Proteger a los clientes de Lync Server 2010
Última modificación del tema: 2011-07-17
Al configurar clientes antes de implementar una red de Microsoft Lync Server 2010, siga las medidas recomendadas a continuación para mejorar la seguridad de los clientes:
Utilice Windows 7, Windows Vista o Windows XP con el último Service Pack.
Configure directivas de cliente para el cifrado de medios y otras funciones. Algunas de estas directivas clave son directivas para el arranque de clientes que especifican, por ejemplo, los servidores predeterminados y el modo de seguridad que el cliente debe usar hasta que se haya completado el inicio de sesión. Puesto que estas directivas entran en vigor antes de que el cliente inicie sesión y empiece a recibir la configuración de aprovisionamiento en banda del servidor, deben existir en el Registro del equipo cliente antes de iniciar sesión por primera vez. Puede usar la directiva de grupo para configurar estas directivas. También existen algunos parámetros que debe configurar con el Shell de administración de Lync Server antes de implementar el cliente. Para obtener más información sobre estas directivas y parámetros, consulte Opciones y directivas de cliente clave en la documentación de planeación.
Configure Lync 2010 de modo que use TLS, el cual proporciona señales cifradas. La confidencialidad de las comunicaciones cifradas de otro modo, como los medios, no está protegida cuando un usuario se conecta al servidor a través de TCP. Un atacante puede interceptar la clave de cifrado y usarla para descifrar el mensaje. Si debe permitir conexiones de cliente a través de TCP, tenga presente esta vulnerabilidad.
La transferencia de archivos entre usuarios es de punto a punto. De forma predeterminada, todas las transferencias de archivos están cifradas. Indique a los usuarios que comprueben si hay algún virus antes de abrir archivos transferidos.
Tenga en cuenta las restricciones referentes a las conexiones de cliente y los mensajes.
Aísle a los usuarios según los requisitos de uso.
Ejecute software antivirus en el cliente.
Compruebe con frecuencia si hay actualizaciones y actualizaciones de seguridad y aplíquelas.
Siga los procedimientos recomendados referentes a las contraseñas seguras.
Ejecute únicamente los servicios y aplicaciones necesarios.
Habilite la configuración de directiva de grupo Requerir modo SIP de alta seguridad para el objeto de directiva de grupo (GPO) de los usuarios.
En general, el acceso de una cuenta de usuario se controla al habilitar o deshabilitar cada cuenta de usuario en Active Directory. No obstante, si un usuario ya había iniciado sesión en Lync Server 2010 cuando deshabilitó la cuenta de usuario, el usuario sigue teniendo acceso hasta que se cierre la sesión. Además, un usuario puede iniciar sesión por hasta 180 días (tiempo de expiración predeterminado de los certificados de Lync) después de deshabilitar la cuenta de usuario en Active Directory. Para impedir esto, puede deshabilitar la autenticación basada en certificados o disminuir el tiempo de expiración de los certificados. Para garantizar que solo los usuarios con las credenciales adecuadas puedan acceder a Lync Server 2010, también puede hacer lo siguiente:
Si deshabilita un usuario en Active Directory y desea garantizar que el usuario no pueda acceder a Lync Server 2010, utilice el Shell de administración de Lync Server para ejecutar el cmdlet Disable-CsUse. Esto fuerza el cierre de sesión del usuario, si el usuario inició sesión, e impide que el usuario vuelva a iniciar sesión a menos que lo habilite nuevamente.
Advertencia: La ejecución del cmdlet Disable-CsUser elimina los datos de usuario. Si debe mantener los datos de usuario, no utilice este cmdlet. En su lugar, utilice Set-CSUser -Enabled $false -Identity <userIdentity>
para deshabilitar todas las funciones de Lync (no solo la autenticación de certificados) y conservar a la vez los datos de usuario. También puede usar Revoke-CsClientCertificate para impedir el acceso de clientes.Si un usuario tiene una contraseña cuya seguridad puede estar comprometida y usted la restablece en Active Directory, utilice el Shell de administración de Lync Server para ejecutar el cmdlet Revoke-CSClientCertificate. Esto revoca el certificado de cliente y ayuda a garantizar que la contraseña anterior no se pueda usar en el futuro para iniciar sesión en la cuenta.
Para obtener más información sobre el uso de estos cmdlets, consulte el cmdlet específico en la sección Shell de administración de Lync Server de la documentación referente a las operaciones.
Exclusiones de firewall de cliente
El instalador del cliente Lync configura el firewall durante la instalación con las excepciones siguientes:
Microsoft Lync 2010
UCMapi (en equipos de 32 bits) o UCMapi64 (en equipos de 64 bits)
La desinstalación del cliente Lync quita estas entradas.
Microsoft Lync 2010 Attendee está disponible para participar de reuniones únicamente, para los usuarios que no tienen Lync 2010. Hay dos instaladores disponibles (modo de administrador y modo de usuario). Las excepciones de cliente dependen del método de instalación:
Instalación en modo de administrador, para las cuentas de usuario que pertenecen al grupo de administradores. Los administradores pueden instalar este cliente por medio de la descarga desde la Web, o bien los administradores de TI pueden distribuir este cliente en los equipos de escritorio de los usuarios finales para simplificar la participación en reuniones de Lync 2010. El cliente Lync Attendee configura el firewall durante la instalación con la excepción siguiente:
- Microsoft Lync 2010 Attendee. La desinstalación del cliente Attendee quita esta.
Instalación en modo de usuario, para las cuentas de usuario que pertenecen al grupo de usuarios, que generalmente impide la instalación de administrador de nuevo software. La instalación incluye una instalación por usuario del cliente Attendee. Con este método de instalación, el cliente Lync Attendee no configura el firewall durante la instalación. Aparece un cuadro de diálogo de solicitud del Firewall de Windows cuando el usuario se une a la primera reunión. De esta manera, se agrega una entrada para Microsoft Lync 2010 Attendee a la lista de excepciones del firewall, si el usuario permite el acceso. Esta entrada no se quita cuando un usuario desinstala el cliente Attendee dado que el acceso se concedió por separado.
Cuando los usuarios utilizan el cliente Lync Web App por primera vez, se les solicita que instalen el control Microsoft ActiveX, que es necesario solo si el usuario desea compartir su pantalla o una aplicación. Para ver contenido compartido, no se necesita el control ActiveX. Si el usuario decide instalar el control ActiveX, se agrega una excepción del firewall para ReachAppShaX.exe.