Wichtige Sicherheitsfeatures in Skype for Business Server
Skype for Business Server umfasst mehrere Sicherheitsfeatures, darunter Server-zu-Server-Authentifizierung, rollenbasierte Zugriffssteuerung und zentrale Speicherung von Konfigurationsdaten.
Dieser Artikel bietet eine allgemeine Übersicht über Skype for Business Server Sicherheit.
Wichtige Sicherheitsfeatures in Skype for Business Server
Sicherheit ist ein äußerst umfangreiches Thema. Die Sicherheit erstreckt sich über jedes Feature von Skype for Business Server sowie Datenbanken, Dienste und Hardware, die ein Skype for Business Server Ökosystem bilden. In diesem Artikel werden einige der Features in Skype for Business Server beschrieben, die insbesondere auf Sicherheit ausgelegt sind.
Planungs- und Entwurfstools
Skype for Business Server bietet zwei Tools, um die Planung und den Entwurf zu erleichtern und die Wahrscheinlichkeit einer fehlkonfigurieren Skype for Business Server Komponenten zu verringern.
Das Topologieplanungstool automatisiert einen Großteil des Topologieentwurfsprozesses. Sie können die Ergebnisse aus dem Planungstool in den Topologie-Generator exportieren. Dies ist das Tool, das erforderlich ist, um jeden Server zu installieren, auf dem Skype for Business Server ausgeführt wird.
Der Topologie-Generator speichert alle Konfigurationsinformationen im zentralen Verwaltungsspeicher.
Ausführliche Informationen zu diesen Tools finden Sie unter Skype for Business Server-Verwaltungstools.
Zentraler Verwaltungsspeicher (Central Management Store, CMS)
In Skype for Business Server sind Konfigurationsdaten zu Servern und Diensten Teil des zentralen Verwaltungsspeichers. Der zentrale Verwaltungsspeicher bietet einen stabilen, schematisierten Speicher der Daten, die zum Definieren, Einrichten, Verwalten, Beschreiben und Betreiben einer Skype for Business Server Bereitstellung erforderlich sind. Darüber hinaus überprüft er die Daten, um eine konsistente Konfiguration zu gewährleisten. Alle Änderungen an diesen Konfigurationsdaten erfolgen im zentralen Verwaltungsspeicher, sodass Nicht synchrone Probleme vermieden werden.
Schreibgeschützte Kopien der Daten werden an alle Server in der Topologie repliziert, Edgeserver und Survivable Branch Appliances eingeschlossen. Die Replikation wird von einem Dienst verwaltet, der standardmäßig unter dem Kontext des Netzwerkdiensts ausgeführt wird, wodurch die Rechte und Berechtigungen auf die eines einfachen Benutzers auf dem Computer reduziert werden.
Server-zu-Server-Authentifizierung
In Skype for Business Server kann die Authentifizierung zwischen Servern mithilfe des OAuth-Protokolls (Open Authorization) konfiguriert werden. Sie können beispielsweise Skype for Business Server für die Authentifizierung bei einem Server konfigurieren, der Microsoft Exchange Server 2016 ausgeführt wird. Mithilfe des OAuth-Protokolls können sich die Skype for Business Server und die Microsoft Exchange Server gegenseitig vertrauen. Auf diese Weise können die Produkte nahtlos integriert werden. Weitere Informationen finden Sie unter Verwalten von Server-zu-Server-Authentifizierung (OAuth) und Partneranwendungen in Skype for Business Server.
Windows PowerShell-basierte und webbasierte Verwaltungsschnittstelle
Skype for Business Server bietet eine leistungsstarke Verwaltungsschnittstelle, die auf der Windows PowerShell-Befehlszeilenschnittstelle basiert. Sie enthält Cmdlets für die Verwaltung der Sicherheit und Windows PowerShell-Sicherheitsfeatures sind standardmäßig aktiviert, sodass Skripts von Nutzern nicht versehentlich oder unwissentlich ausgeführt werden können. Dies bedeutet, dass die Softwarestandardeinstellungen so konfiguriert sind, dass die Sicherheit automatisch optimiert wird und Angriffsmöglichkeiten reduziert werden. Ausführliche Informationen zur Windows PowerShell-Verwaltungsunterstützung in Skype for Business Server finden Sie unter Skype for Business Server-Verwaltungsshell.
Rollenbasierte Zugriffssteuerung (RBAC)
Skype for Business Server bietet die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), mit der Sie administrative Aufgaben delegieren und gleichzeitig hohe Sicherheitsstandards einhalten können. Mit der rollenbasierten Zugriffssteuerung können Sie dem Prinzip der geringsten Rechte folgen, bei dem Nutzer nur die administrativen Rechte erhalten, die sie für ihre Arbeit benötigen. Skype for Business Server bietet die Möglichkeit, eine neue Rolle zu erstellen und eine vorhandene Rolle zu ändern.
Netzwerkadressenübersetzung (Network Address Translation, NAT)
Skype for Business Server unterstützt nicht die Verwendung der Netzwerkadressübersetzung (NETWORK Address Translation, NAT) auf der internen Schnittstelle des Edgeservers, unterstützt jedoch das Platzieren der externen Schnittstelle des Zugriffs-Edgediensts, des Webkonferenz-Edgediensts und des A/V-Edgediensts hinter einem Router oder einer Firewall, die netzwerkadressenübersetzung (NAT) für einzelne und skalierte konsolidierte Edgeservertopologien durchführt. Mehrere Edgeserver hinter einem Hardwarelastenausgleich können NAT nicht verwenden. Wenn mehrere Edgeserver NAT an ihren externen Schnittstellen verwenden, ist der DNS-Lastenausgleich (Domain Name System) erforderlich. Mithilfe des DNS-Lastenausgleichs können Sie wiederum die Anzahl der öffentlichen IP-Adressen pro Edgeserver in einem Edgeserverpool reduzieren. Weitere Informationen finden Sie unter Edgeserverszenarien in Skype for Business Server.
Hinweis
Wenn Sie mit einem Verbundunternehmen zusammenarbeiten, das über eine Bereitstellung von Microsoft Office Communications Server 2007 verfügt, und wenn Audio-/Videofunktionen zwischen Ihrem Unternehmen und dem Verbundunternehmen unterstützt werden sollen, entsprechen die Portanforderungen denen für die bereitgestellten älteren Edgeserver. Beispielsweise müssen die für diese älteren Versionen erforderlichen Portbereiche für beide Unternehmen geöffnet werden, bis der Partner seine Edgeserver auf Skype for Business Server aktualisiert. Dann können die Portanforderungen erneut überprüft und gemäß der neuen Konfiguration vermindert werden.
Vereinfachte Zertifikate für Edgeserver
Der Bereitstellungs-Assistent kann Antragstellernamen (SNs) und alternative Antragstellernamen (SANs) automatisch ausfüllen. Dadurch reduziert sich das Risiko von unnötigen und potenziell unsicheren Einträgen.
Trustworthy Computing Security Development Lifecycle (SDL)
Skype for Business Server wurde in Übereinstimmung mit dem Microsoft Trustworthy Computing Security Development Lifecycle (SDL) entworfen und entwickelt.
Vertrauenswürdig von Design Der erste Schritt bei der Erstellung eines sichereren Unified Communications-Systems bestand darin, Bedrohungsmodelle zu entwerfen und jedes Feature so zu testen, wie es entworfen wurde. Außerdem führt Microsoft Tests außerhalb des konzipierten Verhaltens durch, um Sicherheitsrisiken zu finden, die sich aus einem nicht erwarteten Produktverhalten ergeben. Mehrere sicherheitsbezogene Verbesserungen wurden in Codierungsprozess und -methoden integriert. Mit Buildzeittools werden Pufferüberläufe und andere potenzielle Sicherheitsbedrohungen erkannt, bevor der Code in das Endprodukt übernommen wird. Natürlich ist es unmöglich, bereits beim Entwurf alle unbekannten Sicherheitsbedrohungen zu berücksichtigen. Kein System kann 100-prozentige Sicherheit garantieren. Da die Produktentwicklung jedoch von Anfang an sichere Designprinzipien umfasste, integriert Skype for Business Server Sicherheitstechnologien nach Industriestandard als grundlegenden Bestandteil seiner Architektur.
Standardmäßig vertrauenswürdig Standardmäßig wird die Netzwerkkommunikation in Skype for Business Server verschlüsselt. Da alle Server Zertifikate und Kerberos-Authentifizierung, TLS, Secure Real-Time Transport Protocol (SRTP) und andere verschlüsselungstechniken nach Branchenstandard verwenden, einschließlich der 128-Bit-AES-Verschlüsselung (Advanced Encryption Standard), werden praktisch alle Skype for Business Server Daten im Netzwerk geschützt. Darüber hinaus ermöglicht die rollenbasierte Zugriffssteuerung die Bereitstellung von Servern, die Skype for Business Server ausgeführt werden, sodass jede Serverrolle nur die Dienste ausführt und nur über die Berechtigungen für diese Dienste verfügt, die für die Serverrolle geeignet sind.
Vertrauenswürdig nach Bereitstellung Alle Skype for Business Server Dokumentation enthalten bewährte Methoden und Empfehlungen, mit denen Sie die optimalen Sicherheitsstufen für Ihre Bereitstellung ermitteln und konfigurieren und die Sicherheitsrisiken der Aktivierung nicht standardmäßiger Optionen bewerten können.