безопасность Комнаты Microsoft Teams
В этой статье содержатся рекомендации по безопасности для устройств Комнаты Microsoft Teams на устройствах с Windows и Android. Это руководство содержит сведения о безопасности оборудования, программного обеспечения, сети и учетных записей.
Перейдите на вкладку Комнаты Teams в Windows или Комнаты Teams для Android, чтобы получить дополнительные сведения о безопасности комнат Teams на устройстве.
Корпорация Майкрософт совместно с нашими партнерами предоставляет безопасное решение, которое не требует дополнительных действий для защиты Комнаты Microsoft Teams в Windows. В этом разделе рассматриваются многие функции безопасности, доступные в Комнаты Teams в Windows.
Для получения сведений о безопасности на Комнаты Teams на устройствах Android выберите Комнаты Teams на вкладке Android.
Примечание.
Комнаты Microsoft Teams не следует рассматривать как обычную рабочую станцию конечного пользователя. Мало того, что варианты использования значительно отличаются, но и профили безопасности по умолчанию также сильно отличаются, мы рекомендуем рассматривать их как устройства. Установка дополнительного программного обеспечения на устройствах Комнаты Teams не поддерживается корпорацией Майкрософт. Эта статья относится к Комнаты Microsoft Teams устройствам под управлением Windows.
Ограниченные данные конечных пользователей хранятся в Комнаты Teams. Данные конечного пользователя могут храниться в файлах журнала только для устранения неполадок и поддержки. Участники собрания, использующие Комнаты Teams, не могут копировать файлы на жесткий диск или выполнять вход самостоятельно. Данные конечного пользователя не передаются на устройство Комнаты Microsoft Teams или не могут быть доступны ей.
Несмотря на то, что конечные пользователи не могут поместить файлы на Комнаты Teams жесткий диск, Microsoft Defender по-прежнему включен из коробки. Комнаты Teams производительность проверяется с помощью Microsoft Defender, включая регистрацию на портале Defender для конечной точки. Отключение этого или добавление программного обеспечения для обеспечения безопасности конечных точек может привести к непредсказуемым результатам и потенциальному ухудшению работы системы.
Безопасность оборудования
В Комнаты Teams среде есть центральный вычислительный модуль, который выполняется Windows 10 или 11 Выпуск IoT Enterprise. Каждый сертифицированный вычислительный модуль должен иметь безопасное решение для подключения, слот блокировки безопасности (например, блокировка Kensington) и меры безопасности доступа к портам ввода-вывода, чтобы предотвратить подключение несанкционированных устройств. Вы также можете отключить определенные порты с помощью конфигурации UEFI.
Каждый сертифицированный вычислительный модуль должен поставляться с технологией, совместимой с доверенным платформенным модулем (TPM) 2.0, включенной по умолчанию. TPM используется для шифрования сведений для входа для учетной записи ресурса Комнаты Teams.
Безопасная загрузка включена по умолчанию. Безопасная загрузка — это стандарт безопасности, разработанный представителями индустрии компьютеров, чтобы убедиться, что устройство загружается с использованием только программного обеспечения, которому доверяет изготовитель оборудования (OEM). При запуске компьютера встроенное ПО проверяет сигнатуру каждого элемента загрузочного программного обеспечения, включая драйверы встроенного ПО UEFI (также известные как Option ROM), приложения EFI и операционную систему. Если сигнатуры действительны, компьютер загружается, а встроенное ПО предоставляет управление операционной системе. Дополнительные сведения см. в статье Безопасная загрузка.
Доступ к параметрам UEFI возможен только путем подключения физической клавиатуры и мыши, что предотвращает доступ к UEFI через консоль Комнаты Teams с поддержкой сенсорного ввода или любые другие сенсорные дисплеи, подключенные к Комнаты Teams.
Защита ядра с прямым доступом к памяти (DMA) — это параметр Windows, который включен Комнаты Teams. С помощью этой функции ос и встроенное ПО системы защищают систему от вредоносных и непреднамеренных атак DMA на всех устройствах с поддержкой DMA: во время загрузки и от вредоносных DMA устройств, подключенных к легко доступным внутренним или внешним портам с поддержкой DMA, таким как слоты PCIe M.2 и Thunderbolt 3, во время выполнения ОС.
Комнаты Teams также включить целостность кода, защищенную гипервизором (HVCI). Одной из функций, предоставляемых HVCI, является Credential Guard. Credential Guard предоставляет следующие преимущества:
Безопасность оборудования NTLM, Kerberos и Credential Manager используют функции безопасности платформы, включая безопасную загрузку и виртуализацию, для защиты учетных данных.
Безопасность на основе виртуализации Учетные данные Windows NTLM и Kerberos и другие секреты выполняются в защищенной среде, изолированной от работающей операционной системы.
Улучшенная защита от сложных постоянных угроз Когда учетные данные домена Диспетчера учетных данных, производные от NTLM и Kerberos, защищены с помощью безопасности на основе виртуализации, методы атаки на кражу учетных данных и средства, используемые во многих целевых атаках, блокируются. Вредоносные программы, работающие в операционной системе с правами администратора, не могут извлекать секреты, защищенные безопасностью на основе виртуализации.
Безопасность программного обеспечения
После загрузки Microsoft Windows Комнаты Teams автоматически войдет в локальную учетную запись пользователя Windows с именем Skype. У учетной записи Skype нет пароля. Чтобы обеспечить безопасность сеанса учетной записи Skype, необходимо выполнить следующие действия.
Важно!
Не изменяйте пароль и не изменяйте локальную учетную запись пользователя Skype. Это может предотвратить автоматический вход Комнаты Teams.
Приложение Комнаты Microsoft Teams выполняется с помощью функции назначенного доступа, которая доступна в Windows 10 1903 и более поздних версиях. Назначенный доступ — это функция Windows, которая ограничивает точки входа приложений, предоставляемые пользователю, и включает режим киоска с одним приложением. С помощью средства запуска оболочки Комнаты Teams настраивается как устройство киоска, которое запускает классическое приложение Windows в качестве пользовательского интерфейса. Приложение Комнаты Microsoft Teams заменяет оболочку по умолчанию (explorer.exe), которая обычно выполняется при входе пользователя. Другими словами, традиционная оболочка Обозреватель вообще не запускается, что значительно снижает Комнаты Microsoft Teams уязвимости в Windows. Дополнительные сведения см. в статье Настройка киосков и цифровых знаков в классических выпусках Windows.
Если вы решили запустить проверку безопасности или производительность Центра интернет-безопасности (CIS) на Комнаты Teams, проверка может выполняться только в контексте учетной записи локального администратора, так как учетная запись пользователя Skype не поддерживает запущенные приложения, кроме приложения Комнаты Teams. Многие функции безопасности, применяемые к контексту пользователя Skype, не применяются к другим локальным пользователям, и, как следствие, эти проверки безопасности не отображают полную блокировку безопасности, примененную к учетной записи Skype. Поэтому не рекомендуется выполнять локальную проверку на Комнаты Teams. Однако при желании можно выполнить внешние тесты на проникновение. Из-за такой конфигурации рекомендуется выполнять внешние тесты на проникновение для Комнаты Teams устройств, а не выполнять локальные проверки.
Кроме того, политики блокировки применяются для ограничения использования неадминистративных функций. Фильтр клавиатуры включен для перехвата и блокировки потенциально небезопасных сочетаний клавиатуры, которые не охватываются политиками назначенного доступа. Только пользователи с правами администратора локального или доменного домена могут входить в Windows для управления Комнаты Teams. Эти и другие политики, применяемые к Windows на Комнаты Microsoft Teams устройствах, постоянно оцениваются и тестируются в течение жизненного цикла продукта.
Microsoft Defender включен из коробки. Лицензия Комнаты Teams Pro также включает Defender для конечной точки, которая позволяет клиентам регистрировать свои Комнаты Teams в Defender для конечной точки. Эта регистрация позволяет группам безопасности просматривать состояние безопасности комнаты Teams на устройствах Windows с портала Defender. Комнаты Teams в Windows можно зарегистрировать, выполнив действия для устройств Windows. Мы не рекомендуем изменять Комнаты Teams с помощью правил защиты (или других политик Defender, которые вносят изменения в конфигурацию), так как эти политики могут повлиять на функциональность Комнаты Teams, однако функциональность отчетов на портале поддерживается.
Безопасность учетной записи
Комнаты Teams устройства включают учетную запись администратора с именем "Администратор" с паролем по умолчанию. Настоятельно рекомендуется изменить пароль по умолчанию как можно скорее после завершения настройки.
Учетная запись Администратор не требуется для правильной работы Комнаты Teams устройств и может быть переименована или даже удалена. Однако перед удалением учетной записи Администратор убедитесь, что вы настроили альтернативную учетную запись локального администратора, настроенную перед удалением учетной записи, которая поставляется с Комнаты Teams устройствами. Дополнительные сведения о том, как изменить пароль для локальной учетной записи Windows с помощью встроенных средств Windows или PowerShell, см. в следующих руководствах:
Вы также можете импортировать учетные записи домена в локальную группу администраторов Windows с помощью Intune. Дополнительные сведения см. в разделе Policy CSP — RestrictedGroups..
Примечание.
Если вы используете Комнаты Teams Crestron с подключенной к сети консолью, обязательно следуйте инструкциям Crestron по настройке учетной записи Windows, используемой для связывания.
Осторожность
При удалении или отключении учетной записи Администратор перед предоставлением разрешений локального администратора другой локальной учетной записи или учетной записи домена вы можете потерять возможность администрирования Комнаты Teams устройства. В этом случае необходимо вернуть устройство к исходным параметрам и снова завершить процесс установки.
Не предоставляйте локальным администраторам разрешения для учетной записи пользователя Skype.
Designer конфигурации Windows можно использовать для создания пакетов подготовки Windows. Наряду с изменением локального пароля Администратор вы также можете изменить имя компьютера и зарегистрироваться в Microsoft Entra ID. Дополнительные сведения о создании пакета подготовки конфигурации Windows Designer см. в разделе Пакеты подготовки для Windows 10.
Необходимо создать учетную запись ресурса для каждого Комнаты Teams устройства, чтобы оно можо входить в Teams. С этой учетной записью нельзя использовать интерактивную двухфакторную или многофакторную проверку подлинности пользователя. Если пользователь будет использовать второй интерактивный фактор, учетная запись не сможет автоматически входить в приложение Комнаты Teams после перезагрузки. Кроме того, Microsoft Entra политики условного доступа и политики соответствия требованиям Intune можно развернуть для защиты учетной записи ресурса и обеспечения многофакторной проверки подлинности с помощью других средств. Дополнительные сведения см. в разделах Поддерживаемый условный доступ и Intune политики соответствия устройств для Комнаты Microsoft Teams и условный доступ и соответствие Intune для Комнаты Microsoft Teams.
Мы рекомендуем создать учетную запись ресурса в Microsoft Entra ID, если это возможно, как облачную учетную запись. Хотя синхронизированная учетная запись может работать с Комнаты Teams в гибридных развертываниях, эти синхронизированные учетные записи часто испытывают трудности со входом в Комнаты Teams и могут быть трудно устранить неполадки. Если вы решили использовать стороннюю службу федерации для проверки подлинности учетных данных для учетной записи ресурса, убедитесь, что сторонний поставщик удостоверений ответит атрибутом wsTrustResponse
urn:oasis:names:tc:SAML:1.0:assertion
. Если ваша организация не хочет использовать WS-Trust, используйте вместо этого облачные учетные записи.
Безопасность сети
Как правило, Комнаты Teams предъявляет те же требования к сети, что и любой клиент Microsoft Teams. Доступ через брандмауэры и другие устройства безопасности для Комнаты Teams так же, как и для любого другого клиента Microsoft Teams. Специфичные для Комнаты Teams, категории, перечисленные как "обязательные" для Teams, должны быть открыты в брандмауэре. Комнаты Teams также требуется доступ к клиентский компонент Центра обновления Windows, Microsoft Store и Microsoft Intune (если вы используете Microsoft Intune для управления устройствами). Полный список IP-адресов и URL-адресов, необходимых для Комнаты Microsoft Teams, см. в следующих разделах:
- Microsoft Teams, Exchange Online, SharePoint, Microsoft 365 Common и Office OnlineOffice 365 URL-адреса и диапазоны IP-адресов
- клиентский компонент Центра обновления WindowsНастройка WSUS
- Конечные точки Microsoft Store Microsoft Store
- Microsoft IntuneСетевые конечные точки для Microsoft Intune
- Конечная точка клиента телеметрии: vortex.data.microsoft.com
- Конечная точка параметров телеметрии: settings.data.microsoft.com
На портале управления Комнаты Microsoft Teams Pro также необходимо убедиться, что Комнаты Teams могут получить доступ к следующим URL-адресам:
- agent.rooms.microsoft.com
- global.azure-devices-provisioning.net
- gj3ftstorage.blob.core.windows.net
- mmrstgnoamiot.azure-devices.net
- mmrstgnoamstor.blob.core.windows.net
- mmrprodapaciot.azure-devices.net
- mmrprodapacstor.blob.core.windows.net
- mmrprodemeaiot.azure-devices.net
- mmrprodemeastor.blob.core.windows.net
- mmrprodnoamiot.azure-devices.net
- mmrprodnoamstor.blob.core.windows.net
- mmrprodnoampubsub.webpubsub.azure.com
- mmrprodemeapubsub.webpubsub.azure.com
- mmrprodapacpubsub.webpubsub.azure.com
Клиентам GCC также потребуется включить следующие URL-адреса:
- mmrprodgcciot.azure-devices.net
- mmrprodgccstor.blob.core.windows.net
Комнаты Teams настроен так, чтобы автоматически обновляться с помощью последних обновлений Windows, включая обновления для системы безопасности. Комнаты Teams устанавливает все ожидающие обновления каждый день, начиная с 2:00 до 3:00 по местному времени устройства, используя предустановленную локальную политику. Нет необходимости использовать другие средства для развертывания и применения Windows Обновления. Использование других средств для развертывания и применения обновлений может отложить установку исправлений Windows и, таким образом, привести к менее безопасному развертыванию. Приложение Комнаты Teams развертывается с помощью Microsoft Store.
Комнаты Teams устройства работают с большинством протоколов безопасности 802.1X или других сетевых протоколов безопасности. Однако мы не можем протестировать Комнаты Teams для всех возможных конфигураций безопасности сети. Таким образом, если возникают проблемы с производительностью, которые могут быть отследовано до проблем с производительностью сети, может потребоваться отключить эти протоколы.
Для оптимальной производительности мультимедиа в режиме реального времени настоятельно рекомендуется настроить трафик мультимедиа Teams для обхода прокси-серверов и других устройств безопасности сети. Мультимедиа в режиме реального времени очень чувствительны к задержкам, а прокси-серверы и устройства сетевой безопасности могут значительно снизить качество видео и звука пользователей. Кроме того, так как мультимедиа Teams уже зашифрованы, передача трафика через прокси-сервер не дает ощутимых преимуществ. Дополнительные сведения см. в статье Сетевые подключения (в облако) — точка зрения одного архитектора, в которой рассматриваются сетевые рекомендации по повышению производительности мультимедиа с помощью Microsoft Teams и Комнаты Microsoft Teams. Если в вашей организации используются ограничения клиентов, они поддерживаются для Комнаты Teams на устройствах Windows в соответствии с рекомендациями по настройке, приведенными в документе о подготовке среды.
Комнаты Teams устройствам не нужно подключаться к внутренней локальной сети. Рассмотрите возможность размещения Комнаты Teams в безопасном изолированном сегменте сети с прямым доступом в Интернет. Если внутренняя локальная сеть скомпрометирована, возможности вектора атаки в сторону Комнаты Teams уменьшаются.
Настоятельно рекомендуется подключить устройства Комнаты Teams к проводной сети. Использование беспроводных сетей требует тщательного планирования и оценки для оптимального взаимодействия. Дополнительные сведения см. в разделе Рекомендации по беспроводной сети.
Присоединение к близкому расположению и другие функции Комнаты Teams используют Bluetooth. Однако реализация Bluetooth на Комнаты Teams устройствах не позволяет подключить внешнее устройство к Комнаты Teams устройству. Технология Bluetooth, используемая на Комнаты Teams устройствах, в настоящее время ограничена рекламными маяками и запрашивает проксимальные подключения. Тип ADV_NONCONN_INT
единицы данных протокола (PDU) используется в рекламном маяке. Этот тип PDU предназначен для несоединяемых устройств, рекламируя информацию на прослушивающее устройство. В рамках этих функций не выполняется связывание устройств Bluetooth. Дополнительные сведения о протоколах Bluetooth можно найти на веб-сайте Bluetooth SIG.