• Article

Protection contre les menaces envers les conférences sur site pour Lync Server 2010

 

Dernière rubrique modifiée : 2011-05-02

Microsoft Lync Server 2010 offre la possibilité aux utilisateurs de l’entreprise des deux côtés du pare-feu de créer et d’assister à des conférences Web en temps réel (réunions) hébergées sur des serveurs Lync Server 2010 internes. Les utilisateurs de l’entreprise peuvent également inviter des utilisateurs externes ne disposant pas d’un compte des services de domaine Active Directory à participer à ces réunions. Les employés de partenaires fédérés disposant d’une identité sûre et authentifiée peuvent également participer aux réunions et, s’ils sont promus, assumer le rôle de présentateurs. Les utilisateurs anonymes ne peuvent pas créer ou se joindre aux réunions en tant que présentateurs, mais peuvent être promus à ce rôle après s’y être joints.

La fonctionnalité de conférence Web sur site repose sur l’infrastructure de sécurité de base de Lync Server 2010 :

  • tous les serveurs sont approuvés ;

  • toutes les connexions serveur et les communications entre composants colocalisés sont MTLS ;

  • toutes les communications sont chiffrées ;

  • tous les utilisateurs sont authentifiés.

Permettre aux utilisateurs externes de participer à des réunions sur site accroît considérablement la valeur de cette fonctionnalité, mais cela engendre également quelques risques liés à la sécurité. Face à ces risques, Lync Server offre les protections supplémentaires suivantes :

  • Les rôles de participant déterminent les privilèges pour le contrôle des conférences.

  • Les types de participants permettent de restreindre l’accès à des réunions spécifiques.

  • Les types de réunions définis déterminent les types de participants pouvant y prendre part.

  • Les conférences peuvent uniquement être planifiées par les utilisateurs disposant d’informations d’identification Active Directory dans le réseau interne et activés pour Lync Server 2010.

  • Les utilisateurs anonymes, c’est-à-dire non authentifiés, qui souhaitent se joindre à une conférence composent un des numéros d’accès à la conférence, puis sont invités à entrer l’ID de conférence. Les utilisateurs anonymes non identifiés sont également invités à enregistrer leur nom. Le nom enregistré identifie les utilisateurs non authentifiés au sein de la conférence. Les utilisateurs anonymes ne sont pas admis à la conférence tant qu’au moins un organisateur ou utilisateur authentifié ne s’y est pas joint. Aucun rôle prédéfini ne peut leur être attribué.

Rôles de participant

Les participants aux réunions peuvent appartenir à trois groupes, chacun doté de privilèges et restrictions spécifiques :

  • Organisateur. Utilisateur qui créé une réunion, qu’elle soit planifiée ou improvisée. Un organisateur doit être un utilisateur d’entreprise authentifié. En outre, il doit contrôler tous les aspects d’une réunion du point de vue de l’utilisateur final.

  • Présentateur. Utilisateur autorisé à présenter des informations au cours d’une réunion, à l’aide d’un des supports pris en charge. Par définition, un organisateur de réunion est également présentateur et désigne les autres présentateurs. Un organisateur peut choisir les présentateurs lors de la planification d’une réunion ou lorsque celle-ci est déjà en cours.

  • Participant. Utilisateur qui a été invité à participer à une réunion, mais qui n’est pas autorisé à assumer le rôle de présentateur.

Un présentateur peut également désigner un participant en tant que présentateur au cours de la réunion.

Types de participants

Les participants aux réunions sont également répartis dans diverses catégories, en fonction de l’emplacement où ils se trouvent et de leurs informations d’identification. Vous pouvez utiliser ces deux caractéristiques pour déterminer les personnes autorisées à accéder à des réunions spécifiques. Globalement, il s’agit d’utilisateurs internes et externes :

  • Les utilisateurs internes disposent d’informations d’identification Active Directory au sein de l’entreprise et se connectent à partir d’emplacements situés à l’intérieur du pare-feu de l’entreprise.

  • Les utilisateurs externes sont les personnes qui se connectent à titre temporaire ou permanent à une entreprise à partir d’emplacements situés à l’extérieur du pare-feu de l’entreprise. Ils disposent parfois d’informations d’identification Active Directory. Lync Server 2010 offre une prise en charge des conférences pour les types d’utilisateurs externes suivants :

    • Les utilisateurs distants qui disposent d’une identité Active Directory persistante au sein de l’entreprise. Il s’agit d’employés travaillant à domicile ou en déplacement, ainsi que d’autres utilisateurs, tels que les employés de fournisseurs approuvés, auxquels des informations d’identification d’entreprise ont été accordées pour leurs conditions d’utilisation. Les utilisateurs distants peuvent créer des conférences, y participer ainsi qu’en être présentateurs.

    • Les utilisateurs fédérés possèdent des informations d’identification valides auprès des partenaires fédérés et sont par conséquent considérés comme étant authentifiés par Lync Server 2010. Les utilisateurs fédérés peuvent se joindre aux conférences et être désignés en tant que présentateurs après s’être joints à la réunion, mais ils ne peuvent pas créer de conférences dans les entreprises avec lesquelles ils sont fédérés.

    • Les utilisateurs anonymes ne possèdent pas d’identité Active Directory et ne sont pas fédérés avec l’entreprise.

Les données des clients indiquent que les utilisateurs externes participent à un grand nombre de conférences. Ces mêmes clients veulent vérifier l’identité des utilisateurs externes avant de les autoriser à se joindre à une conférence. Comme décrit dans la section suivante, Lync Server 2010 limite l’accès aux réunions aux seuls types d’utilisateurs autorisés de manière explicite. En outre, tous les types d’utilisateurs doivent fournir les informations d’identification appropriées lorsqu’ils se joignent à une réunion.

Autorisation d’accès des participants

Dans Lync Server 2010, les utilisateurs et les participants anonymes pour lesquels l’authentification échoue sont transférés dans une zone d’attente appelée. Les présentateurs peuvent ensuite admettre ces utilisateurs à la réunion ou les rejeter. Cela signifie que les utilisateurs et participants anonymes qui utilisent les conférences rendez-vous mais dont l’authentification échoue n’ont plus besoin de se déconnecter et de réessayer. Ces utilisateurs sont transférés dans la salle d’attente, l’organisateur en est informé et les utilisateurs attendent ensuite que l’organisateur les accepte ou les refuse, ou encore que leur connexion expire. Pendant qu’ils patientent dans la salle d’attente, les utilisateurs entendent de la musique. Les utilisateurs et les participants anonymes pour lesquels l’authentification échoue sont transférés dans une zone d’attente appelée salle d’attente. Les présentateurs peuvent ensuite admettre ces utilisateurs à la réunion ou les rejeter. Par défaut, les participants qui appellent depuis un réseau RTC accèdent directement à la réunion, mais cette option peut être modifiée de sorte qu’ils soient dirigés vers la salle d’attente. Les organisateurs de la réunion déterminent si les participants peuvent s’y rendre directement, sans passer par la salle d’attente. Chaque réunion peut être configurée de sorte d’activer l’accès à l’aide d’une des méthodes suivantes :

  • Organisateur uniquement (verrouillé)   À l’exception de l’organisateur, chacun doit patienter dans la salle d’attente d’être admis à la réunion.

  • Personnes de ma société que j’invite   À l’exception des participants figurant sur la liste de distribution de la réunion, chacun doit patienter dans la salle d’attente d’être admis.

  • Personne de ma société   Tous les utilisateurs internes peuvent participer à la réunion sans patienter dans la salle d’attente, même ceux qui ne figurent pas sur la liste de distribution. Tous les autres, y compris les utilisateurs externes et anonymes, doivent patienter dans la salle d’attente jusqu’à ce qu’ils soient admis.

  • Tout le monde, y compris les personnes externes à mon entreprise (aucune restriction)   Quiconque se joint à la réunion y accède directement, sans passer par la salle d’attente.

À l’exception de Organisateur uniquement (verrouillé), lorsqu’une méthode est spécifiée, l’organisateur de la réunion peut également spécifier Les personnes qui se connectent par téléphone évitent la salle d’attente.

À l’exception de Organisateur uniquement (verrouillé), lorsqu’une méthode est spécifiée, l’organisateur de la réunion peut également spécifier Les personnes qui se connectent par téléphone évitent la salle d’attente.

Capacités du présentateur

Les organisateurs de la réunion déterminent si les participants peuvent faire une présentation au cours de la réunion. Chaque réunion peut imposer de limiter les présentateurs aux critères suivants :

  • Organisateur uniquement (verrouillé)   Seul le présentateur de la réunion peut faire une présentation.

  • Personnes de mon entreprise   Tous les utilisateurs internes peuvent faire une présentation.

  • Tout le monde, y compris les personnes extérieures à mon entreprise (aucune restriction)   Quiconque participe à la réunion peut faire une présentation.

  • Personnes que je choisis   L’organisateur de la réunion spécifie les utilisateurs qui peuvent faire une présentation en les ajoutant à une liste de présentateurs.