Miglioramenti chiave della protezione in Lync Server 2010
Ultima modifica dell'argomento: 2012-10-18
Microsoft Lync Server 2010 include i miglioramenti seguenti a livello di sicurezza:
Strumenti di pianificazione e progettazione Lync Server 2010 offre due strumenti per facilitare la pianificazione e la progettazione, oltre a ridurre la probabilità di errori di configurazione dei componenti di Lync Server. È possibile utilizzare lo Strumento di pianificazione per automatizzare gran parte del processo di progettazione della topologia. È possibile esportare i risultati dallo Strumento di pianificazione a Generatore di topologie, ovvero lo strumento necessario per installare ogni server che esegue Lync Server 2010. Generatore di topologie archivia tutte le informazioni di configurazione nell'archivio di gestione centrale. Per informazioni dettagliate su questi strumenti, vedere Inizio del processo di pianificazione nella documentazione relativa alla pianificazione.
Archivio di gestione centrale. Con Lync Server 2010, i dati di configurazione relativi ai server e ai servizi vengono spostati nell'archivio di gestione centrale. L'archivio di gestione centrale offre un meccanismo di archiviazione schematizzata stabile per i dati necessari a definizione, impostazione, manutenzione, amministrazione, descrizione e utilizzo di una distribuzione di Lync Server. Convalida inoltre i dati per garantire la coerenza di configurazione. Tutte le modifiche apportate ai dati di questa configurazione avvengono a livello dell'archivio di gestione centrale, eliminando i problemi dovuti alla mancanza d sincronizzazione. Le copie di sola lettura dei dati sono replicate in tutti i server della topologia, inclusi gli Edge Server e i Survivable Branch Appliance. La replica viene gestita da un servizio eseguito per impostazione predefinita nel contesto del servizio di rete, riducendo i diritti e le autorizzazioni a quelli di un semplice utente nel computer. Per informazioni dettagliate, vedere Nuovo archivio di gestione centrale nella guida introduttiva.
Interfaccia di gestione basata su Windows PowerShell e su Web Lync Server 2010 offre un'interfaccia di gestione potente, basata sull'interfaccia da riga di comando di Windows PowerShell. Questa interfaccia include cmdlet per la gestione della sicurezza e le funzionalità di sicurezza di Windows PowerShell sono abilitate per impostazione predefinita in modo che gli utenti non possano eseguire script facilmente o inconsapevolmente. Ciò significa che le impostazioni predefinite del software sono configurare in modo da ottimizzare automaticamente la sicurezza e ridurre i rischi di attacco. Per informazioni dettagliate sul supporto della gestione con Windows PowerShell in Lync Server 2010, vedere Strumenti di gestione di Windows PowerShell e Lync Server.
Controllo di accesso basato sui ruoli In Microsoft Lync Server 2010 viene introdotto il controllo di accesso basato sui ruoli per consentire la delega delle attività amministrative pur mantenendo standard di sicurezza elevati. È possibile utilizzare il controllo di accesso basato sui ruoli per seguire il principio dei privilegi minimi, in base al quale agli utenti vengono concessi solo i diritti amministrativi richiesti dalle loro mansioni. Per informazioni dettagliate, vedere Controllo di accesso basato sui ruoli.
NAT (Network Address Translation) Lync Server 2010 non supporta l'utilizzo di NAT nell''interfaccia interna dell'Edge Server, ma supporta la collocazione dell'interfaccia esterna dei servizi Access Edge, Web Conferencing Edge e A/V Edge dietro un router o un firewall che esegue la conversione NAT sia in topologie Edge Server singole che consolidate in scala. Non è consentito l'utilizzo di NAT per più Edge Server dietro a un dispositivo di bilanciamento del carico hardware. In presenza di più Edge Server che utilizzano NAT nelle rispettive interfacce esterne, è necessario il bilanciamento del carico DNS (Domain Name System). L'utilizzo del bilanciamento del carico DNS consente a sua volta di ridurre il numero di indirizzi IP pubblici per Edge Server in un pool di Edge Server. Per informazioni dettagliate, vedere Servizio Access Edge.
Requisiti delle porte
Nota
Se si stabilisce la federazione con organizzazioni con una distribuzione di Microsoft Office Communications Server 2007 ed è necessario utilizzare la funzionalità audio/video tra la propria organizzazione e quella federata, i requisiti delle porte saranno gli stessi della versione precedente degli Edge Server distribuiti. Gli intervalli di porte obbligatori per queste versioni precedenti, ad esempio, devono essere aperti per entrambe le organizzazioni finché il partner federato non aggiorna il Edge Server a Lync Server 2010. A quel punto, sarà possibile verificare e ridurre i requisiti delle porte in base alla nuova configurazione.
Certificati semplificati per Edge Server La Distribuzione guidata consente di popolare automaticamente i nomi soggetto (SN) e i nomi soggetto alternativi (SAN) riducendo la possibilità di includere voci superflue e potenzialmente non sicure.
Un elenco completo con relative descrizioni delle nuove funzionalità in Lync Server 2010 e Microsoft Lync 2010 è disponibile nella Introduzione.
Affidabilità strutturale
Lync Server 2010 è progettato e sviluppato in conformità con il ciclo di vita dello sviluppo della protezione per sistemi informatici attendibili, descritto all'indirizzo https://go.microsoft.com/fwlink/?linkid=68761&clcid=0x410. Il primo passaggio nella creazione di un sistema di comunicazioni unificate più sicuro è stato progettare modelli di rischio e testare ogni funzionalità come è stata progettata. Diversi miglioramenti correlati alla sicurezza sono stati integrati nelle procedure e nel processo di codifica. Gli strumenti in fase di compilazione rilevano i sovraccarichi del buffer e altre potenziali minacce per la sicurezza prima che il codice venga introdotto nel prodotto finale. È ovviamente impossibile progettare un sistema in grado di far fronte a tutte le minacce per la sicurezza sconosciute. Nessun sistema può garantire una completa sicurezza. Poiché, tuttavia, nello sviluppo del prodotto sono stati adottati fin dall'inizio principi che assicurano una progettazione sicura, in Lync Server 2010 le tecnologie di sicurezza standard del settore sono incorporate come parte integrante dell'architettura.
Affidabilità per impostazione predefinita
Le comunicazioni di rete in Lync Server 2010 sono crittografate per impostazione predefinita. Richiedendo a tutti i server di utilizzare i certificati e utilizzando l'autenticazione Kerberos, TLS, SRTP (Secure Real-Time Transport Protocol) e altre tecniche di crittografia standard del settore, inclusa la crittografia AES (Advanced Encryption Standard) a 128 bit, praticamente tutti i dati di Lync Server sono protetti in rete. Il controllo di accesso basato sui ruoli, inoltre, consente la distribuzione di server che eseguono Lync Server 2010 in modo che ogni ruolo server esegua solo i servizi, e disponga solo delle autorizzazioni correlate a tali servizi, appropriati per il ruolo.
Affidabilità basata sulla distribuzione
Non solo questa documentazione relativa alla sicurezza, ma tutta la documentazione di Lync Server 2010 include procedure consigliate e suggerimenti per determinare e configurare i livelli di sicurezza ottimali per la distribuzione e valutare i rischi derivanti dall'attivazione delle opzioni non predefinite.