Verschlüsselung für Lync Server 2010

 

Letztes Änderungsdatum des Themas: 2012-10-17

Microsoft Lync Server 2010 verschlüsselt Sofortnachrichten über TLS und MTLS. Der gesamte Datenverkehr zwischen den Servern erfordert MTLS, und zwar unabhängig davon, ob die Daten innerhalb des internen Netzwerks verbleiben oder den internen Netzwerkumkreis verlassen. TLS ist optional, wird jedoch zwischen dem Vermittlungsserver und dem Mediengateway dringend empfohlen. Aus diesem Grund muss das Gateway mit einem Zertifikat von einer für den Vermittlungsserver vertrauenswürdigen Zertifizierungsstelle konfiguriert werden.

Die Anforderungen für den Datenverkehr zwischen Clients sind davon abhängig, ob dieser Datenverkehr die interne Unternehmensfirewall durchquert. Für komplett internen Datenverkehr kann TLS oder TCP verwendet werden. (Lediglich bei TLS wird die Sofortnachricht verschlüsselt.)

In der folgenden Tabelle werden die Protokollanforderungen für die einzelnen Datenverkehrstypen dargestellt.

Schutz des Datenverkehrs

Datenverkehrstyp Geschützt durch

Server zu Server

MTLS

Client zu Server

TLS

Sofortnachrichten und Anwesenheit

TLS (wenn für TLS konfiguriert)

Audio-, Video- und Desktopfreigabe von Medien

SRTP

Desktopfreigabe (Signaldaten)

TLS

Webkonferenzen

TLS

Herunterladen von Besprechungsinhalten und Adressbüchern, Erweiterung der Verteilergruppe

HTTPS

Medienverschlüsselung

Der Mediendatenverkehr wird mit SRTP (Secure RTP) verschlüsselt. Dabei handelt es sich um ein Real-Time Transport Protocol (RTP, Transportprotokoll in Echtzeit) für Vertraulichkeit, Authentifizierung und Schutz vor Angriffen mit Aufzeichnungswiederholung für RTP-Datenverkehr. SRTP verwendet einen Sitzungsschlüssel, der vom Mediarelay-Authentifizierungsdienst generiert wurde, nachdem die Serveranforderung erfolgreich authentifiziert wurde (im Namen der Medienteilnehmer). Der Sitzungsschlüssel mit dem ausgehandelten Benutzernamen und Kennwort gesichert, die dem Mediarelay-Authentifizierungsdienst von den Front-End-Servern vorgelegt wird; er wird über den TLS-gesicherten SIP-Kanal an die Teilnehmer versendet. Zusätzlich werden Medien mit bidirektionalem Fluss zwischen dem Vermittlungsserver und dem nächsten internen Hop mit SRTP verschlüsselt. Medien mit bidirektionalem Fluss zwischen dem Vermittlungsserver und einem Mediengateway werden nicht verschlüsselt. Der Vermittlungsserver kann die Verschlüsselung zum Mediengateway unterstützen. Dazu muss das Gateway jedoch MTLS und das Speichern eines Zertifikats unterstützen.

noteHinweis:
Audio/Video (A/V) wird mit der aktuellen Version von Windows Live Messenger unterstützt. Wenn Sie einen A/V-Partnerverbund mit Windows Live Messenger implementieren, müssen Sie auch die Microsoft Lync Server 2010-Verschlüsselungsstufe ändern. Standardmäßig lautet die Verschlüsselungsstufe "Erforderlich". Über die Lync Server-Verwaltungsshell müssen Sie diese Einstellung in "Unterstützt" ändern. Ausführliche Informationen finden Sie unter Vorbereiten der Unterstützung von Verbindungen mit öffentlichen Instant Messaging-Diensten in der Bereitstellungsdokumentation.
Audio- und Videomedienverkehr zwischen Microsoft Lync 2010 und Windows Live-Clients ist nicht verschlüsselt.

FIPS

Lync Server 2010 und Microsoft Exchange Server 2010 Service Pack 1 (SP1) unterstützen FIPS 140-2-Algorithmen (Federal Information Processing Standard), wenn die Betriebssysteme Windows Server 2008 Service Pack 2 (SP2) und Windows Server 2008 R2 für die Verwendung der FIPS-140-2-Algorithmen für die Systemkryptografie konfiguriert wurden. Um FIPS-Unterstützung zu implementieren, müssen Sie jeden Server mit Lync Server 2010 so konfigurieren, dass er FIPS unterstützt. Ausführliche Informationen zu FIPS-kompatiblen Algorithmen und zur Implementierung der FIPS-Unterstützung finden Sie im Microsoft Knowledge Base-Artikel 811833, "Die Auswirkungen der Aktivierung der "Systemkryptografie: Verwenden von FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur" Sicherheitseinstellung in Windows XP und späteren Versionen von Windows" unter http://support.microsoft.com/kb/811833/de-de. Ausführliche Informationen zu Unterstützung und Einschränkungen von FIPS 140-2 in Exchange 2010 finden Sie im Abschnitt "Exchange 2010 SP1 and Support for FIPS Compliant Algorithms" unter http://go.microsoft.com/fwlink/?linkid=205335&clcid=0x407.