• Articolo

Impostazione della sicurezza dei client per Lync Server 2010

 

Ultima modifica dell'argomento: 2011-07-17

Quando si configurano i client prima della distribuzione di una rete di Microsoft Lync Server 2010, applicare le misure consigliate seguenti per migliorare la sicurezza dei client:

  • Utilizzare Windows 7, Windows Vista o Windows XP con il Service Pack più recente.

  • Configurare i criteri client per la crittografia di contenuto multimediale e altre funzionalità. Alcuni di questi criteri chiave sono criteri di avvio automatico dei client che specificano ad esempio i server predefiniti e la modalità di sicurezza che il client deve utilizzare fino al completamento dell'accesso. Poiché diventano effettivi prima che il client esegua l'accesso e inizi a ricevere impostazioni di provisioning di tipo in-band dal server, questi criteri devono essere presenti nel Registro di sistema del computer client prima dell'accesso iniziale. È possibile utilizzare Criteri di gruppo per configurare questi criteri. Alcune impostazioni invece devono essere configurate utilizzando Lync Server Management Shell prima della distribuzione dei client. Per informazioni dettagliate su questi criteri e impostazioni, vedere Criteri e impostazioni client chiave nella documentazione relativa alla pianificazione.

  • Configurare Lync 2010 per l'utilizzo di TLS, che fornisce la segnalazione crittografata. La riservatezza anche di comunicazioni crittografate diversamente, ad esempio quelle multimediali, non è garantita quando un utente si connette al server utilizzando TCP. La chiave di crittografia può essere intercettata dall'autore di un attacco e utilizzata per decrittografare il messaggio. Se è necessario consentire le connessioni client su TCP, tenere presente questa vulnerabilità.

  • Il trasferimento di file tra utenti è peer-to-peer. Tutti i trasferimenti di file sono crittografati per impostazione predefinita. Chiedere agli utenti di eseguire una verifica antivirus prima di aprire i file trasferiti.

  • Tenere in considerazione le restrizioni sulle connessioni client e sui messaggi.

  • Isolare gli utenti in base ai requisiti di utilizzo.

  • Eseguire il software antivirus nel client.

  • Eseguire la verifica della disponibilità e applicare con frequenza gli aggiornamenti generali e di sicurezza.

  • Utilizzare le procedure consigliate relative alle password complesse.

  • Eseguire solo le applicazioni e i servizi necessari.

  • Abilitare l'impostazione di Criteri di gruppo Richiedi modalità di protezione avanzata SIP per l'oggetto Criteri di gruppo degli utenti.

Il controllo dell'accesso per un account utente in genere viene eseguito abilitando e disabilitando ogni account utente in Active Directory. Se tuttavia un utente è attualmente connesso a Lync Server 2010 quando si disabilita il relativo account, egli continuerà a disporre dell'accesso finché non si disconnetterà. Un utente inoltre può continuare a eseguire l'accesso fino a 180 giorni dopo la disabilitazione del relativo account in Active Directory (tempo di scadenza predefinito dei certificati di Lync). Per ovviare a questo problema, è possibile disabilitare l'autenticazione basata sui certificati o ridurre il tempo di scadenza dei certificati. Per garantire l'accesso a Lync Server 2010 solo agli utenti che dispongono di credenziali appropriate, è inoltre possibile eseguire le operazioni seguenti:

  • Se si disabilita un utente in Active Directory e si desidera evitare che tale utente possa accedere a Lync Server 2010, utilizzare Lync Server Management Shell per eseguire il cmdlet Disable-CsUser. In questo modo viene forzata la disconnessione dell'utente, qualora abbia eseguito l'accesso, e viene impedito che l'utente possa riaccedere, a meno che non venga riabilitato.

    warningAvviso:
    Con l'esecuzione del cmdlet Disable-CsUser vengono eliminati i dati utente. Se si desidera mantenerli, non utilizzare questo cmdlet, bensì eseguire Set-CSUser -Enabled $false -Identity <userIdentity> per disabilitare tutte le funzionalità di Lync e non solo l'autenticazione basata sui certificati, mantenendo però i dati utente. È inoltre possibile utilizzare il cmdlet Revoke-CsClientCertificate per impedire l'accesso al client.

  • Se esiste il rischio che la password di un utente sia stata violata e si reimposta la password in Active Directory, utilizzare Lync Server Management Shell per eseguire il cmdlet Revoke-CSClientCertificate. In questo modo viene revocato il certificato client e si evita che la password precedente possa essere utilizzata per l'accesso all'account in futuro.

Per informazioni dettagliate sull'utilizzo di questi cmdlet, vedere il cmdlet specifico nella sezione Lync Server Management Shell della documentazione relativa alle operazioni.

Esclusioni firewall dei client

Il programma di installazione di client Lync configura il firewall durante l'installazione con le eccezioni seguenti:

  • Microsoft Lync 2010

  • UCMapi (in un computer a 32 bit) o UCMapi64 (in un computer a 64 bit)

Con la disinstallazione del client Lync vengono rimosse queste voci.

Microsoft Lync 2010 Attendee è disponibile solo per consentire agli utenti che non dispongono di Lync 2010 di partecipare alle riunioni. Sono disponibili due programmi di installazione (modalità amministratore e modalità utente). Le eccezioni del client dipendono dal metodo di installazione:

  • Installazione in modalità amministratore, per gli account utente membri del gruppo Administrators. Gli amministratori possono installare questo client tramite download dal Web oppure gli amministratori IT possono distribuire questo client nei desktop degli utenti finali per semplificare la partecipazioni alle riunioni Lync 2010. Il client Attendee Lync configura il firewall durante l'installazione con l'eccezione seguente:

    • Microsoft Lync 2010 Attendee. Con la disinstallazione del client Attendee viene rimossa questa voce.

  • Installazione in modalità utente, per gli account utente membri del gruppo Utenti. Impedisce in genere l'installazione amministrativa di nuovo software. L'installazione include un'installazione del client Attendee per utente. Utilizzando questo metodo di installazione, il client Attendee Lync non configura il firewall durante l'installazione. L'utente visualizza una finestra di dialogo di richiesta di Windows Firewall quando partecipa alla prima riunione. In questo modo, se l'utente concede l'accesso, viene aggiunta una voce per Microsoft Lync 2010 Attendee all'elenco delle eccezioni del firewall. Questa voce non viene rimossa quando un utente disinstalla il client Attendee, poiché l'utente ha concesso l'accesso separatamente.

Quando utilizzano per la prima volta il client Lync Web App, gli utenti visualizzano una richiesta per l'installazione del controllo Microsoft ActiveX, obbligatorio solo se desiderano condividere la schermata o l'applicazione. Per visualizzare contenuto condiviso, non è necessario il controllo Active X. Se gli utenti scelgono di installare il controllo ActiveX, viene aggiunta un'eccezione firewall per ReachAppShaX.exe.