Crie uma conta local, com o nome de ConnectService, que não contenha nenhum grupo padrão.
Última atualização em
18/01/2022
|
Também é aplicável a Adobe Connect 10, Adobe Connect 9
Aprenda a proteger seus servidores e bancos de dados relacionados, redes e clusters do Adobe Connect. Crie contas de serviços para executar o Adobe Connect com mais precisão.
Segurança da rede
O Adobe Connect utiliza vários serviços TCP/IP privados para realizar suas comunicações. Esses serviços abrem várias portas e canais que precisam ser protegidos de usuários externos. O Adobe Connect exige que você coloque portas confidenciais atrás de um firewall. O firewall deve suportar a inspeção de pacotes com informações de estado (não apenas a filtragem dos pacotes). No firewall, negue todos os serviços por padrão, exceto aqueles expressamente habilitados. O firewall deve ser no mínimo de base dupla (dual-homed), ou seja, com suporte para duas ou mais interfaces de rede. Essa arquitetura ajuda a impedir que usuários não autorizados violem a segurança do firewall.
A solução mais fácil para proteger o Adobe Connect é bloquear todas as portas no servidor, exceto as portas 80, 1935 e 443. O firewall de um hardware externo fornece uma camada de proteção contra as falhas no sistema operacional. É possível configurar camadas dos firewalls de hardwares para formarem DMZs. Se o servidor for atualizado pelo departamento de TI com as últimas atualizações de segurança da Microsoft, um software de firewall pode ser configurado para fornecer segurança extra.
Acesso à intranet
Para que usuários possam acessar o Adobe Connect na intranet, os servidores do Adobe Connect e o banco de dados do Adobe Connect devem estar em uma subrede separada, isolada por um firewall. O segmento da rede interna no qual o Adobe Connect está instalado deve usar endereços IP privados (10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16) para tornar difícil aos invasores direcionar o tráfego para um endereço IP público e a partir do IP interno usado como endereço de rede. Para obter mais informações, consulte a RFC 1918. Esta configuração do firewall deve levar em consideração todas as portas do Adobe Connect e se elas estão configuradas para entrada ou saída de tráfego.
Segurança do banco de dados
Independentemente de seu banco de dados estar ou não hospedado no mesmo servidor Adobe Connect, certifique-se de que o banco de dados esteja protegido. Os computadores que hospedam bancos de dados precisam estar em locais fisicamente seguros. As precauções extras incluem o seguinte:
Instale o banco de dados na zona segura da sua intranet.
Nunca conecte o banco de dados diretamente à Internet.
Faça backup de todos os dados regularmente e armazene as cópias em um local seguro fora das instalações comerciais.
Instale as últimas atualizações do servidor do banco de dados.
Use conexões confiáveis SQL.
Para obter informações sobre como proteger o SQL Server, consulte o site de segurança do Microsoft SQL.
Criar contas de serviços
A criação de uma conta de serviços do Adobe Connect permite que o Adobe Connect seja executado com mais segurança. A Adobe recomenda criar uma conta de serviço e uma conta do serviço SQL Server Express Edition para o Adobe Connect. Para obter mais informações, consulte os artigos da Microsoft “How to change the SQL Server or SQL Server Agent service account without using SQL Enterprise Manager in SQL Server 2000 or SQL Server Configuration Manager in SQL Server 2008” e The Services and Service Accounts Security and Planning Guide.
Criar uma conta de serviço
-
-
Ative o serviço Adobe Connect Service, o Adobe Media Administration Server e o Adobe Media Server (AMS) para essa nova conta.
-
Atribua “Controle total” para esta chave de registro:
HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Joystick\Winmm
-
Atribua “Controle total” para as pastas NTFS no caminho da raiz do Adobe Connect (C:\Connect, por padrão).
As subpastas e arquivos devem receber as mesmas permissões. Os caminhos dos clusters devem ser modificados em cada nó do computador.
-
Atribua os seguintes direitos de logon para a conta ConnectService:
Fazer logon como um serviço — SeServiceLogonRight
Criar uma conta do serviço SQL Server Express Edition
-
Crie uma conta local, com o nome de ConnectSqlService, que não contenha nenhum grupo padrão.
-
Altere a conta do SQL Server Express Edition Service de LocalSystem para ConnectSqlService.
-
Atribua “Controle total” para as seguintes chaves de registro na conta ConnectSqlService:
HKEY_LOCAL_MACHINE\Software\Clients\Mail HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80 HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\[databaseInstanceName]
Execute a etapa a seguir em todos os nós do cluster. A permissão de controle total se aplica a todas as chaves secundárias de uma instância com nome definido do banco de dados.
-
Atribua “Controle total” para pastas do banco de dados na conta ConnectSqlService. As subpastas e arquivos também devem receber as mesmas permissões. Os caminhos dos clusters devem ser modificados em cada nó do computador.
-
Atribua os seguintes direitos de usuário para a conta de serviços ConnectSqlService:
Atuar como parte do sistema operacional — SeTcbPrivilege; Ignorar a verificação completa — SeChangeNotify; Bloquear páginas na memória — SeLockMemory; Fazer logon como um trabalho em lotes — SeBatchLogonRight; Fazer logon como um serviço — SeServiceLogonRight; Substituir um token no nível de processo — SeAssignPrimaryTokenPrivilege
Proteção das instalações com apenas um servidor
O fluxo de trabalho a seguir resume o processo de configuração e a proteção do Adobe Connect em um único computador. Ele parte do princípio de que o banco de dados será instalado no mesmo computador e que os usuários acessarão o Adobe Connect pela Internet.
Instale um firewall.
Como você está permitindo o acesso de usuários ao Adobe Connect pela Internet, o servidor fica vulnerável a ataques de invasores. O firewall permite bloquear o acesso ao servidor e controlar as comunicações que ocorrem entre a Internet e o servidor.
Configure o firewall.
Após instalar o firewall, configure-o conforme descrito a seguir:
Portas para adaptadores de telefonia Arkadin ou InterCall: 9080 ou 9443.
Portas de entrada (dados recebidos da Internet): 80, 443 e 1935.
Porta de saída (dados enviados para o servidor de mensagens): 25.
Use apenas o protocolo TCP/IP.
Como o banco de dados fica no mesmo servidor Adobe Connect, não abra a porta 1434 no firewall.
Instale o Adobe Connect.
Verifique se os aplicativos do Adobe Connect estão funcionando.
Após instalar o Adobe Connect, verifique se ele está funcionando corretamente da Internet e da rede local.
Teste o firewall.
Após instalar e configurar o firewall, verifique se ele está funcionando corretamente. Para testar o firewall, tente usar as portas bloqueadas.
Proteção dos clusters
Os próprios sistemas de clusters (com vários servidores) são mais complexos que as configurações com apenas um servidor. Um cluster do Adobe Connect pode estar localizado em um centro de dados ou distribuído geograficamente entre os vários centros de operações da rede. É possível instalar e configurar servidores que hospedam o Adobe Connect em diferentes locais e sincronizá-los por meio da replicação do banco de dados.
Observação:
Nos clusters, use o Microsoft SQL Server Enterprise Edition e não a versão incorporada Standard Edition do banco de dados.
Veja a seguir algumas dicas importantes para a segurança dos clusters:
Redes privadas
A solução mais simples para clusters em um único local é criar uma subrede extra para o sistema Adobe Connect. Essa estratégia oferece um alto nível de segurança.
Softwares de firewalls locais
Para os servidores Adobe Connect que estão localizados em um cluster, mas compartilham uma rede pública com outros servidores, pode ser apropriado usar um firewall de software em cada servidor.
Sistemas de VPN (rede privada virtual)
Em instalações com vários servidores, que hospedam o Adobe Connect em diferentes locais físicos, pense em usar um canal criptografado para se comunicar com os servidores remotos. Muitas revendedoras de softwares e hardwares oferecem a tecnologia VPN para proteger comunicações com servidores remotos. O Adobe Connect se vale dessa segurança externa quando o tráfego de dados precisa ser criptografado.
