Шифрование для Lync Server 2013
Раздел Последнее изменение: 14.09.2017
Microsoft Lync Server 2013 использует TLS и MTLS для шифрования мгновенных сообщений. Весь межсерверный трафик требует использования MTLS независимо от того, ограничен ли трафик внутренней сетью или пересекает периметр внутренней сети. Протокол TLS является необязательным, но настоятельно рекомендуется использовать между сервером-посредником и шлюзом мультимедиа. If TLS is configured on this link, MTLS is required. Таким образом, шлюз должен быть настроен с помощью сертификата из ЦС, которому доверяет сервер-посредник.
Примечание.
Советы по безопасности в отношении SSL 3.0 были опубликованы в 2014 г. Отключение SSL 3.0 в Lync Server 2013 является поддерживаемым вариантом. Дополнительные сведения о рекомендациях по безопасности см. в разделе https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/.
.gif "безопасность") Примечание по безопасности: |
|---|
| Чтобы обеспечить использование самого надежного криптографического протокола, Lync Server 2013 предложит клиентам протоколы шифрования TLS в следующем порядке: TLS 1.2 , TLS 1.1, TLS 1.0. Протокол TLS является критически важным аспектом Lync Server 2013, поэтому он необходим для поддержки поддерживаемой среды. |
Требования к трафику между клиентами зависят от того, пересекает ли этот трафик внутренний корпоративный брандмауэр. Строго внутренний трафик может использовать либо TLS, в этом случае мгновенное сообщение шифруется, либо TCP, в этом случае это не так.
В следующей таблице представлена сводка требований протокола для каждого типа трафика.
Защита трафика
| Тип трафика | Защита |
|---|---|
Сервер-сервер |
MTLS |
Клиент-сервер |
TLS |
Мгновенные сообщения и присутствие |
TLS (если настроено для TLS) |
Аудио/видео и рабочий стол для общего доступа к мультимедиа |
SRTP |
Общий доступ к рабочему столу (передача сигналов) |
TLS |
веб-конференции |
TLS |
Загрузка содержимого собрания, загрузка адресной книги, расширение группы рассылки |
HTTPS |
Шифрование мультимедиа
Трафик мультимедиа шифруется по протоколу SRTP, профилю протокола RTP, который обеспечивает конфиденциальность, проверку подлинности и защиту от атак с повторением пакетов для трафика RTP. Кроме того, потоки мультимедиа в обоих направлениях между сервером-посредником и его внутренним узлом следующего прыжка также шифруются с помощью SRTP. Мультимедиа, передаваемые в обоих направлениях между сервером-посредником и шлюзом мультимедиа, по умолчанию не шифруются. Сервер-посредник может обеспечивать шифрование на медиашлюзе, однако шлюз должен поддерживать MTLS и хранилище сертификатов.
Примечание.
Аудио-видео (A/V) поддерживается в новой версии Windows Live Messenger. Если вы реализуете федерацию A/V с Windows Live Messenger, необходимо также изменить уровень шифрования Lync Server. By default, the encryption level is Required. Этот параметр необходимо изменить на Поддерживается с помощью командной консоли Lync Server. Дополнительные сведения см. в статье Развертывание доступа внешних пользователей в Lync Server 2013 документации по развертыванию.
Аудио- и видеотрансляций не шифруется между клиентами Microsoft Lync 2013 и Windows Live.
FIPS
Lync Server 2013 и Microsoft Exchange Server 2013 работают с поддержкой алгоритмов FIPS 140-2, если операционные системы Windows Server настроены на использование алгоритмов FIPS 140-2 для шифрования системы. Чтобы реализовать поддержку FIPS, необходимо настроить ее поддержку на каждом сервере под управлением Lync Server 2013. Дополнительные сведения об использовании алгоритмов, совместимых с FIPS, и о реализации поддержки FIPS см. в статье базы знаний Майкрософт 811833. Последствия включения параметра безопасности "Системное шифрование: использование совместимых с FIPS алгоритмов для шифрования, хэширования и подписывания" в Windows XP и более поздних версиях Windows по адресу https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=811833. Дополнительные сведения о поддержке и ограничениях FIPS 140-2 в Exchange 2010 см. в разделах Exchange 2010 с пакетом обновления 1 (SP1) и Поддержка алгоритмов, совместимых с FIPS, на странице https://go.microsoft.com/fwlink/p/?LinkId=205335.