• Artikel

Sichern von Clients für Lync Server 2010

 

Letztes Änderungsdatum des Themas: 2011-07-17

Beim Konfigurieren von Clients vor der Bereitstellung eines Microsoft Lync Server 2010-Netzwerks sollten Sie die folgenden empfohlenen Maßnahmen zur Optimierung der Clientsicherheit berücksichtigen:

  • Verwenden Sie Windows 7, Windows Vista oder Windows XP mit dem neuesten Service Pack.

  • Konfigurieren Sie Clientrichtlinien für die Medienverschlüsselung und sonstige Funktionalität. Zu diesen wichtigen Richtlinien gehören die Richtlinien für das Clientbootstrapping, die z. B. die Standardserver und den Sicherheitsmodus angeben, die der Client bis zum Abschluss des Anmeldevorgangs verwenden soll. Da diese Richtlinien in Kraft treten, bevor sich der Client anmeldet und In-Band-Bereitstellungseinstellungen vom Server empfängt, müssen sie vor der ersten Anmeldung in der Registrierung des Clientcomputers vorhanden sein. Sie können diese Richtlinien mithilfe von Gruppenrichtlinien konfigurieren. Es gibt auch einige Einstellungen, die Sie vor der Clientbereitstellung mithilfe der Lync Server-Verwaltungsshell konfigurieren sollten. Ausführliche Informationen zu diesen Richtlinien und Einstellungen finden Sie unter Wichtige Clientrichtlinien und -einstellungen in der Planungsdokumentation.

  • Konfigurieren Sie Lync 2010 für die Verwendung von TLS zur Verschlüsselung der Signaldaten. Auch anderweitig verschlüsselte Kommunikationsdaten, wie z. B. Mediendaten, sind nicht geschützt, wenn ein Benutzer über TCP eine Verbindung mit dem Server herstellt. Der Verschlüsselungsschlüssel kann von einem Angreifer abgefangen und zur Entschlüsselung der Nachricht verwendet werden. Wenn Sie Clientverbindungen über TCP zulassen müssen, sollten Sie sich des Sicherheitsrisikos bewusst sein.

  • Die Übertragung von Dateien zwischen den Benutzern erfolgt per Peer-zu-Peer-Technik. Alle Dateiübertragungen werden standardmäßig verschlüsselt. Weisen Sie die Benutzer an, vor dem Öffnen der übertragenen Dateien eine Virenprüfung durchzuführen.

  • Ziehen Sie Beschränkungen von Clientverbindungen und Nachrichten in Betracht.

  • Je nach den Verwendungsanforderungen sollten Sie Benutzer isolieren.

  • Führen Sie auf dem Client eine Antivirussoftware aus.

  • Suchen Sie häufig nach Updates und Sicherheitsupdates, und installieren Sie diese.

  • Verwenden Sie bewährte Methoden für die Authentifizierung mit sicheren Kennwörtern.

  • Führen Sie nur notwendige Dienste und Anwendungen aus.

  • Aktivieren Sie für die Gruppenrichtlinienobjekte der Benutzer die Gruppenrichtlinieneinstellung SIP-Hochsicherheitsmodus ist erforderlich.

Im Allgemeinen kontrollieren Sie den Zugriff für ein Benutzerkonto durch Aktivieren bzw. Deaktivieren jedes Benutzerkontos in Active Directory. Falls jedoch ein Benutzer bei Lync Server 2010 angemeldet ist und Sie das Benutzerkonto deaktivieren, hat der Benutzer weiterhin Zugriff, bis er sich abmeldet. Darüber hinaus kann sich ein Benutzer bis zu 180 Tage lang (standardmäßige Zertifikatablaufzeit für Lync) anmelden, nachdem das Benutzerkonto in Active Directory deaktiviert wurde. Um dies zu verhindern, können Sie die zertifikatbasierte Authentifizierung deaktivieren oder die Zertifikatablaufzeit verkürzen. Wenn Sie sicherstellen möchten, dass nur Benutzer mit entsprechenden Anmeldeinformationen Zugriff auf Lync Server 2010 haben, können Sie auch folgende Schritte ausführen:

  • Wenn Sie einen Benutzer in Active Directory deaktivieren und sicherstellen möchten, dass der Benutzer keinen Zugriff auf Lync Server 2010 hat, führen Sie mithilfe der Lync Server-Verwaltungsshell das Cmdlet Disable-CsUser aus. Dadurch wird die Abmeldung des Benutzers erzwungen, falls der Benutzer angemeldet ist, und der Benutzer wird an der erneuten Anmeldung gehindert, außer Sie aktivieren den Benutzer erneut.

    warningWarnung:
    Durch Ausführen des Cmdlets Disable-CsUser werden Benutzerdaten gelöscht. Verwenden Sie dieses Cmdlet nicht, wenn Benutzerdaten beibehalten werden sollen. Verwenden Sie stattdessen Set-CSUser -Enabled $false -Identity <userIdentity>, um die gesamte Lync-Funktionalität zu deaktivieren (nicht nur die Zertifikatauthentifizierung), aber die Benutzerdaten beizubehalten. Darüber hinaus können Sie mit dem Cmdlet Revoke-CsClientCertificate den Clientzugriff verhindern.

  • Wenn ein Benutzer über ein kompromittiertes Kennwort verfügt, das Sie in Active Directory zurücksetzen, führen Sie mithilfe der Lync Server-Verwaltungsshell das Cmdlet Revoke-CSClientCertificate aus. Hiermit wird das Clientzertifikat gesperrt und sichergestellt, dass das vorherige Kennwort in Zukunft nicht für die Anmeldung bei dem Konto verwendet werden kann.

Ausführliche Informationen zur Verwendung dieser Cmdlets finden Sie in der Betriebsdokumentation unter Lync Server-Verwaltungsshell im Abschnitt zum entsprechenden Cmdlet.

Clientfirewallausnahmen

Der Installer für den Lync-Client konfiguriert für die Firewall während der Installation die folgenden Ausnahmen:

  • Microsoft Lync 2010

  • UCMapi (auf 32-Bit-Computer) oder UCMapi64 (auf einem 64-Bit-Computer)

Durch Deinstallieren des Lync-Clients werden diese Einträge entfernt.

Mithilfe von Microsoft Lync 2010 Attendee können Benutzer ohne Lync 2010 nur an Besprechungen teilnehmen. Zwei Installationsmodi sind verfügbar (Verwaltungsmodus und Benutzermodus). Die Clientausnahmen hängen von der Installationsmethode ab:

  • Verwaltungsmodusinstallation für Benutzerkonten, die Mitglieder der Administratorengruppe sind. Administratoren können diesen Client per Download über das Internet installieren. IT-Administratoren können diesen Client aber auch per Push an die Desktops der Endbenutzer übertragen, um die Teilnahme an Lync 2010-Besprechungen zu vereinfachen. Der Lync Attendee-Client konfiguriert für die Firewall während der Installation die folgende Ausnahme:

    • Microsoft Lync 2010 Attendee. Durch Deinstallieren des Attendee-Clients wird dieser Eintrag entfernt.

  • Benutzermodusinstallation für Benutzerkonten, die Mitglieder der Benutzergruppe sind, wodurch in der Regel die Administratorinstallation neuer Software verhindert wird. Die Installation beinhaltet eine Pro-Benutzer-Installation des Attendee-Clients. Mithilfe dieser Installationsmethode wird die Firewall während der Installation nicht vom Lync Attendee-Client konfiguriert. Dem Benutzer wird eine Aufforderung in Form eines Windows-Firewall-Anforderungsdialogfels angezeigt, wenn er an der ersten Besprechung teilnehmen möchte. Dadurch wird der Firewallausnahmeliste ein Eintrag für Microsoft Lync 2010 Attendee hinzugefügt, falls der Benutzer den Zugriff gewährt. Dieser Eintrag wird nicht entfernt, wenn ein Benutzer den Attendee-Client deinstalliert, da der Benutzer den Zugriff separat gewährte.

Wenn Benutzer den Lync Web App-Client zum ersten Mal verwenden, werden sie aufgefordert, das Microsoft ActiveX-Steuerelement zu installieren, das nur erforderlich ist, wenn der Benutzer seinen Bildschirm oder eine Anwendung freigeben möchte. Zum Anzeigen von freigegebenen Inhalten wird das ActiveX-Steuerelement nicht benötigt. Eine Firewallausnahme wird für ReachAppShaX.exe hinzugefügt, falls der Benutzer das ActiveX-Steuerelement installiert.