Lync Virenscanner
Nicht wenige Firmen haben eine Policy, dass alle Server, Clients und Dienste, die Daten übertragen auch mit einem Virenscanner versehen sein müssen. Schließlich ist es ein möglicher Verbreitungsweg von Schadcode, der idealerweise auf dem Server direkt unterbunden werden sollte. Und da gibt es mehrere Wege:
Die Themen im Einzelnen:
Antivirus auf dem Server
Lync Server sind "Windows Server" die mit Ausnahme des Edge Servers intern stehen und in der Domäne sind. Aber die stellen Dienste bereit, die auch aus dem Internet erreichbar sind. Daher ist auf jedem Lync Frontend Server immer auch ein IIS installieren. Auch intern wird auf den meisten Server z.B. SMB aktiv sein. Auch habe ich es immer wieder erlebt, dass Administratoren auf dem Lync Server sogar im Internet Informationen recherchieren, was generell nicht auf Servern ratsam ist. Es gibt also durchaus Möglichkeiten einen Windows Server mit Lync anzusprechen oder zu infizieren.
Ein Lync Server kann also schon mit einem Virenscanner ausgestattet werden, der das Dateisystem gegen Einnistung und Verbreitung von Schadcode schützt. Allerdings sind moderne Scanner schon lange mehr als "nur" Dateiscanner, sondern überprüfen immer mehr auch Prozesse und sogar Netzwerkverbindungen. So wichtig ein Virenscanner ist, so sollten Sie hier mit Ausnahmen arbeiten.
Bereich | Werte |
---|---|
Prozesse |
ASMCUSvc.exe |
IIS |
%systemroot%\system32\inetsrv\w3wp.exe |
SQL |
%ProgramFiles%\Microsoft
SQL
Server\MSSQL11.LYNCLOCAL
\MSSQL\Binn\SQLServr.exe |
Verzeichnisse |
%systemroot%\System32\LogFiles |
Weitere
Speicherorte |
Diese Daten liegen in der Regel auf Servern, auf denen selbst kein "Lync" installiert wurde. |
Beachten Sie auch andre Hinweise
- Specifying Antivirus
Scanning Exclusions
http://technet.microsoft.com/en-us/library/gg195736(v=ocs.14).aspx - Antivirus software running
on Lync Server 2013 Front End
Servers can cause Application
Domain recycling, which
temporarily interrupts service für Lync Web App 2013, Lync
Mobile 2010, and Lync Mobile
2013 clients (3212531)
http://technet.microsoft.com/en-us/library/jj205120.aspx - Antivirus Scanning
Exclusions für Lync Server
http://lyncdup.com/2011/09/antivirus-scanning-exclusions-for-lync-server/ - Lync Server 2010 AntiVirus
exclusions: an easy way to do it
http://blog.yogi-way.lv/2012/09/lync-server-2010-antivirus-exclusions.html - AntiVirus and Lync
'http://tsoorad.blogspot.de/2011/05/av-and-lync.html
Antivirus auf dem Client
Aber auch auf dem Arbeitsplatz können übereifrige Virenscanner mächtig wirbel verursachen. Solange es sich nur um Präsenz und InstantMessaging handelt, nutzt der Client nur den Port 5061 zum Server und die Webservices. Hier ist es unwahrscheinlich, dass Firewalls zuschlagen. Es wäre aber vorstellbar, dass eine von früher noch eine "Block SIP" Policy hat, um andere Clients wie Jabber, MSN, ICQ etc. zu blocken. So etwas fällt aber in der Regel schon bei der Installation auf.
Sobald aber Audio/Video dazu kommt, bedient sich der Client der Technik ICE und Kandidaten, um dynamisch auch UDP/TCP-Ports für eingehende Verbindungen zu öffnen. Hier könnten übervorsichtige Virenscanner schon die öffnung einer Hintertür erwarten und den Zugriff verbieten.
Nicht immer meldet ein Virenscanner sichtbar, dass er eine Verbindung blockiert hat. Oft muss der Administrator in das LOG-File schauen. Das war schon bei SMTP-Ports mit McAfee so.
Hier könnten Sie also ebenfalls mit "Allowlists" arbeiten und die Lync Clients entsprechend zulassen
Client | EXE |
---|---|
OCS2007R2 Communicator |
Communicator.exe |
Lync 2010 Communicator |
Communicator.exe |
Lync 2013 Communicator |
Lync.exe |
Lync 2010 Attendee |
AttendeeCommunicator.exe |
Lync 2010 Attendant Client |
Attendantconsole.exe |
Lync2013 WebApp Add-on |
LWAPlug-in.exe |
- Lync 2010 Client Failure
Issues: Antivirus Software and
Windows Firewall
http://infrastructurehelp.wordpress.com/2011/04/29/lync-2010-client-failure-issues-antivirus-software-and-windows-firewall/ - Kaspersky anti-virus setup für Microsoft Lync 2010
http://support.sherweb.com/Faqs/Show/kaspersky-anti-virus-setup-for-microsoft-lync-2010
Schutz für Dateitransfer
Lync Client können bei einer P2P-Verbindung problemlos auch Dateien übertragen. Früher war dies noch ein TFTP-Transfer, der in der Regel sowieso nur in einem Netzwerk ohne Firewalls und NAT funktioniert hat. Seit Lync 2010 nutzt der Dateitransfer aber auch ICE und Kandidaten, so dass der Transfer auch über Edge-Server und Federation funktioniert. In beiden Fällen ist der Lync Server selbst aber nicht in die Kommunikation selbst einbezogen und kann daher auch nicht scannen. Er sieht nur den "INVITE" mit den Vermittlungsdaten.
Der Lync Server kann aber diese Steuerinformationen natürlich kontrollieren und verändern. Entsprechend kann ein Administrator hier steuernd und regulierend eingreifen.
Siehe auch Dateitransfer.
Wenn ein Dateitransfer erlaubt ist, dann kann nur noch der Virenscanner auf dem Client selbst die Inhalte prüfen und gegebenenfalls reinigen oder blocken. Ein Virenscanner auf dem Client ist aber immer ratsam, da nicht nur über Lync Daten übertragen werden können. E-Mails und andere Dienste können natürlich auch Schadcode auf den Client bringen
Schutz für Meetinginhalte
Ein weiterer Bereich zum "Austausch von Daten" ist der Meetingroom, über den Dateien bereitgestellt werden können:
Aber auch hier lädt in der Regel ein "authentifizierter Benutzer" die Dateien hoch und die Teilnehmer müssen die Datei aktiv herunter landen. Auch dann hat ein lokaler Virenscanner wieder alle Optionen die Dateien zu prüfen.
Die Inhalte selbst landen auf Lync Share und werden dort von Lync aber verschlüsselt abgelegt. So wird verhindert, dass ein Administrator nicht allzu leicht an die Inhalte kommt. Ein Virenscanner auf dem Dateiserver wird daher nicht viel entdecken können. Allerdings werden die Dateien nach einer Verweilzeit nach dem Ende des Meetings gelöscht (ca. 30 Tage).
Schutz für IM (SPIM)
Dicht hinter den Viren kommt direkt das Thema SPAM. Bei E-Mails ist dies schon lange ein unvermeidliches Übel, dem mit verschiedenen Filtern immer wieder gegengesteuert wird.
Werbemeldungen per IM sind aktuell noch nicht so bekannt. Es gibt aber schon einen Begriff und ich habe mir auf der Seite SPIM - Spam via IM schon meine Gedanken dazu gemacht.
Weitere Links
- SPIM - Spam via IM
- Dateitransfer
- Microsoft Anti-Virus
Exclusion List
http://social.technet.microsoft.com/wiki/contents/articles/953.microsoft-anti-virus-exclusion-list.aspx