Criptografia para o Lync Server 2013Encryption for Lync Server 2013

 

Última modificação do tópico: 2017-09-14Topic Last Modified: 2017-09-14

O Microsoft Lync Server 2013 usa TLS e MTLS para criptografar mensagens instantâneas.Microsoft Lync Server 2013 uses TLS and MTLS to encrypt instant messages. Todo o tráfego de servidor para servidor requer MTLS, independentemente de o tráfego ter sido confinado na rede interna ou cruzar o perímetro da rede interna.All server-to-server traffic requires MTLS, regardless of whether the traffic is confined to the internal network or crosses the internal network perimeter. O TLS é opcional, mas é altamente recomendável entre o servidor de mediação e o gateway de mídia.TLS is optional but strongly recommended between the Mediation Server and media gateway. Se o TLS estiver configurado nesse link, MTLS será necessário.If TLS is configured on this link, MTLS is required. Portanto, o gateway deve ser configurado com um certificado de uma autoridade de certificação que é confiável para o servidor de mediação.Therefore, the gateway must be configured with a certificate from a CA that is trusted by the Mediation Server.

Observação

Um comunicado de segurança sobre SSL 3,0 foi publicado no 2014.A security advisory regarding SSL 3.0 was published in 2014. A desabilitação do SSL 3,0 no Lync Server 2013 é uma opção com suporte.Disabling SSL 3.0 in Lync Server 2013 is a supported option. Para saber mais sobre o comunicado de segurança, consulte https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/ .To learn more about the security advisory, see https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/.

securityObservação de segurança:Security Note:
Para garantir que o protocolo criptográfico mais forte seja usado, o Lync Server 2013 oferecerá protocolos de criptografia TLS na seguinte ordem para clientes: TLS 1,2 , TLS 1,1, TLS 1,0.To ensure the strongest cryptographic protocol is used, Lync Server 2013 will offer TLS encryption protocols in the following order to clients: TLS 1.2 , TLS 1.1, TLS 1.0. O TLS é um aspecto crítico do Lync Server 2013 e, portanto, é necessário para manter um ambiente com suporte.TLS is a critical aspect of Lync Server 2013 and thus it is required in order to maintain a supported environment.

Os requisitos do tráfego de cliente para cliente depende de o tráfego atravessar ou não o firewall corporativo interno. O tráfego estritamente interno pode usar o TLS (as mensagens instantâneas são criptografadas) ou o TCP (as mensagens instantâneas não são criptografadas).Requirements for client-to-client traffic depend on whether that traffic crosses the internal corporate firewall. Strictly internal traffic can use either TLS, in which case the instant message is encrypted, or TCP, in which case it is not.

A tabela a seguir resume os requisitos de protocolo de cada tipo de tráfego.The following table summarizes the protocol requirements for each type of traffic.

Proteção de tráfegoTraffic Protection

Tipo de tráfegoTraffic type Protegido porProtected by

Servidor para servidorServer-to-server

MTLSMTLS

Cliente para servidorClient-to-server

TLSTLS

Sistema de mensagens instantâneas e presençaInstant messaging and presence

TLS (se configurado para TLS)TLS (if configured for TLS)

Compartilhamento de área de trabalho, áudio e vídeo da mídiaAudio and video and desktop sharing of media

SRTPSRTP

Compartilhamento de área de trabalho (sinalização)Desktop sharing (signaling)

TLSTLS

WebconferênciaWeb conferencing

TLSTLS

Download do conteúdo das reuniões, download do catálogo de endereços, expansão de grupos de distribuiçãoMeeting content download, address book download, distribution group expansion

HTTPSHTTPS

Criptografia da mídiaMedia Encryption

O tráfego de mídia é criptografado usando SRTP, um perfil de protocolo RTP que fornece confidencialidade, autenticação e proteção contra ataque de repetição para o tráfego RTP.Media traffic is encrypted using Secure RTP (SRTP), a profile of Real-Time Transport Protocol (RTP) that provides confidentiality, authentication, and replay attack protection to RTP traffic. Além disso, a mídia que flui em ambas as direções entre o servidor de mediação e seu próximo nó interno também é criptografada usando o SRTP.In addition, media flowing in both directions between the Mediation Server and its internal next hop is also encrypted using SRTP. O fluxo de mídia em ambas as direções entre o servidor de mediação e um gateway de mídia não é criptografado por padrão.Media flowing in both directions between the Mediation Server and a media gateway is not encrypted by default. O Servidor de Mediação pode oferecer suporte à criptografia para o gateway de mídia, mas o gateway deve oferecer suporte ao MTLS e ao armazenamento de um certificado.The Mediation Server can support encryption to the media gateway, but the gateway must support MTLS and storage of a certificate.

Observação

Áudio/vídeo (A/V) é compatível com a nova versão do Windows Live Messenger.Audio/Video (A/V) is supported with the new version of Windows Live Messenger. Se você estiver implementando uma federação A/V com Windows Live Messenger, também deverá modificar o nível de criptografia do Lync Server.If you are implementing A/V federation with Windows Live Messenger, you must also modify the Lync Server encryption level. Por padrão, o nível de criptografia é Obrigatório.By default, the encryption level is Required. Você deve alterar essa configuração para suportado usando o Shell de gerenciamento do Lync Server.You must change this setting to Supported by using the Lync Server Management Shell. Para obter mais informações, consulte Deploying external User Access in Lync Server 2013 na documentação de implantação.For more information, see Deploying external user access in Lync Server 2013 in the Deployment documentation.

O tráfego de mídia de áudio e vídeo não é criptografado entre os clientes do Microsoft Lync 2013 e do Windows Live.Audio and video media traffic is not encrypted between Microsoft Lync 2013 and Windows Live clients.

FIPSFIPS

O Lync Server 2013 e o Microsoft Exchange Server 2013 operam com suporte para algoritmos normativos FIPS (Federal Information Processing Standard 140-2) se os sistemas operacionais Windows Server estiverem configurados para usar os algoritmos FIPS 140-2 para criptografia de sistema.Lync Server 2013 and Microsoft Exchange Server 2013 operate with support for Federal Information Processing Standard (FIPS) 140-2 algorithms if the Windows Server operating systems are configured to use the FIPS 140-2 algorithms for system cryptography. Para implementar o suporte a FIPS, você deve configurar cada servidor executando o Lync Server 2013 para dar suporte a ele.To implement FIPS support, you must configure each server running Lync Server 2013 to support it. Para obter detalhes sobre o uso de algoritmos compatíveis com FIPS e sobre como implementar o suporte a FIPS, consulte o artigo 811833 da base de dados de conhecimento da Microsoft, os efeitos da habilitação da configuração de segurança "criptografia de sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura" no Windows XP e em versões posteriores do Windows em https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=811833 .For details about the use of FIPS-compliant algorithms and how to implement FIPS support, see Microsoft Knowledge Base article 811833, The effects of enabling the “System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing" security setting in Windows XP and in later versions of Windows at https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=811833. Para obter detalhes sobre o suporte a FIPS 140-2 e limitações no Exchange 2010, consulte Exchange 2010 SP1 e suporte para algoritmos compatíveis com FIPS em https://go.microsoft.com/fwlink/p/?LinkId=205335 .For details about FIPS 140-2 support and limitations in Exchange 2010, see Exchange 2010 SP1 and Support for FIPS Compliant Algorithms at https://go.microsoft.com/fwlink/p/?LinkId=205335.