Leer hoe u uw Adobe Connect-servers en verwante databases, netwerken en clusters beveiligt. Maak serviceaccounts om Adobe Connect veiliger uit te voeren.
Netwerkbeveiliging
Het communicatiemodel van Adobe Connect wordt ondersteund door verschillende particuliere TCP/IP-services. Deze services openen verschillende poorten en kanalen, die moeten worden beschermd tegen externe gebruikers. Voor Adobe Connect moet u belangrijke poorten beschermen met behulp van een firewall. De firewall moet pakketinspectie (niet alleen pakketfiltering) ondersteunen. Op de firewall weigert u standaard alle services, behalve de uitdrukkelijk toegestane services. De firewall moet minimaal een dual-home-firewall zijn (en dus twee of meer netwerkinterfaces hebben). Dankzij deze architectuur kan beter worden voorkomen dat ongeautoriseerde gebruikers de beveiliging van de firewall omzeilen.
De gemakkelijkste manier om Adobe Connect te beveiligen, is het blokkeren van alle poorten op de server, met uitzondering van poort 80, 1935 en 443. Een externe, hardwarematige firewall biedt bescherming tegen zwakke plekken in het besturingssysteem. U kunt lagen hardwarematige firewalls zodanig configureren dat zij een zogenaamde 'gedemilitariseerde zone' (DMZ) vormen. Wanneer de server door uw IT-afdeling wordt bijgewerkt met de meest recente beveiligingspatches van Microsoft, kan een softwarematige firewall worden geconfigureerd waarmee nog meer beveiliging wordt geboden.
Intranettoegang
Wanneer toegang tot Adobe Connect via uw intranet zal verlopen, plaatst u de Adobe Connect-servers en de Adobe Connect-database in een apart subnet, gescheiden door een firewall. Het interne netwerksegment waarin Adobe Connect is geïnstalleerd, moet particuliere IP-adressen gebruiken (10.0.0.0/8, 172.16.0.0/12 of 192.168.0.0/16) om het voor indringers moeilijker te maken netwerkverkeer naar een openbaar IP-adres respectievelijk van het omgezette interne IP-adres te traceren. Zie RFC 1918 voor meer informatie. Bij deze configuratie van de firewall moeten alle Adobe Connect-poorten in overweging worden genomen, evenals de configuratie van deze poorten voor binnenkomend of uitgaand verkeer.
Beveiliging van de databaseserver
Of u uw database nu wel of niet op dezelfde server als Adobe Connect host, u moet er altijd zeker van zijn dat uw database veilig is. Computers waarop een database wordt gehost, moeten op een veilige locatie worden geplaatst. Hieronder staan extra voorzorgsmaatregelen die u kunt nemen:
Installeer de database in de veilige zone van het uw intranet.
Sluit de database nooit direct aan op internet.
Maak regelmatig een back-up van alle gegevens en bewaar kopieën op een veilige, externe locatie.
Installeer de nieuwste patches voor uw databaseserver.
Gebruik vertrouwde SQL-verbindingen.
Raadpleeg de Microsoft SQL-beveiligingswebsite voor informatie over het beveiligen van SQL Server.
Serviceaccounts maken
Adobe Connect wordt veiliger uitgevoerd wanneer u een serviceaccount voor Adobe Connect maakt. Adobe raadt u aan een serviceaccount en een SQL Server Express Edition-serviceaccount voor Adobe Connect te maken. Meer informatie vindt u in de Microsoft-artikelen “De SQL Server- of SQL Server Agent-account wijzigen zonder gebruikmaking van SQL Enterprise Manager in SQL Server 2000 of SQL Server Configuration Manager in SQL Server 2008 en The Services and Service Accounts Security and Planning Guide.
Een serviceaccount maken
-
Maak een lokale account genaamd ConnectService, die geen standaardgroepen bevat.
-
Stel de Adobe Connect Service-service, de Adobe Media Administration Server-service en de Adobe Media Server- service (AMS) in op deze nieuwe account.
-
Stel “Volledig beheer” in voor de volgende registersleutel:
HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Joystick\Winmm
-
Stel “Volledig beheer” in in de NTFS-mappen in het basismappad van Adobe Connect (standaard is dit C:\Connect).
Voor submappen en bestanden moeten dezelfde machtigingen gelden. Bij clusters past u de corresponderende paden op elk computerknooppunt aan.
-
Stel de volgende aanmeldingsrechten in voor de Connect Service- account:
Aanmelden als service - SeServiceLogonRight
Een SQL Server Express Edition-serviceaccount maken
-
Maak een lokale account genaamd ConnectSqlService, die geen standaardgroepen bevat.
-
Wijzig de SQL Server Express Edition-serviceaccount van LocalSystem in ConnectSqlService.
-
Stel “Volledig beheer” voor ConnectSqlService in voor de volgende registersleutels:
HKEY_LOCAL_MACHINE\Software\Clients\Mail HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80 HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\[databaseInstanceName]
Voor clusters voert u deze stap voor elk knooppunt in de cluster uit. De machtiging Volledig beheer is van toepassing op alle onderliggende sleutels van een benoemde databasevermelding.
-
Stel “Volledig beheer” voor ConnectSqlService in in de database- mappen. Voor submappen en bestanden moeten dezelfde machtigingen gelden. Bij clusters past u de corresponderende paden op elk computerknooppunt aan.
-
Stel de volgende gebruikersrechten voor de ConnectSqlService-service in:
Functioneren als deel van het besturingssysteem - SeTcbPrivilege Controle op bladeren negeren - SeChangeNotify Pagina's in geheugen vergrendelen - SeLockMemory Aanmelden als batchtaak - SeBatchLogonRight Aanmelden als service - SeServiceLogonRight Een token op procesniveau vervangen -SeAssignPrimaryTokenPrivilege
Installaties op één server beveiligen
Hieronder wordt het proces beschreven voor het instellen en beveiligen van Adobe Connect op één computer. Hierbij wordt ervan uitgegaan dat de database wordt geïnstalleerd op dezelfde computer en dat gebruikers toegang hebben tot Adobe Connect via internet.
Installeer een firewall.
Aangezien u gebruikers toestaat verbinding te maken met Adobe Connect via internet, staat de server bloot aan aanvallen van hackers. Met een firewall kunt u toegang tot de server blokkeren en hebt u controle over de communicatie tussen internet en de server.
Configureer de firewall.
Nadat u de firewall hebt geïnstalleerd, configureert u deze als volgt:
Poorten voor Arkadin- of InterCall-telefonieadapters: 9080 of 9443.
Binnenkomende poorten (vanaf internet): 80, 443, 1935.
Uitgaande poorten (naar de mailserver): 25.
Gebruik uitsluitend het TCP/IP-protocol.
Aangezien de database zich op dezelfde server bevindt als Adobe Connect, hoeft u poort 1434 op de firewall niet te openen.
Installeer Adobe Connect.
Controleer of de Adobe Connect- toepassingen goed werken.
Nadat u Adobe Connect hebt geïnstalleerd, controleert u of het programma goed werkt (zowel vanaf internet als via uw lokale netwerk).
Test de firewall.
Nadat u de firewall hebt geïnstalleerd en geconfigureerd, controleert u of deze goed werkt. Test de firewall door te proberen de geblokkeerde poorten te gebruiken.
Clusters beveiligen
Systemen met clusters (meerdere servers) zijn van nature complexer dan configuraties met één server. Een Adobe Connect-cluster kan zich bevinden in een datacenter of kan geografisch over meerdere netwerkcentra zijn verspreid. U kunt servers die Adobe Connect hosten op meerdere locaties installeren en configureren en deze servers synchroniseren via replicatie van de database.
Op de clusters moet u Microsoft SQL Server Enterprise Edition gebruiken, en niet de ingesloten Standard Edition van de database.
Hieronder vindt u belangrijke suggesties voor het beveiligen van clusters:
Particuliere netwerken
De eenvoudigste oplossing voor clusters op één locatie is het instellen van een extra subnet voor het Adobe Connect-systeem. Deze benadering biedt een hoge mate van beveiliging.
Lokale softwarematige firewalls
Wanneer de Adobe Connect-servers zich in een cluster bevinden, maar een openbaar netwerk delen met andere servers, biedt een softwarematige firewall op elke server geschikte beveiliging.
VPN-systemen
Bij installaties met meerdere servers waarbij verschillende computers op meerdere locaties als host fungeren voor Adobe Connect kunt u overwegen een gecodeerd kanaal te gebruiken voor de communicatie met externe servers. Verschillende software- en hardwareleveranciers bieden VPN-technologie ter beveiliging van de communicatie met externe servers. Adobe Connect is afhankelijk van deze externe beveiliging wanneer gegevensverkeer moet worden gecodeerd.