Защита вашего сервера Lync (часть 1)

Опубликовано: 7 Апреля, 2023

  • Защита вашего сервера Lync (часть 3)

Введение

Сегодняшний деловой мир основан на коммуникациях, и многие предприятия используют унифицированную коммуникационную платформу Microsoft Lync для обмена мгновенными сообщениями, голосовых и видеоконференций. Microsoft встроила в последнюю версию Lync дополнительные функции безопасности, и, как и в случае с любым другим программным обеспечением, большую роль в обеспечении безопасности играет то, как вы его настраиваете и используете. В этой статье мы рассмотрим, что такое Lync и как он работает, какие механизмы безопасности включены и как лучше защитить сервер Lync вашей организации.

Эволюция Lync

Microsoft Lync — это переименованная и «переосмысленная» итерация корпоративного программного обеспечения, ранее известного как Office Communications Server (OCS), которое само началось еще в период расцвета «живого» Microsoft, как Live Communications Server 2003. Оно было переименовано в OCS в 2007 году и стал Lync в 2010 году. Перед выпуском LCS Microsoft включила функцию обмена мгновенными сообщениями в Exchange 2000, но они переместили ее в LCS и удалили из Exchange 2003.

Текущая версия — Lync Server 2013, выпущенная в октябре 2012 года. Она расширилась и включает не только обмен мгновенными сообщениями и передачу файлов, но и присутствие (указание состояния доступности), передачу голоса по IP (VoIP), а также аудио- и видеоконференции. с другими пользователями в локальной сети, внешними пользователями через Интернет и по традиционным телефонным линиям PSTN через SIP-шлюз или соединительную линию.

Участники сеанса совместной работы Lync также могут совместно использовать рабочие столы, приложения, заметки OneNote, документы, презентации, рисунки на доске и опросы. Организаторы конференций Lync могут указывать, будут ли определенные участники только посетителями или докладчиками, а также устанавливать политики и разрешения, определяющие, что могут делать участники в каждой категории. Вы также можете организовать тематические виртуальные чаты для рабочих групп.

Как это работает

Хотя теперь это отдельный продукт, Lync интегрируется с сервером Exchange и извлекает контактную информацию из базы данных Exchange.

Lync использует протокол SIP (протокол инициации сеанса), который является стандартом для голосовой и видеосвязи в Интернете, для связи с клиентским программным обеспечением, а расширения SIMPLE (SIP для обмена мгновенными сообщениями и расширения присутствия) используются для управления информацией о присутствии и короткими реальными сообщениями. сообщения времени. RTP (транспортный протокол реального времени) и SRTP (безопасный RTP) используются для передачи мультимедиа. Коммуникации также могут быть зашифрованы с использованием SIP через TLS (безопасность транспортного уровня).

Клиентское программное обеспечение Lync доступно для ПК с Windows и Mac OS X. В Магазине Windows есть приложение Lync для Windows 8/8.1/RT, «базовый» клиент, который не поддерживает многостороннее видео, VDI, интеграцию с OneNote, расширенная обработка вызовов и некоторые другие функции. Эти функции включены в полный клиент Lync 2013. Пользователи, которые не могут или не хотят устанавливать программное обеспечение Lync на свои компьютеры, могут использовать Lync Web App. Также доступны версии от Microsoft для устройств Windows Phone 7 и 8, Android и iOS. Существует клиент Lync для Linux, созданный Fisil, компанией, которая предоставляет программное обеспечение Lync и услуги аутсорсинга. Различия между функциями разных клиентов можно увидеть в таблицах сравнения клиентов на веб-сайте TechNet.

Механизмы безопасности Lync

Lync использует PKI вашей организации (инфраструктуру открытых ключей) или общедоступный ЦС (центр сертификации) для выдачи сертификатов для закрытых ключей и ключей сеанса, которые используются для шифрования и расшифровки информации, отправляемой по соединениям TLS, что помогает предотвратить вмешательство человека в систему. -средние атаки и подслушивание. Сервер Lync требует, чтобы сертификаты соответствовали его спецификациям; не все общедоступные центры сертификации делают это. Клиент должен доверять ЦС, а DNS-имя сервера должно совпадать с именем в сертификате. MTLS (Mutual TLS) используется для защиты связи между серверами.

Мгновенные сообщения, отправляемые через Lync, могут быть зашифрованы с помощью TLS и MTLS как внутри компании, так и через Интернет. Внутренние сообщения можно отправлять по протоколу TCP (в незашифрованном виде), но наилучшей практикой безопасности является использование TLS. Общий рабочий стол и веб-конференции также защищены протоколом TLS, совместное использование аудио- и видеоматериалов защищено протоколом SRTP, а загрузка адресных книг и содержимого собраний защищена протоколом HTTPS.

Аутентификация пользователя выполняется с помощью Kerberos v5 или NTLM, если у пользователя есть учетные данные Active Directory. Kerberos используется для пользователей во внутренней сети, а NTLM используется, когда пользователи подключаются из-за пределов внутренней сети. Kerberos можно использовать для внешних пользователей, если они подключаются через VPN. Анонимные пользователи (те, у кого нет учетных данных Active Directory) аутентифицируются по протоколу Digest. Пользователи также могут пройти проверку подлинности с помощью клиентских сертификатов, выданных сервером Lync. Эти сертификаты не могут быть выданы PKI или общедоступным центром сертификации, только сервером Lync.

Active Directory и групповая политика

Lync хранит глобальные настройки, служебную информацию о серверах, на которых работает Lync, и некоторые пользовательские настройки в базе данных Active Directory. Групповые политики клиента Lync 2013 теперь включены в административный шаблон групповой политики Office вместо отдельного административного шаблона, как в предыдущих версиях Lync и Office Communicator. Вы также можете использовать сторонний продукт, например PolicyPak, для управления клиентами Lync 2010 или 2013.

Файл ADMX (административный шаблон), который вы используете для применения групповой политики, управляющей параметрами начальной загрузки клиента (параметрами, которые необходимы перед входом клиента на сервер Lync), называется Lync15.admx. Это часть пакета административных шаблонов Office 2013. Вам потребуется загрузить 32- или 64-разрядную версию в зависимости от используемой версии Office 2013/Lync 2013. Это исполняемый файл, например admintemplates_32bit.exe.

После запуска.exe и извлечения содержимого вы увидите электронную таблицу с именем office2013grouppolicyanddoctsettings.xlsx. В электронной таблице вы найдете список параметров объекта групповой политики. Вы можете отфильтровать столбец имени файла, чтобы отобразить Lync15.admx. Вы найдете этот файл в папке admx.

Вы можете поместить файл admx в центральное хранилище (для использования несколькими администраторами) или на компьютер под управлением Windows 7 или 8/8.1. Если вы создадите центральное хранилище, вы поместите каждый шаблон для конкретного языка в отдельную папку в корневой папке, а шаблоны, не относящиеся к конкретному языку, — в корневую папку. Создайте папку на контроллере домена, работающем в качестве эмулятора PDC, и она будет реплицирована на другие ваши контроллеры домена. Подробную информацию о создании центрального хранилища, а также инструкции по установке административных шаблонов на рабочую станцию можно найти на веб-сайте Даниэля Петри по адресу http://www.petri.co.il/add-administrative-templates-to- gpo.htm#

Командная консоль Lync Server и панель управления Lync Server

Для тех, кто предпочитает выполнять административные задачи через графический интерфейс, Lync Server 2013 имеет панель управления Lync Server, которая автоматически устанавливается на серверах Lync, а также может быть установлена на другом компьютере для централизованного управления серверами Lync.

ИТ-администраторы, которые были в курсе того, что происходит с серверными операционными системами Microsoft, знают, что компания вернулась в «темное место» — командную строку — с размахом. В настоящее время PowerShell является предпочтительным интерфейсом управления, и большинством параметров Lync 2013 можно управлять через PowerShell с помощью командной консоли Lync Server.

Командная консоль Lync Server уже установлена при установке Lync Server (Enterprise Edition Front End Server или Standard Edition). Вы должны использовать его для запуска командлетов Lync Server; вы не можете запускать их в обычном интерфейсе Windows PowerShell. В состав Lync Server 2013 входит более 500 командлетов. Список всех командлетов Lync Server 2013 можно получить, введя следующую команду в приглашении командной консоли Lync Server:

Командлет Get-Command * -Module Lync -CommandType

Существует множество различных типов командлетов. Существует 54 командлета, которые классифицируются как связанные с безопасностью, включая командлеты для управления сертификатами и проверкой подлинности, правами и разрешениями пользователей, а также функциональной совместимостью. Многие командлеты используются для делегирования административного контроля над Lync Server с помощью новой функции управления доступом на основе ролей (RBAC).

В Lync Server 2013 уже включен ряд административных ролей, но вы также можете создавать новые роли и указывать, какие командлеты могут использоваться каждой ролью. Для каждой из ролей создается группа Active Directory.

При создании собственных ролей необходимо сначала создать соответствующие универсальные группы безопасности AD. Роль самого высокого уровня — CsAdministrator, которая может выполнять все административные задачи, включая создание новых ролей. Другие встроенные роли включают в себя:

  • Ксусерадминистратор
  • CsVoiceАдминистратор
  • КссерверАдминистратор
  • Ксвиевонлиадминистратор
  • CsHelpDesk
  • CsArchivingАдминистратор
  • Ксреспонсеграупадминистратор
  • Ксреспонсеграупменеджер
  • Кслокатионадминистратор
  • Ксперсистентчатадминистратор

Область полномочий каждой роли в большинстве случаев указывается именем. Например, CsVoiceAdministrator может только создавать, настраивать и управлять параметрами и политиками, связанными с голосовой связью.

Ограничения RBAC применяются только тогда, когда пользователь управляет Lync Server удаленно, а не при физической работе на локальном сервере.

Резюме

В этой части этой серии, посвященной обеспечению безопасности сервера Lync, мы рассмотрели, что такое Microsoft Lync, как он работает, а также встроенные механизмы безопасности и средства управления. Во второй части мы рассмотрим некоторые сведения о том, как усилить и защитить сервер Lync и базу данных Lync, а также о том, как спланировать и настроить двухфакторную проверку подлинности для Lync.

  • Защита вашего сервера Lync (часть 3)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023