Erfahren Sie, wie Sie Ihre Adobe Connect-Server und die zugehörigen Datenbanken, Netzwerk- und Cluster sichern können. Erstellen von Dienstkonten, um Adobe Connect sicherer auszuführen.
Netzwerksicherheit
Das Kommunikationsmodell von Adobe Connect stützt sich auf mehrere private TCP/IP-Dienste. Diese Dienste öffnen verschiedene Ports und Kanäle, die vor Benutzern von außerhalb geschützt werden müssen. Für Adobe Connect ist es erforderlich, dass Sie wichtige Ports durch eine Firewall abschirmen. Die Firewall sollte SPI (Stateful Packet Inspection) unterstützen, nicht nur das Packet-Filtering. Lehnen Sie auf der Firewall alle Dienste standardmäßig ab, außer den ausdrücklich erlaubten. Die Firewall sollte mindestens eine Dual-Home-Firewall sein (also mindestens zwei Netzwerkschnittstellen haben). Diese Architektur trägt dazu bei, dass nicht autorisierte Benutzer die Sicherheit der Firewall nicht umgehen können.
Die einfachste Lösung zur Sicherung von Adobe Connect besteht darin, alle Ports auf dem Server außer Port 80, Port 1935 sowie Port 443 zu blockieren. Eine externe Hardware-Firewall bietet Schutz vor Sicherheitslücken im Betriebssystem. Sie können mehrere Schichten von Hardware-Firewalls konfigurieren, die so genannte demilitarisierte Zonen (DMZs) bilden. Wenn der Server von Ihrer IT-Abteilung sorgfältig mit den aktuellen Sicherheits-Patches von Microsoft aktualisiert wird, kann eine Software-Firewall konfiguriert werden, um die Sicherheit noch weiter zu erhöhen.
Intranetzugriff
Wenn der Zugriff auf Adobe Connect über Ihr Intranet erfolgen soll, erstellen Sie für die Adobe Connect-Server und die Adobe Connect-Datenbank ein separates Subnetzwerk und schirmen Sie dieses mit einer Firewall ab. Das interne Netzwerksegment, in dem Adobe Connect installiert wird, sollte private IP-Adressen verwenden (10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16), um es Angreifern zu erschweren, Netzwerkverkehr zu einer öffentlichen IP-Adresse bzw. von der übersetzten internen IP-Adresse zu leiten. Weitere Informationen finden Sie unter RFC 1918. Bei der Konfiguration der Firewall sollten alle Adobe Connect-Ports berücksichtigt werden sowie die Konfiguration dieser Ports für den eingehenden oder ausgehenden Datenverkehr.
Datenbankserver-Sicherheit
Unabhängig davon, ob Sie Ihre Datenbank auf demselben Server wie Adobe Connect hosten oder nicht, müssen Sie für die Sicherheit Ihrer Datenbank Sorge tragen. Computer, auf denen eine Datenbank gehostet wird, sollten an einem sicheren Ort aufgestellt werden. Im Folgenden werden weitere Vorsichtsmaßnahmen aufgelistet:
Installieren Sie die Datenbank in der sicheren Zone Ihres Intranets.
Die Datenbank darf nie direkt an das Internet angeschlossen werden.
Legen Sie in regelmäßigen Abständen von allen Daten Sicherungskopien an und bewahren Sie die Kopien an einem sicheren, externen Lagerort auf.
Installieren Sie die neuesten Patches für Ihren Datenbankserver.
Verwenden Sie geschützte SQL-Verbindungen.
Informationen zur Sicherung von SQL Server finden Sie auf der Sicherheitswebsite für Microsoft SQL.
Erstellen von Dienstkonten
Adobe Connect wird sicherer ausgeführt, wenn Sie ein Dienstkonto für Adobe Connect erstellen. Adobe empfiehlt das Erstellen eines Dienstkontos und eines Kontos für SQL Server Express Edition für Adobe Connect. Weitere Informationen finden Sie in den Microsoft-Artikeln „How to change the SQL Server or SQL Server Agent service account without using SQL Enterprise Manager in SQL Server 2000 or SQL Server Configuration Manager in SQL Server 2008“ und The Services and Service Accounts Security and Planning Guide.
Erstellen eines Dienstkontos
-
Erstellen Sie ein lokales Konto mit dem Namen ConnectService, das keine Standardgruppen enthält.
-
Legen Sie die Dienste „Adobe Connect“, „Adobe Media Administration Server“ und „Adobe Media Server (AMS)“ für dieses neue Konto fest.
-
Legen Sie den Vollzugriff für den folgenden Registrierungsschlüssel fest:
HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Joystick\Winmm
-
Legen Sie den Vollzugriff in den NTFS-Ordnern im Stammverzeichnis von Adobe Connect (standardmäßig „C:\Connect“) fest.
Für Unterordner und Dateien müssen dieselben Berechtigungen gelten. Für Cluster modifizieren Sie die entsprechenden Pfade auf jedem Computerknoten.
-
Legen Sie die folgenden Anmeldeberechtigungen für das ConnectService-Konto fest:
Als Dienst anmelden – SeServiceLogonRight
Erstellen eines Dienstkontos für SQL Server Express Edition
-
Erstellen Sie ein lokales Konto mit dem Namen „ConnectSqlService“, das keine Standardgruppen enthält.
-
Ändern Sie das Dienstkonto für SQL Server Express Edition von LocalSystem in ConnectSqlService.
-
Legen Sie den Vollzugriff für ConnectSqlService für die folgenden Registrierungsschlüssel fest:
HKEY_LOCAL_MACHINE\Software\Clients\Mail HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80 HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\[databaseInstanceName]
Bei Clustern führen Sie diesen Schritt für alle Knoten im Cluster aus. Die Berechtigung „Vollzugriff“ gilt für alle untergeordneten Schlüssel einer benannten Datenbankinstanz.
-
Legen Sie den Vollzugriff für ConnectSqlService in den Datenbankordnern fest. Für Unterordner und Dateien müssen dieselben Berechtigungen gelten. Für Cluster modifizieren Sie die entsprechenden Pfade auf jedem Computerknoten.
-
Legen Sie die folgenden Benutzerrechte für den ConnectSqlService-Dienst fest:
Einsetzen als Teils des Betriebssystems—SeTcbPrivilege Auslassen der durchsuchenden Prüfung—SeChangeNotify Seiten im Speicher sperren—SeLockMemory Anmelden als Stapelverarbeitungsauftrag—SeBatchLogonRight Als Dienst anmelden—SeServiceLogonRight Ersetzen eines Prozessebenentokens—SeAssignPrimaryTokenPrivilege
Sichern von Installationen auf einem einzelnen Server
Der folgende Arbeitsablauf fasst den Prozess der Einrichtung und Absicherung von Adobe Connect auf einem einzelnen Computer zusammen. Dabei wird davon ausgegangen, dass die Datenbank auf demselben Computer installiert wird und dass Benutzer über das Internet auf Adobe Connect zugreifen.
Installieren Sie eine Firewall.
Da die Benutzer über das Internet auf Adobe Connect zugreifen können, ist der Server potenziellen Angriffen durch Hacker ausgeliefert. Mit einer Firewall können Sie den Zugriff auf den Server blockieren und gleichzeitig steuern, welche Art von Kommunikation zwischen dem Internet und dem Server zulässig ist.
Konfigurieren Sie die Firewall.
Nach der Installation konfigurieren Sie die Firewall wie nachstehend beschrieben:
Anschlüsse für Arkadin oder InterCall-Telefonieadapter: 9080 oder 9443.
Inbound-Ports (vom Internet): 80, 443, 1935.
Outbound-Ports (zum Mailserver): 25.
Ausschließliche Verwendung des TCP/IP-Protokolls.
Da die Datenbank sich auf demselben Server wie Adobe Connect befindet, müssen Sie Port 1434 auf der Firewall nicht öffnen.
Installieren Sie Adobe Connect.
Überprüfen Sie die korrekte Funktionsweise der Adobe Connect-Anwendungen.
Nachdem Sie Adobe Connect installiert haben, überzeugen Sie sich sowohl vom Internet als auch von Ihrem lokalen Netzwerk aus davon, dass das Programm ordnungsgemäß funktioniert.
Testen Sie die Firewall.
Prüfen Sie, nachdem Sie Ihre Firewall installiert und konfiguriert haben, ob sie ordnungsgemäß funktioniert. Testen Sie die Firewall, indem Sie versuchen, die blockierten Ports zu verwenden.
Absichern von Clustern
Systeme mit Clustern (also mit mehreren Servern) sind naturgemäß komplexer als Konfigurationen mit nur einem Server. Ein Adobe Connect-Cluster kann sich in einem Datenzentrum befinden oder über mehrere Netzwerkstandorte verteilt sein. Sie können Server, die Adobe Connect hosten, an mehreren Standorten installieren und konfigurieren und über eine Datenbankreplikation synchronisieren.
Bei Clustern verwenden Sie Microsoft SQL Server Enterprise Edition und nicht die Standard Edition der Datenbank.
Nachstehend finden Sie einige wichtige Vorschläge zur Sicherung von Clustern:
Private Netzwerke
Die einfachste Lösung für Cluster, die sich an einem einzigen Standort befinden, besteht darin, für das Adobe Connect-System ein zusätzliches Subnetzwerk einzurichten. Dieser Ansatz bietet eine hohe Sicherheitsstufe.
Lokale Software-Firewalls
Wenn die Adobe Connect-Server sich in einem Cluster befinden, sich aber mit anderen Servern ein öffentliches Netzwerk teilen, bietet es sich an, für jeden einzelnen Server eine Software-Firewall einzurichten.
VPN-Systeme
In Konfigurationen mit mehreren Servern, bei denen Adobe Connect an unterschiedlichen Standorten gehostet wird, sollte ein verschlüsselter Kanal für die Kommunikation mit den Remote-Servern in Erwägung gezogen werden. Zahlreiche Software- und Hardware-Hersteller bieten VPN-Technologien zur Sicherung der Kommunikation mit Remote-Servern an. Adobe Connect stützt sich auf diese externe Sicherheit, wenn der Datenverkehr verschlüsselt werden muss.