Overview
Este documento descreve várias alterações de configuração que podem ser feitas em um servidor Cisco Unified Attendant Console Advanced (CUACA) para torná-lo mais seguro. O processo de tornar o sistema Windows mais seguro é conhecido como Windows Hardening. As informações listadas abaixo podem ser usadas como um guia para fortalecer os servidores avançados do console Cisco Unified Attendant.
Políticas de firewall e grupo
Depois que o servidor Windows tiver sido adicionado ao domínio, as políticas de grupo poderão ser enviadas para o Windows. As políticas de firewall e as políticas de grupo enviadas para o servidor CUACA não devem bloquear ou interromper o funcionamento dos seguintes serviços e portas:
- Windows Management Instrumentation (WMI)
- Coordenador de Transações Distribuídas (MDTC) - necessário somente se estiver usando replicação/resiliência SQL
- Barramento de Mensagens (MBUS - Message Bus) - portas de entrada e saída abertas 61616 e 61618 (necessário somente se estiver usando replicação/resiliência SQL)
- exe - Por exemplo: C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
- Números de porta (usados pelo CUAC):
| Números da porta |
Tipo de porta |
| 80 |
TCP |
| 389 |
TCP |
| 443 |
TCP |
| 636 |
TCP |
| 1433 e 1434 |
TCP |
| 1859 |
TCP |
| 1862 |
TCP |
| 1863 |
TCP |
| 1864 |
TCP |
| 2748 |
TCP |
| 5060 |
UDP |
| 5061 e 5062 |
TCP |
| 11859 |
TCP |
| 61616 |
TCP |
| 61618 |
TCP |
| 49152 a 65535 |
TCP |
| 1025 a 5000 |
TCP |
| número da porta |
Uso |
| 389 |
O servidor LDAP não usa SSL e não está configurado como o catálogo global. |
| 636 |
O servidor LDAP usa SSL e não está configurado como o catálogo global. |
| 3268 |
O servidor LDAP não usa SSL e está configurado como o catálogo global. |
| 3269 |
O servidor LDAP usa SSL e é configurado como o Catálogo Global. |
Consulte os Guias de Administração e Instalação mais recentes antes da implementação para validar a lista de exclusões.
Software antivírus
Instale um software antivírus no servidor Windows para mantê-lo protegido contra malware, vírus, etc. No entanto, o aplicativo antivírus retarda a funcionalidade do servidor CUACA, pois ele precisa de acesso contínuo a poucas pastas enquanto o antivírus os examina. Portanto, é aconselhável adicionar os seguintes arquivos e pastas como exclusões em softwares antivírus:
| Pasta padrão |
Contém |
| \\DBData |
Bancos de dados de configuração do sistema |
| \\Programa Files\Cisco\ |
Arquivos de rastreamento de software e aplicativos |
| \\Apache |
pasta MQ ativa |
| \\Temp\Cisco\Trace |
Arquivos de rastreamento do Cisco TSP |
| \\%ALLUSERSPROFILE%\Cisco\CUACA |
perfil da Cisco |
Estes são os locais padrão usados pelo instalador do CUACA. Caso o administrador altere o local dessas pastas ou use outras pastas, as exclusões de antivírus precisam ser alteradas de acordo.
Consulte os Guias de Administração e Instalação mais recentes antes da implementação para validar a lista de exclusões.
Desabilite o roteamento do origem de IP
O roteamento de origem de IP raramente é usado atualmente, mas os hackers podem usá-lo para ignorar o firewall e, portanto, aconselhá-lo a desativá-lo.
A seguir estão as etapas para desativar o roteamento de origem IP:
- Abrir Regedit
- Defina ou crie estes valores:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip6\Parameters\
Nome do valor: DesativarRoteamentoOrigemIPS
Tipo de valor: REG_DWORD
Valor: 2
Atualizações do Windows
A Cisco aconselha manter o servidor Windows corrigido com as atualizações mais recentes do Microsoft Windows e SQL Server e Service Packs. As atualizações automáticas e as verificações automáticas de atualizações devem ser desativadas.
As atualizações automáticas de Java não são suportadas porque, às vezes, elas falham e isso pode resultar em sistema inutilizável. Há suporte para pequenas atualizações.
Todas as verificações de atualizações e instalação de atualizações devem ser executadas fora da produção. Após a instalação, reinicie o SO do servidor.
Outros requisitos de proteção conforme a política da empresa
A Cisco aconselha a fortalecer o Windows Server de acordo com a exigência/política, no entanto, o administrador precisa certificar-se de que todos os requisitos do CUACA sejam atendidos após o fortalecimento. Para obter informações detalhadas sobre os requisitos do CUACA, consulte o guia CUACA Design e o guia CUAC Install.
Feedback