了解如何保护 Adobe Connect 服务器及相关数据库、网络和群集的安全。创建服务帐户以更安全地运行 Adobe Connect。
网络安全
Adobe Connect 依靠多个专用 TCP/IP 服务进行通信。 这些服务将打开一些不对外部用户开放的端口和通道。 Adobe Connect 要求将敏感的端口置于防火墙后。 防火墙应支持数据包状态检测,而不只是数据包过滤。 默认情况下,防火墙中会拒绝所有服务,除明确允许的服务之外。防火墙至少应该是双宿主机(两个或更多个网络接口)防火墙。这种基础结构有助于防止未授权用户绕过防火墙的安全设置。
保护 Adobe Connect 的最简单解决方法是阻止服务器上除 80、1935 和 443 以外的所有端口。 外部硬件防火墙设备可提供保护层,保护操作系统中的缺口。 可以配置硬件防火墙保护层,以形成 DMZ。 如果您的 IT 部门已使用最新的 Microsoft 安全修补程序更新服务器,则可以配置软件防火墙,以增加安全性。
Intranet 访问
如果要允许用户通过 Intranet 访问 Adobe Connect,请将 Adobe Connect 服务器和 Adobe Connect 数据库分别放于用防火墙隔开的单独子网中。 安装 Adobe Connect 的内部网网段应使用专用的 IP 地址(10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16),以使攻击者更难将通信从已经过网络地址转换的内部 IP 路由到公用 IP。 有关详细信息,请参阅 RFC 1918。 防火墙的这种配置应考虑所有 Adobe Connect 端口,以及确定它们是配置为用于入站通信还是出站通信。
数据库服务器安全
无论您是否在同一台服务器上承载数据库和 Adobe Connect,都要确保数据库的安全。 承载数据库的计算机应该放在安全的物理位置。 其他预防措施如下:
将数据库安装在 Intranet 的安全区域。
决不能直接将数据库连接到 Internet。
定期备份所有数据,将数据副本保存到远离工作场所的安全位置。
为数据库服务器安装最新的修补程序。
使用 SQL 信任的连接。
有关保护 SQL Server 的相关信息,请访问 Microsoft SQL 安全网站。
创建服务帐户
通过创建 Adobe Connect 的服务帐户,可以更安全地运行 Adobe Connect。 Adobe 建议为 Adobe Connect 创建服务帐户和 SQL Server Express Edition 服务帐户。 有关详细信息,请参阅 Microsoft 文章“不使用 SQL Server 2000 中的 SQL 企业管理器或 SQL Server 2008 中的 SQL Server 配置管理器来修改 SQL Server 或 SQL Server 代理服务帐户的方法”和“服务和服务帐户安全及计划指南”。
创建服务帐户
-
创建不包含任何默认用户组的名为 ConnectService 的本地帐户。
-
将 Adobe Connect Service 服务、Adobe Media Administration Server 服务和 Adobe Media Server (AMS) 服务的帐户设成此新帐户。
-
设置对以下注册表项的“完全控制”权限:
HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Joystick\Winmm
-
对 Adobe Connect 根文件夹路径(默认位置为 C:\Connect)下的 NTFS 文件夹设置“完全控制”权限。
子文件夹及其文件必须具有相同的权限。 对于群集,修改每个计算机节点上对应的路径。
-
为 ConnectService 帐户设置以下登录权限:
作为服务登录 — SeServiceLogonRight
创建一个 SQL Server Express Edition 服务帐户
-
创建不包含任何默认用户组的名为 ConnectSqlService 的本地帐户。
-
将 SQL Server Express Edition 服务帐户从 LocalSystem 更改为 ConnectSqlService。
-
为 ConnectSqlService 设置对以下注册表项的“完全控制”权限:
HKEY_LOCAL_MACHINE\Software\Clients\Mail HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80 HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\[databaseInstanceName]
对于群集,按照此步骤对群集中的每个节点进行操作。 完全控制权限将应用于已命名数据库实例的所有子项。
-
为 ConnectSqlService 设置对数据库文件夹的权限。 子文件夹及其文件必须具有相同的权限。 对于群集,修改每个计算机节点上对应的路径。
-
为 ConnectSqlService 服务设置以下用户权限:
作为操作系统的一部分 — SeTcbPrivilege 跳过遍历检查 — SeChangeNotify 锁定内存页 — SeLockMemory 以批处理作业登录 — SeBatchLogonRight 作为服务登录 — SeServiceLogonRight 替换进程级别令牌 — SeAssignPrimaryTokenPrivilege
保护单一服务器安装
以下流程概括了在单台计算机上设置和保护 Adobe Connect 的过程。 此过程假定数据库安装在同一台计算机上,并且用户可以通过 Internet 访问 Adobe Connect。
安装防火墙。
由于您允许用户通过 Internet 连接到 Adobe Connect,因此服务器易受黑客攻击。 通过防火墙可以阻止对服务器的访问,控制 Internet 和服务器之间的通信。
配置防火墙。
在安装防火墙后,按以下步骤对其进行配置:
Arkadin 或 InterCall 电话适配器的端口:9080 或 9443。
入站端口(来自 Internet):80、443、1935。
出站端口(到邮件服务器):25。
只使用 TCP/IP 协议。
由于数据库与 Adobe Connect 位于同一台服务器上,因此不必在防火墙上打开端口 1434。
安装 Adobe Connect。
验证 Adobe Connect 应用程序是否正常运行。
安装 Adobe Connect 后,请通过 Internet 和本地网络验证 Adobe Connect 是否正常运行。
测试防火墙。
在安装和配置防火墙后,检查防火墙是否能正常运行。 可通过尝试使用被阻止的端口来测试防火墙。
保护群集
群集(多服务器)系统比单服务器配置复杂得多。 Adobe Connect 群集可以位于数据中心或在地理上分布在多个网络操作中心。 可以在多个位置安装和配置承载 Adobe Connect 的服务器,并通过数据库复制同步这些服务器。
在群集中使用 Microsoft SQL Server Enterprise Edition 而不是嵌入式的数据库 Standard Edition。
以下是有关保护群集的重要建议:
专用网络
对于位于单个位置的群集,最简单的解决方法是为 Adobe Connect 系统创建额外的子网。 这种方法可以带来很高的安全性。
本地软件防火墙
对于位于群集中、但与其他服务器共享公用网络的 Adobe Connect 服务器,在每台服务器上安装软件防火墙可能比较合适。
VPN 系统
在不同物理位置安装承载 Adobe Connect 的多台服务器时,请考虑使用加密通道与远程服务器进行通信。许多软件和硬件提供商都提供 VPN 技术来保护与远程服务器的通信。 如果数据通信必须加密,则 Adobe Connect 将依赖这种外部安全性。