Lync Server 2010 のクライアントのセキュリティ保護
トピックの最終更新日: 2011-07-17
Microsoft Lync Server 2010 ネットワークを展開する前にクライアントを構成するときは、以下の推奨される手段を行ってクライアントのセキュリティを強化してください。
最新の Service Pack を適用した Windows 7、Windows Vista、または Windows XP を使用します。
メディアの暗号化および他の機能用にクライアントのポリシーを構成します。クライアント ブートストラップ ポリシーは、そのような重要なポリシーです。クライアント ブートストラップ ポリシーでは、たとえばサインインが完了するまでクライアントで使用される既定のサーバーとセキュリティ モードを指定します。 これらのポリシーが有効になるのは、クライアントがサインインし、サーバーからインバンド プロビジョニング設定の受信を開始する前であるため、初期サインイン前にこれらのポリシーをクライアント コンピューターのレジストリに格納しておく必要があります。グループ ポリシーを使用して、これらのポリシーを構成できます。 クライアントを展開する前に、Lync Server 管理シェルを使用して構成する必要がある設定もあります。これらのポリシーおよび設定の詳細については、「計画」のドキュメントの「主要なクライアント ポリシーと設定」を参照してください。
信号を暗号化する TLS を使用するよう Lync 2010 を構成します。ユーザーが TCP を使用してサーバーに接続する場合、メディアなど、通信が暗号化されていてもその機密性は守られません。攻撃者は、暗号化キーを傍受でき、それを使用してメッセージを復号化できます。TCP でのクライアント接続を許可する必要がある場合は、この脆弱性に注意してください。
ユーザー間のファイル転送はピアツーピアです。既定では、すべてのファイル転送は暗号化されます。ユーザーに対し、転送されたファイルを開く前に、ウイルス チェックを実行するように指示します。
クライアント接続およびメッセージに関する制限を考慮します。
使用要件に従いユーザーを分離します。
ウイルス対策ソフトウェアをクライアントで実行します。
更新プログラムおよびセキュリティ更新プログラムを頻繁に確認し、適用します。
複雑なパスワードのためのベスト プラクティスを使用します。
必要なサービスおよびアプリケーションのみ実行します。
ユーザー GPO に対し、[SIP 高度セキュリティ モードを必要とする] グループ ポリシー設定を有効にします。
一般に、ユーザー アカウントのアクセスを制御するには、Active Directory で各ユーザー アカウントを有効および無効にします。ただし、ユーザー アカウントを無効にするときにそのユーザーが Lync Server 2010 にサインインしていると、ユーザーはサインアウトするまで引き続きアクセスできます。また、ユーザー アカウントが Active Directory で無効にされた後も、ユーザーは最大 180 日間 (Lync の既定の証明書有効期限) サインインできます。これを防ぐには、証明書ベースの認証を無効にするか、または証明書の有効期限を短くします。適切な資格情報を持つユーザーだけが Lync Server 2010 にアクセスできるようにするには、以下のことも有効です。
Active Directory でユーザーを無効にして、確実にユーザーが Lync Server 2010 にアクセスできないようにするには、Lync Server 管理シェルを使用して Disable-CsUser コマンドレットを実行します。このようにすると、サインインしているユーザーは強制的にサインアウトされ、ユーザーを再び有効にしない限りユーザーはサインインできません。
警告: Disable-CsUser コマンドレットを実行すると、ユーザー データが削除されます。ユーザー データを保持する必要がある場合は、このコマンドレットを使用しないでください。代わりに Set-CSUser -Enabled $false -Identity <userIdentity>
を使用して (証明書認証だけでなく) すべての Lync 機能を無効にすると、ユーザー データは保持されます。また、Revoke-CsClientCertificate を使用してクライアント アクセスを防ぐこともできます。ユーザーのパスワードが漏えいした可能性があり、Active Directory でパスワードをリセットする場合は、Lync Server 管理シェルを使用して Revoke-CSClientCertificate コマンドレットを実行します。クライアント証明書が失効し、以前のパスワードを使用して今後アカウントにサインインできないことが保証されます。
これらのコマンドレットの使用方法の詳細については、「操作」のドキュメントの「Lync Server 管理シェル」セクションで該当するコマンドレットを参照してください。
クライアント ファイアウォールの例外
Lync クライアント インストーラーはインストールの間にファイアウォールを構成しますが、次の例外があります。
Microsoft Lync 2010
UCMapi (32 ビット コンピューター) または UCMapi64 (64 ビット コンピューター)
Lync クライアントをアンインストールすると、これらのエントリは削除されます。
Lync 2010 を使用していないユーザーの場合、Microsoft Lync 2010 Attendee は会議への参加にのみ使用できます。2 種類のインストーラーを使用でき (管理者モードとユーザー モード)、クライアントの例外はインストール方法によって異なります。
管理者モードのインストール。Administrators グループのメンバーであるユーザー アカウントの場合。管理者はこのクライアントを Web からダウンロードしてインストールできます。または、IT 管理者はこのクライアントをエンド ユーザーのデスクトップにプッシュし、Lync 2010 の会議への参加を簡素化できます。Attendee Lync クライアントはインストールの間にファイアウォールを構成しますが、次の例外があります。
- Microsoft Lync 2010 Attendee。Attendee クライアントをアンインストールすると、このエントリは削除されます。
ユーザー モードのインストール。Users グループのメンバーであるユーザー アカウントの場合。通常、新しいソフトウェアの管理者インストールを防ぎます。インストールには、Attendee クライアントのユーザーごとのインストールが含まれます。このインストール方法を使用すると、Attendee Lync クライアントはインストールの間にファイアウォールを構成しません。ユーザーには、最初の会議に参加するときに、Windows ファイアウォール要求ダイアログが表示されます。ユーザーがアクセスを許可すると、Microsoft Lync 2010 Attendee のエントリがファイアウォール例外リストに追加されます。ユーザーがアクセスを別途許可したので、このエントリはユーザーが Attendee クライアントをアンインストールしても削除されません。
ユーザーは、Lync Web App クライアントを初めて使用するときに、Microsoft ActiveX コントロールのインストールを求められます。これは、ユーザーが画面またはアプリケーションの共有を望む場合にのみ必要です。共有コンテンツを表示するには、ActiveX コントロールは必要ありません。ユーザーが ActiveX コントロールのインストールを選択すると、ファイアウォールの例外が ReachAppShaX.exe に対して追加されます。