强化和保护 Lync Server 2010 的服务器和应用程序
上一次修改主题: 2012-10-15
您应根据特定组件的最佳做法强化和保护操作系统及应用程序。本节介绍如何强化应用程序服务器和使用组策略来实现安全锁定。
![]() |
---|
您还可以强化和保护用于 Microsoft Lync Server 2010 部署的数据库。有关详细信息,请参阅强化和保护 Lync Server 2010 数据库。 |
保护应用程序服务器
对于应用程序服务器,应强化操作系统和应用程序。例如,对于专门用来运行 Microsoft Internet Security and Acceleration (ISA) Server 2006 的 Windows Server 2008 计算机,应从操作系统和应用程序方面进行强化。应将尽量减少服务器提供的正在运行的服务数作为主要目标。
保护虚拟服务器
虚拟服务器快照包含服务器的数据磁盘的副本,还包含内存中的数据的转储,这两种都可能包含可能导致攻击的敏感加密数据。对于使用虚拟化实现的生产服务器,应禁用所有服务器快照或以受严格控制的方式管理它们。有关保护 Hyper-V 虚拟服务器的详细信息,请参阅以下位置中的“Hyper-V 安全指南”:https://go.microsoft.com/fwlink/?linkid=214176&clcid=0x804。
组策略
在 Windows Server 2008 和 Windows Server 2008 R2 中,组策略提供基于目录的桌面配置管理。通过在组策略对象 (GPO) 中定义以下各项的“计算机和用户”设置,可以使用组策略来实现安全锁定:
基于注册表的策略
安全性
软件安装
脚本
文件夹重定向
远程安装服务
为了提供用户界面以便管理员能够配置这些设置,操作系统的发行版、Service Pack 版本和一些应用程序(包括 Lync Server 2010)都附带了管理模板。
Communicator.adm 文件是 Lync Server 2010 附带的管理模板,安装在 %windir%\inf\ 目录中,并提供到组策略设置的接口。Communicator.adm 中的每项设置均与注册表中影响应用程序行为的设置对应。
利用 Active Directory 用户和计算机控制台以及组策略管理控制台 (GPMC) 中提供的 GPedit.dll,可以访问这些设置。
组策略安全设置
组策略包含 GPO 的安全设置,当通过 GPedit.dll 访问这些安全设置时,它们位于“计算机配置”/“Windows 设置”/“安全设置”下。可以导入安全模板以配置 GPO 的安全设置。https://go.microsoft.com/fwlink/?linkid=145186&clcid=0x804 上的 Windows Server 2008 安全指南和 https://go.microsoft.com/fwlink/?linkid=211882&clcid=0x804 上的 Windows Server 2008 R2 安全合规性管理工具包包含大量示例模板,您可以修改这些模板以满足您的需求。
最佳做法
强化所有服务器操作系统和应用程序。
保护服务器快照和增强所有虚拟服务器的安全性。
使用组策略实现安全锁定。