Découvrez comment sécuriser vos serveurs Adobe Connect ainsi que les bases de données, le réseau et les clusters connexes. Création de comptes de service pour exécuter Adobe Connect de façon plus sécurisée.

Sécurisation du réseau

Pour ses communications, Adobe Connect s’appuie sur plusieurs services TCP/IP privés. Ces services ouvrent plusieurs ports et canaux qui doivent être protégés des utilisateurs extérieurs. Adobe Connect exige que vous placiez les ports sensibles derrière un pare-feu. Le pare-feu doit prendre en charge l’inspection de paquets avec état (pas seulement le filtrage des paquets). Sur le pare-feu, refuser tous les services par défaut à l’exception des services autorisés explicitement. Le pare-feu doit être au moins un pare-feu à double interface (au moins deux interfaces réseau). Cette architecture permet d’éviter que des utilisateurs non autorisés ne contournent la sécurité du pare-feu.

La solution la plus simple pour sécuriser Adobe Connect consiste à bloquer tous les ports du serveur à l’exception des ports 80, 1935 et 443. Un pare-feu matériel externe offre un niveau de protection pour pallier les défectuosités du système d’exploitation. Vous pouvez configurer plusieurs couches de pare-feu matériel pour former des zones démilitarisées (DMZ). Si votre service informatique applique tous les patchs de sécurité de Microsoft au serveur, il est possible de configurer un pare-feu logiciel pour assurer une sécurité supplémentaire.

Accès Intranet

Si certains de vos utilisateurs doivent accéder à Adobe Connect sur votre réseau Intranet, il est préférable de placer les serveurs Adobe Connect et leur base de données sur un sous-réseau distinct, isolé par un pare-feu. Le segment de réseau interne sur lequel est installé Adobe Connect doit utiliser des adresses IP privées (10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16) afin qu’il soit encore plus difficile pour un attaquant éventuel d’acheminer le trafic vers une adresse IP publique et depuis l’adresse IP réseau traduite en adresse IP interne. Pour plus d’informations, voir la rubrique RFC 1918. La configuration de ce pare-feu doit tenir compte de tous les ports d’Adobe Connect et de leur paramétrage pour un trafic entrant ou sortant.

Sécurité du serveur de base de données

Que vous hébergiez ou non votre base de données sur le même serveur qu’Adobe Connect, vous devez la protéger. Les ordinateurs hébergeant une base de données doivent être physiquement placés en un lieu protégé. Vous devez prendre les précautions supplémentaires suivantes :

  • Installez la base de données dans la zone sécurisée de l’Intranet de votre société.

  • Ne connectez jamais directement la base de données à Internet.

  • Sauvegardez régulièrement toutes les données et stockez les copies dans un emplacement protégé hors site.

  • Installez les derniers patchs publiés pour votre serveur de base de données.

  • Utilisez des connexions SQL fiables.

Pour plus d’informations sur la sécurisation de SQL Server, rendez-vous sur le site Web consacré à la sécurité de Microsoft SQL.

Création de comptes de service

La création d’un compte de service pour Adobe Connect vous permet d’exécuter Adobe Connect de façon plus sécurisée. Adobe recommande la création d’un compte de service et d’un compte de service SQL Server Express Edition pour Adobe Connect. Pour plus d’informations, consultez les articles de Microsoft « Comment faire pour modifier le compte de service de SQL Server ou de l’Agent SQL Server sans utiliser SQL Enterprise Manager dans SQL Server 2000 ou le Gestionnaire de configuration SQL Server dans SQL Server 2008 » et Le guide de la planification de la sécurité des services et des comptes de service.

Création d’un compte de service

  1. Créez un compte local appelé ConnectService et ne comprenant aucun groupe par défaut.
  2. Définissez les services Adobe Connect Server, Adobe Media Administration Server et Adobe Media Server (AMS) sur ce nouveau compte.
  3. Définissez un « Contrôle total » pour la clé de registre suivante :
    HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Joystick\Winmm
  4. Définissez un « Contrôle total » sur les dossiers NTFS du chemin du dossier racine d’Adobe Connect (C:\Connect, par défaut).

    Les sous-dossiers et les fichiers doivent disposer des mêmes autorisations. Dans le cas de clusters, modifiez les chemins correspondants sur chaque nœud d’ordinateur.

  5. Définissez les droits de connexion suivants pour le compte ConnectService :

    Ouvrir une session en tant que service—SeServiceLogonRight

Création d’un compte de service SQL Server Express Edition

  1. Créez un compte local appelé ConnectSqlService et ne comprenant aucun groupe par défaut.
  2. Remplacez le compte de service SQL Server Express Edition de LocalSystem à ConnectSqlService.

  3. Définissez un « Contrôle total » de ConnectSqlService pour les clés de registre suivantes :
    HKEY_LOCAL_MACHINE\Software\Clients\Mail    
    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80    
    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\[databaseInstanceName]

    Pour les clusters, suivez cette procédure pour chaque nœud du cluster. L’autorisation Contrôle total s’applique à toutes les clés enfants d’une instance de base de données nommée.

  4. Définissez un « Contrôle total » de ConnectSqlService pour les dossiers de la base de données. Les sous-dossiers et les fichiers doivent également disposer des mêmes autorisations. Dans le cas de clusters, modifiez les chemins correspondants sur chaque nœud d’ordinateur.
  5. Définissez les droits d’utilisateur suivants pour le service ConnectSqlService :

    Agir comme faisant partie du système d’exploitation—SeTcbPrivilege Outrepasser le contrôle de parcours—SeChangeNotify Verrouiller les pages en mémoire—SeLockMemory Ouvrir une session en tant que tâche—SeBatchLogonRight Ouvrir une session en tant que service—SeServiceLogonRight Remplacer un jeton au niveau du processus—SeAssignPrimaryTokenPrivilege

Sécurisation des installations à serveur unique

La procédure suivante résume le processus de configuration et de sécurisation d’Adobe Connect sur un ordinateur unique. Elle part du principe que la base de données est installée sur le même ordinateur et que les utilisateurs accèdent à Adobe Connect via Internet.

Installez un pare-feu.

Si vous autorisez les utilisateurs à se connecter à Adobe Connect via Internet, le serveur est à la merci des pirates informatiques. Un pare-feu vous permettra de bloquer l’accès au serveur et de contrôler les communications entre celui-ci et Internet.

Configurez le pare-feu.

Après avoir installé votre pare-feu, configurez-le comme suit :

  • Ports pour adaptateurs de téléphonie Arkadin ou InterCall : 9080 ou 9443.

  • Ports d’entrée (depuis Internet) : 80, 443, 1935.

  • Ports de sortie (vers le serveur de messagerie) : 25.

  • Utilisez le protocole TCP/IP uniquement.

    La base de données étant située sur le même serveur qu’Adobe Connect, n'ouvrez pas le port 1434 sur le pare-feu.

Installez Adobe Connect.

Vérifiez le bon fonctionnement des applications Adobe Connect.

Après avoir installé Adobe Connect, vérifiez qu’il fonctionne correctement depuis Internet et depuis votre réseau local.

Testez le pare-feu.

Une fois que vous avez installé et configuré le pare-feu, vérifiez qu’il fonctionne correctement. Testez le pare-feu en tentant d’utiliser les ports bloqués.

Sécurisation des clusters

Les systèmes de clusters (multi-serveurs) sont par nature plus complexes que les configurations à serveur unique. Un cluster Adobe Connect peut être situé dans un centre de données ou réparti géographiquement dans plusieurs centres d’exploitation du réseau. Vous pouvez installer et configurer les serveurs qui hébergent Adobe Connect dans plusieurs sites et les synchroniser par l’intermédiaire d’une réplication de la base de données.

Remarque :

Sur les clusters, utilisez l'édition entreprise de Microsoft SQL Server et non l'édition standard incorporée de la base de données.

Conseils importants pour la sécurisation des clusters :

Réseaux privés

La solution la plus simple pour les clusters situés sur le même site consiste à créer un sous-réseau supplémentaire pour le système Adobe Connect. Cette méthode offre un haut niveau de sécurité.

Pare-feux logiciels locaux

Pour les serveurs Adobe Connect situés dans un cluster, mais partageant un réseau public avec d’autres serveurs, un pare-feu logiciel installé sur chaque serveur peut être approprié.

Systèmes VPN

Dans les installations multi-serveurs hébergeant Adobe Connect dans des sites différents, vous pouvez envisager d’utiliser un canal chiffré pour communiquer avec les serveurs distants. De nombreux fournisseurs proposent des technologies VPN permettant de sécuriser les communications avec les serveurs distants. Si le trafic des données doit être chiffré, Adobe Connect s’appuie sur cette sécurité externe.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne