ENJIN UC Crestron Flex
Panduan Rujukan Keselamatan
Crestron Electronics, Inc.
CRESTRON Flex UC-ENGINE
Versi bahasa asal dokumen ini ialah bahasa Inggeris AS.
Semua bahasa lain adalah terjemahan dokumen asal.
Perisian pembangunan produk Crestron dilesenkan kepada peniaga Crestron dan Pembekal Perkhidmatan Crestron (CSP) di bawah Perjanjian Lesen Alat Pembangunan Perisian yang tidak eksklusif dan tidak boleh dipindah milik. Perisian sistem pengendalian produk Crestron dilesenkan kepada peniaga Crestron, CSP dan pengguna akhir di bawah Perjanjian Lesen Pengguna Akhir yang berasingan.
Kedua-dua Perjanjian ini boleh didapati di Crestron webtapak di www.crestron.com/legal/software_license_agaration.
Waranti produk boleh didapati di www.crestron.com/warranty.
Paten khusus yang merangkumi produk Crestron disenaraikan dalam talian di www.crestron.com/legal/patents.
Produk Crestron tertentu mengandungi perisian sumber terbuka. Untuk maklumat khusus, sila lawati www.crestron.com/opensource.
Crestron, logo Crestron, Crestron Fusion dan XiO Cloud adalah sama ada tanda dagangan atau tanda dagangan berdaftar Crestron Electronics, Inc. di Amerika Syarikat dan/atau negara lain. Intel ialah sama ada tanda dagangan atau tanda dagangan berdaftar Intel Corporation di Amerika Syarikat dan/atau negara lain. Active Directory, Azure, Microsoft, Microsoft 365, Microsoft Dynamics 365, Microsoft Intune, Microsoft Teams, Office 365, Skype dan Windows adalah sama ada tanda dagangan atau tanda dagangan berdaftar Microsoft Corporation di Amerika Syarikat dan/atau negara lain. USB Type-C ialah sama ada tanda dagangan atau tanda dagangan berdaftar USB Implementers Forum, Inc. di Amerika Syarikat dan/atau negara lain. Miracast dan Wi-Fi adalah sama ada tanda dagangan atau tanda dagangan berdaftar Wi-Fi Alliance. Bilik Zoom ialah sama ada tanda dagangan atau tanda dagangan berdaftar Zoom Video Communications, Inc. di Amerika Syarikat dan/atau negara lain. Tanda dagangan lain, tanda dagangan berdaftar dan nama dagangan boleh digunakan dalam dokumen ini untuk merujuk sama ada entiti yang menuntut tanda dan nama atau produk mereka. Crestron menafikan sebarang kepentingan proprietari dalam tanda dan nama orang lain. Crestron tidak bertanggungjawab atas kesilapan dalam tipografi atau fotografi.
©2023 Crestron Electronics, Inc.
Sejarah Semakan
| Rev | tarikh | Nota | Pengarang |
| A | 7-Mac-20 | Versi awal | SD, JZ |
| B | 7-Feb-23 | Kemas kini penting kepada semua topik berdasarkan terkini Fungsi dan spesifikasi UC-ENGINE |
IH, JZ, MH |
Sila hantar ulasan dan tukar cadangan kepada: SecurityDocs@crestron.com
pengenalan
Panduan ini berfungsi sebagai rujukan keselamatan dan menyediakan amalan terbaik untuk menggunakan semua varian Crestron UC-ENGINE, PC Mini berkuasa yang dijual secara eksklusif sebagai sebahagian daripada sistem UC Crestron Flex yang lengkap dan direka untuk digunakan dalam Microsoft Teams® atau Zoom Rooms™. persekitaran perisian. Maklumat berikut digunakan pada Dell® dan Intel® Mini PC yang disertakan dalam pelbagai kit Crestron Flex.
Persekitaran Operasi yang Dimaksudkan
UC-ENGINE adalah pusat kepada sistem Crestron Flex yang lengkap, memberikan prestasi pemprosesan yang berkuasa, Gigabit Ethernet, dan sambungan lengkap untuk satu atau dua paparan HD, kamera USB dan satu peranti persidangan audio USB. Ia direka bentuk untuk pemasangan di bilik mesyuarat untuk mengehoskan panggilan video apabila disambungkan kepada perkhidmatan Microsoft Teams atau Zoom Video Meeting. UC-ENGINE datang dipasang pada pemasangan pendakap sebagai sebahagian daripada kit Crestron Flex.
Peranti lain mesti disediakan oleh pengguna. Untuk maklumat lanjut tentang kit Crestron Flex, rujuk halaman ciri Crestron Flex.
Rajah berikut memberikan exampperanti dan sambungan yang biasa dalam sistem Crestron Flex biasa.
Dasar Keselamatan
Untuk dasar keselamatan am, rujuk kepada keselamatan Crestron web muka surat.
Spesifikasi Sistem
Untuk spesifikasi produk am, rujuk halaman produk untuk kit Crestron Flex anda.
Perisian Produk – Ciri Keselamatan
Ciri keselamatan berikut disokong.
NOTA: Kepada view ciri keselamatan untuk peranti Crestron lain yang mungkin disertakan dalam penggunaan Crestron Flex (seperti skrin sentuh atau pembentangan AirMedia® ), rujuk kepada dokumentasi keselamatan yang berkenaan di security.crestron.com.
Pengesahan Pengguna
Apabila menggunakan peranti Microsoft Teams, dua akaun disediakan secara lalai: akaun Microsoft Teams dan akaun Pentadbir lalai untuk mentadbir UC-ENGINE.
Apabila menggunakan peranti Zoom Rooms, dua akaun disediakan sebagai lalai: akaun CrestUC dan akaun Admin lalai untuk mentadbir UC-ENGINE.
AWAS: Kata laluan untuk akaun lalai CrestUC atau Microsoft Teams lalai tidak boleh ditukar. Jika ditukar, peranti akan memerlukan imej semula.
Pembalakan Audit
Tugas sistem menggunakan pengelogan audit standard Windows®. Tugas aplikasi berkaitan keselamatan dilog dan disimpan dalam log audit.
Ketersambungan
UC-ENGINE menyokong sambungan kepada Microsoft Teams atau perkhidmatan Zoom Meeting dan boleh menggunakan portal pengurusan berikut:
- Perkhidmatan Peruntukan dan Pengurusan XiO Cloud®
- Perisian Awan Crestron Fusion®
- Pusat Pentadbiran Pasukan Microsoft
- Portal Pentadbir Zum
- Perkhidmatan Microsoft Intune®
Kemas Kini Perisian dan Tampalan
Kemas kini perisian diuruskan secara automatik melalui Kemas Kini Windows. UC-ENGINE boleh dikemas kini melalui kebanyakan sistem pengurusan domain rangkaian. Untuk amalan terbaik dalam menggunakan dan mengurus Kemas Kini Windows, rujuk kepada Urus dokumen Kemas Kini Windows.
Secara pilihan, peranti Zum boleh diuruskan melalui portal pentadbir Zum. Untuk maklumat lanjut, rujuk kepada Artikel Pusat Bantuan Zoom.
Sistem Operasi
UC-ENGINE menggunakan sistem pengendalian Windows 10 IoT Enterprise dengan Windows Firewall dihidupkan secara lalai. Konfigurasi sistem pengendalian diperlukan (rujuk Konfigurasi Rangkaian pada halaman 3).
Antivirus dan Antimalware
Perkhidmatan Windows 10 standard termasuk Windows Defender dan Windows Firewall dihidupkan secara lalai dan dikemas kini secara automatik.
Konfigurasi Rangkaian
UC-ENGINE dikonfigurasikan dengan tetapan berikut. Tindakan tambahan boleh diambil jika berkenaan.
- DHCP: Konfigurasi DHCP standard disediakan.
- Komunikasi Wi-Fi®: Komunikasi Wi-Fi dihidupkan dalam Windows, tetapi tidak disokong pada UC-ENGINE.
- Pengerasan: UC-ENGINE mungkin dikeraskan seperti mana-mana peranti Windows lain dengan syarat semua perkhidmatan dan port Crestron dibiarkan aktif. Microsoft Teams atau Bilik Zoom mesti dibiarkan boleh diakses.
- Akaun Tidak Diperlukan: Akaun Pentadbir terbina dalam boleh dialih keluar atau dilumpuhkan selagi peranti dilampirkan domain. Melakukannya membolehkan pentadbir menggunakan mana-mana akaun pentadbir peringkat domain untuk log masuk.
- File Kongsi: Tidak file perkongsian dihidupkan secara lalai.
- Port yang Tidak Diperlukan: Mana-mana port selain yang disenaraikan pada Senarai Port Rangkaian pada halaman 5 mungkin dilumpuhkan.
- Perkhidmatan yang Tidak Diperlukan: Semua perkhidmatan Crestron mesti kekal dihidupkan. Sebarang perkhidmatan Windows standard boleh dimatikan mengikut keperluan.
- Aplikasi yang Tidak Diperlukan: Semua aplikasi Crestron mesti kekal dihidupkan. Sebarang aplikasi Windows standard boleh dimatikan mengikut keperluan.
- Sekatan Peranti Luaran (USB): Tiada sekatan peranti USB luaran.
Walau bagaimanapun, Crestron mengesyorkan hanya menyambungkan peranti USB yang disertakan dalam kit Crestron Flex, dijual oleh Crestron, atau diperakui untuk digunakan dengan sistem Crestron Flex. - Pengesahan Peranti Luaran (seperti Spesifikasi Pengesahan USB Type-C®): Tiada pengesahan disediakan.
- Perisian Disahkan: UC-ENGINE serasi dengan perisian pihak ketiga dan perisian tegar yang telah diperakui untuk digunakan dengan sistem Crestron Flex.
- Versi perisian tegar yang diperakui untuk peranti audio dan video USB (untuk penempatan Microsoft Teams)
Perisian Pihak Ketiga
Semua perisian dan lesen pihak ketiga dan sumber terbuka yang digunakan dalam aplikasi Crestron diperincikan dalam EULA yang disertakan bersama peranti. UC-ENGINE dihantar dengan sama ada sistem Microsoft Teams Rooms atau sistem Zoom Rooms. Setiap aplikasi ini dicipta dan dimiliki oleh Microsoft® atau Zoom masing-masing.
Bilik Microsoft Teams
Apl Bilik Microsoft Teams ialah pelanggan Microsoft Teams tersuai yang dibuat oleh Microsoft khusus untuk sistem bilik. Aplikasi ini diprapasang sebagai sebahagian daripada imej peranti yang dicipta oleh Crestron dan bermula secara automatik sebagai antara muka utama pada UC-ENGINE.
Semua kemas kini pada aplikasi Bilik Microsoft Teams, termasuk kemas kini keselamatan dan ciri, dipasang secara automatik oleh Gedung Windows. Semua kemas kini keselamatan dan ciri dihantar dengan cara ini. Pengguna tidak boleh memasang kemas kini secara manual pada aplikasi Bilik Microsoft Teams. Konfigurasi aplikasi Microsoft Teams Rooms dilakukan dengan memilih pilihan Tetapan di bawah butang Lagi pada skrin antara muka utama.
Untuk maklumat tentang pilihan konfigurasi yang tersedia, rujuk Panduan Penerapan Bilik Microsoft Teams.
Bilik Zum
Apl Bilik Zoom ialah pelanggan Mesyuarat Zum tersuai yang dibuat oleh Zoom khusus untuk sistem bilik. Aplikasi ini diprapasang sebagai sebahagian daripada imej peranti yang dicipta oleh Crestron dan bermula secara automatik sebagai antara muka utama pada UC-ENGINE apabila ia berada dalam mod Zum.
Semua kemas kini pada aplikasi Zoom Rooms boleh digunakan sama ada secara manual atau automatik melalui portal pentadbir Zoom. Crestron juga secara berkala menyediakan kemas kini kepada aplikasi Bilik Zoom yang boleh dipasang secara manual pada UC-ENGINE. Walau bagaimanapun, Crestron tidak menerbitkan semua kemas kini Bilik Zoom.
Untuk arahan konfigurasi, rujuk dokumentasi Zum.
Infrastruktur Rangkaian
Bahagian berikut menerangkan maklumat mengenai infrastruktur rangkaian UC-ENGINE.
Gambarajah Seni Bina Rangkaian Microsoft
Microsoft menyediakan gambar rajah seni bina rangkaian berikut yang harus dirujuk mengikut keperluan bergantung pada penempatan Microsoft Teams organisasi anda. Gambar rajah seni bina rangkaian disediakan sebagai PDF files.
- Ilustrasi Microsoft Cloud for IT Architects: Menyediakan maklumat tentang perkhidmatan awan Microsoft, termasuk Microsoft 365®, Azure® Active Directory® (Azure AD), Microsoft Intune®, Microsoft Dynamics 365® dan penyelesaian hibrid di premis dan awan.
- Poster Seni Bina IT Microsoft Teams dan Penyelesaian Suara: Menyediakan maklumat tentang Microsoft Teams sebagai sebahagian daripada Microsoft 365, kumpulan dalam Microsoft 365 dan penyelesaian suara Microsoft.
Senarai Port Rangkaian
Port berikut sedang digunakan:
| Fungsi | kategori | Pelabuhan Destinasi | Daripada (Penghantar) | Kepada (Pendengar) | Nota |
| Miracast A/V | AirMedia | 4570/UDP | Stesen Kerja Pengguna Akhir | Peranti | Port lalai untuk Miracast A/V, hanya dibuka semasa pembentangan video |
| Audio/Video AirMediaV2 | AirMedia | 47000 / TCP | Stesen Kerja Pengguna Akhir | Peranti | Kawalan klien AirMedia, digunakan oleh aplikasi AirMedia yang dijalankan pada PC |
| Audio/Video AirMediaV2 | AirMedia | 47010 / TCP | Stesen Kerja Pengguna Akhir | Peranti | Strim audio/video AirMedia |
| Fungsi | kategori | Pelabuhan Destinasi | Daripada (Penghantar) | Kepada (Pengguna) | Nota |
| Penemuan AirMediaV2 | AirMedia | 5353/UDP | Stesen Kerja Pengguna Akhir | Peranti | Penemuan Gerbang Persembahan AirMedia, digunakan untuk autodiscovery |
| Audio/Video AirMediaV2 | AirMedia | 6000- 7000/TCP/UDP | Stesen Kerja Pengguna Akhir | Peranti | Strim audio/video AirMedia |
| Kawalan AirMediaV2 | AirMedia | 7011/UDP | Stesen Kerja Pengguna Akhir | Peranti | AirMedia maklumat saluran kawalan |
| Kawalan AirMediaV2 | AirMedia | 7100 / TCP | Stesen Kerja Pengguna Akhir | Peranti | Kawalan klien AirMedia, digunakan oleh aplikasi AirMedia yang dijalankan pada PC |
| Kawalan AirMediaV2 | AirMedia | 7200-720VTCP | Stesen Kerja Pengguna Akhir | Peranti | AirMedia maklumat saluran kawalan |
| Miracast RTSP | AirMedia | 7236 / TCP | Peranti | Stesen Kerja Pengguna Akhir | Port lalai untuk Miracast RTSP |
| Miracast MS- MICE | AirMedia | 7250 / TCP | Stesen Kerja Pengguna Akhir | Peranti | Sambungan Microsoft untuk Mod Infrastruktur Miracast |
| Kawalan AirMedia V2 | AirMedia | 7300 / TCP | Stesen Kerja Pengguna Akhir | Peranti | Isyarat sambungan Chrome° saluran (Sokongan AirMedia untuk Chromebook) (Hari 9) |
| NTP | Pelabuhan Perkhidmatan Biasa | 123/UDP | Peranti | Pelayan NTP | Protokol Masa Rangkaian (NTP) |
| Fungsi | kategori | Pelabuhan Destinasi | Daripada (Penghantar) | Kepada (Pendengar) | Nota |
| SSH/SFTP | Perkhidmatan Biasa Pelabuhan |
22 / TCP | Stesen Kerja Pentadbir Peranti |
Peranti | Digunakan untuk Konfigurasi Awan, Konsol dan File Pemindahan |
| LDAP | Perkhidmatan Biasa Pelabuhan |
3268 / TCP | Pelayan LDAP | Penyasaran pertanyaan LDAP katalog global |
|
| HTTPS | Perkhidmatan Biasa Pelabuhan |
443 / TCP | Pentadbir atau Pengguna Akhir Stesen kerja |
Peranti | selamat Web Konfigurasi untuk Crestron Mercury* peranti |
| DHCP | Perkhidmatan Biasa Pelabuhan |
67/UDP | Peranti | Pelayan DHCP | Pengalamatan DHCP |
| DHCP | Perkhidmatan Biasa Pelabuhan |
68/UDP | Pelayan DHCP | Peranti | Pengalamatan DHCP |
| HTTP | Perkhidmatan Biasa Pelabuhan |
8O/TCP | Pentadbir atau Pengguna Akhir Stesen kerja |
Peranti | Utama web halaman untuk memuat turun aplikasi AirMedia |
| Crestron-CIP | Kawalan Crestron | 41794 / TCP | Peranti | Gabungan | Crestron Protokol Internet digunakan untuk Pelayan Fusion |
| Crestron-CIP | Kawalan Crestron | 41794 / TCP | Paparan Pihak Ketiga | Peranti | Protokol Crestron Connected* |
| Crestron-CIPS | Kawalan Crestron | 41796 / TCP | Peranti | Gabungan Crestron | Crestron Internet Protokol Selamat, digunakan untuk Pelayan Crestron Fusion |
| Crestron-GIPS | Kawalan Crestron | 41796 / TCP | Paparan Pihak Ketiga | Peranti | Protokol Bersambung Crestron |
| Fungsi | kategori | Pelabuhan Destinasi | Daripada (Penghantar) | Kepada (Pendengar) | Nota |
| Autopenemuan UC-ENGINE |
Flex UC- Enjin | 42872/UDP | Peranti Peranti |
UC-ENGINE UC-ENGINE |
Peranti Crestron Mercury Peranti Crestron Mercury Peranti Crestron Mercury |
| Sentuh dan isyarat (TLS 1.2) | Flex UC- Enjin | 49500/TCP atau UDP | |||
| Video (TLS 1.2) | Flex UC- Enjin | 49501/TCP atau UDP | Peranti | UC-ENGINE | |
| HTTPS | Awan XiO | 443 / TCP | Peranti | Perkhidmatan Awan XiO | Perkhidmatan Awan XiO |
VLAN
Untuk memastikan kefungsian yang betul, pastikan peranti paparan dan UC-ENGINE berada pada VLAN yang sama.
Kawalan Keselamatan
Peranti Crestron menggunakan piawaian industri seperti penanda aras Build Security in Maturity Model (BSIMM), Rangka Kerja Penyedia Teknologi Dipercayai ACS Kumpulan Terbuka dan NIST apabila mempertimbangkan keselamatan.
Perisian Hasad dan Perlindungan Keterdedahan
UC-ENGINE menyediakan perlindungan perisian hasad dan kerentanan berikut.
Aplikasi Keselamatan
Aplikasi Microsoft berikut disertakan pada Crestron Flex UC-ENGINE:
- Pengalaman Alat Pengurangan Mitigasi Diperkaya (EMET)
- AppLocker
- Penyelesaian Sandaran
- Kawalan Akaun Pengguna
- Windows Defender
Perlindungan Keterdedahan
Jika kelemahan atau isu lain ditemui, tampung akan disediakan kepada pelanggan. Jika tampalan tidak mendesak, pasukan sokongan Crestron akan bekerjasama dengan pelanggan untuk mengenal pasti masa untuk menggunakan tampung. Jika tampung membetulkan kerentanan kritikal, pelanggan akan dimaklumkan apabila tampung akan digunakan.
Setelah mengenal pasti serangan, langkah segera akan diambil untuk menutup akses secepat mungkin.
Setelah serangan dihentikan, analisis forensik akan diambil untuk mengenal pasti sebarang data pelanggan yang mungkin telah diakses. Pelanggan kemudiannya akan dimaklumkan tentang kesan serangan dan mana-mana data mereka yang mungkin telah diakses.
Kesambungan Jauh
Aktiviti pengguna jauh direkodkan oleh Crestron dan mungkin semulaviewed mengikut keperluan. Tiada pihak ketiga diberikan akses kepada maklumat ini.
Kawalan Akses Berasaskan Peranan
Gunakan prinsip keistimewaan terkecil (POLP) apabila mewujudkan kawalan akses untuk akaun pengguna.
Keselamatan Kata Laluan
Pastikan semua kata laluan yang digunakan memenuhi kriteria berikut:
- Panjang minimum 7 aksara
- Kata laluan ditukar setiap 90 hari
- 30 minit sekat keluar selepas 5 percubaan gagal dalam 2 minit.
Untuk kata laluan pengguna akaun XiO Cloud bahagian hadapan, log masuk tunggal (SSO) boleh digunakan, membenarkan dasar kata laluan korporat digunakan. Untuk akaun back-end, pengesahan dua faktor digunakan.
Pengasingan Data
UC-ENGINE mengasingkan data seperti berikut.
Storan Awan
Semua data yang disimpan dalam awan disimpan dalam pangkalan data berbilang penyewa.
Perlindungan Fizikal
Semua pelayan fizikal diuruskan oleh Microsoft Azure di timur dan barat Amerika Syarikat.
Akses jauh yang disahkan kepada pelayan adalah terhad kepada ahli pasukan kejuruteraan dan operasi Crestron yang dinamakan. Akses kepada premis perniagaan yang mengandungi pelayan diuruskan oleh Microsoft Azure. Akses kepada kemudahan Crestron adalah terhad kepada tetamu jemputan dan pekerja yang mempunyai akses lencana.
Pembalakan Audit
Pengelogan dan pengauditan keselamatan Windows standard digunakan. Aplikasi Crestron menulis semua peristiwa keselamatan ke log berasaskan teks files pada sistem yang boleh diaudit secara manual oleh pentadbir.
Perlindungan Data
Data yang dihantar melalui perisian berasaskan awan Crestron seperti perkhidmatan XiO Cloud disulitkan melalui TLS 1.2 (AES 256 dalam transit, AES 128 dalam keadaan rehat). Peranti tidak menghantar PHI (Maklumat Kesihatan Dilindungi) atau PII (Maklumat Pengenalan Peribadi), hanya NPI (Maklumat Bukan Peribadi) seperti maklumat hubungan perniagaan yang diklasifikasikan sedemikian di Amerika Syarikat. Data dalam keadaan rehat dilindungi dengan cakera keras yang disulitkan. Tiada data disimpan pada pelayan syarikat.
Pembangunan perisian mengikuti OWASP (Open Web Projek Keselamatan Aplikasi) amalan terbaik.
Amalan Terbaik Keselamatan
Untuk keselamatan optimum semasa mengendalikan Crestron Flex UC-ENGINE, patuhi amalan terbaik berikut:
- Jangan akses internet menggunakan a web penyemak imbas pada peranti.
- Jangan dedahkan peranti secara langsung kepada internet.
- Jangan sekali-kali memasang perisian yang tidak diluluskan.
- Gunakan sistem hanya untuk tujuan yang dimaksudkan.
Lagi Maklumat Keselamatan
Untuk mendapatkan maklumat lanjut mengenai amalan keselamatan untuk peranti Crestron, lawati keselamatan Crestron web muka surat.
Crestron Electronics, Inc.
15 Volvo Drive, Rockleigh, NJ 07647
Tel: 888.CRESTRON
Faks: 201.767.7656
www.crestron.com
Panduan Rujukan keselamatan — Doc. 8726B
02/10/23
Spesifikasi tertakluk kepada perubahan tanpa notis.
Dokumen / Sumber
 | Flex UC-ENGINE |
Rujukan
- Manual Penggunamanual.tools