Tổ chức hội nghị truyền hình kiểm soát xem những người tham gia có thể trình bày trong một cuộc họp. Mỗi cuộc họp có thể được thiết lập để giới hạn các diễn giả bất kỳ một trongnhững điều sau đây:
- Chỉ có tổ chức cuộc họp có thể trình bày. - Tất cả người dùng nội bộ có thể trình bày.
- Tất cả mọi người kể cả những người ngoài công ty Tất cả mọi người (không có giới hạn) của tôi những người tham gia cuộc họp có thể trình bày.
- Ban tổ chức cuộc họp quy định cụ thể mà người dùng có thể trình bày bằng cách thêm chúng vào một danh sách các diễn giả.
4.7. Giải quyết các mối đe dọa về Group Chat
Microsoft Lync Server 2010 Group Chat là một vai trò máy chủ tùy chọn có thể đượctriển khai để cho phép cung cấp tài nguyên phòng chat liên tục cho các nhóm cộng tác trêncác cuộc thảo luận, các tập tin, và các tài nguyên khác. Cách sử dụng Group Chat có thể nâng cao khả năng của nhóm làm việc để biên dịch các ghi chú, các cuộc hội thoại, và các mã công việc và chuyển lại cho những cuộc họp tiếp theo. Người dùng nội bộ và người dùng bên ngoài có thể đượctham dự trong một phòng Group Chat. Tất cả các người tham dự phải được mời. Một cơ sở dữ liệu phù hợp tùy chọn có thể được triển khai, dựa trên các yêu cầu pháp lý.
Nhóm chát được tạo thành từ các thành phần sau: - Nhóm Chat Server, chạy sau đây:
+ Tìm kiếm dịch vụ + Tín hiệu dịch vụ + Dịch vụ Web
- Nhóm máy chủ cơ sở dữ liệu Chat - Tuân thủ Server (tùy chọn)
- Tuân thủ máy chủ cơ sở dữ liệu (có thể collocated dụ như với cơ sở dữ liệu GroupChat)
Nhóm Chat Server nằm trên cơ sở hạ tầng nội bộ và nhận được đến trò chuyện truyền thông, thông qua các liên kết Front End. Tham dự bên ngoài được kết nối với các Chat Group Server thông qua dịch vụ truy cập Edge. Liên kết đối tác khách hàng được hỗ trợ tốt như người tham dự . Theo mặc định, TLS bảo vệ thông tin khách hàng cho SIP, và HTTPS để truyền thông với các dịch vụ web. MTLS được sử dụng cho truyền thông giữa Group Chat Server và các máy chủ Front End, và nó sử dụng cổng 8011/TCP.
Group Chat triển khai hỗ trợ cả việc triển khai một máy chủ và cấu hình nhiều máy chủ.Một cơ sở dữ liệu Chat Group chung được sử dụng cho cả một hoặc nhiềumáy chủ triển khai. Với nhiều Group Chat Server, các dịch vụ tra cứu và dịch vụ truyền thông giữa các kênh Group Chat Server để đảm bảo rằng một phòng chat đã được thực hiện trên một máy chủ có sẵn cho người tham gia trong phòng chat trên bất kỳ Server Group Chat. Điều quan trọng cần lưu ý rằng tất cả các Group Chat Server trong một môi trường nhiều máy chủ đang trên cùng một subnet. Chat Group không được hỗ trợ trong một cấu trúc liên hợp của Group Chat Server được đặt trên các mạng con riêng biệt trên từng subnet.
Cấu hình cài đặt máy chủ phải được thực hiện trên local Group Chat Serve. Cài đặt toàn cục có ảnh hưởng đến tất cả các thiết lập về Group Chat Server có thể được thực hiện trên bất kỳ máy chủ trong dải.
Thực tiễn tốt nhất
- Triển khai Group Chat máy chủ trong một môi trường vật lý an toàn.
- Sử dụng chứng nhận từ CA nội bộ của bạn, hoặc giấy chứng nhận công cộng ban hành bởi CA.
- Sử dụng các hướng dẫn của hướng dẫn bảo mật cho hệ điều hành máy chủ của Group Chat Server và máy chủ cơ sở dữ liệu để giảm bị tấn công.
- Bảo đảm rằng tất cả các khách hàng và máy chủ được lưu giữ và cập nhật với các gói dịch vụ mới nhất.
4.8. Giải quyết các mối đe dọa về Lync Web App
Trong Microsoft Office Communications Server 2007 và Microsoft Office Communications Server 2007 R2, Communicator Web Access là một máy chủ Web chuyên dụng cho phép nhắn tin tức thời, hội nghị truyền hình web, chia sẻ máy tính để bàn, và dial-in hỗ trợ hội nghị truyền hình cho người dùng nội bộ và người dùng bên ngoài không có quyền truy cập cho Microsoft Office Communicator hoặc không thể sử
Microsoft Lync Server 2010, Communicator Web Access chức năng vẫn còn tồn tại nhưng đã được đổi tên thành Microsoft LyncWeb App. Các Lync dựa trên trình duyệt Web App máy trạm không có đầy đủ các chức năng Lync của Lync. Đối với người dùng Windows, tất cả các tính năng trong cuộc họp có sẵn, ngoại trừ âm thanh, video cho cho máy tính, và khả năng để tải lên Microsoft Power Point trình bày. Các tính năng tương tự mà có sẵn cho người dùng Windows cũng có sẵn cho người dùng Macintosh, với ngoại lệ của máy tính để bàn và chia sẻchương trình. Lync Web App Lync Web App được tự động cài đặt như một phần của một máy chủ Standard Edition và trên mỗi máy chủ Front End trong một Front End, hơn là một máy chủ chuyên dụng vật lí.
Bạn cấu hình máy chủ ảo để chứa cả hai loại người dùng nội bộ và người dùng bên ngoài. Các máy chủ ảo được phân tách theo cách thức mà người dùng bên ngoài chỉ được phép truy cập vào các máy chủ ảo bên ngoài, và tương tự cho người dùng nội bộ và máy chủ ảo.Tuy nhiên, có thể sử dụng một máy chủ ảo cho cả truy cập nội bộ và bên ngoài.
4.8.1. Thực hành tốt nhất cho các ứng dụng Web của Lync
- Sử dụng một proxy ngược triển khai trong phạm vi mạng để tăng cường tính bảo mật của Lync Web App trên Internet.
- Quan sát cài đặt bảo mật cho Internet Information Services (IIS), dựa trên sự lựa chọn phiên bản hệ điều hành máy chủ của bạn.
- Chọn phương pháp xác thực để phù hợp với nhu cầu của người dùng:
+ Tích hợp xác thực mật khẩu. Sử dụng NTLM/Kerberos để cung cấp các phương pháp đăng nhập mật mã cho người dùng nội bộ
+ Forms-Based Authentication. Cung cấp một tên đăng nhập / mật khẩu nhanh chóng và hỗ trợ xác thực người dùng bên ngoài, người sử dụng Macintosh, Linux, và người dùngkhông chạy trình duyệt Internet Explorer Internet
+ Lựa chọn xác thực, hỗ trợ các phương pháp như đầu vào là mã PIN, và thẻ thông minh.
4.8.2. Các mối đe dọa đến ứng dụng Web của Lync
Cố định phiên
Trong một cuộc tấn công định hình phiên, kẻ tấn công đặt 1 phiên thông báo của người sử dụng trước phiên giao dịch được thiết lập giữa người sử dụng và máy chủ web. Bằng
cách đó, kẻ tấn công đã có các ID và không cần phải xác định sau khi phiên giao dịch được thành lập. Lync Web App được thiết kế để giảm thiểu mối đe dọa này.
Hijacking phiên
Những kẻ tấn công phiên truy cập của người dùng bằng sniffing lưu lượng truy cập không được mã hóa trên mạng. Lync Web App giảm thiểu mối đe dọa này bằng cách sử dụng SSL là giao thức truyền mặc định giữa khách hàng và LyncWeb App.
Session Riding/Double Riding
Khi kẻ tấn công cố gắng sử dụng một phiên thiết lập giữa một người sử dụng và một ứng dụng dựa trên web để chạy các lệnh trong khi đặt ra như là người sử dụng. Kẻ tấn công như vậy bằng cách gửi cho người dùng một email hay thu hút người sử dụng truy cập vào một trang web cụ thể phát triển để chạy các phần mềm độc hại. Các lệnh có thể được điều khiển bởi những kẻ tấn công bao gồm mở tường lửa, xóa dữ liệu, và chạy các lệnh khác trong mạng nội bộ.
Lync Web App được thiết kế để ngăn chặn kẻ tấn công sử dụng phương pháp này để điều khiển người dùng Web App Lync thông qua một trang web độc hại.
Cross Site Scripting (CSS, XSS, Code Insertion)
Một cuộc tấn công cross-site scripting xảy ra khi kẻ tấn công sử dụng một ứng dụng web để gửi phần mềm độc hại, thường là dưới hình thức một scrip, cho một người dùng. Người sử dụng sử dụng trình duyệt không có cách nào phát hiện scrip không đáng tin cậy và sẽ chạy scrip. Khi scrip độc hại chạy, nó có thể truy cập các tập tin cookie, phiên thẻ, hoặc các thông tin nhạy cảm khác mà được giữ lại bởi trình duyệt của người dùng cuối. scrip như vậy cũng có thể viết lại nội dung của trang HTML.
Các cuộc tấn công cross-site scripting có thể được lưu trữ hoặc phản xạ. Lưu trữ các cuộc tấn công là những người trong đó tập lệnh nguy hiểm là vĩnh viễn được lưu trữ trênmáy chủ web bị xâm nhập, ví dụ trong cơ sở dữ liệu, diễn đàn tin nhắn, truy cập các bản ghi, và các lĩnh vực nhận xét. Khi người dùng truy cập vào máy chủ web, trình duyệt của người dùng chạy scrip. Theo phản hồi các cuộc tấn công cross-site scripting, người dùng có bị lừa nhấp chuột vào một liên kết hoặc gửi một mẫu thiết kế đặc biệt có chứa phần mềm độc hại. Khi người dùng nhấp vào liên kết để gửi các dữ liệu,URL, trong đó có các phần mềm độc hại, được gửi đến máy chủ web cùng với dữ liệu của người dùng. Khi trang web hiển thị thông tin của người dùng trở lại cho người sử dụng, thông tin này dường như bắt nguồn từ một nguồn đáng tin cậy. Tuy nhiên, thông tin có chứa các phần mềm độc hại, sau đó chạy trên máy tính của người dùng.
Lỗ hổng này chỉ tồn tại trong các trang web không xác thực người dùng. Lync Web App sử dụng xác nhận rộng rãi của người dùng để ngăn chặn mối đe dọa này. Dấu hiệu mối đe dọa
HTTP là một giao thức không kết nối, và mỗi trang web đòi hỏi yêu cầu nhiều máy chủ nhận và phản hồi để hoàn tất trang. Nhiều phương pháp được sử dụng để duy trì sự kiên trì phiên họp giữa các trang yêu cầu trong phiên. Một phương pháp được sử dụng bởi các máy chủ web là cấp một mã thông báo cho trình duyệt của máy trạm đưa ra yêu cầu. Là phương pháp được sử dụng bởi Lync Web App.
Sau khi thành công Lync Web App xác nhận một người dùng bên trong hoặc bên ngoài, đây là vấn đề đưa mã thông báo vào một phiên cookie, được trả lại cho khách hàng. Cookie này được sử dụng để truy cập vào máy chủ trong một phiên duy nhất. Do đó,khách hàng phải chấp nhận cookie từ trang Web App Lync có chức năng chính xác. Một kẻ tấn công có thể ăn cắp và tái sử dụng mã thông báo này. Lync Web App giảm nhẹ mối đe dọa bằng cách phát hành thẻ chỉ có một cookie phiên, bằng cách sử dụng SSL để vận chuyển các thẻ, thanh toán bù trừ các mã thông báo khi phiên họp kết thúc và tạo ra các mã thông báo hết hạn sau một thời gian không hoạt độngkhách hàng.
Token ping
Trong một ping thông báo, cũng được biết đến như là 1 cách giữ mã thông báo tồn tại,một người dùng xác thực nhiều lần gửi yêu cầu đến máy chủ web để ngăn chặn các phiên họp và do đó phiên sẽ thông báo, từ hết hạn.
Một cuộc tấn công ping token có thể được coi là một mối đe dọa bởi vì nó đi qua các logic thời gian chờ đưa vào máy chủ. Tuy nhiên, mức độ nguy hiểm thấp, bởi vì người sử dụng phải được xác thực đầu tiên.
Phishing (Password Harvesting Fishing)
Lừa đảo sử dụng giả mạo và là một kiểu tấn công man-in-the-middle. Những kẻ tấn công trái phép sẽ cố gắng để có được thông tin từ người sử dụng bằng cách đặt ra như một thực thể có thẩm quyền để có thông tin. Kẻ tấn công thường được thực hiện bằng cách lừa người dùng vào nhập một số mật khẩu hoặc tài khoản vào một trang web giả mạo, hình thức web, hoặc tin nhắn email. Bạn nên chỉ dạy người dùng cuối về các phương pháp mà những kẻ tấn công sử dụng để có được thông tin cá nhân.
4.8.3. Bảo mật các phiên ứng dụng Web của Lync
Các phiên giữa máy trạm và các Lync Web App có thể được thực hiện an toàn hơn bằng cách sử dụng phiên thời gian chờ và mã hóa.
Bảo mật các dấu hiệu
Trong Lync Web App, các dấu hiệu giống nhau được sử dụng cho các phiên mã thông báo và xác thực token. Bạn có thể nâng cao tính bảo mật bằng cách sử dụng thời gian chờ ngắn yêu cầu dịch vụ bên ngoà trên máy chủ ảo Lync Web App. Bạn có thể đặt giá trị thời gian chờ khác nhau cho các máy tính công cộng và riêng trong các thuộc tính bên ngoài của máy chủ ảo.
Sử dụng mã hóa
Sau đây là các yêu cầu và khuyến nghị về mã hóa:
- Bạn phải sử dụng TLS / MTLS cho tất cả các thông tin liên lạc giữa Lync Web App và máy chủ đang chạy Microsoft Lync Server 2010.
- Bạn chỉ nên sử dụng HTTPS, trừ khi chia tải SSL được sử dụng vì lý do hiệu quả và biện pháp bảo vệ an ninh khác có hiệu quả tại chỗ.
- Bạn có thể sử dụng HTTP cho truyền thông giữa một cân bằng tải phần cứng hoặc thiết bị khác và các Lync Web App nếu chia tải SSL được sử dụng vì lý do hiệu suất.Trong trường hợp này, các liên kết vật lý phải được bảo đảm.
- Không sử dụng HTTP giữa khách hàng và các Lync Web App. Sử dụng PKI, giấy chứng nhận, và SSL cho ứng dụng Web Lync.
4.8.4. Sử dụng PKI, Giấy chứng nhận, SSL cho ứng dụng Web của Lync
Lync Web App không yêu cầu giấy chứng nhận riêng biệt. Các máy chủ proxy phân giải ngược không yêu cầu có giấy chứng nhận.
4.9. Giải quyết các mối đe dọa về Enterprise Voice cho Lync Server 2010
4.9.1. Thực hành tốt nhất cho Securing Enterprise Voice trong Lync Server 2010
- Cài đặt máy chủ trung gian trên một máy tính với hai thẻ adapter mạng.
- Cấu hình các Edge bên trong của một máy chủ trung gian để tương ứng với một định tuyến tĩnh duy nhất được mô tả bằng một địa chỉ IP và số cổng. Các cổng mặc định là 5061.
- Cấu hình các Edge bên ngoài của một máy chủ trung gian là các proxy hop nội bộ kế tiếp cho các cổng đa phương tiện. Edge bên ngoài nên được xác định bởi sự kết hợp độc đáo của địa chỉ IP và số cổng. Địa chỉ IP không phải là giống như của các Edge nội bộ, các cổng mặc định là 5068.
Mỗi cổng được cấu hình với một số lượng cuộc gọi lỗi tối đa trước khi đến các nơi giao thông bị hạn chế. Số mặc định của lỗi gọi là mười. Hạn chế lỗi cuộc gọi độc hại. Đối với một cuộc gọi cụ thể, một gateway đưa ra không thể thử nghiệm nhiều hơn một lần. Nếu tất cả các cổng phục vụ một tuyến đường cụ thể được đánh dấu là không có sẵn, máy chủ sẽ giảm các cuộc gọi và thông báo cho khách hàng. Bạn cũng có thể cấu hình cổng được loại bỏ khỏi logic lựa chọn cho một số khoảng thời gian. Các cổng không đáp ứng được lấy ra từ danh sách các cổng có sẵn để tăng khoảng thời gian, lên đến tối đa là 60 phút, trong thời gian máy chủ nhiều lần cố gắng đưa ra một phản hồi tích cực. Sau khi nhận được một phản hồi dương, máy chủ trả về gateway danh sách các cổng hiện có.
4.9.3. Bảo vệ các phương tiện truyền thông cho Lync Server 2010
Tín hiệu cho điện thoại đến các cuộc gọi từ các luồng PSTN thông qua các cổng truyền thông với máy chủ trung gian, nơi mà nó được phiên dịch sang SIP cho nội bộ định tuyến cuộc gọi. Các phần truyền thông sau các tuyến đường cùng với máy chủ trung gian. Từ máy chủ trung gian, cuộc gọi được chuyển trực tiếp đến điểm cuối nếu kết nối trực tiếp có sẵn.
Nếu một kết nối trực tiếp không có sẵn, máy chủ trung gian sẽ mở ra một kết nối với A/V dịch vụ truy cập Edge, hoạt động như một phương tiện truyền thông cung cấp cho việc vận chuyển nội dung âm thanh và video qua NAT và tường lửa của công ty.