Compartilhar via


Protegendo clientes para o Lync Server 2010

 

Tópico modificado em: 2011-07-17

Ao configurar clientes antes da implantação de uma rede do Microsoft Lync Server 2010, tome as seguintes medidas recomendadas para aperfeiçoar a segurança do cliente:

  • Utilize o Windows 7, o Windows Vista ou o Windows XP com o último service pack.

  • Configure as políticas do cliente para criptografia média e outras funcionalidades. Algumas dessas principais políticas são políticas de bootstrap do cliente que especificam, por exemplo, os servidores padrão e o modo de segurança que o cliente deve usar até que a entrada no serviço seja concluída. Como essas políticas entram em vigor antes da entrada do cliente e começam a receber as configurações de provisionamento em banda do servidor, elas devem existir no registro do computador cliente antes da entrada inicial. Você pode usar a Política de Grupo para configurar essas políticas. Há também certas configurações que você deve definir usando o Shell de Gerenciamento do Lync Server antes da implantação do cliente. Para obter detalhes sobre essas políticas e configurações, consulte Principais políticas e configurações de cliente na documentação Planejamento.

  • Configure o Lync 2010 para usar TLS, que fornece sinalização criptografada. Até mesmo a confidencialidade de outras comunicações criptografadas, tais como mídia, não estão protegidas quando um usuário se conecta a um servidor usando TCP. A chave de criptografia pode ser interceptada por um atacante e usada para descriptografar a mensagem. Se você permitir conexões cliente sobre TCP, esteja ciente desta vulnerabilidade.

  • A transferência de arquivos entre usuários é feita ponto a ponto. Por padrão, todas as transferências de arquivo são criptografadas. Instrua os usuários a executarem uma verificação com um anti-vírus antes de abrirem arquivos transferidos.

  • Considere restrições nas conexões cliente e mensagens.

  • Isole os usuários de acordo com os requisitos de uso.

  • Execute o software antivírus no cliente.

  • Verifique e aplique atualizações e atualizações de segurança com frequência.

  • Use práticas recomendadas de senha forte.

  • Execute somente os serviços e aplicativos necessários.

  • Habilite a configuração da Política de Grupo do modo de alta segurança SIP necessária para o GPO dos usuários.

Normalmente, você controla o acesso para a conta de um usuário ativando e desativando cada conta de usuário no Active Directory. Contudo, se um usuário entrar no Lync Server 2010 enquanto você desativa a conta dele, ele continuará a ter acesso até que saia. Um usuário também pode entrar por 180 dias (data de validade do certificado padrão Lync) depois da sua conta desativada no Active Directory. Para evitar isso, você pode desativar a autenticação baseada no certificado ou reduzir a data de validade do certificado. Para garantir que somente os usuários com as credenciais apropriadas possam acessar o Lync Server 2010, você também pode fazer o seguinte:

  • Se você desativar um usuário no Active Directory e quiser garantir que ele não acesse o Lync Server 2010, utilize o Lync Server Management Shell para executar o cdmlet Disable-CsUser. Isso força a saída do usuário caso ele esteja conectado e evita que ele entre novamente a menos que você o reative.

    warningAviso:
    A execução do cmdlet Disable-CsUser cmdlet exclui os dados do usuário. Se você deseja manter os dados do usuário, não utilize este cmdlet. Em vez disso, use o Set-CSUser -Enabled $false -Identity <userIdentity> para desativar todas as funcionalidades do Lync (não só a autenticação com certificado), mas guardando os dados do usuário. Você também pode usar o Revoke-CsClientCertificate para evitar o acesso do usuário.
  • Se um usuário tiver uma senha que pode estar comprometida e você a redefinir no Active Directory, use o Lync Server Management Shell para executar o cmdlet Revoke-CSClientCertificate. Isso revogará o certificado do cliente e ajudará a garantir que a senha anterior não possa ser utilizada para entrar na conta futuramente.

Para obter detalhes sobre o uso desses cmdlets, consulte o cmdlet específico na seção Shell de gerenciamento do Lync Server da documentação Operação.

Exclusões do Firewall Cliente

O instalador cliente do Lync configura o firewall durante a instalação com as seguintes exceções:

  • Microsoft Lync 2010

  • UCMapi (em um computador 32 bit) ou UCMapi64 (em um computador 64 bit)

Essas entradas são removidas ao desinstalar o cliente do Lync.

O Microsoft Lync 2010 Attendee está disponível para que os usuários sem o Lync 2010 possam somente ingressar em reuniões. Dois instaladores estão disponíveis (Modo Administrador e modo Usuário) e as exceções do cliente dependem do método de instalação:

  • A instalação do modo Administrador é destinada às contas de usuários membros do grupo Administradores. Os administradores podem instalar este cliente baixando através da Web ou os administradores de TI podem levar este cliente aos desktops do usuário final para simplificar o ingresso às reuniões no Lync 2010. O cliente do Attendee Lync client configura o firewall durante a instalação com a seguinte exceção:

    • Microsoft Lync 2010 Attendee. A desinstalação do cliente Attendee remove esta entrada.
  • Instalação no modo de usuário, para as contas de usuário membros do grupo Usuários, que normalmente evita a instalação administrativa de um novo software. A instalação inclui uma instalação por usuário do cliente do Attendee. Ao usar este método de instalação, o cliente do Attendee Lync não configura o firewall durante a instalação. Os usuários serão solicitados a fazê-lo através de uma caixa de diálogo do Windows Firewall quando ingressarem em sua primeira reunião. Isso adiciona uma entrada do Microsoft Lync 2010 Attendee na lista de exceção do firewall, se o usuário conceder o acesso. Essa entrada não será removida quando o usuário desinstalar o cliente do Attendee porque o acesso foi concedido separadamente.

Quando os usuários usarem o cliente do Lync Web App pela primeira vez, serão solicitados a instalarem o controle do Microsoft ActiveXl, que é necessário somente se o usuário desejar compartilhar sua tela ou um aplicativo. Para visualizar o conteúdo compartilhado, o controle do Active X não é necessário. Se o usuário escolher instalar o controle do ActiveX, será adicionada uma exceção ao firewall para o ReachAppShaX.exe.