保護 Lync Server 2010 的用戶端

上次修改主題的時間： 2011-07-17

在部署 Microsoft Lync Server 2010 網路前，請先採取下列建議的安全措施設定用戶端，以加強用戶端的安全性：

• 使用 Windows 7、Windows Vista 或 Windows XP 以及其最新 Service Pack。

• 針對媒體加密與其他功能設定用戶端原則。其中部分重要原則是指定的用戶端啟動載入原則，例如，預設伺服器以及用戶端在完成登入前應使用的安全性模式。因為這些原則會在用戶端登入並開始從伺服器接收頻內佈建設定前生效，所以它們必須在初始登入前存在於用戶端電腦的登錄中。您可以使用群組原則設定這些原則。還有些特定設定也應該在用戶端部署之前使用 Lync Server 管理命令介面設定。如需這些原則和設定的詳細資訊，請參閱＜規劃＞文件中的＜重要的用戶端原則和設定＞。

• 將 Lync 2010 設定成使用 TLS，因為 TLS 可以提供加密的訊號。如果使用者使用 TCP 連線至伺服器，即便是經其他方式加密過的通訊 (例如，媒體) 其機密性都不會受到保護。加密金鑰可能會被攻擊者攔截並用來解密訊息。如果您必須允許使用 TCP 的用戶端連線，請務必注意這個弱點。

• 使用者之間的檔案傳輸都是對等的。所有檔案傳輸作業預設都會經過加密。請指示使用者在開啟傳輸的檔案前，先執行病毒檢查。

• 考慮用戶端連線數量和訊息數量的限制。

• 依據使用需求隔離使用者。

• 在用戶端執行防毒軟體。

• 經常檢查並套用更新和安全性更新。

• 使用強式密碼最佳作法。

• 僅執行必要的服務和應用程式。

• 啟用使用者 GPO 的 [需要 SIP 高安全性模式] 群組原則設定。

一般來說，您主要是透過在 Active Directory 中啟用或停用每個使用者帳戶來對使用者進行存取控制。不過，如果在您停用使用者帳戶時使用者已經登入了 Lync Server 2010，該使用者就會繼續擁有存取權，直到登出為止。此外，在 Active Directory 中停用使用者帳戶後，使用者仍可登入最多 180 天 (預設 Lync 憑證到期時間)。若要避免這種情況，您可以停用憑證式驗證或縮短憑證到期時間。若要協助確保僅有具備適當憑證的使用者能存取 Lync Server 2010，您也可以執行下列動作：

• 若您在 Active Directory 中停用使用者，且希望確保該使用者無法存取 Lync Server 2010，請使用 Lync Server 管理命令介面來執行 Disable-CsUser Cmdlet。這樣一來，就會在使用者登入時強制將其登出，並防止使用者再次登入，直到您重新啟用使用者為止。

  注意：
  執行 Disable-CsUser Cmdlet 會刪除使用者資料。如果您需要維護使用者資料，就不要使用這個 Cmdlet，而是改用 Set-CSUser -Enabled $false -Identity <userIdentity> 來停用所有 Lync 功能 (不只憑證驗證)，但仍維護使用者資料。您也可以使用 Revoke-CsClientCertificate 來防止用戶端存取。

• 如果使用者擁有的密碼可能已遭盜用，而您要在 Active Directory 中加以重設，請使用 Lync Server 管理命令介面來執行 Revoke-CSClientCertificate Cmdlet。這樣就會撤銷用戶端憑證，並協助確保之前的密碼無法再用來登入帳戶。

如需使用這些 Cmdlet 的詳細資訊，請參閱＜作業＞文件中＜Lync Server 管理命令介面＞一節中的特定 Cmdlet。