Share via

  • 아티클

Lync Server 2010용 클라이언트 보안

 

마지막으로 수정된 항목: 2011-07-17

Microsoft Lync Server 2010 네트워크를 배포하기 전에 클라이언트를 구성할 경우 클라이언트 보안을 향상시키기 위해 다음과 같은 권장 방법을 따르십시오.

  • 최신 서비스 팩이 적용된 Windows 7, Windows Vista 또는 Windows XP를 사용합니다.

  • 미디어 암호화 및 기타 기능에 대한 클라이언트 정책을 구성합니다. 이러한 주요 정책 중 일부는 예를 들어 로그인이 완료될 때까지 클라이언트에서 사용해야 하는 기본 서버 및 보안 모드를 지정하는 클라이언트 부트스트랩 정책입니다. 이러한 정책은 클라이언트가 로그인하여 서버에서 인밴드 프로비전 설정을 받기 시작하기 전에 적용되므로 처음 로그인하기 전에 클라이언트 컴퓨터의 레지스트리에 존재해야 합니다. 전역 정책을 사용하여 이러한 정책을 구성할 수 있습니다. 또한 클라이언트 배포 전에 Lync Server 관리 셸을 사용하여 구성해야 하는 특정 설정이 있습니다. 이러한 정책 및 설정에 대한 자세한 내용은 계획 설명서에서 주요 클라이언트 정책 및 설정을 참조하십시오.

  • 암호화된 신호를 제공하는 TLS를 사용하도록 Lync 2010을 구성합니다. 사용자가 TCP를 사용하는 서버에 연결할 때는 미디어와는 달리 암호화되는 통신의 경우에도 기밀이 보호되지 않습니다. 즉, 공격자가 암호화 키를 가로채 메시지 암호를 해독하는 데 사용할 수 있습니다. TCP를 통한 클라이언트 연결을 허용해야 하는 경우에는 이러한 취약점에 주의하십시오.

  • 사용자 간에 파일을 전송할 때는 피어 투 피어 방식을 사용합니다. 모든 파일 전송은 기본적으로 암호화됩니다. 사용자가 전송된 파일을 열기 전에 바이러스 검사를 실행하도록 하십시오.

  • 클라이언트 연결 및 메시지에 대한 제한을 고려합니다.

  • 사용 요구 사항에 따라 사용자를 격리합니다.

  • 클라이언트에서 바이러스 백신 소프트웨어를 실행합니다.

  • 업데이트와 보안 업데이트를 자주 확인하여 적용합니다.

  • 권장하는 강력한 암호 작성 방법을 사용합니다.

  • 필요한 서비스 및 응용 프로그램만 실행합니다.

  • 사용자 GPO에 대해 SIP 상위 보안 모드 필요 그룹 정책 설정을 사용하도록 설정합니다.

일반적으로 Active Directory에서 각 사용자 계정을 활성화 또는 비활성화하여 사용자 계정에 대한 액세스를 제어합니다. 하지만 사용자 계정을 비활성화했을 때 사용자가 Lync Server 2010에 로그인되어 있으면 사용자가 로그아웃할 때까지 계속해서 액세스 권한을 갖습니다. 또한 사용자는 해당 사용자 계정이 Active Directory에서 비활성화된 후에도 최대 180일(기본 Lync 인증서 만료 시간) 동안 로그인할 수 있습니다. 이를 방지하기 위해서는 인증서 기반 인증을 비활성화하거나 인증서 만료 시간을 줄일 수 있습니다. 적합한 인증서가 있는 사용자만 Lync Server 2010에 액세스하도록 보장하기 위해 다음을 수행할 수도 있습니다.

  • Active Directory에서 사용자를 비활성화하고 해당 사용자가 Lync Server 2010에 액세스할 수 없는지 확인하려면 Lync Server 관리 셸을 사용하여 Disable-CsUser cmdlet을 실행합니다. 그러면 사용자가 강제로 로그아웃되고(사용자가 로그인된 경우) 사용자를 다시 활성화하지 않는 한 사용자가 다시 로그인할 수 없도록 방지합니다.

    warning주의:
    Disable-CsUser cmdlet을 실행하면 사용자 데이터가 삭제됩니다. 사용자 데이터를 유지해야 할 경우 이 cmdlet을 사용하지 마십시오. 대신 Set-CSUser -Enabled $false -Identity <userIdentity>를 사용하여 모든 Lync 기능(인증서 인증뿐만 아니라 모든 기능)을 비활성화하지만 사용자 데이터는 계속 유지합니다. 또한 Revoke-CsClientCertificate를 사용하여 클라이언트 액세스를 방지할 수도 있습니다.

  • 사용자의 암호가 손상되었을 가능성이 있어서 이를 Active Directory에서 다시 설정한 경우 Lync Server 관리 셸을 사용하여 Revoke-CSClientCertificate cmdlet을 실행합니다. 그러면 클라이언트 인증서가 취소되고 이후에 이전 암호를 사용하여 계정에 로그인할 수 없도록 방지합니다.

이러한 cmdlet의 사용에 대한 자세한 내용은 작업 설명서의 Lync Server 관리 셸 섹션에서 특정 cmdlet을 참조하십시오.

클라이언트 방화벽 제외

Lync 클라이언트 설치 프로그램은 설치 중 다음 예외 사항과 함께 방화벽을 구성합니다.

  • Microsoft Lync 2010

  • UCMapi(32비트 컴퓨터) 또는 UCMapi64(64비트 컴퓨터)

Lync 클라이언트를 제거하면 이러한 항목이 제거됩니다.

Microsoft Lync 2010 Attendee는 Lync 2010이 없는 사용자의 경우 모임만 참여할 수 있습니다. 관리자 모드 및 사용자 모드의 두 가지 설치 프로그램이 제공되며, 클라이언트 예외 사항은 설치 방법에 따라 다릅니다.

  • Administrators 그룹의 구성원인 사용자 계정에 대한 관리자 모드 설치. 관리자가 웹에서 다운로드하여 이 클라이언트를 설치하거나 IT 관리자가 이 클라이언트를 최종 사용자 데스크톱에 푸시하여 Lync 2010 모임 참가를 간소화할 수 있습니다. Attendee Lync 클라이언트는 설치 중 다음 예외 사항과 함께 방화벽을 구성합니다.

    • Microsoft Lync 2010 Attendee. Attendee 클라이언트를 제거하면 이 항목이 제거됩니다.

  • 일반적으로 관리자가 새 소프트웨어를 설치하지 못하도록 방지하는 사용자 그룹의 구성원인 사용자 계정에 대한 사용자 모드 설치. 설치에는 Attendee 클라이언트의 사용자별 설치가 포함됩니다. Attendee Lync 클라이언트는 이 설치 방법을 사용하여 설치 중 방화벽을 구성하지 않습니다. 사용자가 처음 모임에 참가하려고 하면 Windows 방화벽 요청 대화 상자가 표시됩니다. 이 대화 상자는 사용자가 액세스 권한을 부여한 경우 Microsoft Lync 2010 Attendee에 대한 항목을 방화벽 예외 목록에 추가합니다. 이 항목은 사용자가 액세스 권한을 개별적으로 부여했기 때문에 Attendee 클라이언트를 제거할 때 제거되지 않습니다.

사용자가 처음으로 Lync Web App 클라이언트를 사용할 때는 사용자가 화면 또는 응용 프로그램을 공유하려는 경우에만 필요한 Microsoft ActiveX 컨트롤을 설치하라는 메시지가 표시됩니다. 공유 콘텐츠를 볼 때는 , Active X 컨트롤이 필요하지 않습니다. 사용자가 ActiveX 컨트롤을 설치하도록 선택한 경우 ReachAppShaX.exe에 대한 방화벽 예외가 추가됩니다.