Khi bạn cấu hình các client ưu tiên để triển khai một mạng lưới Microsoft Lync Server 2010, cần có các biện pháp thực hiện sau đây để tăng cường bảo mật cho client:
- Sử dụng Windows XP hoặc Windows Vista với Service Pack mới nhất
- Cấu hình các chính sách client cho việc mã hóa các phương tiện truyền thông và cho các chức năng khác. Một số các chính sách chủ yếu là các chính sách khởi động client cụ thể. Ví dụ như các server mặc định và chế độ bảo mật mà các client nên dùng cho đến khi đăng nhập hoàn tất. Bởi vì các chính sách này sẽ có hiệu lực trước khi client đăng nhập vào và bắt đầu nhận các thiết lập các dữ liệu băng tần từ server. Những chính sách này phải tồn tại trong registry của máy tính client trước khi khởi tạo đăng nhập. Bạn có thể dùng Group Policy để cấu hình những chính sách này. Cũng có những cài đặt nhất định mà bạn nên cấu hình bằng cách sử dụng Lync Server Management Shell trước khi triển khai client.
- Cấu hình Lync 2010 dùng TLS để cung cấp tín hiệu mã hóa. Có những sữ cẩn mật thậm chí là nếu không mã hóa truyền thông như phương tiện truyền thông thì sẽ
không được bảo vệ khi một người dùng kết nối đến server bằng giao thức TCP. Khóa mật mã có thể bị chặn bởi một hacker và thường để giải mã thông điệp. Nếu bạn phải cho phép client kết nối qua TCP là nhận biết của lỗ hổng này.
- Truyền tập tin giữa các người dùng ngang hàng. Tất cả các truyền tập tin được mã hóa theo mặc định. Cần hướng dẫn người dùng kiểm tra virut trước khi mở các tập tin được truyền.
- Hãy xem xét các hạn chế về các kết nối client và các thông điệp. - Tách biệt người dùng theo yêu cầu sử dụng.
- Thường xuyên kiểm tra và áp dụng các bản cập nhật và các bản cập nhật bảo mật. - Sử dụng mật khẩu mạnh thực hành tốt nhất.
- Chỉ chạy các dịch vụ và ứng dụng cần thiết.
- Kích hoạt tính năng bảo mật cao Require SIP, thiết lập Group Policy cho những GPO người dùng.
Nói chung là bạn điều khiển truy cập cho một tài khoản người dùng bằng cách kích hoạt hoặc vô hiệu hóa tài khoản người dùng trên AD. Tuy nhiên, nếu một người dùng đã đăng nhập vào Lync Server 2010 khi bạn đã vô hiệu hóa tài khoản người dùng đó thì người dùng đó vẫn có thể tiếp tục truy cập cho đến khi thoát ra. Hơn nữa, một người dùng có thể đăng nhập đến 180 ngày (thời gian hết hạn giấy chứng nhận Lync mặc định) sau khi tài khoản người dùng đã bị vô hiệu hóa trong AD. Để ngăn chặn điều này, bạn cần vô hiệu hóa sự xác thực giấy chứng nhận gốc hoặc giảm thời gian hết hạn giấy chứng nhận. Để giúp đảm bảo rằng chỉ có những người dùng với thông tin phù hợp mới có thể truy cập vào Lync Server 2010, bạn cũng có thể làm những điều sau:
- Nếu bạn vô hiệu hóa một người dùng trong AD và muốn chắc chắn rằng người dùng đó không thể truy cập vào Lync Server 2010, thì bạn có thể sử dụng Lync Server Management Shell để chạy câu lệnh Disable-CsUser. Điều này rằng buộc việc đăng xuất của người dùng nếu người dùng đó đã đăng nhập vào và và ngăn chặn người dùng đó đăng nhập lại, trừ khi bạn kích hoạt lại người dùng đó.
Lời cảnh báo: Chạy lệnh Disable-CsUser để xóa dữ liệu người dùng. Nếu bạn cần duy
trì dữ liệu người dùng thì đừng dùng lệnh này. Thay vào đó dùng lệnh “Set-CsUser -Enabled $fale - indentify” để vô hiệu hóa tất cả các chức năng Lync nhưng vẫn giữ lại dữ liệu người dùng. Bạn cũng có thể dùng “Revoke-CsClientCertificate” để chặn client truy cập.
- Nếu người dùng có một mật khẩu mà có thể đã bị xâm hại và bạn reset lại nó trong AD, dùng Lync Server Management Shell để chạy lệnh “Revoke- CsClientCertificate”. Điều này làm thu hồi giấy chứng nhận client và giúp đảm bảo các mật khẩu trước đó không bị dùng để đăng nhập tài khoản trong tương lai. Loại trừ tường lửa client
Bộ cài Lync client cấu hình tường lửa trong khi cài đặt với các trường hợp sau: - Microsoft Lync 2010
- UCMapi (trên một máy tính 32-bits) hoặc UCMapi64 (trên máy tính 64-bits) Việc gỡ Lync client là bỏ đi những mục trên.
Microsoft Lync Server 2010 Attendee là có sẵn để tham gia vào các cuộc họp cho người dùng không cần có Lync 2010. Hai chương trình cài đặt có sẵn (chế độ Admin và chế độ người dùng) những trường hợp client phụ thuộc vào cách thức cài đặt:
- Cài đặt ở chế độ Admin đối với tài khoản người dùng là thành viên của nhóm Administrator. Administrator có thể cài đặt client này thông qua việc tải về từ trang web hoặc quản trị viên IT có thể đẩy client này để kết thúc việc sử dụng máy tính để bàn làm đơn giản hóa việc tham gia cuộc họp Lync 2010. Client Attendee Lync cấu hình tường lửa trong khi cài đặt trong trường hợp: Microsoft Lync 2010 Attendee. Khi gỡ bỏ Attendee client thì sẽ loại bỏ mục này.
- Cài đặt ở chế độ User đối với tài khoản người dùng là thành viên của nhóm Users. Cài đặt bao gồm một cài đặt trên người dùng cảu Attendee client. Dùng cách thức cài đặt này thì Attendee Lync client sẽ không cấu hình tường lửa trong khi cài đặt. Người sử dụng được nhắc nhở bằng một hộp thoại yêu cầu Windows Firewall khi tham gia vào cuộc họp đầu tiên của họ. Điều này làm tăng thêm một mục cho Microsoft Lync 2010 Attendee đến danh sách các ngoại lệ của tường lửa nếu người dùng sử dụng quyền truy cập. Mục này không bị loại bỏ khi người dùng gỡ bỏ Attendee client bởi vì người dùng được cấp quyền truy cập riêng biệt.
Khi những người dùng đầu tiên sử dụng Lync Web App client thì họ được nhắc nhở để cài đặt Microsoft ActiveX control - chỉ được yêu cầu nếu người dùng muốn chia sẻ màn hình của họ hoặc chia sẻ một ứng dụng. Để xem nội dung chia sẻ thì Active X control không cần thiết. Nếu người dùng lựa chọn cài đặt ActiveX control thì một ngoại lệ tường lửa được thêm vào cho ReachAppShaX.exe.