Crea un account locale denominato ConnectService
che non includa gruppi predefiniti.
Ultimo aggiornamento il
18 gen 2022
|
Si applica anche a Adobe Connect 10, Adobe Connect 9
Scoprite come proteggere i server Adobe Connect e i database, la rete e i cluster correlati. Create account di servizio per eseguire Adobe Connect in modo più sicuro.
Protezione della rete
Per le comunicazioni Adobe Connect si avvale di diversi servizi TCP/IP privati. Tali servizi aprono diverse porte e canali che devono essere protetti dagli utenti esterni. Per Adobe Connect è necessario proteggere le porte più delicate mediante un firewall. che supporti l’ispezione del contenuto dei pacchetti e non solo i filtri pacchetti). Il firewall deve rifiutare tutti i servizi per impostazione predefinita, ad eccezione di quelli consentiti in modo esplicito. Il firewall deve inoltre avere due o più interfacce di rete. Questa architettura consente di impedire che utenti non autorizzati superino la protezione del firewall.
La soluzione più semplice per proteggere Adobe Connect consiste nel bloccare tutte le porte sul server, a eccezione delle porte 80, 1935 e 443. Un dispositivo firewall hardware esterno offre un livello di protezione da eventuali carenze nel sistema operativo. Potete configurare livelli di firewall hardware per creare reti perimetrali. Se il server viene aggiornato regolarmente dal reparto IT con le più recenti patch di protezione Microsoft, potete configurare un firewall software per garantire un’ulteriore protezione.
Accesso dalla rete intranet
Affinché gli utenti possano accedere ad Adobe Connect dalla rete Intranet, i server e il database di Adobe Connect devono risiedere in una subnet distinta, separata da un firewall. Per ostacolare l’indirizzamento del traffico a un IP pubblico e dall’IP interno decodificato dell’indirizzo di rete da parte di un utente malintenzionato, il segmento di rete interno in cui è installato Adobe Connect deve usare indirizzi IP privati (10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16). Per ulteriori informazioni, consulta RFC 1918. Questa configurazione del firewall deve tenere conto di tutte le porte di Adobe Connect e se tali porte sono configurate per il traffico in ingresso o in uscita.
Protezione del server del database
Se il database risiede sullo stesso server in cui è installato Adobe Connect, assicuratevi che sia protetto. I computer su cui risiede un database devono trovarsi in una posizione fisicamente protetta. Di seguito sono riportate alcune precauzioni supplementari:
Installate il database nell’area protetta dell’Intranet dell’organizzazione.
Non collegate mai il database direttamente a Internet.
Esegui regolarmente il backup dei dati e archiviate le copie in un luogo protetto fuori sede.
Installate le patch più recenti per il server del database.
Utilizzate connessioni SQL affidabili.
Per informazioni sulla protezione di SQL Server, consulta il sito Web sulla protezione di Microsoft SQL.
Creare account di servizio
La creazione di un account di servizio per Adobe Connect vi consente di eseguire Adobe Connect in modo più sicuro. Adobe consiglia di creare un account di servizio e un account di servizio SQL Server Express Edition per Adobe Connect. Per ulteriori informazioni, consultate gli articoli Microsoft “How to change the SQL Server or SQL Server Agent service account without using SQL Enterprise Manager in SQL Server 2000 or SQL Server Configuration Manager in SQL Server 2008” (Come modificare l’account di servizio di SQL Server o SQL Server Agent senza usare SQL Enterprise Manager in SQL Server 2000 o Gestione configurazione SQL Server in SQL Server 2008) e The Services and Service Accounts Security and Planning Guide (Guida alla pianificazione e alla protezione di servizi e account di servizio).
Creare un account di servizio
-
-
Imposta il servizio Adobe Connect Service, il servizio Adobe Media Administration Server e il servizio Adobe Media Server (AMS) su questo nuovo account.
-
Imposta “Controllo completo” per la seguente chiave del Registro di sistema:
HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Joystick\Winmm
-
Imposta “Controllo completo” per le cartelle NTFS presenti nel percorso della cartella principale di Adobe Connect (per impostazione predefinita, c:\Connect).
Le sottocartelle e i file devono avere le stesse autorizzazioni. Per i cluster modifica i percorsi corrispondenti su ogni nodo di computer.
-
Imposta i seguenti diritti di accesso per l’account ConnectService:
Accesso come servizi: SeServiceLogonRight
Creare un account di servizio SQL Server Express Edition
-
Crea un account locale denominato ConnectSqlService che non includa gruppi predefiniti.
-
Modifica l’account di servizio SQL Server Express Edition da LocalSystem a ConnectSqlService.
-
Imposta “Controllo completo” per ConnectSqlService per le seguenti chiavi del Registro di sistema:
HKEY_LOCAL_MACHINE\Software\Clients\Mail HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80 HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\[databaseInstanceName]
Per i cluster esegui questa operazione su ogni nodo del cluster. L’autorizzazione Controllo completo viene applicata a tutte le chiavi figlio di un’istanza di database denominata.
-
Imposta “Controllo completo” per ConnectSqlService per le cartelle del database. Le sottocartelle e i file devono avere le stesse autorizzazioni. Per i cluster modifica i percorsi corrispondenti su ogni nodo di computer.
-
Imposta i seguenti diritti utente per il servizio ConnectSqlService:
Agisci come parte del sistema operativo: SeTcbPrivilege. Ignorare il controllo incrociato: SeChangeNotify. Blocco di pagine in memoria: SeLockMemory. Accesso come processo batch: SeBatchLogonRight. Accesso come servizio: SeServiceLogonRight. Sostituzione di token a livello di processo: SeAssignPrimaryTokenPrivilege.
Proteggere le installazioni su un solo server
Il seguente flusso di lavoro riepiloga il processo relativo all’installazione e alla protezione di Adobe Connect su un solo computer. Si suppone che il database sia installato sullo stesso computer e che gli utenti accedano ad Adobe Connect su Internet.
Installare un firewall.
Poiché consenti agli utenti di accedere ad Adobe Connect da Internet, il server è facilmente accessibile anche da parte di utenti malintenzionati. L’uso di un firewall ti consente di bloccare l’accesso al server e controllare le comunicazioni che avvengono tra Internet e il server.
Configurare il firewall.
Dopo aver installato il firewall, configuralo nel modo seguente:
Porte per gli adattatori per telefonia Arkadin e InterCall: 9080 o 9443.
Porte in ingresso (da Internet): 80, 443, 1935.
Porte in uscita (verso il server di posta elettronica): 25.
Usate solo il protocollo TCP/IP.
Poiché il database si trova sullo stesso server in cui è installato Adobe Connect, non aprite la porta 1434 sul firewall.
Installare Adobe Connect.
Verifica il funzionamento delle applicazioni Adobe Connect.
Dopo avere installato Adobe Connect, verifica che funzioni correttamente sia da Internet sia dalla rete locale.
Verificare il firewall.
Dopo avere installato e configurato il firewall, verifica che funzioni correttamente. Verifica il firewall provando a usare le porte bloccate.
Proteggere i cluster
I sistemi cluster (con più server) sono più complessi delle configurazioni a server unico. Un cluster di Adobe Connect può essere ubicato in un centro dati o distribuito geograficamente in più centri operativi di rete. Puoi installare e configurare i server in cui risiede Adobe Connect in diverse ubicazioni e sincronizzarli attraverso la replica del database.
Nota:
Per i cluster, utilizzate Microsoft SQL Server Enterprise Edition e non la Standard Edition incorporata del database.
Di seguito sono riportati consigli importanti per proteggere i cluster:
Reti private
La soluzione più semplice per i cluster in una singola ubicazione consiste nel creare una subnet supplementare per il sistema Adobe Connect. Questo approccio offre un livello elevato di protezione.
Firewall software locali
Nel caso di server di Adobe Connect che risiedono in un cluster e condividono una rete pubblica con altri server, è consigliabile installare un firewall software su ogni singolo server.
Sistemi VPN
Nel caso di installazioni con più server in cui i computer su cui è installato Adobe Connect si trovano in diverse posizioni fisiche, può essere vantaggioso usare un canale crittografato per le comunicazioni con i server remoti. Numerosi fornitori di software e hardware offrono tecnologia VPN per proteggere le comunicazioni con i server remoti. Adobe Connect si basa su questa soluzione di protezione esterna se il traffico di dati deve essere crittografato.
