强化和保护 Lync Server 2013 的服务器和应用程序
上次修改的主题: 2013-12-05
应根据该特定组件的最佳做法来强化和保护操作系统和应用程序。 本部分介绍如何强化应用程序服务器并使用组策略实现安全锁定。
注意
还可以强化和保护用于 Microsoft Lync Server 2013 部署的数据库。 有关详细信息,请参阅 强化和保护 Lync Server 2013 的数据库。
保护应用程序服务器
对于应用程序服务器,应强化操作系统和应用程序。 例如,应从操作系统和应用程序角度强化专用于运行 Microsoft Internet Security and Acceleration (ISA) Server 2006 的 Windows Server 2008 计算机。 将服务器运行和提供的服务数量降至最低应该是主要目标。
保护虚拟服务器
虚拟服务器快照包含服务器数据磁盘的副本,还包含内存中数据的转储,这两个数据都可能包含可能导致攻击的敏感加密数据。 对于使用虚拟化实现的生产服务器,应禁用所有服务器快照或以非常受控的方式管理它们。 有关保护 Hyper-V 虚拟服务器的详细信息,请参阅 Hyper-V 安全指南: https://go.microsoft.com/fwlink/p/?LinkId=214176
组策略
在 Windows Server 2008 和 Windows Server 2008 R2 中,组策略提供基于目录的桌面配置管理。 可以使用组策略通过在 组策略 对象中定义计算机和用户设置来实现安全锁定 (GPO) ,如下所示:
基于注册表的策略
安全性
软件安装
脚本
文件夹重定向
远程安装服务
若要为管理员提供用于配置这些设置的用户界面,管理模板随操作系统版本、Service Pack 版本和某些应用程序(包括 Lync Server 2013)一起提供。
Communicator.adm 文件是随 Lync Server 2013 一起附带的管理模板,安装到 %windir%\inf\ 目录,并提供组策略设置的接口。 Communicator.adm 中的每个设置对应于注册表中影响应用程序行为的设置。
可以从GPedit.dll访问这些设置,可从Active Directory 用户和计算机控制台和组策略管理控制台 (GPMC) 。
组策略安全设置
组策略从GPedit.dll访问时,包含计算机配置/Windows 设置/安全设置下 GPO 的安全设置。 可以导入安全模板来配置 GPO 的安全设置。 Windows Server 2008 安全指南和 https://go.microsoft.com/fwlink/p/?LinkId=145186 Windows Server 2008 R2 安全合规性管理工具包 https://go.microsoft.com/fwlink/p/?LinkId=211882 包含许多示例模板,你可以根据需要进行修改。
最佳做法
强化所有服务器操作系统和应用程序。
保护服务器快照并增强所有虚拟服务器的安全性。
使用组策略实现安全锁定。