Protection des clients pour Lync Server 2010
Dernière rubrique modifiée : 2011-07-17
Lorsque vous configurez des clients avant le déploiement d’un réseau Microsoft Lync Server 2010, prenez les mesures recommandées suivantes pour améliorer la sécurité du client :
Utilisez Windows 7, Windows Vista ou Windows XP avec le Service Pack le plus récent.
Configurez les stratégies du client pour le chiffrement multimédia et d’autres fonctionnalités. Certaines de ces stratégies clés correspondent à des stratégies de démarrage du client qui spécifient, par exemple, les serveurs par défaut et le mode de sécurité que le client doit utiliser tant que la connexion n’est pas établie. Ces stratégies étant appliquées avant que le client ne se connecte et commence à recevoir les paramètres de mise en service de la bande entrante du serveur, elles doivent figurer dans le Registre de l’ordinateur du client avant la connexion initiale. Vous pouvez utiliser une stratégie de groupe pour configurer ces stratégies. Vous devez également configurer certains paramètres à l’aide de Lync Server Management Shell avant de déployer le client. Pour plus d’informations sur ces stratégies et paramètres, voir Stratégies et paramètres client clés dans la documentation de planification.
Configurez Lync 2010 pour qu’il utilise TLS, car ce protocole fournit une signalisation chiffrée. La confidentialité des communications, même lorsqu’elles sont chiffrées (par exemple pour un échange multimédia), n’est pas protégée lorsqu’un utilisateur se connecte au serveur à l’aide de TCP. La clé de chiffrement peut être interceptée par une personne malveillante, puis utilisée pour déchiffrer le message. Prenez cette vulnérabilité en compte, si vous devez autoriser les connexions client sur TCP.
Le transfert de fichiers entre les utilisateurs s’effectue d’égal à égal. Tous les transferts de fichiers sont chiffrés par défaut. Exigez que les utilisateurs vérifient la présence éventuelle de virus avant d’ouvrir les fichiers transférés.
Envisagez d’appliquer des restrictions sur les connexions client et les messages.
Isolez les utilisateurs en fonction des exigences d’utilisation.
Exécutez un logiciel antivirus sur le client.
Recherchez et appliquez fréquemment les mises à jour et les mises à jour de sécurité.
Mettez en œuvre les meilleures pratiques se rapportant aux mots de passe forts.
Exécutez uniquement les services et les applications nécessaires.
Activez le paramètre de stratégie de groupe Exiger le mode haute sécurité SIP pour l’objet de stratégie de groupe des utilisateurs.
En général, vous contrôlez l’accès d’un compte d’utilisateur en activant et désactivant chaque compte d’utilisateur dans Active Directory. Cependant, si un utilisateur est connecté à Lync Server 2010 lorsque vous désactivez le compte d’utilisateur, l’utilisateur conserve son accès jusqu’à ce qu’il se déconnecte. De même, un utilisateur peut se connecter pour 180 jours (durée d’expiration du certificat Lync par défaut) après que le compte d’utilisateur est désactivé dans Active Directory. Pour empêcher cela, vous pouvez désactiver l’authentification par certificat ou réduire la durée d’expiration du certificat. Pour garantir que seuls les utilisateurs avec des informations d’identification appropriées peuvent accéder à Lync Server 2010, vous pouvez également effectuer les actions suivantes :
Si vous désactivez un utilisateur dans Active Directory et que vous voulez vous assurer que cet utilisateur ne peut pas accéder à Lync Server 2010, utilisez Lync Server Management Shell pour exécuter l’applet de commande Disable-CsUser. Cette dernière force la déconnexion de l’utilisateur dans le cas où l’utilisateur est connecté, et l’empêche de se reconnecter à moins que vous ne l’y autorisiez à nouveau.
Avertissement : L’exécution de l’applet de commande Disable-CsUser supprime les données de l’utilisateur. Si vous devez mettre à jour les données de l’utilisateur, n’utilisez pas cette applet de commande. Utilisez plutôt Set-CSUser -Enabled $false -Identity <userIdentity>
pour désactiver toutes les fonctionnalités Lync (et pas seulement l’authentification de certificat) en conservant les données de l’utilisateur. Vous pouvez également utiliser Revoke-CsClientCertificate pour empêcher l’accès au client.Si un utilisateur dispose d’un mot de passe susceptible d’avoir été compromis et que vous le réinitialisez dans Active Directory, utilisez Lync Server Management Shell pour exécuter l’applet de commande Revoke-CSClientCertificate. Cela permet de révoquer le certificat du client et de garantir que le mot de passe précédent ne peut pas être utilisé pour se connecter au compte ultérieurement.
Pour plus d’informations sur l’utilisation de ces applets de commande, voir l’applet de commande spécifique dans la section Lync Server Management Shell de la documentation des opérations.
Exclusions du pare-feu du client
Le programme d’installation du client Lync configure le pare-feu pendant l’installation avec les exceptions suivantes :
Microsoft Lync 2010
UCMapi (sur un ordinateur 32 bits) or UCMapi64 (sur un ordinateur 64 bits)
La désinstallation du client Lync entraîne la suppression de ces entrées.
Microsoft Lync 2010 Attendee est uniquement disponible pour rejoindre les réunions, pour les utilisateurs non équipés de Lync 2010. Deux programmes d’installation sont disponibles (mode Administrateur et mode Utilisateur), les exceptions du client dépendent de la méthode d’installation :
Installation du mode Administrateur, pour des comptes d’utilisateurs qui sont membres du groupe Administrateurs. Les administrateurs peuvent installer ce client via le téléchargement à partir du Web, ou encore les administrateurs informatiques peuvent installer ce client sur les ordinateurs de bureau des utilisateurs finaux afin de simplifier la participation aux réunions Lync 2010. Le client Lync Attendee configure le pare-feu pendant l’installation avec les exceptions suivantes :
- Microsoft Lync 2010 Attendee. La désinstallation d’Attendee entraîne la suppression de cette entrée.
Installation du mode Utilisateur, pour des comptes d’utilisateurs qui sont membres du groupe Utilisateurs, qui empêche généralement l’installation par un administrateur d’un nouveau logiciel. Une installation du client Attendee par l’utilisateur est incluse. Avec cette méthode d’installation, le client Lync Attendee ne configure pas le pare-feu pendant l’installation. L’utilisateur rejoint sa première réunion en y étant invité par le biais d’une boîte de dialogue de demande de Pare-feu Windows. Une entrée pour Microsoft Lync 2010 Attendee est alors ajoutée à la liste d’exception du pare-feu, si l’accès est accordé à l’utilisateur. Cette entrée n’est pas supprimée lorsqu’un utilisateur désinstalle le client Attendee car l’accès a été accordé à l’utilisateur séparément.
Lorsque les utilisateurs se servent du client Lync Web App, ils sont invités à installer le contrôle ActiveX Microsoft, qui est requis uniquement dans le cas où les utilisateurs souhaitent partager leur écran ou une application. Pour afficher le contenu partagé, le contrôle ActiveX n’est pas requis. Si l’utilisateur choisit d’installer le contrôle ActiveX, une exception de pare-feu est ajoutée pour ReachAppShaX.exe.