强化和保护 Lync Server 2013 的服务器和应用程序

 

上次修改的主题: 2013-12-05

应根据该特定组件的最佳做法来强化和保护操作系统和应用程序。 本部分介绍如何强化应用程序服务器并使用组策略实现安全锁定。

注意

还可以强化和保护用于 Microsoft Lync Server 2013 部署的数据库。 有关详细信息,请参阅 强化和保护 Lync Server 2013 的数据库

保护应用程序服务器

对于应用程序服务器,应强化操作系统和应用程序。 例如,应从操作系统和应用程序角度强化专用于运行 Microsoft Internet Security and Acceleration (ISA) Server 2006 的 Windows Server 2008 计算机。 将服务器运行和提供的服务数量降至最低应该是主要目标。

保护虚拟服务器

虚拟服务器快照包含服务器数据磁盘的副本,还包含内存中数据的转储,这两个数据都可能包含可能导致攻击的敏感加密数据。 对于使用虚拟化实现的生产服务器,应禁用所有服务器快照或以非常受控的方式管理它们。 有关保护 Hyper-V 虚拟服务器的详细信息,请参阅 Hyper-V 安全指南: https://go.microsoft.com/fwlink/p/?LinkId=214176

组策略

在 Windows Server 2008 和 Windows Server 2008 R2 中,组策略提供基于目录的桌面配置管理。 可以使用组策略通过在 组策略 对象中定义计算机和用户设置来实现安全锁定 (GPO) ,如下所示:

  • 基于注册表的策略

  • 安全性

  • 软件安装

  • 脚本

  • 文件夹重定向

  • 远程安装服务

若要为管理员提供用于配置这些设置的用户界面,管理模板随操作系统版本、Service Pack 版本和某些应用程序(包括 Lync Server 2013)一起提供。

Communicator.adm 文件是随 Lync Server 2013 一起附带的管理模板,安装到 %windir%\inf\ 目录,并提供组策略设置的接口。 Communicator.adm 中的每个设置对应于注册表中影响应用程序行为的设置。

可以从GPedit.dll访问这些设置,可从Active Directory 用户和计算机控制台和组策略管理控制台 (GPMC) 。

组策略安全设置

组策略从GPedit.dll访问时,包含计算机配置/Windows 设置/安全设置下 GPO 的安全设置。 可以导入安全模板来配置 GPO 的安全设置。 Windows Server 2008 安全指南和 https://go.microsoft.com/fwlink/p/?LinkId=145186 Windows Server 2008 R2 安全合规性管理工具包 https://go.microsoft.com/fwlink/p/?LinkId=211882 包含许多示例模板,你可以根据需要进行修改。

最佳做法

  • 强化所有服务器操作系统和应用程序。

  • 保护服务器快照并增强所有虚拟服务器的安全性。

  • 使用组策略实现安全锁定。