Защита вашего сервера Lync (часть 2)

Опубликовано: 7 Апреля, 2023

  • Защита вашего сервера Lync (часть 3)

Введение

В части 1 этой серии, посвященной обеспечению безопасности Lync Server, мы обсудили эволюцию программного обеспечения Microsoft Lync, выросшего из старого Office Communications Server (OCS), его функции и принципы работы, встроенные механизмы безопасности (аутентификацию и шифрование) и использование Active Directory и групповой политики, а также как использовать командную консоль Lync Server для назначения и создания административных ролей.

В этой части 2 мы поговорим о распространенных угрозах для серверов Lync, о некоторых советах и рекомендациях по усилению защиты сервера Lync и базы данных Lync, а также о том, как спланировать и настроить двухфакторную аутентификацию для Lync. Затем в следующий раз мы завершим его некоторыми советами по безопасности, относящимися к использованию Lync в Интернете и с пользователями за пределами организации.

Общие угрозы

Ваш сервер Lync может быть уязвим для многих из тех же угроз и типов атак, что и любое другое серверное приложение Windows, работающее в операционных системах Windows Server. Поскольку Lync — это средство связи, с помощью которого пользователи могут обсуждать широкий спектр тем, связанных с вашим бизнесом, с помощью голосовых, видео и мгновенных сообщений, данные, которые проходят через него и архивируются им, часто предназначены для конфиденциальности. Таким образом, серверу Lync требуется такой же уровень защиты, как и вашим почтовым серверам.

Lync также содержит расширенные данные о присутствии, т. е. личную информацию о пользователях, которую можно исключить из списка контактов пользователя с помощью режима конфиденциальности расширенного присутствия, а также такую информацию, как IP-адрес пользователя, SIP URI и имя, как определено в Active Directory. используется сервером и сетью для маршрутизации и сигнализации и не может контролироваться пользователем или системным администратором. Эти данные могут быть раскрыты и использованы злоумышленником.

Как и любой другой сервер, сервер Lync может стать объектом атак типа «отказ в обслуживании» (DoS), которые могут быть реализованы путем отправки перегрузки трафика в систему или путем отправки неверных данных приложениям и службам, работающим на нем, с результатом сделать сервер и его службы недоступными для пользователей и нарушить их способность общаться.

Еще большую озабоченность вызывают атаки с прослушиванием, которые могут позволить злоумышленнику получить доступ к данным, передаваемым между клиентами и сервером. По умолчанию сервер Lync использует шифрование TLS для защиты от атак этого типа. Хотя данные все еще могут быть перехвачены, шифрование не позволяет злоумышленнику прочитать их и, таким образом, делает их бесполезными для него/нее.

Укрепление сервера Lync

Конечно, серверное программное обеспечение Lync работает в операционной системе Windows Server, поэтому первым шагом в обеспечении безопасности Lync является обеспечение защиты базовой операционной системы. Lync Server 2013 будет работать в 64-разрядных версиях Windows Server 2008 R2 SP 1, Windows Server 2012 или Windows Server 2012 R2. Он не поддерживается при установке ядра сервера, поэтому вы не можете заблокировать ОС таким образом, если собираетесь запускать на ней Lync Server. Однако вы можете и должны потратить время на то, чтобы отключить все ненужные службы.

Кроме того, базы данных, используемые Lync Server, включают серверную базу данных, базу данных архивации, базу данных мониторинга, а также базы данных постоянного чата и базы данных соответствия постоянному чату. Они могут работать в 64-разрядных выпусках SQL Server 2008 R2 или SQL Server 2012 (выпуски Standard или Enterprise) и SQL Server 2012 Express. Должны быть внедрены передовые методы обеспечения безопасности как для базовой ОС, так и для SQL-сервера на машинах, содержащих базы данных.

Как и в случае любых важных серверов, содержащих важную или конфиденциальную информацию, сервер Lync и серверы баз данных должны находиться в защищенном физическом месте, где неавторизованные лица не могут получить локальный доступ. Если серверы постоянно физически недоступны, наилучшей практикой безопасности является шифрование операционной системы и дисков с данными с помощью полнообъемного шифрования BitLocker и отключение портов DMA (прямой доступ к памяти) для предотвращения атак на основе DMA, которые можно использовать для чтения системной памяти и управления ею, а также для раскрытия закрытых ключей или другой конфиденциальной информации.

Если ваш сервер Lync работает на виртуальной машине, важно помнить, что любые моментальные снимки виртуальных машин могут содержать конфиденциальную информацию, такую как дампы данных в памяти и копии данных на дисках сервера. Лучшей практикой безопасности является отключение моментальных снимков сервера. Это можно сделать, задав несуществующее расположение снимка, чтобы при попытке пользователя создать снимок возвращалось сообщение об ошибке. Если вам необходимо, чтобы моментальные снимки оставались включенными, всегда храните моментальные снимки в безопасном месте.

Вы можете использовать алгоритмы шифрования FIPS 140-2, но вам необходимо настроить каждый из серверов Lync для их поддержки, а использование FIPS также необходимо включить на клиентских компьютерах.

Пользователи могут аутентифицироваться с помощью клиентских сертификатов, а не имени пользователя и пароля. Сертификат должен быть выдан корневым ЦС, которому доверяет сервер Lync. При использовании проверки подлинности на основе сертификата пользователи вводят PIN-код вместо имени пользователя и пароля. Это полезно для пользователей, получающих доступ к серверу Lync через мобильное устройство, поскольку ввод ПИН-кода упрощается на небольшой экранной клавиатуре.

Вы можете использовать интеллектуальный фильтр мгновенных сообщений для блокировки SPIM (незапрошенных/нежелательных мгновенных сообщений), а также мгновенных сообщений, которые могут содержать вредоносный код, исходящий из сети компании. Вы можете указать, какие типы мгновенных сообщений вы хотите заблокировать. Например, вы можете блокировать сообщения, содержащие файлы с определенными расширениями, такие как исполняемые файлы, документы Office и т. д., или вы можете блокировать сообщения, содержащие гиперссылки, которые могут привести пользователей на вредоносные веб-сайты. У вас также есть возможность разрешить сообщения, содержащие гиперссылки, но отключив интеллектуальный фильтр мгновенных сообщений. Это делается путем вставки подчеркивания в начале. Вы также можете создать предупреждающее сообщение, которое будет вставлено во все сообщения, содержащие гиперссылки.

Укрепление баз данных Lync

Почему преступники грабят банки? Потому что там деньги. Почему злоумышленники нацелены на базы данных? Потому что там информация. Базы данных SQL Server, которые используются вашими серверами Lync, содержат огромное количество информации, в том числе конфиденциальной. Здесь архивируются данные связи, хранится информация о пользователе и хранятся подробные записи о звонках. Злоумышленник, имеющий доступ к базам данных, может обнаружить секреты компании, а также информацию о пользователях, которые могут быть использованы в атаке с использованием социальной инженерии для получения дальнейшего доступа к вашим системам и сети.

Microsoft рекомендовала разбить сервер на разделы, чтобы отделить файлы операционной системы и приложений от файлов данных. В последнее время в потребительских вычислениях наблюдается тенденция использовать один большой раздел для всего, но разделение должно быть стандартной практикой для серверов. Он защищает данные в случае повреждения или сбоя ОС, а также может повысить производительность. Лучший вариант — поместить данные на отдельный физический диск, а не просто на виртуальный диск на том же физическом жестком диске. Все диски с данными на сервере SQL, как и диски на сервере Lync, должны быть зашифрованы с помощью полнотомного шифрования.

Конечно, вы должны ограничить доступ к базам данных только для нескольких доверенных администраторов баз данных. Кроме того, наилучшей практикой безопасности является ограничение доступа к внутренним базам данных на сервере SQL для как можно меньшего числа внешних серверов.

Служба очереди сообщений используется серверами Lync для перемещения сообщений, собранных сервером архивации и сервером мониторинга, а также службой соответствия. Сообщения могут быть зашифрованы в очереди отправки сообщений с помощью сертификатов. Службы шифрования используют 40- или 128-битное шифрование для шифрования тела каждого сообщения от исходного администратора очередей к целевому администратору очередей. Шифрование выполняется на уровне сообщения.

Двухфакторная аутентификация

Вы можете настроить Lync Server 2013 для использования двухфакторной проверки подлинности в сетевой среде, где у вас есть корпоративный корневой ЦС, поддерживающий проверку подлинности с помощью смарт-карт, а пользователи используют настольный клиент за июль 2013 года. Для этого необходимо включить пассивную аутентификацию для пользователей Lync, а для этого требуется отключить другие методы аутентификации (Kerberos, NTLM и аутентификация по сертификату) для веб-службы и прокси-службы.

Обратите внимание, что некоторые функции не работают, когда в Lync включена двухфакторная проверка подлинности, в том числе функция поиска по навыкам и контакты из единого хранилища контактов. Если развернута двухфакторная проверка подлинности для Exchange, некоторые функции клиента Lync будут недоступны. Существует ряд факторов, которые необходимо учитывать перед развертыванием двухфакторной проверки подлинности для Lync. Подробнее о них можно прочитать здесь.

Помимо настройки сервера Lync, вам потребуется настроить Windows 8 для использования виртуальных смарт-карт (если вы не хотите использовать физические карты), зарегистрировать пользователей для проверки подлинности с помощью смарт-карт и настроить службы федерации Active Directory (ADFS). для аутентификации клиента. Инструкции по этим шагам можно найти здесь.

Чтобы настроить сервер Lync для пассивной проверки подлинности, чтобы пользователи должны были использовать смарт-карту (которая может быть физической или виртуальной смарт-картой) вместе с вводом ПИН-кода для входа в Lync, на вашем Lync Server 2013 должны быть установлены накопительные обновления за июль 2013 г. После входа на сервер с учетной записью администратора вы используете командную строку Lync Server 2013 Management Shell для создания новых конфигураций веб-служб для каждого сервера, на котором вы хотите включить пассивную проверку подлинности. Вам также потребуется создать пользовательскую конфигурацию прокси-сервера, в которой включена пассивная проверка подлинности. Инструкции/команды для выполнения обоих из них можно найти здесь.

Резюме

Во второй статье из серии, состоящей из трех частей, мы рассмотрели распространенные угрозы для серверов Lync, дали несколько советов и рекомендаций по усилению защиты сервера Lync и базы данных Lync, а также обсудили планирование и настройку двухфакторной проверки подлинности для Lync. В части 3 мы кратко расскажем, как использовать Lync в Интернете и с пользователями за пределами организации.

  • Защита вашего сервера Lync (часть 3)