字體:  

如何管理員工的Skype使用行為

firefox 發表於: 2009-9-10 21:28 來源: ADJ網路控股集團


建置容易、通話費率低、操作方式簡便和行動力強,是企業導入Skype的最大誘因,但它同時具備即時通訊軟體(IM)的功能,又採用P2P傳輸架構,能輕易穿越公司防火牆,再加上它不像MSN Messenger等IM軟體,具有固定的通訊埠、傳輸協定和連線伺服器,也因此企業不易監控Skype經過加密的對話內容,造成資安和管理上的漏洞。

針對這樣的問題,IT人員可以增添管理設備、新增群組原則或修改機碼等方式,限制員工使用Skype,或鎖定違反管理政策的Skype功能。

用網路設備協助管理Skype
目前市面上有許多針對Skype應用所設計的設備,可以協助IT人員管理,其中較常見的是Skype閘道器、代理伺服器,以及Skype網路記錄器等。

僅允許語音通訊功能的Skype閘道器
使用Skype閘道器是管理Skype最常見的方式之一,這種類型的設備可以介接電話交換機(類比PBX或IP-PBX),讓員工直接以傳統分機撥打Skype電話,所以可以提升Skype的便利性。

不僅如此,由於傳統分機僅具備數字鍵,因此無法用來輸入文字訊息或傳輸檔案,可避免員工因不當使用Skype導致資料外洩。此外目前的Skype閘道器也都具備加值功能,像是訊動的設備就提供像是語音信箱、來電轉接、電話簿和黑/白名單過濾等功能,在語音通訊使用上也更加便利。

在安裝Skype閘道器時,需注意設備上的連接埠為FXO或FXS,前者需連接在PBX交換機的內線卡或PSTN線路上,後者則是與交換機的內線卡或電話分機連線。

另外也可以考慮採用免電腦Skype話機來撥打Skype電話,像是由IPEVO或Philips推出的這類型產品,都可以設定成設備連線後,便自動關閉Skype帳號的文字與傳檔服務的功能,而且只要連接網路線就能使用,安裝和設定步驟比較簡便,但缺點是無法多人共用。

以代理伺服器完全封鎖連線
如果想要完全封鎖Skype,卻又無法阻止員工自行在電腦上安裝軟體,目前也有一些資安設備可以分析使用者與外部網路的通訊行為。

像是Blue Coat的ProxySG,它採用代理伺服器(Proxy)技術,能夠區別防火牆完全開放的80埠(用於HTTP通訊協定),以及443埠(用於HTTPS通訊協定)的加密流量,即使Skype在連線時是透過這2個連接埠,並混雜在一般網頁傳輸封包中,這類型的設備仍然能依照網路行為的不同,阻擋屬於Skype的封包,使得Skype個人端程式無法連線。

用Skype網路記錄器監控即時訊息
在不想完全禁止使用Skype附加功能的情形下,卻又擔心形成資安漏洞,就可以考慮採購安全防護性產品來側錄文字對話內容,或是將傳輸的檔案複製一份到監控伺服器中。
舉例來說,像是眾至或新軟等廠商的網路記錄器就具備這種功能,不過使用時,必須在員工的個人端電腦中加裝監控外掛程式。這種類型的設備雖然無法預先防範員工的不當使用行為,但能提供事後稽核所需要的舉證和電子記錄。

使用軟體設定修改或禁用Skype
雖然使用硬體設備來管理Skype相當簡便,但事實上,如果妥善運用AD的群組原則管理,以及Skype企業版提供的編輯功能,也可以在不用花費額外支出的情況下,達到類似的效果。

新增群組原則以限制Skype使用權限
IT人員可以利用AD中的新增群組原則方式,來限制員工使用特定的應用程式。新增群組原則共包含雜湊規則、路徑規則、憑證規則,以及網際網路區域規則等4種方法,其中又以前2種較為常見。

如果以雜湊規則的設定方法為例,首先必須開啟「群組原則物件編輯器(gpedit.msc)」,並依電腦設定、Windows設定、安全性設定、軟體限制原則依序展開樹狀清單,並在軟體限制原則項目上按滑鼠右鍵,選擇「新增軟體限制原則」,接下來再點選「其它原則」,並在右側視窗中按右鍵以新增「雜湊規則」。

在雜湊規則設定中,我們必須手動指定Skype執行檔的路徑,例如C:\Program Files\Skype\Phone\ Skype.exe,完成後再利用開始程式集的執行功能,輸入gpupdate /force,以強制AD套用新的群組規則,並發布到員工電腦中執行。

修改Skype設定可移除檔案傳輸功能
如果要變更Skype的功能,必須先到官方網站下載企業專用的Skype版本,它提供Windows封裝格式的安裝檔(MSI),以便大量派送和部署,並允許IT人員利用修改註冊機碼的方式,避免Skype占用頻寬或用來傳輸檔案。

舉例來說,如果想要禁止Skype的傳檔功能,必須在Windows的系統登錄機碼中找到[HKEY_LOCAL_ MACHINE\SOFTWARE\Policies\Skype\Phone],並自行新增1組"DisableFileTransfer" =dword:00000001值。

此外,並非每一個Skype個人端程式,在網路上的地位都是相同的,少數連線品質較好的用戶將會在不知情的情況下,被挑選為中心伺服器,負責管理其他使用者的權限或帳號,並在Skype無法使用預設的連接埠傳輸時,發送HTTP或HTTPS的連接訊息至其他Skype個人端程式。這些伺服器在開啟Skype時,消耗的上傳頻寬將遠高於其他使用者,通常也被稱為「超級節點(Supernode)」。

有些選擇建置Skype閘道器來負責語音通訊的企業,為了徹底區隔Skype網路與公司內部網路,會選擇將裝有Skype個人端程式的伺服器建置在DMZ區,或是單獨使用一條網路專線,這樣雖然能避免惡意程式以Skype伺服器為跳板,攻擊或竊取位於內部網路的伺服器或資料,卻也可能因此使Skype伺服器成為超級節點用戶,導致企業的對外網路頻寬,遭到其他Skype使用者占用。

為了避免這種情況發生,IT人員也可以調整企業版Skype的相關設定,做法是在[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Skype\Phone]中,加入"DisableSupernode"=dword:00000001這個DWORD值。

事實上,企業版的Skype共包含25項功能的開啟/關閉修正原則,如果想要了解其他功能,可以到www.skype.com/security/Skype-v1.5.adm下載完整的群組原則範本。