Wichtige Sicherheitsfeatures in Lync Server 2013
Letzte Änderung: 18.07.2013
Lync Server 2013 enthält mehrere Sicherheitsfeatures, darunter Server-zu-Server-Authentifizierung, rollenbasierte Zugriffssteuerung und zentrale Speicherung von Konfigurationsdaten.
Dieser Artikel bietet eine allgemeine Übersicht über die Sicherheit von Lync Server 2013.
Wichtige Sicherheitsfeatures in Lync Server 2013
Sicherheit ist ein äußerst umfangreiches Thema. Sicherheit erreicht alle Funktionen von Lync Server 2013 sowie Datenbanken, Dienste und Hardware, die ein Lync-Ökosystem bilden. In diesem Artikel werden einige der Features in Lync Server 2013 beschrieben, die speziell auf Sicherheit ausgelegt sind.
Planungs- und Entwurfstools
Lync Server 2013 bietet zwei Tools, um die Planung und den Entwurf zu erleichtern und die Wahrscheinlichkeit einer fehlkonfigurierenden Konfiguration von Lync Server-Komponenten zu verringern.
Das Topologieplanungstool automatisiert einen Großteil des Topologieentwurfsprozesses. Sie können die Ergebnisse aus dem Planungstool in den Topologie-Generator exportieren. Dabei handelt es sich um das Tool, das zum Installieren jedes Servers mit Lync Server 2013 erforderlich ist.
Der Topologie-Generator speichert alle Konfigurationsinformationen im zentralen Verwaltungsspeicher.
Ausführliche Informationen zu diesen Tools finden Sie unter Planning for Lync Server 2013.
Zentraler Verwaltungsspeicher (Central Management Store, CMS)
In Lync Server 2013 sind Konfigurationsdaten zu Servern und Diensten Teil des zentralen Verwaltungsspeichers. Der zentrale Verwaltungsspeicher bietet eine robuste, schematisierte Speicherung der Daten, die zum Definieren, Einrichten, Verwalten, Verwalten, Beschreiben und Betreiben einer Lync Server-Bereitstellung erforderlich sind. Darüber hinaus überprüft er die Daten, um eine konsistente Konfiguration zu gewährleisten. Alle Änderungen an diesen Konfigurationsdaten erfolgen im zentralen Verwaltungsspeicher, wodurch Synchronisierungsprobleme beseitigt werden.
Schreibgeschützte Kopien der Daten werden an alle Server in der Topologie repliziert, Edgeserver und Survivable Branch Appliances eingeschlossen. Die Replikation wird von einem Dienst verwaltet, der standardmäßig unter dem Kontext des Netzwerkdiensts ausgeführt wird, wodurch die Rechte und Berechtigungen auf die eines einfachen Benutzers auf dem Computer reduziert werden.
Server-zu-Server-Authentifizierung
In Lync Server 2013 kann die Authentifizierung zwischen Servern mithilfe des OAuth-Protokolls (Open Authorization) konfiguriert werden. Beispielsweise können Sie Lync Server 2013 so konfigurieren, dass es sich bei einem Server authentifiziert, auf dem Exchange Server 2013 ausgeführt wird. Mithilfe des OAuth-Protokolls können sich der Lync-Server und der Exchange-Server gegenseitig vertrauen. Auf diese Weise können die Produkte nahtlos integriert werden. Ausführliche Informationen finden Sie unter Managing server-to-server authentication (OAuth) and partner applications in Lync Server 2013
Windows PowerShell-basierte und webbasierte Verwaltungsschnittstelle
Lync Server 2013 bietet eine leistungsstarke Verwaltungsschnittstelle, die auf der Windows PowerShell Befehlszeilenschnittstelle basiert. Sie enthält Cmdlets für die Verwaltung der Sicherheit und Windows PowerShell-Sicherheitsfeatures sind standardmäßig aktiviert, sodass Skripts von Nutzern nicht versehentlich oder unwissentlich ausgeführt werden können. Dies bedeutet, dass die Softwarestandardeinstellungen so konfiguriert sind, dass die Sicherheit automatisch optimiert wird und Angriffsmöglichkeiten reduziert werden. Ausführliche Informationen zur Windows PowerShell-Verwaltungsunterstützung in Lync Server 2013 finden Sie unter Lync Server 2013 Management Shell.
Rollenbasierte Zugriffssteuerung (RBAC)
Microsoft Lync Server 2013 bietet rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), damit Sie administrative Aufgaben delegieren und gleichzeitig hohe Sicherheitsstandards einhalten können. Mit der rollenbasierten Zugriffssteuerung können Sie dem Prinzip der geringsten Rechte folgen, bei dem Nutzer nur die administrativen Rechte erhalten, die sie für ihre Arbeit benötigen. In Lync Server 2013 wird die Möglichkeit zum Erstellen einer neuen Rolle und zum Ändern einer vorhandenen Rolle eingeführt. Ausführliche Informationen finden Sie unter Planen der rollenbasierten Zugriffssteuerung in Lync Server 2013.
Netzwerkadressenübersetzung (Network Address Translation, NAT)
Lync Server 2013 unterstützt die Verwendung der Netzwerkadressübersetzung (Network Address Translation, NAT) auf der internen Schnittstelle des Edgeservers nicht, unterstützt jedoch das Platzieren der externen Schnittstelle des Zugriffs-Edgediensts, des Webkonferenz-Edgediensts und des A/V-Edgediensts hinter einem Router oder einer Firewall, der die Netzwerkadressübersetzung (Network Address Translation, NAT) für einzelne und skalierte konsolidierte Edgeservertopologien durchführt. Mehrere Edgeserver hinter einem Hardwaregerät zum Lastenausgleich können NAT nicht verwenden. Wenn mehrere Edgeserver NAT auf ihren externen Schnittstellen verwenden, ist ein DNS-Lastenausgleich (Domain Name System) erforderlich. Mithilfe des DNS-Lastenausgleichs können Sie wiederum die Anzahl der öffentlichen IP-Adressen pro Edgeserver in einem Edgeserverpool reduzieren. Ausführliche Informationen finden Sieunter Planning for external user access in Lync Server 2013.
Hinweis
Wenn Sie mit einem Verbundunternehmen zusammenarbeiten, das über eine Bereitstellung von Microsoft Office Communications Server 2007 verfügt, und wenn Audio-/Videofunktionen zwischen Ihrem Unternehmen und dem Verbundunternehmen unterstützt werden sollen, entsprechen die Portanforderungen denen für die bereitgestellten älteren Edgeserver. Beispielsweise müssen die portierten Bereiche, die für diese älteren Versionen erforderlich sind, für beide Unternehmen geöffnet werden, bis der Partner seine Edgeserver auf Lync Server 2013 aktualisiert. Dann können die Portanforderungen erneut überprüft und gemäß der neuen Konfiguration vermindert werden.
Vereinfachte Zertifikate für Edgeserver
Der Bereitstellungs-Assistent kann Antragstellernamen (SNs) und alternative Antragstellernamen (SANs) automatisch ausfüllen. Dadurch reduziert sich das Risiko von unnötigen und potenziell unsicheren Einträgen.
Vertrauenswürdiger Computing Security Development Lifecycle (SDL)
Lync Server 2013 wurde in Übereinstimmung mit dem Microsoft Trustworthy Computing Security Development Lifecycle (SDL) entwickelt, der unter https://go.microsoft.com/fwlink/?linkid=68761beschrieben wird.
Vertrauenswürdig durch Design Der erste Schritt bei der Erstellung eines sichereren Unified Communications-Systems bestand darin, Bedrohungsmodelle zu entwerfen und jedes Feature so zu testen, wie es entworfen wurde. Außerdem führt Microsoft Tests außerhalb des konzipierten Verhaltens durch, um Sicherheitsrisiken zu finden, die sich aus einem nicht erwarteten Produktverhalten ergeben. Mehrere sicherheitsbezogene Verbesserungen wurden in Codierungsprozess und -methoden integriert. Mit Buildzeittools werden Pufferüberläufe und andere potenzielle Sicherheitsbedrohungen erkannt, bevor der Code in das Endprodukt übernommen wird. Natürlich ist es unmöglich, bereits beim Entwurf alle unbekannten Sicherheitsbedrohungen zu berücksichtigen. Kein System kann 100-prozentige Sicherheit garantieren. Da die Produktentwicklung jedoch von Anfang an sichere Designprinzipien umfasste, umfasst Lync Server 2013 Sicherheitstechnologien nach Branchenstandard als grundlegenden Teil seiner Architektur.
Standardmäßig vertrauenswürdig Standardmäßig ist die Netzwerkkommunikation in Lync Server 2013 verschlüsselt. Da alle Server Zertifikate und Kerberos-Authentifizierung, TLS, Secure Real-Time Transport Protocol (SRTP) und andere Branchenstandard-Verschlüsselungstechniken verwenden, einschließlich der AES-Verschlüsselung (Advanced Encryption Standard) mit 128 Bit, sind praktisch alle Lync Server-Daten im Netzwerk geschützt. Darüber hinaus ermöglicht die rollenbasierte Zugriffssteuerung die Bereitstellung von Servern mit Lync Server 2013, sodass jede Serverrolle nur die Dienste ausführt und nur über die Berechtigungen verfügt, die für diese Dienste relevant sind, die für die Serverrolle geeignet sind.
Vertrauenswürdig durch Bereitstellung Die gesamte Lync Server 2013-Dokumentation enthält bewährte Methoden und Empfehlungen, die Ihnen helfen, die optimalen Sicherheitsstufen für Ihre Bereitstellung zu ermitteln und zu konfigurieren und die Sicherheitsrisiken der Aktivierung nicht standardmäßiger Optionen zu bewerten.