Шифрование для Lync Server 2013Encryption for Lync Server 2013

 

Последнее изменение темы: 2017-09-14Topic Last Modified: 2017-09-14

Microsoft Lync Server 2013 использует протоколы TLS и MTLS для шифрования мгновенных сообщений.Microsoft Lync Server 2013 uses TLS and MTLS to encrypt instant messages. Весь трафик между серверами требует MTLS, независимо от того, насколько трафик ограничен внутренней сетью или он пересекает периметр внутренней сети.All server-to-server traffic requires MTLS, regardless of whether the traffic is confined to the internal network or crosses the internal network perimeter. Протокол TLS является необязательным, но настоятельно рекомендуется между сервером-посредником и шлюзом мультимедиа.TLS is optional but strongly recommended between the Mediation Server and media gateway. Если для этой ссылки настроен протокол TLS, необходимо указать MTLS.If TLS is configured on this link, MTLS is required. Поэтому шлюз должен быть настроен с помощью сертификата из центра сертификации, который является доверенным для сервера-посредника.Therefore, the gateway must be configured with a certificate from a CA that is trusted by the Mediation Server.

Примечание

Рекомендации по безопасности, связанные с SSL 3,0, были опубликованы в 2014.A security advisory regarding SSL 3.0 was published in 2014. Отключение SSL 3,0 в Lync Server 2013 является поддерживаемым вариантом.Disabling SSL 3.0 in Lync Server 2013 is a supported option. Дополнительные сведения о рекомендациях по обеспечению безопасности приведены в разделе https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/ .To learn more about the security advisory, see https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/.

securityПримечание о безопасности:Security Note:
Чтобы обеспечить использование наиболее надежного протокола шифрования, Lync Server 2013 предоставит протоколы TLS-шифрования в следующем порядке для клиентов: TLS 1,2 , TLS 1,1, TLS 1,0.To ensure the strongest cryptographic protocol is used, Lync Server 2013 will offer TLS encryption protocols in the following order to clients: TLS 1.2 , TLS 1.1, TLS 1.0. Протокол TLS является важнейшим аспектом Lync Server 2013, поэтому он необходим для поддержки поддерживаемой среды.TLS is a critical aspect of Lync Server 2013 and thus it is required in order to maintain a supported environment.

Требования для клиентского трафика зависят от того, пересекает ли этот трафик внутренний корпоративный брандмауэр.Requirements for client-to-client traffic depend on whether that traffic crosses the internal corporate firewall. Строго внутренний трафик может использовать TLS, в этом случае обмен мгновенными сообщениями будет шифроваться или TCP, в этом случае это не так.Strictly internal traffic can use either TLS, in which case the instant message is encrypted, or TCP, in which case it is not.

В следующей таблице приведены требования к протоколам для каждого типа трафика.The following table summarizes the protocol requirements for each type of traffic.

Защита трафикаTraffic Protection

Тип трафикаTraffic type ЗащищеноProtected by

Между серверамиServer-to-server

MTLSMTLS

Между клиентом и серверомClient-to-server

TLS;TLS

Обмен мгновенными сообщениями и сведения о присутствииInstant messaging and presence

TLS (если настроено для TLS)TLS (if configured for TLS)

Доступ к мультимедиа и аудио, видео и рабочему столуAudio and video and desktop sharing of media

SRTPSRTP

Общий доступ к рабочему столу (передача сигналов)Desktop sharing (signaling)

TLS;TLS

Веб-конференцииWeb conferencing

TLS;TLS

Скачивание контента собраний, Загрузка адресной книги, расширение группы рассылкиMeeting content download, address book download, distribution group expansion

HTTPSHTTPS

Шифрование мультимедиаMedia Encryption

Трафик мультимедиа шифруется с помощью Secure RTP (SRTP), Real-Time профиля протокола RTP, который обеспечивает конфиденциальность, проверку подлинности и защиту от атак с повторением для трафика RTP.Media traffic is encrypted using Secure RTP (SRTP), a profile of Real-Time Transport Protocol (RTP) that provides confidentiality, authentication, and replay attack protection to RTP traffic. Кроме того, носитель, проходящий в обоих направлениях между сервером-посредником и его внутренним следующим участком, также шифруется с использованием SRTP.In addition, media flowing in both directions between the Mediation Server and its internal next hop is also encrypted using SRTP. Поток мультимедиа в обоих направлениях между сервером-посредником и шлюзом мультимедиа по умолчанию не шифруется.Media flowing in both directions between the Mediation Server and a media gateway is not encrypted by default. Сервер-посредник может поддерживать шифрование на шлюзе мультимедиа, но шлюз должен поддерживать MTLS и хранилище сертификата.The Mediation Server can support encryption to the media gateway, but the gateway must support MTLS and storage of a certificate.

Примечание

Аудио и видео (A/V) поддерживаются в новой версии Windows Live Messenger.Audio/Video (A/V) is supported with the new version of Windows Live Messenger. Если вы реализуете Федерацию/V с помощью Windows Live Messenger, необходимо также изменить уровень шифрования Lync Server.If you are implementing A/V federation with Windows Live Messenger, you must also modify the Lync Server encryption level. По умолчанию уровень шифрования обязателен.By default, the encryption level is Required. Этот параметр необходимо изменить для поддержки с помощью командной консоли Lync Server.You must change this setting to Supported by using the Lync Server Management Shell. Для получения дополнительных сведений обратитесь к разделу развертывание доступа внешних пользователей в Lync Server 2013 в документации по развертыванию.For more information, see Deploying external user access in Lync Server 2013 in the Deployment documentation.

Трафик аудио-и видеофайла не шифруется между клиентами Microsoft Lync 2013 и Windows Live.Audio and video media traffic is not encrypted between Microsoft Lync 2013 and Windows Live clients.

FIPSFIPS

Lync Server 2013 и Microsoft Exchange Server 2013 работают с поддержкой алгоритмов федерального стандарта обработки информации (FIPS) 140-2, если операционные системы Windows Server настроены на использование алгоритмов FIPS 140-2 для системной криптографии.Lync Server 2013 and Microsoft Exchange Server 2013 operate with support for Federal Information Processing Standard (FIPS) 140-2 algorithms if the Windows Server operating systems are configured to use the FIPS 140-2 algorithms for system cryptography. Для реализации поддержки FIPS необходимо настроить каждый сервер, на котором работает Lync Server 2013, для его поддержки.To implement FIPS support, you must configure each server running Lync Server 2013 to support it. Для получения дополнительных сведений об использовании алгоритмов, совместимых с FIPS и реализации поддержки FIPS, обратитесь к статье 811833 базы знаний Майкрософт, в которой приводится влияние включения параметра безопасности "Системная криптография: использование FIPS-совместимых алгоритмов для шифрования, хеширования и подписания" в Windows XP и последующих версиях Windows по адресу https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=811833 .For details about the use of FIPS-compliant algorithms and how to implement FIPS support, see Microsoft Knowledge Base article 811833, The effects of enabling the “System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing" security setting in Windows XP and in later versions of Windows at https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=811833. Подробные сведения о поддержке FIPS 140-2 и ограничениях в Exchange 2010 приведены в статье Exchange 2010 SP1 и поддержка алгоритмов, совместимых с FIPS, по адресу https://go.microsoft.com/fwlink/p/?LinkId=205335 .For details about FIPS 140-2 support and limitations in Exchange 2010, see Exchange 2010 SP1 and Support for FIPS Compliant Algorithms at https://go.microsoft.com/fwlink/p/?LinkId=205335.