Verschlüsselung für Lync Server 2013
Letztes Änderungsdatum des Themas: 2017-09-14
Microsoft Lync Server 2013 verwendet TLS und MTLS zum Verschlüsseln von Chatnachrichten. Der gesamte Server-zu-Server-Datenverkehr erfordert MTLS – unabhängig davon, ob der Datenverkehr auf das interne Netzwerk beschränkt ist oder den internen Netzwerkperimeter überschreitet. TLS ist optional, wird aber dringend empfohlen zwischen dem Vermittlungsserver und dem Mediengateway. Wenn TLS auf dieser Verbindung konfiguriert ist, ist MTLS erforderlich. Daher muss das Gateway mit einem Zertifikat von einer Zertifizierungsstelle konfiguriert werden, die vom Vermittlungsserver als vertrauenswürdig eingestuft wird.
Hinweis
Im Jahr 2014 wurde eine Sicherheitsempfehlung zu SSL 3.0 veröffentlicht. Das Deaktivieren von SSL 3.0 in Lync Server 2013 ist eine unterstützte Option. Weitere Informationen zur Sicherheitsempfehlung finden Sie unter https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/.
.gif "Sicherheitssicherheit") Sicherheitshinweis: |
|---|
| Um sicherzustellen, dass das stärkste kryptografische Protokoll verwendet wird, bietet Lync Server 2013 TLS-Verschlüsselungsprotokolle in der folgenden Reihenfolge für Clients an: TLS 1.2 , TLS 1.1, TLS 1.0. TLS ist ein wichtiger Aspekt von Lync Server 2013 und daher erforderlich, um eine unterstützte Umgebung aufrechtzuerhalten. |
Die Anforderungen für Client-zu-Client-Datenverkehr hängen davon ab, ob dieser Datenverkehr die interne Unternehmensfirewall durchquert. Streng interner Datenverkehr kann entweder TLS verwenden, in diesem Fall wird die Chatnachricht verschlüsselt, oder TCP, in diesem Fall ist dies nicht der Fall.
In der folgenden Tabelle sind die Protokollanforderungen für jeden Datenverkehrstyp zusammengefasst.
Datenverkehrsschutz
| Datenverkehrstyp | Geschützt durch |
|---|---|
Server-zu-Server |
MTLS |
Client-zu-Server |
TLS |
Chat und Anwesenheit |
TLS (falls für TLS konfiguriert) |
Audio und Video und Desktopfreigaben von Medien |
SRTP |
Desktopfreigabe (Signal) |
TLS |
Webkonferenzen |
TLS |
Herunterladen von Besprechungsinhalten, Herunterladen des Adressbuchs, Erweiterung der Verteilergruppe |
HTTPS |
Medienverschlüsselung
Mediendatenverkehr wird über Secure RTP (SRTP) verschlüsselt, ein Profil von RTP (Real-Time Transport-Protokoll), das Vertraulichkeit, Authentifizierung und Schutz vor Replay-Angriffen für RTP-Datenverkehr bereitstellt. Darüber hinaus werden Medien, die in beide Richtungen zwischen dem Vermittlungsserver und seinem internen nächsten Hop übertragen werden, ebenfalls über SRTP verschlüsselt. Medien, die in beide Richtungen zwischen dem Vermittlungsserver und einem Mediengateway übertragen werden, werden standardmäßig nicht verschlüsselt. Der Vermittlungsserver kann die Verschlüsselung an das Mediengateway unterstützen, aber das Gateway muss MTLS und das Speichern eines Zertifikats unterstützen.
Hinweis
Audio/Video (A/V) wird mit der neuen Version von Windows Live Messenger unterstützt. Wenn Sie den A/V-Verbund mit Windows Live Messenger implementieren, müssen Sie auch die Lync Server-Verschlüsselungsebene ändern. Standardmäßig ist die Verschlüsselungsstufe auf „Erforderlich“ eingestellt. Sie müssen diese Einstellung mithilfe der Lync Server-Verwaltungsshell in Unterstützt ändern. Weitere Informationen finden Sie unter Bereitstellen des Externen Benutzerzugriffs in Lync Server 2013 in der Bereitstellungsdokumentation.
Audio- und Videomediendatenverkehr wird zwischen Microsoft Lync 2013- und Windows Live-Clients nicht verschlüsselt.
FIPS
Lync Server 2013 und Microsoft Exchange Server 2013 unterstützen fips 140-2-Algorithmen (Federal Information Processing Standard) 140-2, wenn die Windows Server-Betriebssysteme für die Verwendung der FIPS 140-2-Algorithmen für die Systemkryptografie konfiguriert sind. Zum Implementieren der FIPS-Unterstützung müssen Sie jeden Server mit Lync Server 2013 so konfigurieren, dass er unterstützt wird. Ausführliche Informationen zur Verwendung von FIPS-kompatiblen Algorithmen und zur Implementierung der FIPS-Unterstützung finden Sie im Microsoft Knowledge Base-Artikel 811833, Die Auswirkungen der Aktivierung der Sicherheitseinstellung "Systemkryptografie: Verwenden von FIPS-kompatiblen Algorithmen für Verschlüsselung, Hashing und Signierung" in Windows XP und höheren Versionen von Windows unter https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=811833. Ausführliche Informationen zur Unterstützung und Einschränkungen von FIPS 140-2 in Exchange 2010 finden Sie unter Exchange 2010 SP1 und Unterstützung für FIPS-kompatible Algorithmen unter https://go.microsoft.com/fwlink/p/?LinkId=205335.