen om de aanmelding weer te geven.

2.

Geef de lijst met vaste serverrollen weer. Klik op het pictogram Serverrollen om in het rechterdeelvenster een lijst weer te geven met alle vaste serverrollen.

3.

Voeg de aanmelding toe aan de vaste serverrol. Dubbelklik op het pictogram Systeembeheerders in het rechterdeelvenster om de eigenschappen van de serverrol en informatie over SysAdmin weer te geven. Klik op de knop Toevoegen en selecteer de aanmelding die u wilt toevoegen aan de rol.

Nadat u deze stappen hebt uitgevoerd, hebt u de aanmelding toegevoegd aan de vaste serverrol SysAdmin en neemt de aanmelding die machtigingen onmiddellijk over. Databaserollen bestaan onder elke database. Volg dezelfde procedure als u een gebruiker wilt toevoegen aan een databaserol.

38



Hoofdstuk 7:

De belangrijkste taken voor toepassingsbeveiliging De volgende informatie beschrijft gebruikelijke belangrijke taken voor toepassingsbeveiliging en een aantal opties om deze taken uit te voeren. De opties bieden verschillende beveiligingsniveaus. De optie met het hoogste nummer is het veiligst voor elke taak. De informatie is onderverdeeld in de volgende onderwerpen: • • • • • • • • •

Gebruikersrecords maken Gebruikersrecords verwijderen Toegang verlenen aan gebruikers Back-ups maken van databases Databases herstellen Business Alerts SQL-onderhoud Bedrijven verwijderen Gestrande gebruikersaccounts verwijderen

Gebruikersrecords maken Het maken en beheren van gebruikersaccounts in Microsoft Dynamics GP zijn twee van de meest cruciale taken aangezien hierbij het verlenen van toegang tot gegevens komt kijken. Databasebeheerders van SQL Server kunnen gebruikers van Microsoft Dynamics GP het minimumaantal machtigingen verlenen dat nodig is om aanmeldingen en gebruikersaccounts te maken in de Microsoft Dynamics GPtoepassing op basis van de instellingen in het venster SQL-opties. U kunt kiezen uit de volgende opties. De veiligste keuze is optie 5.

Opties 1.

Meld u aan bij Microsoft Dynamics GP als systeembeheerder (‘sa’) en maak de benodigde gebruikers (geen verschil met vorige versies). Beheerdersaccounts van Microsoft Dynamics GP kunnen elke gebruikersaccount in de toepassing zijn.

2.

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de vaste serverrol SysAdmin. De huidige gebruiker moet lid zijn van de rol DYNGRP in de DYNAMICS-database om opgeslagen procedures uit te voeren. Bij deze optie kan de beheerder van Microsoft Dynamics GP elke gebruikersaccount in de Microsoft Dynamics GP-toepassing zijn.

3.

Wijs de aanmelding voor de eigenaar van de DYNAMICS-database (DYNSA) toe aan de vaste serverrol SecurityAdmin en meld u aan bij de client met de DYNSA-gebruiker.

4.

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de vaste serverrol SecurityAdmin en ook aan de databaserol Db_Owner die bestaat binnen de DYNAMICS-database. Bij deze optie kan de beheerder van Microsoft Dynamics GP elke gebruikersaccount in de Microsoft Dynamics GP-toepassing zijn, hierbij moet DYNSA wel de eigenaar zijn van ALLE Microsoft Dynamics GP-databases.


39

H O O F D ST U K

7

D E

B E L AN G R I JK S T E

5.

T A K E N

V O O R

T O E P A S S I N G S B E V E I L I G I N G

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de vaste serverrol SecurityAdmin en ook aan de databaserollen Db_AccessAdmin en Db_SecurityAdmin die bestaan binnen de DYNAMICS-database. Bij deze optie kan de beheerder van Microsoft Dynamics GP elke gebruikersaccount in de Microsoft Dynamics GP-toepassing zijn, hierbij moet DYNSA wel de eigenaar zijn van ALLE Microsoft Dynamics GPdatabases.

Gebruikersrecords verwijderen Het verwijderen van gebruikersrecords is even belangrijk voor de beveiliging als het maken van gebruikersaccounts. Daarom zijn de opties die beschikbaar zijn voor het maken van gebruikersrecords ook beschikbaar voor het verwijderen ervan. De volgende opties zijn beschikbaar. De veiligste keuze is optie 5.

Opties 1.

Meld u aan bij Microsoft Dynamics GP als systeembeheerder (‘sa’) en verwijder de gewenste gebruikersrecords (geen verschil met vorige versies).

2.

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de vaste serverrol SysAdmin. Bij deze optie kan de beheerder van Microsoft Dynamics GP elke gebruikersaccount in de Microsoft Dynamics GP-toepassing zijn.

3.

Wijs de aanmelding voor de eigenaar van de database (DYNSA) toe aan de vaste serverrol SecurityAdmin en meld u aan bij de client met de DYNSAgebruiker. Bij deze optie moet DYNSA worden ingesteld als database-eigenaar voor ALLE Microsoft Dynamics GP-databases.

4.

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de vaste serverrol SecurityAdmin en ook aan de databaserol Db_Owner die bestaat binnen alle Microsoft Dynamics GPdatabases. De beheerder van Microsoft Dynamics GP kan elke gebruikersaccount in de Microsoft Dynamics GP-toepassing zijn.

5.

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de vaste serverrol SecurityAdmin en ook aan de databaserol Db_AccessAdmin die bestaat binnen alle Microsoft Dynamics GPdatabases. Bij deze optie kan de beheerder van Microsoft Dynamics GP elke gebruikersaccount in de Microsoft Dynamics GP-toepassing zijn, hierbij moet DYNSA wel de eigenaar zijn van ALLE Microsoft Dynamics GP-databases.

Toegang verlenen aan gebruikers De stappen die moeten worden uitgevoerd om toegang te verlenen tot een bedrijfsdatabase zijn in Microsoft Dynamics GP Versie 9.0 niet veranderd ten opzichte van vorige versies. De gebruiker moet echter wel beschikken over voldoende machtigingen om toegang tot een bedrijfsdatabase te kunnen verlenen. De volgende opties zijn beschikbaar. De veiligste keuze is optie 5.

40



H O O F D S T U K

7

D E

B E LA N G R IJ K S T E

T AK EN

VO O R

TO E P A S S I N G S B E V E I L I G I N G

Opties 1.

Meld u aan bij Microsoft Dynamics GP als systeembeheerder (‘sa’) en verleen de gewenste toegang (geen verschil met vorige versies).

2.

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de vaste serverrol SysAdmin. Bij deze optie kan de beheerder van Microsoft Dynamics GP elke gebruikersaccount in de Microsoft Dynamics GP-toepassing zijn.

3.

Meld u aan als database-eigenaar (DYNSA). Bij deze optie moet DYNSA worden ingesteld als database-eigenaar voor ALLE Microsoft Dynamics GPdatabases.

4.

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de databaserol Db_Owner die bestaat binnen alle Microsoft Dynamics GP-databases. Bij deze optie kan de beheerder van Microsoft Dynamics GP elke gebruikersaccount in de Microsoft Dynamics GPtoepassing zijn, hierbij moet DYNSA wel de eigenaar zijn van ALLE Microsoft Dynamics GP-databases.

5.

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de databaserol Db_AccessAdmin en Db_SecurityAdmin die bestaan binnen alle Microsoft Dynamics GP-databases. Bij deze optie kan de beheerder van Microsoft Dynamics GP elke gebruikersaccount in de Microsoft Dynamics GP-toepassing zijn, hierbij moet DYNSA wel de eigenaar zijn van ALLE Microsoft Dynamics GP-databases.

Back-ups maken van databases U kunt kiezen uit de volgende opties. De veiligste keuze is optie 4.

Opties 1.

Meld u aan bij Microsoft Dynamics GP als systeembeheerder (‘sa’) en maak de gewenste back-ups (geen verschil met vorige versies).

2.

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de vaste serverrol SysAdmin.

3.

Meld u aan bij de toepassing als database-eigenaar (DYNSA).

4.

Wijs de specifieke gebruikersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de databaserol Db_BackupOperator. Aangezien het bij deze optie niet nodig is dat de Microsoft Dynamics GP-beheerder zich aanmeldt als systeembeheerder voor SQL Server, is dit de veiligste optie.

Databases herstellen De mogelijkheid om databases te herstellen is ook een optie binnen de Microsoft Dynamics GP-toepassing. Aangezien deze voorziening gebruikt kan worden om gegevens te wijzigen, verwijderen of te beschadigen, is de toegang tot het venster Bedrijf terugzetten voorbehouden aan de aanmelding van de systeembeheerder (‘sa’).


41

H O O F D ST U K

7

D E

B E L AN G R I JK S T E

T A K E N

V O O R

T O E P A S S I N G S B E V E I L I G I N G

Business Alerts Voor het maken en uitvoeren van business alerts is een aantal raakpunten of toegang binnen Microsoft SQL Server nodig. Met Business alerts kunnen opgeslagen procedures en Microsoft SQL Server-taken worden gemaakt en kunnen e-mailberichten worden verzonden naar gebruikers. Daarom moeten niet alleen de juiste machtigingen worden verleend op de bedrijfsdatabases, maar ook op objecten die binnen de stamdatabase en msdb-database bestaan. Ook het eigendom van objecten is een factor bij het maken van deze objecten. Dit geldt vooral voor de Microsoft SQL Server-taken. Dit is de reden waarom er slechts twee opties zijn voor het maken van business alerts. De veiligste keuze is optie 2.

Opties 1.

Meld u aan bij Microsoft Dynamics GP als systeembeheerder (‘sa’) en maak de gewenste business alerts (geen verschil met vorige versies).

2.

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de vaste serverrol SysAdmin. Aangezien het bij deze optie niet nodig is dat de Microsoft Dynamics GP-beheerder zich aanmeldt als systeembeheerder voor SQL Server, is dit de veiligste optie.

SQL-onderhoud Het venster Onderhoud SQL biedt de mogelijkheid om tabellen en opgeslagen procedures te verwijderen en te maken vanuit de Microsoft Dynamics GPtoepassing. De systeembeheerder (‘sa’) en de database-eigenaar (DYNSA) hebben toegang tot dit venster. De toegang kan ook worden verleend aan andere aanmeldingen. Dit venster kan op drie manieren worden geopend. De veiligste keuze is optie 3.

Opties 1.

Meld u aan bij Microsoft Dynamics GP als systeembeheerder (‘sa’) en open het venster (geen verschil met vorige versies).

2.

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de vaste serverrol SysAdmin en open het venster met die account.

3.

Meld u aan als database-eigenaar (DYNSA) om dit venster te openen. Aangezien het bij deze optie niet nodig is dat de Microsoft Dynamics GPbeheerder zich aanmeldt als systeembeheerder voor SQL Server, is dit de veiligste optie.

Bedrijven verwijderen Het venster Bedrijf verwijderen wordt gebruikt om Microsoft Dynamics GPbedrijven te verwijderen. De volgende opties zijn beschikbaar. Optie 3 is het veiligst.

Opties

42


1.

Meld u aan bij Microsoft Dynamics GP als systeembeheerder (‘sa’) en verwijder de gewenste bedrijven (geen verschil met vorige versies).

2.

Wijs de specifieke beheerdersaccount van Microsoft Dynamics GP voor aanmelding bij SQL toe aan de vaste serverrol SysAdmin.


H O O F D S T U K

7

D E

B E LA N G R IJ K S T E

3.

T AK EN

VO O R

TO E P A S S I N G S B E V E I L I G I N G

Meld u aan als database-eigenaar (DYNSA). Aangezien het bij deze optie niet nodig is dat de Microsoft Dynamics GP-beheerder zich aanmeldt als systeembeheerder voor SQL Server, is dit de veiligste optie.

Gestrande gebruikersaccounts verwijderen Gebruikers kunnen hun eigen gestrande aanmeldingen verwijderen zonder hulp van een beheerder. Zonodig kan deze optie worden verwijderd via een aanpassing met Microsoft Dexterity® of VISUAL BASIC® FOR APPLICATIONS.


43

44



Hoofdstuk 8:

Veelgestelde vragen De volgende informatie bevat veelgestelde vragen met betrekking tot Microsoft Dynamics GP. De informatie is onderverdeeld in de volgende onderwerpen: • • •

Gebruikeraccounts Vensters van Microsoft Dynamics GP Beveiliging in Microsoft Dynamics GP

Gebruikeraccounts De volgende informatie bevat antwoorden op vragen over gebruikersaccounts. Waarom heeft één gebruikersaccount toegang nodig tot alle Microsoft Dynamics GP-databases om een andere gebruikersaccount te verwijderen? Wanneer een gebruikersaccount wordt verwijderd, wordt de gebruikersaccount verwijderd uit alle databases waarvan de gebruikersaccount lid is en wordt de SQLaanmelding verwijderd. De huidige gebruiker heeft toegang nodig tot elk van deze databases en moet beschikken over de juiste machtigingen om de gebruikersaccount te verwijderen uit SQL Server. Als de huidige gebruiker geen toegang heeft tot de database om een gebruikersaccount te verwijderen, wordt een bericht van die strekking weergegeven. Moet de gebruikersaccount aan dezelfde databaserol zijn toegewezen voor alle databases? Technisch gezien hoeft de gebruiker niet tot dezelfde databaserol te behoren voor alle databases, maar het wordt wel ten sterkste aangeraden. Het is mogelijk dat een gebruiker behoort tot de rol DB_OWNER in de ene database en tot de rollen DB_ACCESSADMIN en DB_SECURITYADMIN in een andere database. De mogelijkheid om gebruikers toegang te verlenen tot bedrijfsdatabases blijft gewoon bestaan. Alle gebruikers van Microsoft Dynamics GP moeten behoren tot de databaserol DYNGRP. Als dit niet het geval is, functioneert de toepassing niet naar behoren.

Vensters van Microsoft Dynamics GP De volgende informatie bevat antwoorden op vragen over vensters van Microsoft Dynamics GP. Wanneer ik het venster Gebruikerstoegang open, zijn er geen selectievakjes beschikbaar Wanneer niet wordt voldaan aan de vereisten voor het gebruik van het venster Gebruikerstoegang, zijn de selectievakjes niet beschikbaar. In het venster Gebruikerstoegang hebt u de mogelijkheid om toegang tot bedrijven te verlenen en te weigeren. Het verlenen of weigeren van toegang houdt in dat u gebruikersaccounts toevoegt aan of verwijdert uit de database en de gebruiker lid maakt van de rol DYNGRP. Of u op deze manier de selectievakjes beschikbaar kunt maken, wordt bepaald door de volgende twee factoren:


45

H O O F D ST U K

8

V EE L G ES TE L DE

V R AG E N

•

De databasemachtigingen waarover de huidige gebruiker beschikt wanneer het venster wordt geopend.

•

De gebruiker die de actie uitvoert, heeft de juiste databasemachtigingen die worden beschreven in het gedeelte over gebruikerstoegang van dit document. Het is niet mogelijk elk selectievakje afzonderlijk beschikbaar te stellen op basis van de machtigingen die zijn ingesteld in het databasevenster.

Waarom is de knop Opslaan niet beschikbaar in het venster Gebruikersinstellingen? De knop Opslaan is niet beschikbaar als de huidige gebruiker niet beschikt over de machtigingen die nodig zijn om een gebruikersaccount te maken. Als de huidige gebruiker geen lid is van de vaste serverrol SysAdmin, moet een combinatie van SQL Server-rollen worden gebruikt om de aanmelding te maken. De huidige gebruiker moet lid zijn van de vaste serverrol SecurityAdmin en ten minste lid zijn van de rol Db_Owner of lid van de rollen Db_AccessAdmin en Db_SecurityAdmin voor de DYNAMICS-database. Waarom is de knop Verwijderen niet beschikbaar in het venster Gebruikersinstellingen? De knop Verwijderen is niet beschikbaar als de huidige gebruiker niet beschikt over de machtigingen die nodig zijn om een gebruikersaccount te verwijderen. Als de huidige gebruiker geen lid is van de vaste serverrol SysAdmin, moet een combinatie van SQL Server-rollen worden gebruikt om de aanmelding te maken. De huidige gebruiker moet lid zijn van de vaste serverrol SecurityAdmin en ten minste lid zijn van de rol Db_Owner of lid van de rol Db_AccessAdmin voor alle databases die bestaan in de tabel Stambestand bedrijf (SY01500). Als er records bestaan in de tabel Stambestand bedrijf die geen bijbehorende database hebben, moeten die records worden verwijderd om de knop Verwijderen beschikbaar te maken. Waarom is het veld Wachtwoord niet beschikbaar in het venster Gebruikersinstellingen? Het veld Wachtwoord is niet beschikbaar als de gebruikers-id van de systeembeheerder (‘sa’) wordt opgegeven in het venster Gebruikersinstellingen. Het gebruikerswachtwoord van ‘sa’ kan niet worden gewijzigd in de Microsoft Dynamics GP-toepassing omdat het dan gecodeerd zou worden en onbruikbaar zou zijn voor alle andere hulpmiddelen van Microsoft SQL Server. Waarom is een aantal wachtwoordvelden (Wachtwoord wijzigen bij volgende aanmelding, Wachtwoordbeleid afdwingen, en Verloop van wachtwoord afdwingen) niet beschikbaar in het venster Gebruikersinstellingen en hoe kan ik deze velden wel gebruiken? Deze voorzieningen worden alleen ondersteund als Microsoft Dynamics GP wordt gebruikt in combinatie met Microsoft SQL Server 2005 en Windows Server 2003 Server. Ze worden niet ondersteund in combinatie met Microsoft SQL Server 7.0 of Microsoft SQL Server 2000.

46



H O O FD ST U K

8

V E EL G ES TE L DE

V R AG E N

Beveiliging in Microsoft Dynamics GP De volgende informatie bevat antwoorden op vragen over beveiliging in Microsoft Dynamics GP. Herkent de Microsoft Dynamics GP-toepassing alle SQL Server-rollen? Microsoft Dynamics GP herkent en gebruikt de volgende Microsoft SQL Serverrollen. Andere rollen kunnen niet worden gebruikt om toegang tot de functionaliteit van het Microsoft Dynamics GP-product te verlenen of te weigeren. Alle gebruikers van Microsoft Dynamics GP moeten lid zijn van de databaserol DYNGRP voor elke Microsoft Dynamics GP-database. •

SysAdmin (vaste serverrol): voert alle activiteiten uit in SQL Server. De machtigingen van deze rol omvatten die van alle andere vaste serverrollen.

•

SecurityAdmin (vaste serverrol): beheert aanmeldingen bij de server.

•

Db_Owner: voert de activiteiten uit van alle databaserollen naast andere onderhouds- en configuratieactiviteiten in de database. De machtigingen van deze rol omvatten die van alle andere databaserollen.

•

Db_AccessAdmin: voegt groepen en gebruikers voor Windows NT® 4.0 of Windows 2000 en gebruikers voor SQL Server toe aan de database en verwijdert ze hier uit.

•

Db_SecurityAdmin: beheert rollen en leden van SQL Server 2000databaserollen en beheert instructies en machtigingen voor objecten in de database.

•

Db_BackupOperator: beschikt over machtiging om een back-up van de database te maken.

Ondersteunen nauwverbonden producten alle beveiligingsvoorzieningen in Microsoft Dynamics GP? Bepaalde beveiligingsvoorzieningen worden niet direct doorgevoerd in alle aanvullende producten maar worden waarschijnlijk toegevoegd in een toekomstige versie. Dit betekent dat een beheerder mogelijk de aanmelding voor de systeembeheerder (‘sa’) moet gebruiken om tabellen te initialiseren of converteren waarvoor een conversie nodig is. Er is een nieuwe functie gemaakt met de naam syUserInRole om ervoor te zorgen dat aanvullende productdictionary's de beveiligingsvoorzieningen kunnen gebruiken. Deze functie kan vaststellen van welke databaserol een gebruiker lid is.


47

H O O F D ST U K

8

V EE L G ES TE L DE

V R AG E N

Ik heb gezorgd voor beveiliging door de toegang tot bepaalde paletten in een vorige versie van Microsoft Dynamics GP te beperken. Aangezien in Microsoft Dynamics GP niet langer gebruik wordt gemaakt van paletten weet ik niet wat ik moet doen. Aangezien de toegang tot vensters, rapporten en tabellen moet worden verleend of geweigerd, zorgde een beperkte toegang tot paletten (in versies vóór Versie 8.0) er alleen voor dat gebruikers geen vensters konden openen die beschikbaar waren via die navigatiemethode. Deze gebruikers konden dezelfde vensters wel openen via andere navigatiemethoden zoals de snelkoppelingsbalk of een ander venster dat ze konden openen. Ze hadden ook toegang tot de gegevens via rapporten of via de tabellen waarin de gegevens waren opgeslagen door gebruik te maken van een andere toepassing. Dit is de reden waarom toegangsrechten moeten worden ingesteld voor vensters, rapporten en tabellen en niet door de navigatie te beperken.

48



Microsoft Dynamics GP. Beveiliging voorbereiden

Recommend Documents