• Artikel

Reagieren auf Bedrohungen für Konferenzen am Standort

Letztes Änderungsdatum des Themas: 2009-03-10

Office Communications Server 2007 R2 ermöglicht es Benutzern in Unternehmensumgebungen innerhalb und außerhalb der Firewall erstmals, Echtzeit-Webkonferenzen zu initiieren und sich an Echtzeit-Webkonferenzen zu beteiligen, die auf den internen Office Communications Server 2007 R2-Servern gehostet werden. Benutzer im Unternehmen können auch externe Benutzer einladen, die über kein Active Directory-Domänendienstkonto verfügen. Auch Benutzer, die für Verbundpartner mit einer sicheren und authentifizierten Identität arbeiten, können an Konferenzen teilnehmen und, wenn sie hierzu ernannt werden, als Referenten fungieren. Anonyme Benutzer können eine Konferenz nicht als Referent erstellen oder ihr beitreten, sie können jedoch nach ihrem Beitritt zum Referenten ernannt werden.

Webkonferenzen am Standort basieren auf dem Sicherheitsframework für Office Communications Server:

  • Alle Server werden als vertrauenswürdig eingestuft.
  • Alle Serververbindungen sind vom Typ MTLS.
  • Die gesamte Kommunikation wird verschlüsselt.
  • Alle Benutzer werden authentifiziert.

Interne A/V-Konferenzserver in einer verteilten Poolkonfiguration lassen sich über MTLS mit Front-End- und Vermittlungsservern verbinden. Interne Webkonferenzserver lassen sich mit Front-End-Servern und dem Webkonferenz-Edgedienst über MTLS verbinden. Auf einem Standard Edition-Server oder in einer konsolidierten Poolkonfiguration sind Konferenzserver auf Front-End-Servern angeordnet, für die Kommunikation zwischen den einander zugeordneten Komponenten ist jedoch weiterhin MTLS erforderlich.

Die Möglichkeit für externe Benutzer an Webkonferenzen am Standort teilzunehmen, erhöht den Wert dieses Features erheblich, birgt jedoch auch einige Sicherheitsrisiken. Um diesen Risiken Rechnung zu tragen, bietet Office Communications Server folgende zusätzliche Sicherheitsmaßnahmen:

  • Die Teilnehmerrollen bestimmen die Konferenzsteuerungsberechtigungen.
  • Anhand der Teilnehmertypen können Sie den Zugang zu bestimmten Besprechungen beschränken.
  • Definierte Besprechungstypen bestimmen, welche Arten von Teilnehmern zugelassen werden.
  • Die Konferenzplanung ist auf Benutzer beschränkt, die im internen Netzwerk über Active Directory-Anmeldeinformationen verfügen und Office Communications Server 2007 R2 ausführen können.
  • Anonyme, d. h. nicht authentifizierte, Benutzer müssen eindeutige Konferenzkennwörter eingeben und eine Digestauthentifizierung absolvieren, um an einer Besprechung teilzunehmen. Die Kennwörter gelten jeweils nur für eine Konferenz.

Teilnehmerrollen

Die Besprechungsteilnehmer lassen sich in drei Gruppen aufteilen, von denen jede über eigene Privilegien und Beschränkungen verfügt:

  • Organisator. Der Benutzer, der eine spontane oder geplante Besprechung initiiert. Der Organisator muss ein authentifizierter Benutzer aus dem Unternehmen sein, der alle Endbenutzeraspekte einer Besprechung steuern kann.
  • Referent. Ein Benutzer, der dazu autorisiert ist, Informationen in einer Besprechung zu präsentieren und hierzu jedes unterstützte Medium verwenden kann. Der Organisator einer Besprechung ist definitionsgemäß auch Referent und bestimmt, wer außer ihm Referent sein kann. Der Organisator kann diese Festlegung während der Planung der Besprechung oder zu einem anderen Zeitpunkt vor Beginn der Besprechung treffen.
  • Teilnehmer. Ein Benutzer, der zur Teilnahme an einer Besprechung eingeladen wurde, jedoch nicht dazu autorisiert ist, als Referent zu fungieren.

Ein Referent kann einen anderen Teilnehmer auch während der Besprechung zum Referenten ernennen.

Teilnehmertypen

Besprechungsteilnehmer werden auch nach ihrem Standort und ihren Anmeldeinformationen kategorisiert. Sie können mithilfe dieser Merkmale festlegen, welche Benutzer Zugang zu bestimmten Besprechungen erhalten. Die Benutzer lassen sich grob in interne und externe Benutzer unterteilen:

  • Interne Benutzer verfügen über Active Directory-Anmeldeinformationen innerhalb des Unternehmens und stellen Verbindungen von innerhalb der Unternehmensfirewall her.
  • Externe Benutzer stellen eine vorübergehende oder dauerhafte Verbindung mit einem Unternehmen von einem Standort her, der sich außerhalb der Unternehmensfirewall befindet. Diese Benutzer verfügen möglicherweise über Active Directory-Anmeldeinformationen. Office Communications Server 2007 R2 unterstützt die Konferenzteilnahme bei folgenden Typen von externen Benutzern:
    • Remotebenutzer verfügen innerhalb des Unternehmens über eine dauerhafte Active Directory-Identität. Zu ihnen zählen Mitarbeiter, die zu Hause oder unterwegs arbeiten, sowie andere Personen, z. B. Mitarbeiter vertrauenswürdiger Lieferanten, denen für ihre Dienstleistungen Anmeldeinformationen für das Unternehmen zur Verfügung gestellt wurden. Remotebenutzer können Konferenzen erstellen und an Konferenzen teilnehmen sowie als Referenten auftreten.
    • Verbundbenutzer besitzen gültige Anmeldeinformationen für Verbundpartner und werden daher von Office Communications Server 2007 R2 als authentifiziert behandelt. Verbundbenutzer können nach ihrem Beitritt zur Besprechung an Konferenzen teilnehmen und als Referenten auftreten, jedoch keine Konferenzen in Unternehmen erstellen, mit denen ein Verbund eingegangen wurde.
    • Anonyme Benutzer verfügen über keine Active Directory-Identität und sind nicht über einen Verbund an das Unternehmen angeschlossen. Im Rahmen von Konferenzen werden Benutzer des öffentlichen Netzes als anonyme Benutzer behandelt.

Kundendaten zeigen, dass an vielen Konferenzen externe Benutzer mitwirken. Diese Kunden möchten auch die Identität der externen Benutzer überprüfen, bevor sie diesen die Teilnahme an einer Konferenz gestatten. Wie im folgenden Abschnitt beschrieben, beschränkt Office Communications Server 2007 R2 den Zugang zu Besprechungen auf diejenigen Benutzertypen, die explizit zugelassen wurden, und erfordert von allen Benutzertypen die Angabe entsprechender Anmeldeinformationen, bevor sie an einer Besprechung teilnehmen können.

Besprechungstypen

Sie können Office Communications Server 2007 R2 so konfigurieren, dass Besprechungen zwischen den folgenden Benutzertypen unterstützt werden:

  • Nur interne Benutzer. Wenn keine Edgeserver bereitgestellt werden, müssen alle Teilnehmer über eine Active Directory-Identität innerhalb des Unternehmens verfügen und können nur Verbindungen von innerhalb der Unternehmensfirewall herstellen.
  • Nur authentifizierte Benutzer. Alle Teilnehmer verfügen über eine Active Directory-Identität innerhalb des Unternehmens oder innerhalb eines Verbundunternehmens und können Verbindungen von inner- und außerhalb der Unternehmensfirewall herstellen.

Besprechungen, die für authentifizierte Benutzer zugänglich sind, können einen der beiden folgenden Typen aufweisen:

  • Innerhalb des Netzwerks einladen. Alle Benutzer im Unternehmen können an der Besprechung teilnehmen. Sie werden als Teilnehmer aufgenommen, sofern sie vom Organisator der Besprechung nicht als Referenten festgelegt wurden. Verbundbenutzer können nur dann als Teilnehmer an einer Besprechung teilnehmen, wenn sie vom Organisator eingeladen werden. Verbundbenutzer können der Besprechung nicht als Referenten beitreten, sie können jedoch während der Besprechung zum Referenten ernannt werden.
  • Innerhalb des Netzwerks einladen (eingeschränkt). Nur Benutzer, die über Active Directory-Anmeldeinformationen innerhalb des Unternehmens verfügen und in den Listen mit Vortragenden und Teilnehmern des Besprechungsorganisators verzeichnet sind, dürfen an einer geschlossenen authentifizierten Besprechung teilnehmen. Beispielsweise kann eine Arbeitsgruppe oder ein Geschäftsbereich dieses Kriterium für seine regelmäßig angesetzten Besprechungen verwenden. Verbund- und anonyme Benutzer sind zur Teilnahme an dieser Art Besprechung nicht zugelassen.
  • Alle einladen. Eine Besprechung, zu der anonyme Benutzer eingeladen werden können. Der Organisator der Besprechung muss berechtigt sein, anonyme Benutzer einzuladen, um eine Besprechung dieses Typs initiieren zu können. Zum Unternehmen gehörige Benutzer werden als Teilnehmer aufgenommen, sofern sie vom Organisator der Besprechung nicht als Referenten festgelegt wurden. Anonyme Benutzer werden nur als Teilnehmer aufgenommen, können vom Organisator der Besprechung jedoch zum Referenten ernannt werden, nachdem sie Teilnehmer der Besprechung geworden sind. Um an einer Besprechung teilnehmen zu können, müssen anonyme Benutzer den Konferenzschlüssel angeben, den sie in einer E-Mail-Einladung erhalten haben. Darüber hinaus müssen Sie die Digestauthentifizierung erfolgreich bestehen. Ausführliche Informationen zur Digestauthentifizierung finden Sie unter Authentifizierung für Office Communications Server 2007 R2.