• Artikel

Reagieren auf Bedrohungen für Konferenzen am Standort für Lync Server 2010

 

Letztes Änderungsdatum des Themas: 2011-05-02

Microsoft Lync Server 2010 ermöglicht es Unternehmensbenutzern innerhalb und außerhalb der Firewall, Echtzeit-Webkonferenzen (Besprechungen) zu initiieren und an Echtzeit-Webkonferenzen teilzunehmen, die auf den internen Lync Server 2010-Servern gehostet werden. Zu diesen Besprechungen können Unternehmensbenutzer auch externe Benutzer einladen, die über kein Active Directory-Domänendienstkonto verfügen. Auch Benutzer, die für Verbundpartner mit einer sicheren und authentifizierten Identität arbeiten, können an Besprechungen teilnehmen und, wenn sie hierzu ernannt werden, als Referenten fungieren. Anonyme Benutzer können eine Besprechung nicht als Referent erstellen oder ihr beitreten, sie können jedoch nach ihrem Beitritt zum Referenten ernannt werden.

Lokale Webkonferenzen basieren auf dem Sicherheitsframework für Lync Server 2010:

  • Alle Server werden als vertrauenswürdig eingestuft.

  • Für alle Serververbindungen und die gesamte Kommunikation zwischen verbundenen Komponenten wird MTLS verwendet.

  • Die gesamte Kommunikation wird verschlüsselt.

  • Alle Benutzer werden authentifiziert.

Die Möglichkeit für externe Benutzer an lokalen Besprechungen teilzunehmen, erhöht den Wert dieses Features erheblich, birgt jedoch auch einige Sicherheitsrisiken. Um diesen Risiken Rechnung zu tragen, bietet Lync Server folgende zusätzliche Sicherheitsmaßnahmen:

  • Die Teilnehmerrollen bestimmen die Konferenzsteuerungsberechtigungen.

  • Anhand der Teilnehmertypen können Sie den Zugang zu bestimmten Besprechungen beschränken.

  • Definierte Besprechungstypen bestimmen, welche Arten von Teilnehmern zugelassen werden.

  • Die Konferenzplanung ist auf Benutzer beschränkt, die im internen Netzwerk über Active Directory-Anmeldeinformationen verfügen und Lync Server 2010 ausführen dürfen.

  • Anonyme Benutzer, also unauthentifizierte Benutzer, die an einer Einwahlkonferenz teilnehmen möchten, wählen eine der Zugriffsnummern für die Konferenz und werden zur Eingabe der Konferenzkennung aufgefordert. Nicht authentifizierte anonyme Benutzer werden zudem zur Aufzeichnung ihres Namens aufgefordert. Der aufgezeichnete Name identifiziert nicht authentifizierte Benutzer in der Konferenz. Anonyme Benutzer werden erst zur Konferenz zugelassen, wenn mindestens ein Konferenzleiter oder authentifizierter Benutzer beigetreten ist. Das Zuweisen einer vordefinierten Rolle zu anonymen Benutzern ist nicht möglich.

Teilnehmerrollen

Die Besprechungsteilnehmer lassen sich in drei Gruppen aufteilen, von denen jede über eigene Privilegien und Beschränkungen verfügt:

  • Organisator. Der Benutzer, der eine spontane oder geplante Besprechung initiiert. Der Organisator muss ein authentifizierter Benutzer aus dem Unternehmen sein, der alle Endbenutzeraspekte einer Besprechung steuern kann.

  • Referent. Ein Benutzer, der dazu autorisiert ist, Informationen in einer Besprechung zu präsentieren und hierzu jedes unterstützte Medium verwenden kann. Der Organisator einer Besprechung ist definitionsgemäß auch Referent und bestimmt, wer außer ihm Referent sein kann. Der Organisator kann diese Festlegung während der Planung der Besprechung oder zu einem anderen Zeitpunkt vor Beginn der Besprechung treffen.

  • Teilnehmer. Ein Benutzer, der zur Teilnahme an einer Besprechung eingeladen wurde, jedoch nicht dazu autorisiert ist, als Referent zu fungieren.

Ein Referent kann einen anderen Teilnehmer auch während der Besprechung zum Referenten ernennen.

Teilnehmertypen

Besprechungsteilnehmer werden auch nach ihrem Standort und ihren Anmeldeinformationen kategorisiert. Sie können mithilfe dieser Merkmale festlegen, welche Benutzer Zugang zu bestimmten Besprechungen erhalten. Die Benutzer lassen sich grob in interne und externe Benutzer unterteilen:

  • Interne Benutzer verfügen über Active Directory-Anmeldeinformationen innerhalb des Unternehmens und stellen Verbindungen von innerhalb der Unternehmensfirewall her.

  • Externe Benutzer stellen eine vorübergehende oder dauerhafte Verbindung mit einem Unternehmen von einem Standort her, der sich außerhalb der Unternehmensfirewall befindet. Diese Benutzer verfügen möglicherweise über Active Directory-Anmeldeinformationen. Lync Server 2010 unterstützt die Konferenzteilnahme bei folgenden Typen von externen Benutzern:

    • Remotebenutzer, die innerhalb des Unternehmens über eine dauerhafte Active Directory-Identität verfügen. Zu ihnen zählen Mitarbeiter, die zu Hause oder unterwegs arbeiten, sowie andere Personen, z. B. Mitarbeiter vertrauenswürdiger Lieferanten, denen für ihre Dienstleistungen Anmeldeinformationen für das Unternehmen zur Verfügung gestellt wurden. Remotebenutzer können Konferenzen erstellen und an Konferenzen teilnehmen sowie als Referenten auftreten.

    • Verbundbenutzer besitzen gültige Anmeldeinformationen für Verbundpartner und werden daher von Lync Server 2010 als authentifiziert behandelt. Verbundbenutzer können nach ihrem Beitritt zur Besprechung an Konferenzen teilnehmen und als Referenten auftreten, jedoch keine Konferenzen in Unternehmen erstellen, mit denen ein Verbund eingegangen wurde.

    • Anonyme Benutzer verfügen über keine Active Directory-Identität und sind nicht über einen Verbund an das Unternehmen angeschlossen.

Kundendaten zeigen, dass an vielen Konferenzen externe Benutzer mitwirken. Diese Kunden möchten auch die Identität der externen Benutzer überprüfen, bevor sie diesen die Teilnahme an einer Konferenz gestatten. Wie im folgenden Abschnitt beschrieben, beschränkt Lync Server 2010 den Zugang zu Besprechungen auf diejenigen Benutzertypen, die explizit zugelassen wurden, und erfordert von allen Benutzertypen die Angabe entsprechender Anmeldeinformationen, bevor sie an einer Besprechung teilnehmen können.

Zulassung von Teilnehmern

In Lync Server 2010 werden anonyme Benutzer und Teilnehmer, bei deren Authentifizierung ein Fehler auftritt, in den Wartebereich umgeleitet. Referenten können die Teilnahme dieser Benutzer anschließend zulassen oder ablehnen. Dies bedeutet, dass anonyme Benutzer und Teilnehmer, die die Funktion für Einwahlkonferenzen nutzen, jedoch nicht authentifiziert werden können, die Verbindung nicht länger trennen und erneut herstellen müssen. Diese Benutzer werden in den Wartebereich umgeleitet, der Besprechungsleiter wird informiert, und die Benutzer warten im Wartebereich, bis der Besprechungsleiter ihre Teilnahme bestätigt oder ablehnt oder die Verbindung aufgrund eines Timeouts getrennt wird. Während der Wartezeit wird für die Benutzer im Wartebereich Musik wiedergegeben. Anonyme Benutzer und Teilnehmer, bei deren Authentifizierung ein Fehler auftritt, werden in den Wartebereich umgeleitet. Referenten können die Teilnahme dieser Benutzer anschließend zulassen oder ablehnen. In der Standardeinstellung gelangen Anrufer, die sich über das Festnetz einwählen, direkt zur Besprechung. Diese Option kann jedoch geändert werden, sodass eingewählte Teilnehmer in den Wartebereich umgeleitet werden. Besprechungsorganisatoren bestimmen, ob Teilnehmer an einer Besprechung teilnehmen können, ohne dass sie im Warteraum warten müssen. Für jede Besprechung kann eingerichtet werden, dass der Zugriff mithilfe einer der folgenden Methoden möglich ist:

  • Nur Organisator (gesperrt)   Alle außer dem Organisator müssen im Wartebereich warten, bis sie zugelassen werden.

  • Von mir eingeladene Personen in meinem Unternehmen   Alle außer den Teilnehmern in der Verteilerliste für die Besprechung müssen im Wartebereich warten, bis sie zugelassen werden.

  • Personen in meinem Unternehmen   Alle internen Benutzer können an der Besprechung teilnehmen, ohne im Wartebereich warten zu müssen, sogar jene Benutzer, die nicht in der Verteilerliste vorhanden sind. Alle anderen Benutzer, einschließlich allen externen und anonymen Benutzern, müssen im Wartebereich warten, bis sie zugelassen werden.

  • Alle, auch Personen außerhalb meines Unternehmens (ohne Einschränkungen)   Alle Personen, die an der Besprechung teilnehmen, umgehen den Wartebereich und nehmen direkt an der Besprechung teil.

 

Bei Angabe jeder Methode außer Nur Organisator (gesperrt) kann der Besprechungsorganisator auch Personen, die sich per Telefon einwählen, umgehen den Wartebereich angeben.

Funktionen des Referenten

Besprechungsorganisatoren bestimmen, ob Teilnehmer bei einer Besprechung referieren können. Für jede Besprechung können für die Referenten die folgenden Beschränkungen eingerichtet werden:

  • Nur Organisator   Nur der Besprechungsorganisator kann referieren.

  • Personen in meinem Unternehmen   Alle internen Benutzer können referieren.

  • Alle, auch Personen außerhalb meines Unternehmens (ohne Einschränkungen)   Alle Personen, die an der Besprechung teilnehmen, können referieren.

  • Von mir ausgewählte Personen   Der Besprechungsorganisator gibt an, welche Benutzer referieren können, indem er die entsprechenden Benutzer einer Liste mit Referenten hinzufügt.