Lync 伺服器 2010:安全性在邊緣
要與密碼暴力式攻擊可以特別棘手,但您可以保護您的網路對這些類型的干擾。
Rui Maximo
在這個杯互相連線的世界,公司想要允許具有彈性和行動力的員工,數個收件者可能會從遠端工作。 因此,幾乎是每個組織會公開至網際網路的服務。 不過,一定會有攻擊的潛在威脅。 有些公司也特別注意拒絕服務 (DoS) 和密碼暴力式攻擊。 這些是合法的考量因素。 這類攻擊可以是使用者過於凌亂破碎,與使用內部伺服器資源。
DoS 攻擊的主要問題在於它們幾乎可以區別合法的登入要求。 唯一的差異化是指登入嘗試和它們的來源的頻率。 登入嘗試快速執行一大堆可能指出的 DoS 攻擊。
大部分的 DoS 攻擊會嘗試猜測使用者的密碼,才能取得未經授權的存取。 它們通常導致鎖定的使用者帳戶,如果安全性原則已啟用在 Active Directory 網域服務,且已登入嘗試的最大數目。
Microsoft Lync 伺服器 2010年邊緣伺服器可以防止未經授權的存取使用業界標準的安全性措施。 它會監視登入要求,並在網路周邊的帳戶鎖定,強制執行。 加密和驗證所有的通訊。
邊緣伺服器不能防禦拒絕服務攻擊。 不過,Lync 伺服器提供彈性的程式設計平台,您可用來建立伺服器應用程式,以攔截在伺服器上的工作階段初始化通訊協定 (SIP) 訊息並執行特殊的邏輯使用 Microsoft SIP 處理語言 (MSPL)。 這是安全性篩選器的運作方式。
它會檢查所有連入的登入要求在 Edge 伺服器上。 遠端的使用者未經驗證在邊緣伺服器上,所以登入要求會傳遞給指導或直接在內部的集區,然後會執行驗證程序。 回應然後傳遞至邊緣伺服器。 安全性篩選器會檢查要求和回應。 如果登入失敗,安全性篩選器會追蹤每個使用者帳戶失敗的次數。
在下一次用戶端嘗試登入相同的使用者帳戶,和失敗的次數超過最大數目允許登入嘗試、 安全性篩選器立即拒絕要求,而不需傳送要求到導演或進行驗證的內部集區。 藉由強制執行在 Edge 伺服器的帳戶鎖定,安全性篩選器封鎖的網路外圍邊緣的 DoS 攻擊。 如此一來,安全性篩選器可以保護內部的 Lync 伺服器資源。
若要防止 Windows NT LAN 管理員 (NTLM) 第 2 版驗證使用安全性篩選器,公司可以強制僅從授權的公司發行膝上型電腦登入的使用者。 使用額外的安全性措施 (例如使用 BitLocker] 及 [群組原則來防止使用者安裝未經授權的軟體),公司發出膝上型電腦可以本身做為 「 智慧卡 」 以提供雙因素驗證。
如果一開始沒有成功
若要防止使用者帳戶的暴力式攻擊,許多組織會強制使用中目錄群組原則來在失敗的嘗試若干次之後鎖定帳戶。 此因應對策的副作用是,攻擊者可以藉由只需啟動多個嘗試鎖定鎖定的使用者帳戶。 這才 DoS 攻擊。
如果帳戶未受到保護的作用中的目錄群組原則,攻擊者可以使用這種暴力式攻擊使用者的密碼。 這些攻擊很有價值的內部伺服器資源使用] 及 [拒絕使用者存取其帳戶。
用來唯一識別使用者,可以防止使用者帳戶的攻擊。 有數個選項要用來執行這項操作。 您可以使用的來源 IP 位址、 登入名稱 (也就是 SIP URI)、 帳戶名稱或甚至是組合任何這些選項。 之後調查每個選項,看來掛上 DoS 攻擊的惡意用戶端可以偽造來源 IP 位址,做為唯一識別使用者的方法消除這項選擇。
登入名稱,才能成功地登入到 Lync 伺服器,雖然不會驗證使用者。 登入名稱可能在登入要求期間各不相同,但仍然相同的使用者帳戶被鎖定。 因此,來源 IP 位址和登入名稱都不是用來識別使用者的良好來源。 帳戶名稱可唯一識別的使用者帳戶。
您只可以擷取的帳戶名稱,也會包含使用者名稱和網域名稱,來自驗證通訊協定。 嘗試登入和驗證的遠端使用者使用 NTLM v2 通訊協定,不 Kerberos。 NTLM 通訊協定會使用三個階段交握驗證程序。 用戶端會在 NTLM 信號交號的第三個階段中傳遞使用者的認證。
安全性篩選器做為信任的伺服器應用程式伺服器上執行邊緣,讓它具有可以攔截這個登入要求。 安全性篩選器將解碼的使用者名稱和 NTLM 驗證訊息中的網域名稱。 因為帳戶名稱無法使用在回應中,安全性篩選器會將對應的回應要求使用郵件識別碼。
如果內部集區或 Director 傳送 Edge 伺服器的驗證回應,安全性篩選器會擷取登錄回應。 如果登入失敗,安全性篩選器會計算失敗的嘗試。 如果登入成功,[安全性篩選器會重設為零的失敗嘗試次數。
篩選在邊緣
每次 Edge 伺服器收到登入要求時,它會傳遞至安全性篩選器。 它會檢查登入要求是否已超過該特定使用者帳戶所允許的最大數目。 如果要求已超過允許的最大的鎖定計數,安全性篩選器可讓內部的集區或 Director 繼續要求。
如果要求超過允許的最大的鎖定計數,安全性篩選器封鎖要求,並傳回的 403 回應。 這 summarily 會拒絕要求。 拒絕任何進一步登入嘗試的鎖定期間的持續期間。 在鎖定期間過期後,它會重設為允許新的登入要求。
當使用者從電腦未加入公司的 Active Directory 網域登入,可能會發生一個問題。 Lync 2010 可以自動嘗試登入利用使用者的本機電腦憑證。 因為這些憑證並非公司網域認證,驗證會失敗。 最後,會封鎖使用者登入 Lync 伺服器。 若要防止安全性篩選器鎖住有效使用者,它並不算在內使用者這些嘗試次數。
Lync 伺服器 2010年介紹稱為 TLS DSK 額外的驗證通訊協定的支援。 這需要使用者提供驗證的用戶端憑證。 Lync 用戶端會向 Lync 伺服器要求憑證。 這是發生第一次使用者登入時自動處理程序來驗證使用者位於公司網路之內的 Lync 伺服器使用 Kerberos。
這個用戶端憑證用來驗證任何後續的登入嘗試。 這是 Lync 伺服器,不受憑證授權單位所發出的自我簽署的憑證。 如果該相同的使用者嘗試從另一部電腦登入 Lync,他便通過驗證 (如果在公司網路內部) 使用 Kerberos 或使用 NTLM v2 (如果公司網路之外)。 取得另一個用戶端憑證的程序啟動過。
TLS DSK 提供非常接近雙重關卡驗證的安全性層的級。 當結合使用 Windows BitLocker,則電腦或膝上型電腦將做為相當於智慧卡 (這是您有)。 BitLocker 必須從開機電腦的密碼不等於授權 (這是您知道) 智慧卡的使用所需的 pin 碼。
沒有其他人也可以直接竊取使用者的電腦,從用戶端憑證的遠端可能性,但是您可以減少這個風險。 請確定公司發出電腦已鎖定以防止使用者下載未經授權的應用程式。
您可以強制要交涉的驗證通訊協定向下從 TLS DSK NTLM v2 的邊緣伺服器。 在這種情況下,攻擊者仍然可以針對使用者帳戶,先前所述。 若要避免這種情況下,安全性篩選器會提供一個選項來拒絕所有 NTLM v2 驗證要求,強制僅 TLS DSK 驗證。 這並不會影響聯盟協力廠商連線或 PIC 連線。
組態的考慮重點
您可以執行安全性篩選器應用程式之前,您必須先與您的邊緣伺服器登錄應用程式。 您只需要採取下列步驟來一次執行此登錄。 使用 Lync 伺服器系統管理權限執行這些 Lync 伺服器 2010 Windows PowerShell 指令程式:
1. 執行下列 Windows PowerShell cmdlet 來註冊的 security_filter 應用程式從任何 Lync 伺服器。 指定完整格式的網域名稱 (FQDN) 參數 < 邊緣伺服器 FQDN > 中的邊緣伺服器:
新 CsServerApplication-識別 「 EdgeServer: < Edge 伺服器的 FQDN > / security_filter" -uri"http://www.maximo.ws/security_filter" -要徑 $false
2. 執行下列 Windows PowerShell cmdlet 來啟動集中式管理存放設定至 Edge 伺服器的複寫:
叫用 CsManagementStoreReplication
3. 在邊緣伺服器,以確認正確的登錄的 security_filter 上執行下列 Windows PowerShell 指令程式:
取得 CsServerApplication localstore
若要執行安全性篩選器,必須有三個參數傳遞至命令列版本。 Windows 服務版本,安裝程式會提示您輸入這些參數。 第一個參數會指定您內部的 Netbios 網域名稱的逗號分隔清單。 這些是您透過邊緣伺服器連線的內部 Lync 伺服器来驗證時,會使用遠端使用者的網域名稱。
讓我們假設您的公司稱為 Woodgrove 銀行,有下列三個內部 Active Directory 樹:woodgrovebank.com,contoso.com 和 fabrikam.com。 員工有帳戶的每一種這些樹系,所以您應該指定"woodgrovebank,contoso,fabrikam"做為這個安全性篩選器的第一個參數的值。
這些網域名稱驗證嘗試腎眕 Lync 伺服器的遠端使用者從下列三個網域 (例如,contoso\bob、 fabrikam\alice 等等) 的其中一個使用認證來連線。
第二個參數是帳戶的鎖定計數。 這是失敗的登入嘗試觸發帳戶鎖定之前允許的數目。
第三個參數是帳戶鎖定期間。 帳戶鎖定之後,這會指定多久保留帳戶鎖定之前它將會接受另一個登入嘗試。 在此鎖定期間的任何登入嘗試會立即遭到拒絕而不需驗證。
Microsoft Lync 伺服器 2010年邊緣伺服器使用安全性篩選器和這些驗證通訊協定,它會變成更難攻擊者嘗試以暴力式使用者密碼或接移 DoS 攻擊。
.jpg)
**Rui Maximo**有 18 年以上的科技產業,需要使用 Microsoft、 IBM、 RSA,以及數個啟動。 他教育是在電腦科學、 數學和加密。 他的 Lync 伺服器日期回到 2003,當原本呼叫 RTC 的知識。 他投入 RTC 產品團隊身為程式經理,那就引領專案經理。 Maximo 是主要的 Microsoft Lync 伺服器與它前版的五個書籍作者。