Узнайте, как обеспечить защиту серверов Adobe Connect и связанных с ними баз данных, сети и кластеров. Для более безопасной работы с Adobe Connect создайте учетные записи службы.

Безопасность сети

Для подключений Adobe Connect используется несколько закрытых служб TCP/IP. Эти службы открывают несколько портов и каналов, которые должны быть защищены от внешних пользователей. Для работы Adobe Connect необходимо, чтобы важные порты были защищены брандмауэром. Брандмауэр должен поддерживать проверку пакетов с сохранением информации о них (не ограничиваясь только фильтрацией пакетов). В брандмауэре отклоните все службы по умолчанию за исключением тех, которые разрешены в явной форме. Брандмауэр должен быть, по крайней мере, двухканальным (иметь два или более сетевых интерфейса). Такая архитектура помогает предотвратить обход защиты брандмауэра, осуществляемый несанкционированными пользователями.

Самым простым способом защиты Adobe Connect является блокировка всех портов сервера за исключением портов 80, 1935 и 443. Внешнее аппаратное устройство брандмауэра обеспечивает защиту от пробелов в операционной системе. Можно настроить слои аппаратных брандмауэров на формирование демилитаризованных зон. При обновлении сервера вашим ИТ-отделом с помощью новейших исправлений для обеспечения безопасности Microsoft можно настроить программный брандмауэр на включение специальной защиты.

Доступ к интрасети

При необходимости предоставления для пользователей доступа к Adobe Connect в интрасети разместите серверы Adobe Connect и базу данных Adobe Connect в отдельной подсети, отделенной брандмауэром. Сегмент внутренней сети, в котором установлен Adobe Connect, должен использовать закрытые IP-адреса (10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16), чтобы еще больше усложнить для злоумышленника задачу направления трафика к открытому IP-адресу и отслеживания внутреннего IP-адреса, полученного с помощью NAT. Дополнительные сведения см. в серии документов RFC 1918 («Рабочее предложение»). При данной конфигурации брандмауэра должны учитываться все порты Adobe Connect и наличие у них настройки для входящего и исходящего трафика.

Защита сервера базы данных

Если для базы данных и Adobe Connect роль ведущего узла выполняет один и тот же сервер, убедитесь, что база данных защищена. Компьютеры, выполняющие роль ведущего узла для базы данных, должны находиться в защищенном месте. К особым мерам предосторожности относятся следующие.

  • Установите базу данных в защищенной зоне интрасети.

  • Никогда не подключайте базу данных напрямую к Интернету.

  • Регулярно создавайте резервные копии данных и храните их в защищенном местоположении вне рабочего места.

  • Установите новейшие «заплаты» для сервера базы данных.

  • Используйте надежные подключения SQL.

Сведения о защите SQL Server см. на веб-сайте обеспечения безопасности Microsoft SQL.

Создание учетных записей службы

Создание учетной записи службы для Adobe Connect позволяет повысить уровень защиты Adobe Connect при его использовании. Компания Adobe рекомендует создать учетную запись службы, а также учетную запись SQL Server Express Edition для Adobe Connect. Дополнительные сведения приведены в статьях компании Microsoft «Изменение учетной записи службы SQL Server или агента SQL Server без использования SQL Enterprise Manager в SQL Server 2000 или диспетчера конфигурации SQL Server в SQL Server 2008» и «Защита служб и учетных записей служб и инструкции по планированию».

Создание учетной записи службы

  1. Создайте локальную учетную запись с именем ConnectService, которая не содержит ни одной из групп по умолчанию.
  2. Для этой новой учетной записи установите службу Adobe Connect Service, службу Adobe Media Administration Server и службу Adobe Media Server (AMS).
  3. Установите «Полное управление» для следующего ключа реестра:
    HKLM\SYSTEM\ControlSet001\Control\MediaProperties\PrivateProperties\Joystick\Winmm
  4. Установите права «Полное управление» для папок NTFS, расположенных в корневой папке Adobe Connect (по умолчанию C:\Connect).

    Подпапки и файлы должны иметь одинаковые разрешения. В кластерах на каждом узле компьютера измените соответствующие пути.

  5. Для учетной записи ConnectService установите следующие права входа в систему.

    Вход в систему в качестве службы — SeServiceLogonRight

Создание учетной записи службы SQL Server Express Edition

  1. Создайте локальную учетную запись с именем ConnectSqlService, которая не содержит ни одной из групп по умолчанию.
  2. Измените учетную запись службы SQL Server Express Edition с LocalSystem на ConnectSqlService.

  3. Установите «Полное управление» для ConnectSqlService для следующих ключей реестра:
    HKEY_LOCAL_MACHINE\Software\Clients\Mail    
    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80    
    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\[databaseInstanceName]

    Для кластеров: выполняйте этот шаг для каждого узла в кластере. Разрешение «Полное управление» применяется ко всем дочерним ключам названного экземпляра базы данных.

  4. Установите «Полное управление» для ConnectSqlService в папках базы данных. Подпапки и файлы должны также иметь одинаковые разрешения. В кластерах на каждом узле компьютера измените соответствующие пути.
  5. Для службы ConnectSqlService установите следующие права пользователя.

    Действие в качестве части операционной системы — SeTcbPrivilege, контрольная проверка параллельных подключений — SeChangeNotify, блокировка страниц в памяти — SeLockMemory, вход в качестве пакетного задания — SeBatchLogonRight, вход в качестве службы — SeServiceLogonRight, замена маркера на уровне обработки — SeAssignPrimaryTokenPrivilege

Обеспечение защиты установок одиночного сервера

Следующая процедура объединяет в себе процессы установки и обеспечения защиты Adobe Connect на одиночном компьютере. Предполагается, что база данных устанавливается на тот же компьютер, и что пользователи осуществляют доступ к Adobe Connect через Интернет.

Установка брандмауэра.

Поскольку пользователям разрешено подключаться к Adobe Connect через Интернет, сервер открыт для атак со стороны злоумышленников. С помощью брандмауэра можно блокировать доступ к серверу и управлять процессом взаимодействия между Интернетом и сервером.

Настройка брандмауэра.

Установив брандмауэр, настройте его следующим образом.

  • Порты для адаптеров телефонии Arkadin или InterCall: 9080 или 9443.

  • Входящие порты (из Интернета): 80, 443, 1935.

  • Исходящие порты (к почтовому серверу): 25.

  • Используйте только протокол TCP/IP.

    Поскольку база данных расположена на том же сервере, что и Adobe Connect, нет необходимости открывать в брандмауэре порт 1434.

Установка Adobe Connect.

Проверка работы приложений Adobe Connect.

Установив систему Adobe Connect, убедитесь, что она работает должным образом как из Интернета, так и из локальной сети.

Проверка брандмауэра.

Установив и настроив брандмауэр, удостоверьтесь, что он работает надлежащим образом. Проверьте брандмауэр, сделав попытку использовать заблокированные порты.

Обеспечение защиты кластеров

(Многосерверные) системы кластеров по своему существу сложнее односерверных конфигураций. Кластер Adobe Connect можно разместить в центре обработки данных или в нескольких территориально распределенных центрах сетевых операций. Можно установить и настроить серверы, выполняющие роль ведущего узла для Adobe Connect, в нескольких местоположениях и синхронизировать их посредством репликации базы данных.

Примечание.

В кластерах используйте Microsoft SQL Server Enterprise Edition и не встроенную редакцию базы данных Standard Edition.

Далее приведены важные замечания, касающиеся обеспечения защиты кластеров.

Закрытые сети

Самым простым решением для кластеров, расположенных в одном месте, является создание для системы Adobe Connect дополнительной подсети. Это направление предлагает высокий уровень защиты.

Локальные программные брандмауэры

Для серверов Adobe Connect, расположенных в кластере, но совместно с другими серверами использующих открытую сеть, может быть целесообразным наличие на каждом отдельном сервере программного брандмауэра.

Системы виртуальной частной сети (VPN)

В многосерверных установках, выполняющих роль ведущего узла для Adobe Connect в разных физических местоположениях, для взаимодействия с удаленными серверами может потребоваться использование зашифрованного канала. Многие поставщики программного и аппаратного обеспечения для обеспечения защиты взаимодействия с отдаленными серверами предлагают технологию виртуальной частной сети. Adobe Connect полагается на эту внешнюю защиту, когда трафик данных должен быть зашифрован.

Эта работа лицензируется в соответствии с лицензией Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported  На посты, размещаемые в Twitter™ и Facebook, условия Creative Commons не распространяются.

Правовые уведомления   |   Политика конфиденциальности в сети Интернет