Resolvendo ameaças nas conferências locais para o Lync Server 2010
Tópico modificado em: 2011-05-02
O Microsoft Lync Server 2010 fornece aos usuários empresariais dentro e fora do firewall a capacidade de criar e ingressar em webconferências em tempo real (reuniões) hospedadas em servidores do Lync Server 2010 internos. Os usuários empresariais também podem convidar usuários externos que não têm uma conta do Serviços de Domínio Active Directory para participar dessas reuniões. Os usuários empregados por parceiros federados com uma identidade autenticada segura também podem ingressar em reuniões e, se forem solicitados a fazer isso, poderão agir como apresentadores. Os usuários anônimos não podem criar ou ingressar em uma reunião como um apresentador, mas podem ser promovidos para apresentar após o ingresso.
A webconferência no local é construída sobre a estrutura de segurança básica do Lync Server 2010:
Todos os servidores são confiáveis.
Todas as conexões de servidor e as comunicações entre os componentes colocados são MTLS.
Todas as comunicações são criptografadas.
Todos os usuários são autenticados.
Permitir a participação de usuários externos em reuniões locais aumenta bastante o valor desse recurso, mas também envolve alguns riscos de segurança. Para solucionar esses riscos, o Lync Server fornece as seguintes proteções adicionais:
As funções de participante determinam os privilégios de controle de conferência.
Os tipos de participante permitem que você limite o acesso a reuniões específicas.
Os tipos de reunião definidos determinam os tipos de participantes que podem ingressar.
O agendamento de conferência é restrito aos usuários que têm credenciais do Active Directory na rede interna e estejam habilitados para Lync Server 2010.
Usuários anônimos, ou seja, não autenticados, que deseja ingressar em uma conferência discada discam um dos números de acesso de conferência e recebem uma solicitação para inserir o ID da conferência. Usuários anônimos não autenticados também recebem uma solicitação para registrar seus nomes. O nome gravado identifica usuários não autenticados na conferência. Usuários anônimos não são admitidos na conferência até que pelo menos um líder ou usuário autenticado tenha ingressado, e não podem receber uma função predefinida.
Funções de participantes
Os participantes de reuniões são classificados em três grupos, cada um com seus próprios privilégios e restrições:
Organizador. O usuário que cria uma reunião, quer seja de modo improvisado ou por meio de uma agenda. O organizador deve ser um usuário corporativo autenticado, com controle sobre todos os aspectos do usuário final de uma reunião.
Apresentador. Um usuário que é autorizado a apresentar informações em uma reunião, utilizando qualquer mídia com suporte. Um organizador de reunião é também, por definição, um apresentador e determina quem mais pode ser apresentador. Um organizador pode determinar isso quando uma reunião é agendada ou enquanto a reunião está em andamento.
Participante. Um usuário que foi convidado a participar de uma reunião, mas que não está autorizado a atuar como um apresentador.
O apresentador também pode promover um participante à função de apresentador durante a reunião.
Tipos de participantes
Os participantes da reunião também são classificados por local e credenciais. Você pode usar essas duas características para especificar quais usuários podem ter acesso a reuniões específicas. Os usuários podem ser amplamente categorizados em usuários internos e externos:
Os usuários internos possuem credenciais do Active Directory na empresa e se conectam de locais dentro do firewall corporativo.
Os usuários externos são aqueles que se conectam temporária ou permanentemente a uma empresa, de locais externos ao firewall corporativo. Eles podem ter credenciais de Active Directory. O Lync Server 2010 fornece suporte a conferência para os seguintes tipos de usuários externos:
Usuários remotos que tenham uma identidade persistente do Active Directory dentro da empresa. Entre eles estão os funcionários que trabalham em casa ou em viagem, e outros, como funcionários de fornecedores confiáveis, aos quais foram concedidas credenciais da empresa para seus termos de serviço. Os usuários remotos podem criar e ingressar em conferências, além de atuar como apresentadores.
Os usuários federados possuem credenciais válidas com parceiros federados e são, portanto, tratados como autenticados pelo Lync Server 2010. Os usuários federados podem ingressar em conferências e ser promovidos a apresentadores depois que ingressarem na reunião, mas não podem criar conferências em empresas com as quais sejam federados.
Os usuários anônimos não têm uma identidade do Active Directory e não são federados com a empresa.
Os dados do cliente mostram que várias conferências envolvem usuários externos. Esses mesmos clientes também desejam reafirmar a identidade de usuários externos antes de permitir que esses usuários ingressem em uma conferência. Conforme descreve a seção a seguir, o Lync Server 2010 limita o acesso á reunião aos tipos de usuário que foram explicitamente permitidos e exige que todos os tipos de usuário apresentem as credenciais apropriadas ao entrar em uma reunião.
Aceitação do participante
No Lync Server 2010, os usuários e participantes anônimos para os quais a autenticação falha são transferidos para uma área de espera chamada lobby. Dessa forma, os apresentadores podem admitir esses usuários na reunião ou rejeitá-los. Isso significa que os usuários e participantes anônimos que usam a conferência discada, mas cuja autenticação falhou, não precisam mais se desconectar e tentar novamente. Esses usuários são transferidos para o lobby, o líder é notificado, e os usuários aguardam até que o líder os aceite ou rejeite ou o tempo de conexão seja esgotado. Enquanto estão no lobby, os usuários escutam música. Os usuários e participantes anônimos cuja autenticação falha são transferidos para uma área de espera chamada lobby. Os apresentadores podem admitir esses usuários na reunião ou rejeitá-los. Por padrão, os participantes que discam do PSTN vão diretamente para a reunião, mas essa opção pode ser alterada para forçar os participantes discados a ir para o lobby. Os organizadores da reunião controlam se os participantes podem ingressar em uma reunião sem aguardar no lobby. Cada reunião pode ser definida para habilitar o acesso usando qualquer um dos métodos a seguir:
Somente organizador (bloqueado) Todos, com exceção do organizador, precisam esperar no lobby até que sejam admitidos.
Pessoas que eu convidar da minha empresa Todos, com exceção dos participantes na lista de distribuição da reunião, precisam aguardar no lobby até serem admitidos.
Pessoas da minha empresa Todos os usuários internos podem ingressar na reunião sem esperar no lobby, mesmo se estiverem fora da lista de distribuição. Todos os outros, incluindo todos os usuários externos e anônimos, precisam aguardar no lobby até serem admitidos.
Todos, inclusive pessoas não pertencentes à minha empresa (sem restrições) Todos que ingressam na reunião ignoram o lobby e vão diretamente para a reunião.
Quando qualquer método, com exceção do Somente organizador (bloqueado), é especificado, o organizador da reunião também pode especificar Pessoas que discam por telefone ignoram o lobby.
Recursos do apresentador
Os organizadores da reunião controlam se os participantes podem apresentar durante uma reunião. Cada reunião pode ser configurada para limitar os apresentadores a uma das opções a seguir:
Somente organizador Somente o organizador da reunião pode apresentar.
Pessoas da minha empresa Todos os usuários internos podem apresentar.
Todos, inclusive pessoas não pertencentes à minha empresa (sem restrições) Todos que ingressam na reunião podem apresentar.
Pessoas que eu escolher O organizador da reunião especifica quais usuários podem apresentar adicionando-os a uma lista de apresentadores.