Cree una cuenta local llamada ConnectService que no incluya ningún grupo predeterminado.
Última actualización el
18-01-2022
|
También se aplica a Adobe Connect 10, Adobe Connect 9
Obtenga información sobre cómo proteger los servidores Adobe Connect Server, así como las bases de datos, la red y los clústeres relacionados. Cree cuentas de servicio para ejecutar Adobe Connect de manera más segura.
Seguridad de redes
Adobe Connect depende de varios servicios privados de TCP/IP para sus comunicaciones. Estos servicios abren varios puertos y canales que deben protegerse de usuarios exteriores. Adobe Connect requiere que ponga los puertos que transmiten información confidencial detrás de un servidor de seguridad. El servidor de seguridad debe admitir la tecnología de inspección de paquetes además del filtrado de paquetes. En el servidor de seguridad, rechace todos los servicios de forma predeterminada excepto los que estén permitidos de forma explícita. El servidor de seguridad debe ser al menos un servidor de seguridad de dos sitios (dos o más interfaces de red). Esta arquitectura ayuda a evitar que los usuarios no autorizados eviten la seguridad del servidor de seguridad.
La solución más sencilla para asegurar Adobe Connect es bloquear todos los puertos del servidor excepto los puertos 80, 1935 y 443. Un dispositivo de servidor de seguridad de hardware externo proporciona una capa de protección contra las lagunas de seguridad del sistema operativo. Puede configurar capas de servidores de seguridad basados en hardware para formar DMZ. Si el departamento de TI actualiza el servidor con las revisiones de seguridad más recientes de Microsoft, se puede configurar un servidor de seguridad de software para habilitar seguridad adicional.
Acceso a la intranet
Si los usuarios pueden acceder a Adobe Connect en su intranet, ponga los servidores de Adobe Connect y la base de datos de Adobe Connect en una subred independiente, separada por un servidor de seguridad. El segmento de red interno en el que se ha instalado Adobe Connect debería utilizar direcciones IP privadas (10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16) para que sea más difícil para los atacantes enrutar el tráfico a una IP pública y desde la IP interna traducida de la dirección de red. Si desea obtener más información, consulte RFC 1918. Esta configuración del servidor de seguridad debería tener en cuenta todos los puertos de Adobe Connect y si están configurados para tráfico entrante o saliente.
Seguridad del servidor de base de datos
Independientemente de si la base de datos está instalada en el mismo servidor que Adobe Connect o no, debe comprobar si es segura. Los equipos en los que esté instalada una base de datos deberían estar en una ubicación física segura. Estas son precauciones adicionales:
Instale la base de datos en la zona segura de su intranet.
No conecte nunca la base de datos a Internet directamente.
Realice copias de seguridad frecuentes de sus datos y guarde las copias en una ubicación externa segura.
Instale las revisiones más recientes del servidor de la base de datos.
Utilice conexiones de confianza de SQL.
Para obtener información sobre la seguridad de SQL Server, consulte el sitio web de seguridad de Microsoft SQL.
Creación de cuentas de servicio
La creación de una cuenta de servicio de Adobe Connect le permite ejecutar Adobe Connect de forma más segura. Adobe recomienda la creación de una cuenta de servicio y una cuenta de servicio SQL Server Express Edition para Adobe Connect. Para obtener más información, consulte los artículos de Microsoft "How to change the SQL Server or SQL Server Agent service account without using SQL Enterprise Manager in SQL Server 2000 or SQL Server Configuration Manager in SQL Server 2008" y "The Services and Service Accounts Security and Planning Guide".
Creación de una cuenta de servicio
-
-
Establezca los servicios de Adobe Connect Service, Adobe Media Administration Server y Adobe Media Server (AMS) en esta nueva cuenta.
-
Establezca “Control total” para la clave de registro siguiente:
HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Joystick\Winmm
-
Establezca “Control total” en las carpetas NTFS de la ruta de la carpeta raíz de Adobe Connect (C:\Connect, de forma predeterminada).
Las subcarpetas y los archivos deben tener los mismos permisos. Para clústeres, modifique las rutas correspondientes para cada nodo de equipo.
-
Establezca los derechos de inicio de sesión siguientes para la cuenta ConnectService:
Iniciar sesión como servicio—SeServiceLogonRight
Creación de una cuenta de servicio de SQL Server Express Edition
-
Cree una cuenta local llamada ConnectSqlService que no incluya ningún grupo predeterminado.
-
Cambie la cuenta de servicio de SQL Server Express Edition de LocalSystem a ConnectSqlService.
-
Establezca “Control total” de ConnectSqlService para las claves de registro siguientes:
HKEY_LOCAL_MACHINE\Software\Clients\Mail HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80 HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\[databaseInstanceName]
Para clústeres, siga este paso para cada nodo del clúster. El permiso de control total se aplica a todas las claves secundarias de una instancia de base de datos concreta
-
Establezca “Control total” para ConnectSqlService en las carpetas de bases de datos. Las subcarpetas y los archivos también deben tener los mismos permisos. Para clústeres, modifique las rutas correspondientes para cada nodo de equipo.
-
Establezca los derechos de usuario siguientes para el servicio ConnectSqlService:
Funcionar como parte de un sistema operativo—SeTcbPrivilege Evitar comprobaciones transversas—SeChangeNotify Bloquear páginas en la memoria—SeLockMemory Iniciar sesión como tarea de lotes—SeBatchLogonRight Iniciar sesión como un servicio—SeServiceLogonRight Reemplazar un cupón de nivel de proceso—SeAssignPrimaryTokenPrivilege
Seguridad de instalaciones de servidor único
El flujo de trabajo siguiente resume el proceso de configuración y seguridad de Adobe Connect en un equipo único. Asume que la base de datos se instalará en el mismo equipo y que los usuarios accederán a Adobe Connect a través de Internet.
Instalación de un servidor de seguridad.
Dado que los usuarios tienen permitida la conexión a Adobe Connect a través de Internet, el servidor está abierto a los ataques de los piratas informáticos. Si utiliza un servidor de seguridad, puede bloquear el acceso al servidor y controlar las comunicaciones que se producen entre Internet y el servidor.
Configure el servidor de seguridad.
Tras instalar el servidor de seguridad, configúrelo como sigue:
Puertos para adaptadores de telefonía de Arkadin o de InterCall: 9080 o 9443.
Puertos entrantes (de Internet): 80, 443, 1935.
Puertos salientes (al servidor de correo): 25.
Utilice sólo el protocolo TCP/IP.
Como la base de datos está en el mismo servidor que Adobe Connect, no abra el puerto 1434 en el servidor de seguridad.
Instalación de Adobe Connect.
Comprobación del funcionamiento de las aplicaciones de Adobe Connect.
Tras instalar Adobe Connect, compruebe que funcione correctamente desde Internet y desde la red local.
Pruebe el servidor de seguridad.
Tras haber instalado y configurado el servidor de seguridad, compruebe que funcione correctamente. Para probar el servidor de seguridad, intente utilizar los puertos bloqueados.
Seguridad de clústeres
Los sistemas de clústeres (con varios servidores) son de por sí más complejos que las configuraciones con un único servidor. Un clúster de Adobe Connect puede estar en un centro de datos o distribuirse a través de varios centros de operaciones en red. Puede instalar y configurar servidores con Adobe Connect en varias ubicaciones y sincronizarlos mediante la replicación de bases de datos.
Nota:
En los clústeres, utilice Microsoft SQL Server Enterprise Edition, no la versión Standard Edition incrustada de la base de datos.
Las sugerencias siguientes son importantes para la seguridad de los clústeres:
Redes privadas
La solución más simple para los clústeres en una ubicación única es crear una subred adicional para el sistema Adobe Connect. Este método ofrece un alto nivel de seguridad.
Servidores de seguridad de software locales
Para los servidores de Adobe Connect que están ubicados en un clúster pero comparten una red pública con otros servidores, puede ser apropiado configurar un servidor de seguridad de software en cada servidor.
Sistemas VPN
En las instalaciones multiservidor con Adobe Connect en diferentes ubicaciones físicas, considere la posibilidad de utilizar un canal cifrado para comunicarse con los servidores remotos. Muchos distribuidores de software y hardware ofrecen tecnología VPN para asegurar las comunicaciones con servidores remotos. Adobe Connect depende de esta seguridad externa para encriptar el tráfico de datos.
