Ключевые функции безопасности в Skype для бизнеса Server 2015Key security features in Skype for Business Server 2015

Скайп для Business Server 2015 включает в себя ряд функций безопасности, включая проверки подлинности сервер сервер, управление доступом на основе ролей и централизованного хранилища данных конфигурации.Skype for Business Server 2015 includes several security features, including server-to-server authentication, role-based access control, and centralized storage of configuration data.

В этой статье предоставляет общий обзор Скайп безопасности Business Server 2015.This article provides a high level overview of Skype for Business Server 2015 security.

Основных функций безопасности в Скайп для Business Server 2015Key Security Features in Skype for Business Server 2015

Безопасность — чрезвычайно обширная тема.Security is a very broad topic. Безопасность достигает через каждый компонент Скайп Business Server 2015, а также баз данных, служб и оборудования, входящих в состав Скайп для экосистемы Business Server.Security reaches across every feature of Skype for Business Server 2015 as well as databases, services, and hardware that make up a Skype for Business Server ecosystem. В этой статье приводится ряд возможностей в Скайп для Business Server 2015 в частности, предназначенных для безопасности.This article outlines some of the features in Skype for Business Server 2015 in particular that are designed for security.

Средства планирования и проектированияPlanning and Design Tools

Скайп для Business Server 2015 предоставляет два средства для облегчения планирования и проектирования и снизить вероятность неправильно Настройка Скайп для компонентов Business Server.Skype for Business Server 2015 provides two tools to facilitate planning and design and to reduce the chance of mis-configuring Skype for Business Server components.

  • Средство планирования топологии автоматизирует большую часть процесс проектирования топологии.Topology Planning Tool automates much of the topology design process. Можно экспортировать результаты из средство планирования — средство, которое требуется для установки каждого сервера Скайп для Business Server 2015 построителя топологий.You can export the results from the Planning Tool to Topology Builder, which is the tool that is required to install each server running Skype for Business Server 2015.

  • Построитель топологий хранит все сведения о конфигурации в центральном хранилище управления.Topology Builder stores all configuration information in the Central Management store.

Для получения дополнительных сведений об этих средствах просмотра Скайп для средств управления 2015 Business Server и спланировать вашей Скайп для развертывания Business Server 2015.For details about these tools, see Skype for Business Server 2015 Management Tools and Plan for your Skype for Business Server 2015 deployment.

Центральное хранилище управленияCentral Management Store

В Скайп для Business Server 2015 данными конфигурации серверов и служб является частью центрального хранилища управления.In Skype for Business Server 2015, configuration data about servers and services is part of the Central Management store. Центральное хранилище управления предоставляет надежную, Схематизированный хранилища данных, необходимые для определения, настройки, обслуживание, администрировать, описывают и эксплуатации Скайп для развертывания сервера Business.The Central Management store provides a robust, schematized storage of the data needed to define, set up, maintain, administer, describe, and operate a Skype for Business Server deployment. Кроме того, оно обеспечивает проверку этих данных на предмет внутренней согласованности.It also validates the data to ensure configuration consistency. Все изменения этой конфигурации данных происходит в центральном хранилище управления, устраняя ошибки «ожидания синхронизации».All changes to this configuration data happen at the Central Management store, eliminating "out-of-sync" issues.

Копии данных, доступные только для чтения, реплицируются на всех серверах топологии, включая пограничные серверы и устройства для обеспечения связи в филиалах. Репликацией управляет служба, которая по умолчанию работает в контексте сетевой службы с ограниченными правами и разрешениями, как у обычного пользователя компьютера.Read-only copies of the data are replicated to all servers in the topology, including Edge Servers and Survivable Branch Appliances. Replication is managed by a service that is, by default, run under the context of the Network service, reducing the rights and permissions to that of a simple user on the computer.

Проверка подлинности "сервер-сервер"Server-to-Server Authentication

В Скайп Business Server 2015 можно настроить проверку подлинности между серверами с помощью протокола Open Authorization (OAuth).In Skype for Business Server 2015, authentication can be configured between servers by using the Open Authorization (OAuth) protocol. Например можно настроить Скайп для 2015 Business Server для проверки подлинности с сервером, на котором выполняется Microsoft Exchange Server 2016.For example, you can configure Skype for Business Server 2015 to authenticate with a server that is running Microsoft Exchange Server 2016. С помощью протокола OAuth, Скайп для Business Server и Microsoft Exchange Server можно доверять друг с другом.Using the OAuth protocol, the Skype for Business Server and the Microsoft Exchange Server can trust each other. Это обеспечивает возможность интеграции продуктов в виде автоматически.This provides the ability to integrate the products in a seamless manner. Дополнительные сведения см проверки подлинности сервер сервер управление (OAuth) и партнерских приложений в Скайп для Business Server 2015.For details, see Manage server-to-server authentication (OAuth) and partner applications in Skype for Business Server 2015.

Управление с помощью Windows PowerShell и веб-интерфейс управленияWindows PowerShell-based management and Web-based Management Interface

Скайп для Business Server 2015 предоставляет интерфейс управления, созданные на основе интерфейса командной строки Windows PowerShell.Skype for Business Server 2015 provides a powerful management interface, built on the Windows PowerShell command-line interface. Он включает в себя командлеты для управления безопасностью, причем функции безопасности Windows PowerShell по умолчанию включены, чтобы пользователи не могли случайно или без усилий запускать сценарии.It includes cmdlets for managing security, and Windows PowerShell security features are enabled by default so that users cannot easily or unknowingly run scripts. То есть настройки программ по умолчанию помогают обеспечить максимальную безопасность и уменьшают число механизмов атаки.This means that the software defaults are set to automatically help maximize security and reduce the avenues of attack. Для получения дополнительных сведений о поддержке управления Windows PowerShell в Скайп Business Server 2015 видеть Скайп оболочки управления 2015 Business Server.For details about Windows PowerShell management support in Skype for Business Server 2015, see Skype for Business Server 2015 Management Shell.

Управление доступом на основе ролей (RBAC)Role-Based Access Control (RBAC)

Скайп для Business Server 2015 предоставляет элемент управления доступом на основе ролей (RBAC), чтобы делегировать административные задачи без снижения безопасности стандартам.Skype for Business Server 2015 provides role-based access control (RBAC) to enable you to delegate administrative tasks while maintaining high standards for security. С помощью RBAC можно реализовать принцип наименьших привилегий, при котором пользователям даются только те административные права, которые необходимы им для выполнения своих задач.You can use RBAC to follow the principle of "least privilege," in which users are given only the administrative rights that their jobs require. Скайп для Business Server 2015 предоставляет возможность создания новой роли, а также возможность изменения существующей роли.Skype for Business Server 2015 provides the ability to create a new role and also the ability to modify an existing role.

Преобразование сетевых адресов (NAT)Network Address Translation (NAT)

Скайп для Business Server 2015 не поддерживает использование преобразование сетевых адресов (NAT) на внутренний интерфейс пограничного сервера, но он поддерживает размещение внешнего интерфейса пограничной службы доступа, служба пограничного сервера конференц-связи Web и A / V Edge службы за маршрутизатором или брандмауэром, выполняющим преобразование сетевых адресов (NAT) для одного и масштабируемого консолидированного пограничного сервера топологии.Skype for Business Server 2015 does not support the use of network address translation (NAT) on the internal interface of the Edge Server, but it does support placing the external interface of the Access Edge service, Web Conferencing Edge service, and A/V Edge service behind a router or firewall that performs network address translation (NAT) for both single and scaled consolidated Edge Server topologies. Несколько пограничных серверов, находящиеся за устройством балансировки нагрузки, не могут использовать NAT.Multiple Edge Servers behind a hardware load balancer cannot use NAT. Если NAT используется на внешних интерфейсах нескольких пограничных серверов, требуется балансировка нагрузки на DNS.If multiple Edge Servers use NAT on their external interfaces, Domain Name System (DNS) load balancing is required. В свою очередь, балансировка нагрузки на DNS позволяет уменьшить число общедоступных IP-адресов, приходящихся на каждый пограничный сервер из пула пограничных серверов.In turn, using DNS load balancing allows you to reduce the number of public IP addresses per Edge Server in an Edge Server pool. Для получения дополнительных сведений рассмотрите различные сценарии пограничного сервера в Скайп для Business Server 2015.For details, see Edge Server scenarios in Skype for Business Server 2015.

Примечание

Если вы входите в федерацию с предприятиями, на которых развернут сервер Microsoft Office Communications Server 2007, и хотите использовать аудио- и видеосвязь между вашим и федеративным предприятием, требования к портам будут такими же, как и для развернутых старых версий пограничных серверов.If you federate with enterprises that have a Microsoft Office Communications Server 2007 deployment and you need to use audio/video between your enterprise and the federated enterprise, the port requirements will be those for the older version of the Edge Servers that are deployed. Например диапазоны портов необходимые для тех старые версии должен быть открыт для обеих организациях, пока не федеративного партнера обновляет его пограничных серверов для Скайп для Business Server 2015.For example, the port ranges required for those older versions must be opened for both enterprises until the federated partner upgrades its Edge Servers to Skype for Business Server 2015. После этого требования к портам можно будет пересмотреть и сократить в соответствии с новой конфигурацией.At that time, the port requirements can be reviewed and reduced according to the new configuration.

Упрощенные сертификаты для пограничных серверовSimplified Certificates for Edge Servers

Мастер развертывания может автоматически подставлять имена субъектов (SN) и альтернативные имена субъектов (SAN), уменьшая риск внесения ненужных и потенциально опасных записей.The Deployment Wizard can automatically populate subject names (SNs) and subject alternative names (SANs), reducing the possibility of including unnecessary and potentially unsecure entries.

Жизненный цикл разработки безопасного ПО (SDL) защищенных информационных системTrustworthy Computing Security Development Lifecycle (SDL)

Скайп для Business Server 2015 предназначена и разработанных в соответствии с Microsoft надежности вычислений жизненный цикл разработки безопасности (SDL).Skype for Business Server 2015 is designed and developed in compliance with the Microsoft Trustworthy Computing Security Development Lifecycle (SDL).

  • Надежные предусмотрено при проектировании Для разработки моделей угроз и тестирования каждого компонента, как оно было предназначено был первым шагом при создании повышению безопасности системы объединенных коммуникаций.Trustworthy by Design The first step in creating a more secure unified communications system was to design threat models and test each feature as it was designed. Кроме того, Microsoft выполняет тестирование в нештатных ситуациях для поиска уязвимостей, обусловленных необычным поведением продукта.In addition, Microsoft performs testing outside of the designed behavior in order to find security vulnerabilities resulting from unexpected product behavior. В процесс и практику программирования был внесен ряд усовершенствований, связанных с безопасностью.Multiple security-related improvements were built into the coding process and practices. Переполнения буфера и другие угрозы безопасности обнаруживаются средствами разработки на этапе сборки, прежде чем код будет внесен в окончательную версию продукта.Build-time tools detect buffer overruns and other potential security threats before the code is checked in to the final product. Разумеется, невозможно на стадии проектирования предотвратить все неизвестные угрозы безопасности.Of course, it is impossible to design against all unknown security threats. Никакая система не может гарантировать полной защиты.No system can guarantee complete security. Тем не менее так как разработки продукта энтузиазмом приняла принципы безопасной разработки с самого начала, Скайп для Business Server 2015 включает в себя стандартные технологии отрасли в составе фундаментальные ее архитектуры.However, because product development embraced secure design principles from the start, Skype for Business Server 2015 incorporates industry standard security technologies as a fundamental part of its architecture.

  • Надежности по умолчанию По умолчанию шифруются сетевых подключений в Скайп для Business Server 2015.Trustworthy by Default By default, network communications in Skype for Business Server 2015 are encrypted. Так как все серверы используют сертификаты и проверка подлинности Kerberos, TLS, безопасного в реальном времени транспортный протокол SRTP и другие методы шифрования стандартных включая улучшенный стандарт шифрования (AES) использования 128-битового шифрования, практически ко всем Скайп для Бизнес-данных сервер был защищен в сети.Because all servers use certificates and Kerberos authentication, TLS, Secure Real-Time Transport Protocol (SRTP), and other industry-standard encryption techniques, including 128-bit Advanced Encryption Standard (AES) encryption, virtually all Skype for Business Server data is protected on the network. Кроме того элемент управления доступом на основе ролей позволяет развертывать серверы под управлением Скайп для Business Server 2015, чтобы каждой роли сервера выполняются только службы и имеет только те разрешения, относящиеся к этим службам, которые подходят для роли сервера.In addition, role-based access control makes it possible to deploy servers running Skype for Business Server 2015 so that each server role runs only the services, and has only the permissions related to those services, that are appropriate for the server role.

  • Надежные по развертыванию Все Скайп Business Server 2015 Документация включает в себя практические советы и рекомендации, которые помогут вам определить и настройка уровней обеспечения оптимального уровня безопасности для развертывания и оценки риска безопасности активации не по умолчанию параметры.Trustworthy by Deployment All Skype for Business Server 2015 documentation includes best practices and recommendations to help you determine and configure the optimal security levels for your deployment and assess the security risks of activating non-default options.