通过

  • 项目

保护 Lync Server 2010 客户端

 

上一次修改主题: 2011-07-17

在部署 Microsoft Lync Server 2010 网络之前配置客户端时,采用以下建议措施增强客户端安全性:

  • 使用带有最新 Service Pack 的 Windows 7、Windows Vista 或 Windows XP。

  • 对媒体加密和其他功能配置客户端策略。其中一些关键策略是客户端引导策略,例如,用于指定客户端在完成登录之前应使用的默认服务器和安全模式的策略。由于这些策略在客户端登录并开始从服务器接收带内设置之前有效,因此它们必须在客户端初始登录之前就存在于客户端计算机的注册表中。您可以使用组策略配置这些策略。还有一些设置应在部署客户端之前使用 Lync Server 命令行管理程序来配置。有关这些策略和设置的详细信息,请参阅规划文档中的关键客户端策略和设置

  • 配置 Lync 2010 以使用 TLS 来提供加密的信号。当用户使用 TCP 连接到服务器时,即使是通过其他方式加密的通信(如媒体),其保密性也无法得到保护。攻击者可以截获加密密钥,并将其用于解密消息。如果您必须允许客户端使用 TCP 建立连接,请注意此漏洞。

  • 用户之间的文件传输是点对点的传输。默认情况下,将对所有文件传输进行加密。指示用户在打开传输的文件之前先运行病毒检查。

  • 考虑有关客户端连接和消息的限制。

  • 根据使用要求隔离用户。

  • 在客户端上运行防病毒软件。

  • 经常检查并应用更新和安全更新。

  • 使用强密码最佳方法。

  • 仅运行必要的服务和应用程序。

  • 为用户 GPO 启用“需要 SIP 高安全性模式”组策略设置。

通常,您可控制对用户帐户的访问权,具体方法是:在 Active Directory 中启用和禁用每个用户帐户。但是,如果在您禁用某用户帐户时,该用户已登录 Lync Server 2010,则该用户在注销之前可继续访问。此外,在 Active Directory 中禁用某用户帐户后,该用户最多还能登录 180 天(默认的 Lync 证书过期时间)。若要防止此情况发生,您可以禁用基于证书的身份验证,或缩短证书过期时间。若要帮助确保仅拥有相应凭据的用户可访问 Lync Server 2010,另请执行下列操作:

  • 如果在 Active Directory 中禁用某用户,并希望确保该用户不能访问 Lync Server 2010,则使用 Lync Server 命令行管理程序运行 Disable-CsUser cmdlet。如果该用户已登录,这样可强制注销该用户,并可防止用户再次登录,除非您重新启用该用户。

    warning警告:
    运行 Disable-CsUser cmdlet 会删除用户数据。如果需要维护用户数据,则不使用此 cmdlet。使用 Set-CSUser -Enabled $false -Identity <userIdentity> 可禁用所有 Lync 功能(不只是证书身份验证),但仍可保留用户数据。您还可使用 Revoke-CsClientCertificate 来防止客户端访问。

  • 如果用户拥有的密码可能受到破坏,您在 Active Directory 中重置密码,则使用 Lync Server 命令行管理程序运行 Revoke-CSClientCertificate cmdlet。这样可吊销客户端证书,并帮助确保之前的密码不能用于以后登录该帐户。

有关使用这些 cmdlet 的详细信息,请参阅操作文档的 Lync Server 命令行管理程序一节中的特定 cmdlet。

客户端防火墙排除

Lync 客户端安装程序在安装时可针对以下例外配置防火墙:

  • Microsoft Lync 2010

  • UCMapi(在 32 位计算机上)或 UCMapi64(在 64 位计算机上)

卸载 Lync 客户端会删除这些条目。

Microsoft Lync 2010 Attendee 仅供没有 Lync 2010 的用户用于加入会议。可使用两个安装程序(管理员模式和用户模式)。客户端例外因安装方法而异:

  • 管理员模式安装(对于 Administrators 组成员用户帐户)。管理员可以通过从 Web 下载来安装此客户端,或者 IT 管理员可将此客户端推送到最终用户桌面,以简化 Lync 2010 会议加入。Attendee Lync 客户端可在安装时针对以下例外配置防火墙:

    • Microsoft Lync 2010 Attendee。卸载 Attendee 客户端会删除此条目。

  • 用户模式安装(对于 Users 组成员用户帐户),通常可防止管理员安装新软件。安装包括 Attendee 客户端的每用户安装。使用此安装方法,Attendee Lync 客户端在安装时不会配置防火墙。当用户加入其第一个会议时,会收到 Windows 防火墙请求对话提示。如果用户授予访问权,则会向防火墙排除列表添加 Microsoft Lync 2010 Attendee 条目。在用户卸载此 Attendee 客户端后,此条目不会被删除,因为用户已单独授予访问权。

当用户首次使用 Lync Web App 客户端时,他们会收到安装 Microsoft ActiveX 控件的提示,仅当用户希望共享其屏幕或共享某应用程序时,才需要安装此控件。若要查看共享内容,Active X 控件不是必需项。如果用户选择安装此 ActiveX 控件,则会为 ReachAppShaX.exe 添加防火墙例外。