Chiffrement pour Lync Server 2013
Dernière rubrique modifiée : 14-09-2017
Microsoft Lync Server 2013 utilise TLS et MTLS pour chiffrer les messages instantanés. Tout le trafic de serveur à serveur requiert MTLS, que le trafic soit confiné au réseau interne ou qu’il traverse le périmètre réseau interne. TLS est facultatif, mais fortement recommandé entre le serveur de médiation et la passerelle multimédia. Si TLS est configuré sur cette liaison, MTLS est requis. Par conséquent, la passerelle doit être configurée avec un certificat d’une autorité de certification approuvée par le serveur de médiation.
Remarque
Un avis de sécurité relatif à SSL 3.0 a été publié en 2014. La désactivation de SSL 3.0 dans Lync Server 2013 est une option prise en charge. Pour en savoir plus sur l’avis de sécurité, consultez https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/.
.gif "sécurité") Note de sécurité : |
|---|
| Pour garantir l’utilisation du protocole de chiffrement le plus puissant, Lync Server 2013 propose des protocoles de chiffrement TLS dans l’ordre suivant aux clients : TLS 1.2 , TLS 1.1, TLS 1.0. TLS est un aspect essentiel de Lync Server 2013. Il est donc nécessaire pour maintenir un environnement pris en charge. |
La configuration requise pour le trafic client à client varie selon que ce trafic traverse ou non le pare-feu interne de l’entreprise. Le trafic strictement interne peut utiliser TLS, auquel cas le message instantané est chiffré, ou TCP, auquel cas il ne l’est pas.
Le tableau suivant résume les exigences de protocole pour chaque type de trafic.
Protection du trafic
| Type de trafic | Protégé par |
|---|---|
Serveur à serveur |
MTLS |
Client à serveur |
TLS |
Messagerie instantanée et présence |
TLS (si TLS est configuré) |
Partage multimédia audio, vidéo et de bureau |
SRTP |
Partage du bureau (signalisation) |
TLS |
Conférence web |
TLS |
Téléchargement de contenu de réunion, téléchargement de carnet d’adresses, développement de groupe de distribution |
HTTPS |
Chiffrement multimédia
Le trafic multimédia est chiffré à l'aide du protocole SRTP (Secure Real-time Transport Protocol), un profil du protocole RTP (Real-Time Transport Protocol) qui offre confidentialité, authentification et protection contre les attaques sur le trafic RTP. De plus, les données multimédias acheminées dans les deux directions entre le serveur de médiation et son tronçon suivant interne sont également chiffrées avec SRTP. Les médias circulant dans les deux sens entre le serveur de médiation et une passerelle multimédia ne sont pas chiffrés par défaut. Le serveur de médiation peut prendre en charge le chiffrement sur la passerelle multimédia, mais la passerelle doit prendre en charge MTLS et le stockage d’un certificat.
Remarque
L’audio/vidéo (A/V) est pris en charge avec la nouvelle version de Windows Live Messenger. Si vous implémentez la fédération A/V avec Windows Live Messenger, vous devez également modifier le niveau de chiffrement Lync Server. Par défaut, ce paramètre est défini sur Requis. Vous devez modifier ce paramètre sur Pris en charge à l’aide de Lync Server Management Shell. Pour plus d’informations, consultez Déploiement d’un accès utilisateur externe dans Lync Server 2013 dans la documentation de déploiement.
Le trafic multimédia audio et vidéo n’est pas chiffré entre Microsoft Lync 2013 et les clients Windows Live.
FIPS
Lync Server 2013 et Microsoft Exchange Server 2013 fonctionnent avec la prise en charge des algorithmes FIPS (Federal Information Processing Standard) 140-2 si les systèmes d’exploitation Windows Server sont configurés pour utiliser les algorithmes FIPS 140-2 pour le chiffrement système. Pour implémenter la prise en charge de FIPS, vous devez configurer chaque serveur exécutant Lync Server 2013 pour la prendre en charge. Pour plus d’informations sur l’utilisation des algorithmes compatibles FIPS et sur la façon d’implémenter la prise en charge fips, consultez l’article de la Base de connaissances Microsoft 811833, Les effets de l’activation du paramètre de sécurité « Chiffrement système : Utiliser des algorithmes conformes FIPS pour le chiffrement, le hachage et la signature » dans Windows XP et dans les versions ultérieures de Windows à l’adressehttps://go.microsoft.com/fwlink/p/?linkid=3052& ; kbid=811833. Pour plus d’informations sur la prise en charge et les limitations de FIPS 140-2 dans Exchange 2010, consultez Exchange 2010 SP1 et Prise en charge des algorithmes conformes FIPS à l’adresse https://go.microsoft.com/fwlink/p/?LinkId=205335.