• Articolo

Gestione delle minacce alle conferenze locali per Lync Server 2010

 

Ultima modifica dell'argomento: 2011-05-02

Microsoft Lync Server 2010 consente agli utenti Enterprise all'interno e all'esterno del firewall di creare e partecipare a conferenze Web in tempo reale (riunioni) ospitate in server Lync Server 2010 interni. Gli utenti Enterprise possono inoltre invitare a partecipare a queste riunioni utenti esterni che non dispongono di un account di Servizi di dominio Active Directory. Anche gli utenti dipendenti di partner federati con un'identità autenticata e protetta possono partecipare alle riunioni ed eventualmente essere promossi al ruolo di relatori. Gli utenti anonimi non possono creare né prendere parte a una riunione come relatori, ma possono essere promossi al ruolo di relatori dopo l'accesso.

Le conferenze Web locali si basano sul framework di sicurezza di base di Lync Server 2010:

  • Tutti i server sono trusted.

  • Tutte le connessioni server e le comunicazioni tra componenti collocati sono di tipo MTLS.

  • Tutte le comunicazioni sono crittografate.

  • Tutti gli utenti sono autenticati.

La possibilità per gli utenti esterni di partecipare a riunioni locali rappresenta un valore aggiunto per questa funzionalità, ma comporta anche alcuni rischi per la sicurezza. Per ovviare a questo problema, Lync Server offre le misure di sicurezza aggiuntive seguenti:

  • I ruoli dei partecipanti determinano i privilegi di controllo delle conferenze.

  • I tipi di partecipanti consentono di limitare l'accesso a riunioni specifiche.

  • I tipi di riunione definiti determinano quali tipi di partecipanti possano prendervi parte.

  • La pianificazione delle conferenze è limitata agli utenti che dispongono di credenziali Active Directory nella rete interna e che sono abilitati per Lync Server 2010.

  • Gli utenti anonimi, ovvero non autenticati, che desiderano partecipare a una conferenza telefonica con accesso esterno compongono uno dei numeri di accesso alla conferenza e immettono il proprio ID conferenza. Agli utenti anonimi non autenticati viene inoltre chiesto di registrare il proprio nome. Il nome registrato identifica gli utenti non autenticati nella conferenza. Gli utenti anonimi vengono quindi ammessi alla conferenza solo dopo l'accesso di almeno un coordinatore o di un utente autenticato e non possono essere associati a un ruolo predefinito.

Ruoli dei partecipanti

I partecipanti alle riunioni possono essere suddivisi in tre gruppi, ognuno con restrizioni e privilegi specifici:

  • Organizzatore. Utente che crea una riunione, che può essere improvvisata o pianificata. Un organizzatore deve essere un utente Enterprise autenticato e disporre del controllo di tutti gli aspetti di una riunione relativi agli utenti finali.

  • Relatore. Utente autorizzato a presentare le informazioni durante una riunione, utilizzando qualsiasi funzionalità multimediale supportata. L'organizzatore di una riunione è, per definizione, anche un relatore e stabilisce quali altri utenti possono agire come relatori. Un organizzatore può adottare questa decisione al momento della pianificazione o durante lo svolgimento di una riunione.

  • Partecipante. Utente invitato a partecipare a una riunione, ma non autorizzato ad agire come relatore.

Anche un relatore può promuovere un partecipante al ruolo di relatore durante la riunione.

Tipi di partecipanti

I partecipanti a una riunione sono inoltre divisi in categorie in base alla posizione e alle credenziali. È possibile utilizzare entrambe queste caratteristiche per specificare gli utenti autorizzati ad accedere a determinate riunioni. Gli utenti possono essere suddivisi nei gruppi generali di utenti interni ed esterni:

  • Gli utenti interni dispongono di credenziali Active Directory nell'organizzazione e si connettono da postazioni interne al firewall aziendale.

  • Gli utenti esterni sono coloro che si connettono temporaneamente o permanentemente a un'organizzazione da postazioni esterne al firewall aziendale. Possono disporre di credenziali Active Directory. Lync Server 2010 offre il supporto per le conferenze per i tipi seguenti di utenti esterni:

    • Utenti remoti che dispongono di un'identità Active Directory permanente all'interno dell'organizzazione. Sono inclusi i dipendenti che lavorano dalla propria abitazione o in viaggio e altri dipendenti, ad esempio i dipendenti dei fornitori ritenuti attendibili, a cui sono state concesse credenziali aziendali soggette a condizioni per l'utilizzo del servizio. Gli utenti remoti possono creare le conferenze e parteciparvi, nonché agire come relatori.

    • Gli utenti federati dispongono di credenziali valide con i partner federati e vengono pertanto gestiti da Lync Server 2010 come utenti autenticati. Gli utenti federati possono partecipare a conferenze ed essere promossi al ruolo di relatori dopo avere effettuato l'accesso alla riunione, ma non possono creare conferenze nelle organizzazioni con cui sono federati.

    • Utenti anonimi che non dispongono di un'identità Active Directory e non sono federati con l'organizzazione.

Dai dati forniti dai clienti risulta come molte conferenze coinvolgano utenti esterni. Questi clienti desiderano avere garanzie sull'identità degli utenti esterni prima di consentire loro di prendere parte a una conferenza. Come descritto nelle sezioni seguenti, Lync Server 2010 limita l'accesso alle riunioni ai tipi di utenti a cui sono state esplicitamente concesse le autorizzazioni e richiede che tutti i tipi di utenti presentino credenziali appropriate per partecipare a una riunione.

Ammissione dei partecipanti

In Lync Server 2010 gli utenti anonimi e i partecipanti la cui autenticazione ha esito negativo vengono trasferiti nella sala di attesa. I relatori possono ammettere questi utenti alla riunione oppure rifiutare loro l'accesso. In questo modo per gli utenti anonimi e i partecipanti che utilizzano la funzionalità di conferenza telefonica con accesso esterno e la cui autenticazione ha esito negativo non sarà più necessario disconnettersi e ripetere l'operazione. Questi utenti vengono trasferiti nella sala di attesa, il responsabile riceve una notifica e gli utenti quindi attendono finché un responsabile non accetta o rifiuta l'accesso oppure finché non si verifica il timeout della connessione. Mentre si trovano nella sala di attesa, gli utenti ascoltano brani musicali. Per impostazione predefinita, i partecipanti che compongono il numero di telefono dalla rete PSTN accedono direttamente alla riunione, ma questa opzione può essere modificata per forzare il passaggio di questi partecipanti dalla sala di attesa. Gli organizzatori delle riunioni definiscono se i partecipanti possono accedere a una riunione senza passare dalla sala di attesa. Ogni riunione può essere configurata per abilitare l'accesso utilizzando uno dei metodi seguenti:

  • Solo organizzatore (bloccato)   Tutti devono essere trasferiti nella sala di attesa finché non vengono ammessi, ad eccezione dell'organizzatore.

  • Persone invitate appartenenti alla società   Tutti devono essere trasferiti nella sala di attesa finché non vengono ammessi, ad eccezione dei partecipanti inclusi della lista di distribuzione relativa alla riunione.

  • Persone appartenenti alla società   Tutti gli utenti interni possono partecipare alla riunione senza essere trasferiti nella sala di attesa, anche se non sono inclusi nella lista di distribuzione.Tutti gli altri invece devono essere trasferiti nella sala di attesa finché non vengono ammessi, inclusi tutti gli utenti esterni e gli utenti anonimi.

  • Tutti, incluse le persone esterne alla società (nessuna restrizione)   Tutti coloro che partecipano alla riunione evitano di transitare per la sala di attesa e vengono ammessi direttamente alla riunione.

Quando viene specificato uno di questi metodi, ad eccezione di Solo organizzatore (bloccato), l'organizzatore della riunione può specificare anche Le persone che accedono tramite telefono evitano la sala di attesa.

Funzioni del relatore

Gli organizzatori delle riunioni specificano se i partecipanti possono agire come relatori durante una riunione. Ogni riunione può essere configurata per limitare la funzione di relatore a una delle categorie seguenti:

  • Solo organizzatore   Solo l'organizzatore della riunione può agire come relatore.

  • Persone appartenenti alla società   Tutti gli utenti interni possono agire come relatori.

  • Tutti, incluse le persone esterne alla società (nessuna restrizione)   Può agire come relatore chiunque partecipi alla riunione.

  • Persone scelte dall'utente   L'organizzatore della riunione specifica quali utenti possono agire come relatori aggiungendoli a un elenco di relatori.