通过

  • 项目

解决针对 Lync Server 2010 的本地会议的威胁

 

上一次修改主题: 2011-05-02

Microsoft Lync Server 2010 为防火墙内外的企业用户提供一项功能,使其可以创建并加入在内部 Lync Server 2010 服务器上承载的实时 Web 会议。企业用户还可以邀请没有 Active Directory 域服务帐户的外部用户参加这些会议。受雇于联盟伙伴且拥有经过验证的安全身份的用户也可以加入会议,并且可以充当演示者(如果已经过提升)。匿名用户不能以演示者身份创建或加入会议,但他们在加入会议后可将其提升为演示者。

内部 Web 会议是基于 Lync Server 2010 基础安全框架构建的:

  • 所有服务器都是受信任的服务器。

  • 并置组件之间的所有服务器连接和通信都通过 MTLS 进行。

  • 所有通信都已经过加密。

  • 所有用户都已经过身份验证。

允许外部用户加入内部会议大大提高了此功能的价值,但同时也带来一些安全风险。为了解决这些风险,Lync Server 提供了以下附加安全保护措施:

  • 参与者角色决定会议控制权限。

  • 参与者类型允许您限制对特定会议的访问。

  • 定义的会议类型决定哪些类型的参与者可以参加会议。

  • 仅允许拥有内部网络中的 Active Directory 凭据且启用 Lync Server 2010 的用户来安排会议。

  • 要参加电话拨入式会议的匿名(即未经身份验证的)用户拨打其中一个会议访问号码后,系统会提示他们输入会议 ID。还会提示未经身份验证的匿名用户记录其姓名。记录的姓名用于在会议中标识未经身份验证的用户。除非至少一个主持人或经过身份验证的用户已加入会议,否则不允许匿名用户加入会议,且无法向其分配预定义角色。

参与者角色

会议参与者分为三个组,每个组均有自己的权限和限制:

  • **组织者。**创建会议的用户(无论是临时创建还是按计划创建)。组织者必须是经过身份验证的企业用户,并对会议的所有最终用户具有全方位的控制权。

  • **演示者。**经过授权,可以在会议上使用任何受支持的媒体提供信息的用户。根据定义,会议组织者也是演示者,可决定能够担任演示者的其他人。组织者可以在安排会议时或会议进行中作此决定。

  • **与会者。**受邀参加会议,但无权担任演示者的用户。

在会议期间,演示者也可以将与会者提升为演示者角色。

参与者类型

也可以按照位置和凭据对会议参与者进行分类。可以同时使用这两个特征来指定哪些用户有权访问特定会议。用户可以粗略地分为内部用户和外部用户:

  • 内部用户在企业内部拥有 Active Directory 凭据,并从企业防火墙之内的位置进行连接。

  • 外部用户是从企业防火墙之外的位置临时或永久连接到企业的用户。他们可能拥有 Active Directory 凭据。Lync Server 2010 为以下类型的外部用户提供会议支持:

    • 在企业内部拥有持久 Active Directory 标识的远程用户。其中包括在家工作或出差在外的员工以及根据其服务条款被授予企业凭据的其他人,例如受信任供应商的员工。远程用户可以创建和加入会议,还可以担任演示者。

    • 联盟用户拥有联盟伙伴的有效凭据,因而被视为已通过 Lync Server 2010 的身份验证。联盟用户可以加入会议,并可以在加入会议后被提升为演示者,但他们不能在与之联盟的企业中创建会议。

    • 匿名用户没有 Active Directory 标识,不与企业联盟。

客户数据表明,很多会议都涉及外部用户。同样是这些客户,他们还希望在允许外部用户加入会议之前,能够对这些用户的身份放心。如下一节中所述,Lync Server 2010 可将会议的访问权限限定为已经得到明确允许的用户类型,并要求所有类型的用户在加入会议时提供正确的凭据。

参与者加入

在 Lync Server 2010 中,身份验证失败的匿名用户和参与者会转移到称为“会议厅”的等待区域。然后,演示者可以允许这些用户加入会议或拒绝他们。这意味着,使用电话拨入式会议但身份验证失败的匿名用户和参与者不再需要断开连接并重试。系统会将这些用户转移到会议厅并通知主持人,接下来这些用户将进入等待状态,直到主持人接受或拒绝他们,或连接超时。在会议厅时,用户将听到音乐。默认情况下,从 PSTN 拨入的参与者可直接参加会议,但可以将此选项更改为强制电话拨入参与者进入会议厅。会议组织者可控制参与者是否可以不在会议厅等待就加入会议。每个会议都可以设置为使用下列方法之一允许访问:

  • 仅组织者(已锁定)   在获准加入会议之前,除组织者以外的每个人都必须在会议厅等待。

  • 我从公司邀请的人员   在获准加入会议之前,除通讯组列表上的会议参与者以外的每个人都必须在会议厅等待。

  • 我公司的人员   所有内部用户都可以加入会议,而无需在会议厅等待,即使是通讯组列表上没有的人员,也是如此。所有其他人员(包括所有外部用户和匿名用户)都必须在会议厅等待,直到获准加入会议。

  • 包括我公司外部人员在内的每个人(无限制)   加入会议的每个人均绕过会议厅,直接参加会议。

在指定除“仅组织者(已锁定)”以外的任何方法时,会议组织者也可指定“通过电话拨入的人员将绕过大厅”。

演示者功能

会议组织者可控制参与者是否可在会议期间进行演示。每个会议都可设置为将演示者限制为以下人员之一:

  • 仅组织者   仅会议组织者可以演示。

  • 我公司的人员   所有内部用户均可演示。

  • 包括我公司外部人员在内的每个人(无限制)   加入会议的每个人均可演示。

  • 我选择的人员   会议组织者通过向演示者列表添加人员来指定可以演示的用户。