Planen, legacy-Authentifizierungsmethoden intern und extern in Ihrem Netzwerk zu deaktivieren.

Hinweis

Wenn Sie diesen Artikel lesen möchten, sollten Sie bereits über unterstützte Topologien der modernen Authentifizierung, ADAL und die Konfiguration der modernen Authentifizierung informiert sein. Falls Dies nicht der Fall ist, finden Sie die folgenden Artikel, die Sie für den Einstieg benötigen:

• https://learn.microsoft.com/skypeforbusiness/plan-your-deployment/modern-authentication/topologies-supported
• https://learn.microsoft.com/skypeforbusiness/manage/authentication/use-adal

Die moderne Authentifizierung ermöglicht nicht nur sicherere Authentifizierungsmethoden wie Two-Factor-Authentifizierung oder zertifikatbasierte Authentifizierung, sie kann auch die Autorisierung Ihres Benutzers durchführen, ohne einen Benutzernamen oder ein Kennwort zu benötigen. Es ist ziemlich praktisch.

Dieser Artikel hilft Ihnen, Löcher zu schließen, die für Denial-of-Service-Angriffe (DOS) auf Skype for Business-Servern ausgenutzt wurden, indem ältere Methoden deaktiviert werden, die für die Authentifizierung extern, intern oder beides in Ihrem Netzwerk verwendet werden. Eine gute Methode zum Stoppen von DOS-Angriffen wäre beispielsweise das Deaktivieren der integrierten Windows-Authentifizierung (einschließlich NTLM und Kerberos). Das externe Deaktivieren von NTLM und die Verwendung der zertifikatbasierten Authentifizierung trägt dazu bei, Kennwörter vor Offenlegung zu schützen. Dies liegt daran, dass NTLM Kennwortanmeldeinformationen zum Authentifizieren von Benutzern verwendet, die zertifikatbasierte Authentifizierung – aktiviert durch moderne Authentifizierung – jedoch nicht. Dies bedeutet, dass eine ideale Option zur Verringerung von DOS-Angriffen darin besteht, NTLM extern zu blockieren und stattdessen nur die zertifikatbasierte Authentifizierung dort zu verwenden.

Alles in Ordnung, lassen Sie uns loslegen.

Was würden Sie ändern?

Diese Cmdlets können sowohl für SIP- als auch für Webdienst-Zugriffspunkte verwendet werden. Obwohl diese beiden Kanäle unterschiedliche Zugriffsmethoden verwenden und die Bandbreite von NTLM und Kerberos bis anonymen Zugriff ausführen, wurden alle von Skype for Business verwendeten Standardmethoden berücksichtigt.

Abrufen der Cmdlets Get- und Set-CsAuthConfig

Diese Cmdlets werden erst nach dem kumulativen Update vom Juli 2018 (6.0.9319.534) für Microsoft Skype for Business Server 2015 installiert. Anschließend verfügen Sie über eine Vielzahl von Topologien, die für Ihren Skype for Business Server eingeführt werden können.

Topologien

Es ist wichtig zu beachten, dass dies die unterstützten Topologien sind, die in diesem Szenario beteiligt sind! Wenn Sie z. B. hilfe beim Blockieren einer Methode unter Support benötigen, benötigen Sie eine Konfiguration unter den folgenden Typen.

Wichtig

In der tabelle und den Beschreibungen unten wird die moderne Authentifizierung als MA und die integrierte Windows-Authentifizierung als Win abgekürzt. Zur Erinnerung: Die integrierte Windows-Authentifizierung besteht aus zwei Methoden: NTLM- und Kerberos-Authentifizierung. Sie müssen dies wissen, um die Tabelle richtig lesen zu können!

	Extern	Intern	Parameter
Typ 1	MA + Win	MA + Win	AllowAllExternallyAndInternally
Typ 2	MA	MA + Win	BlockWindowsAuthExternally
Typ 3	MA	MA	BlockWindowsAuthExternallyAndInternally
Typ 4	MA	Gewinnen	BlockWindowsAuthExternallyAndModernAuthInternally
Typ 5	MA + Win	Gewinnen	BlockModernAuthInternally

Geben Sie 1 Beschreibung ein: Dies ist das Standardszenario, wenn MA für Skype for Business Server aktiviert ist. Anders ausgedrückt: Dies ist der Ausgangspunkt für die Konfiguration von MA.

Geben Sie 2 Beschreibung ein: Diese Topologie blockiert NTLM extern, lässt aber zu, dass NTLM oder Kerberos (für Clients, die ADAL nicht unterstützen) intern funktionieren. Wenn Ihre Clients ADAL unterstützen, verwenden sie ma intern.

Geben Sie 3 Beschreibung ein: Diese Topologie erfordert MA für alle Benutzer. Alle Ihre ADAL-fähigen Clients funktionieren in dieser Topologie, und Kennwörter werden nicht genutzt, wenn Sie z. B. die Verwendung von Kennwörtern mit zertifikatbasierter Authentifizierung deaktivieren.

Typ 4 Beschreibung: Diese Topologie blockiert NTLM extern und MA intern. Sie ermöglicht allen Clients die interne Verwendung von Legacyauthentifizierungsmethoden (auch ADAL-fähige Clients).

Typ 5 Beschreibung:Extern verwenden Ihre modernen ADAL-Clients MA, und alle Clients, die ADAL nicht unterstützen, verwenden Legacyauthentifizierungsmethoden. Intern verwenden jedoch alle Clients die Legacyauthentifizierung (einschließlich aller ADAL-fähigen Clients).

Es ist ziemlich einfach, den Überblick über das Ziel zu verlieren, Ihre Kennwörter in den verfügbaren Optionen zu schützen. Denken Sie daran, dass die ideale Situation darin besteht, MA extern zu verwenden (z. B. durch Konfigurieren der zertifikatbasierten Authentifizierung), um DOS-Angriffe zu vermeiden. Wenn Sie es intern für Ihre modernen Clients nutzen, sind Sie auch zukunftssicher im Hinblick auf Skype for Business Server DOS-Angriffe.

Gründe für die Verwendung von Set-CsAuthConfig auf globaler Ebene

Das Set-CsAuthConfig Cmdlet wirkt sich auf die Konfiguration sowohl auf die Rolle "Registrierungsstelle" als auch auf die Rollen "Webdienste" aus.

Dieses Cmdlet soll auf der globalen Ebene Ihres Skype for Business Servers ausgeführt werden. Es kann auf Poolebene ausgeführt werden, aber dies wird nicht empfohlen , da dies die Komplexität Ihrer Installation erhöhen wird. Wenn Sie diese Befehle auf Poolebene ausführen, werden die Einstellungen nur für die Rolle "Registrar" festgelegt, wenn in Ihrem Pool nicht alle Rollen enthalten sind (z. B. keine Webdienste). In diesem Fall werden Webdienste mit Einstellungen der globalen Ebene weitergeführt, was verwirrendes Verhalten sein kann (insbesondere, wenn dies unbeabsichtigt erfolgt).

Wenn ein Client die Registrierungsstelleneinstellungen aus einem Pool und die Webdiensteinstellungen aus einem anderen Pool verwendet und sich die Authentifizierungseinstellungen in einem inkonsistenten Zustand befinden, können sich Ihre Clients möglicherweise nicht anmelden.

Wenn für einen Pool nur eine Rolle vorhanden ist:

• Set- legt nur die Einstellungen fest, die der vorhandenen Rolle entsprechen. Es wird keine besondere Warnung ausgegeben, da einige Einstellungen nicht festgelegt wurden.
• Get- gibt die Einstellung zurück, die der vorhandenen Rolle entspricht, und die globalen Einstellungen für die Rolle, die nicht vorhanden ist.
• Wenn keine rolle für einen Pool vorhanden ist, geben sowohl Set- als auch Get- eine Fehlermeldung zurück.
• Wenn beide Rollen für einen Pool vorhanden sind, aber keine Richtlinien auf Poolebene definiert sind, gibt Get- eine Fehlermeldung zurück.

Es kann am klügsten sein, einen Get- für diese Werte durchzuführen und einen Screenshot zu erstellen oder ihren Startzustand aufzuzeichnen, bevor Sie Änderungen vornehmen. Sie können auch erwägen, ein Protokoll der Änderungen in einer OneNote-Datei zu speichern.

Hinweis

Hinweis: Nach dem Konfigurieren von CsAuthConfig müssen Sie Enable-CsComputer auf jedem Computer ausführen, damit die Einstellungen wirksam werden.

Wichtig

Wenn Sie Lync Web Access (LWA) verwenden und formularbasierten Zugriff (FBA) für den externen Zugriff verwenden müssen, konfigurieren Sie die LWA neu, damit Clients mit anonymem Zugriff darauf zugreifen können, um diese Szenarien zu unterstützen. Ebenso wird FBA nur für externe Benutzer blockiert, wenn Sie Einwahl-Pin verwenden. Wenn sie ihre Pin ändern müssen, müssen sie sich intern bei ihrem Unternehmen anmelden.

Hinweis

Wenn Sie den Parameter BlockWindowsAuthExternally verwenden, um NTLM extern zu blockieren, beachten Sie, dass dadurch auch NTLM intern für den SIP-Kanal blockiert wird. Skype for Business- und Lync-Clients, die neuer als 2010 sind, können sich jedoch weiterhin anmelden, da sie NTLM über HTTP für die Anmeldung intern verwenden und dann ein Zertifikat für die Anmeldung über SIP abrufen. Clients, die älter als 2010 sind, können sich in diesem Fall jedoch nicht intern anmelden, und Sie sollten ein Upgrade dieser Anwendungen in Betracht ziehen, damit Ihre Benutzer die sichere Funktionalität fortsetzen können.

Wichtig

Einige der Skype for Business-Webanwendungen unterstützen MA nicht. Wenn Sie also das Szenario BlockWindowsAuthExternallyAndInternally verwenden, können Sie nicht auf diese Anwendungen zugreifen. Anwendungen ohne MA-Unterstützung sind Web scheduler, Dial-In Page, Skype for Business Systemsteuerung (CSCP) und Reaktionsgruppen-Einstellungsseite.

Links

• Weitere PowerShell-Informationen:

  • Get-CsAuthConfig
  • Set-CsAuthConfig

• Weitere Informationen zur Verwendung der Befehle oder auf dem CU, die für deren Installation erforderlich sind:

  • Cmdlets-Briefing
  • Updates für Skype for Business Server 2015 (Allgemein)
  • Die Skype for Business Server 2015 von Juli 2018, Core Components CU (6.0.9319.534)