デフォルトのグループを含まない ConnectService というローカルアカウントを作成します。
最終更新日 :
2022年1月18日
|
次にも適用 : Adobe Connect 10, Adobe Connect 9
Adobe Connect Server および関連するデータベース、ネットワーク、クラスターを保護する方法を学習します。Adobe Connect をより安全に実行するためにサービスアカウントを作成します。
ネットワークのセキュリティ
Adobe Connect は、通信のために複数の非公開 TCP/IP サービスを使用しています。これらのサービスによって開かれるいくつかのポートとチャネルを、外部ユーザーから保護する必要があります。Adobe Connect では、重要なポートはファイアウォールの内側に配置する必要があります。ファイアウォールは、(パケットフィルタリングだけではなく)ステートフルパケットインスペクションをサポートする必要があります。ファイアウォールはデフォルトで、明示的に許可されているものを除きすべてのサービスを拒否するようにします。さらに、少なくともデュアルホーム(2 つ以上のネットワークインターフェイスを持つ)ファイアウォールである必要があります。 このアーキテクチャは、不正なユーザーがファイアウォールのセキュリティを迂回するのを防ぐのに役立ちます。
Adobe Connect をセキュリティ保護するための最も簡単なソリューションは、80、1935、443 を除くサーバー上のすべてのポートをブロックすることです。外付けのハードウェアファイアウォールを使用すれば、保護のための層を 1 つ増やすことができます。これはオペレーティングシステムの欠陥対策として有効です。ハードウェアベースのファイアウォールで複数の層を構成し、DMZ を形成することができます。 IT 部門が Microsoft の最新のセキュリティパッチを適用して Windows サーバーを更新している場合は、ソフトウェアベースのファイアウォールを構成してセキュリティを強化することができます。
イントラネットアクセス
ユーザーがイントラネット内の Adobe Connect にアクセスする場合は、ファイアウォールで分離された別のサブネットに Adobe Connect サーバーおよび Adobe Connect データベースを配置する必要があります。Adobe Connect のインストール先となる内部ネットワークセグメントでは、非公開 IP アドレス(10.0.0.0/8、172.16.0.0/12 または 192.168.0.0/16)を使用し、攻撃者がトラフィックを公開 IP にルーティングしたり、ネットワークアドレスを変換した内部 IP からルーティングすることを困難にする必要があります。詳しくは、RFC 1918 を参照してください。 ファイアウォールのこの設定では、すべての Adobe Connect ポートが考慮され、着信または送信トラフィック用に設定されているかどうかが考慮される必要があります。
データベースサーバーのセキュリティ
Adobe Connect と同じサーバーでデータベースをホストしているかどうかに関わらず、データベースが安全かどうかを確認してください。データベースをホストするコンピューターは、物理的に安全な場所に設置する必要があります。その他にも次のような注意事項があります。
イントラネット内の安全なゾーンにデータベースをインストールします。
データベースをインターネットに直接接続することは絶対に避けます。
定期的にすべてのデータをバックアップし、安全な離れた場所にコピーを格納します。
データベースサーバーの最新のパッチをインストールします。
SQL の信頼関係接続を使用します。
SQL Server のセキュリティ保護について詳しくは、Microsoft SQL セキュリティ Web サイトを参照してください。
サービスアカウントの作成
Adobe Connect 用のサービスアカウントを作成すると、Adobe Connect をより安全に実行できます。サービスアカウントおよび Adobe Connect の SQL Server Express Edition サービスアカウントを作成することをお勧めします。詳しくは、Microsoft の資料「SQL Server 2000 の SQL Enterprise Manager または SQL Server 2008 の SQL Server 構成マネージャーを使用せずに SQL Server または SQL Server エージェントサービスのアカウントを変更する方法」および「サービスおよびサービスアカウントのセキュリティ計画ガイド」を参照してください。
サービスアカウントの作成
-
-
Adobe Connect Service、Adobe Media Administration Server、Adobe Media Server(AMS)の各サービスをこの新しいアカウントに対して設定します。
-
次のレジストリキーに対して "フルコントロール" を設定します。
HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Joystick\Winmm
-
Adobe Connect のルートフォルダーのパス(デフォルトでは C:¥Connect)にある NTFS フォルダーのアクセス許可を「フルコントロール」に設定します。
サブフォルダーおよびファイルに対しても同じアクセス許可を設定する必要があります。 クラスターでは、各コンピューターノードで対応するパスを変更します。
-
ConnectService アカウントに次のログオン権限を設定します。
サービスとしてログオン(SeServiceLogonRight)
SQL Server Express Edition サービスアカウントの作成
-
デフォルトのグループを含まない ConnectSqlService というローカルアカウントを作成します。
-
SQL Server Express Edition サービスアカウントを LocalSystem から ConnectSqlService に変更します。
-
以下のレジストリキーに対する ConnectSqlService のアクセス許可を「フルコントロール」に設定します。
HKEY_LOCAL_MACHINE\Software\Clients\Mail HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80 HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\[databaseInstanceName]
クラスターの場合は、クラスター内のすべてのノードでこの手順を実行します。「フルコントロール」のアクセス許可は、指定したデータベースインスタンスのすべての子キーにも適用されます。
-
データベースフォルダーに対する ConnectSqlService のアクセス許可を「フルコントロール」に設定します。サブフォルダーおよびファイルに対しても同じアクセス許可を設定する必要があります。クラスターでは、各コンピューターノードで対応するパスを変更します。
-
ConnectSqlService サービスに次のユーザー権限を設定します。
オペレーティングシステムの一部として動作(SeTcbPrivilege)、走査チェックのバイパス(SeChangeNotify)、メモリ内のページのロック(SeLockMemory)、バッチジョブとしてログオン(SeBatchLogonRight)、サービスとしてログオン(SeServiceLogonRight)、プロセスレベルトークンの置き換え(SeAssignPrimaryTokenPrivilege)
シングルサーバーのインストールの保護
以下のワークフローは、1 台のコンピューター上で Adobe Connect を設定し、セキュリティ保護する方法の概要を示しています。データベースが同じコンピューターにインストールされていること、およびユーザーがインターネット上の Adobe Connect にアクセスすることが前提です。
ファイアウォールをインストールします。
インターネットを介して Adobe Connect に接続することをユーザーに許可するので、サーバーはハッカーによる攻撃を受ける可能性があります。ファイアウォールを使用すると、サーバーへのアクセスをブロックし、インターネットとサーバー間で行う通信を制御できます。
ファイアウォールを設定します。
ファイアウォールをインストールした後で、次のように設定します。
Arkadin または InterCall テレフォニーアダプター用ポート:9080 または 9443
着信ポート(インターネットからの着信):80、443、1935
発信ポート(メールサーバーへの発信):25
TCP/IP プロトコルのみを使用
データベースは Adobe Connect と同じサーバーに存在しているので、ファイアウォールのポート 1434 は公開しないようにします。
Adobe Connect をインストールします。
Adobe Connect アプリケーションが動作中であることを確認します。
Adobe Connect をインストールしたら、インターネットとローカルネットワークの両方から、Adobe Connect が正しく動作していることを確認します。
ファイアウォールをテストします。
ファイアウォールをインストールして設定したら、ファイアウォールが正しく動作していることを確認します。ファイアウォールをテストするには、ブロックされているポートを使用できるかどうかを試します。
クラスターのセキュリティの確保
クラスター(マルチサーバー)システムは、本質的にシングルサーバー構成よりも複雑です。Adobe Connect クラスターは、データセンターに配置するか、複数のネットワーク運用センター間に地理的に分散することができます。Adobe Connect をホストするサーバーを複数の場所にインストールして設定し、データベースレプリケーションによってそれらを同期できます。
注意:
クラスターでは Microsoft SQL Server Enterprise Edition を使用するようにし、埋め込み型の Standard Edition のデータベースは使用しないようにします。
クラスターのセキュリティを確保する上で重要な推奨事項を以下に示します。
プライベートネットワーク
1 つの場所のクラスターの最も簡単なソリューションは、Adobe Connect システムに対して追加のサブネットを作成することです。この方法により、高いレベルのセキュリティが実現します。
ローカルソフトウェアファイアウォール
クラスターに配置されているが、その他のサーバーと公的ネットワークを共有している Adobe Connect Server では、個別のサーバーごとにソフトウェアファイアウォールを使用することをお勧めします。
VPN システム
物理的に異なる場所で Adobe Connect をホストしている複数サーバーインストールでは、暗号化されたチャネルを使用してリモートサーバーと通信することを検討してください。リモートサーバーとの通信のセキュリティを確保する VPN 技術は、多くのソフトウェアベンダーとハードウェアベンダーによって提供されています。データトラフィックを暗号化する必要がある場合、Adobe Connect は外部的なセキュリティを必要とします。
