Principales fonctionnalités de sécurité dans Lync Server 2013
Rubrique Dernière modification : 2013-07-18
Lync Server 2013 inclut plusieurs fonctionnalités de sécurité, notamment l’authentification de serveur à serveur, le contrôle d’accès en fonction du rôle et le stockage centralisé des données de configuration.
Cet article fournit une vue d’ensemble générale de la sécurité de Lync Server 2013.
Principales fonctionnalités de sécurité dans Lync Server 2013
La sécurité est un sujet très large. La sécurité s’applique à toutes les fonctionnalités de Lync Server 2013, ainsi qu’aux bases de données, aux services et au matériel qui constituent un écosystème Lync. Cet article décrit certaines des fonctionnalités de Lync Server 2013 en particulier conçues pour la sécurité.
Outils de planification et de conception
Lync Server 2013 fournit deux outils pour faciliter la planification et la conception et réduire le risque de configuration incorrecte des composants Lync Server.
L’outil de planification de la topologie automatise une grande partie du processus de conception de la topologie. Vous pouvez exporter les résultats de l’outil de planification vers le Générateur de topologie, qui est l’outil nécessaire pour installer chaque serveur exécutant Lync Server 2013.
Le générateur de topologie stocke toutes les informations de configuration dans le magasin central de gestion.
Pour plus d’informations sur ces outils, consultez Planning for Lync Server 2013.
Magasin central de gestion
Dans Lync Server 2013, les données de configuration sur les serveurs et les services font partie du magasin central de gestion. Le magasin de gestion centrale fournit un stockage robuste et schématisé des données nécessaires pour définir, configurer, gérer, administrer, décrire et utiliser un déploiement Lync Server. Il valide également les données afin de garantir la cohérence de la configuration. Toutes les modifications apportées aux données de configuration ont lieu dans le magasin central de gestion, ce qui élimine les problèmes de synchronisation.
Les copies en lecture seule des données sont répliquées sur tous les serveurs au sein de la topologie, y compris les serveurs Edge et les serveurs Survivable Branch Appliance. La réplication est gérée par un service exécuté par défaut dans le contexte du service réseau, ce qui limite les droits et autorisations à ceux d’un simple utilisateur sur l’ordinateur.
Authentification serveur à serveur
Dans Lync Server 2013, l’authentification peut être configurée entre les serveurs à l’aide du protocole OAuth (Open Authorization). Par exemple, vous pouvez configurer Lync Server 2013 pour vous authentifier auprès d’un serveur qui exécute Exchange Server 2013. À l’aide du protocole OAuth, le serveur Lync et le serveur Exchange peuvent s’approuver mutuellement. Cela permet d’intégrer les produits de façon transparente. Pour plus d’informations, consultez Gestion de l’authentification de serveur à serveur (OAuth) et des applications partenaires dans Lync Server 2013
Interface de gestion Windows PowerShell et web
Lync Server 2013 fournit une interface de gestion puissante, basée sur l’interface de ligne de commande Windows PowerShell. Il inclut des applets de commande pour la gestion de la sécurité, et les fonctionnalités de sécurité Windows PowerShell sont activées par défaut afin que les utilisateurs ne puissent pas exécuter facilement ou sans le savoir des scripts. Cela signifie que les valeurs logicielles par défaut sont définies pour optimiser automatiquement la sécurité et réduire les voies d’attaque. Pour plus d’informations sur la prise en charge de la gestion windows PowerShell dans Lync Server 2013, consultez Lync Server 2013 Management Shell.
Contrôle d’accès basé sur un rôle (RBAC)
Microsoft Lync Server 2013 fournit un contrôle d’accès en fonction du rôle (RBAC) pour vous permettre de déléguer des tâches administratives tout en conservant des normes de sécurité élevées. You can use RBAC to follow the principle of "least privilege," in which users are given only the administrative rights that their jobs require. Lync Server 2013 introduit la possibilité de créer un rôle et la possibilité de modifier un rôle existant. Pour plus d’informations, consultez Planification du contrôle d’accès en fonction du rôle dans Lync Server 2013.
Traduction d’adresses réseau (NAT)
Lync Server 2013 ne prend pas en charge l’utilisation de la traduction d’adresses réseau (NAT) sur l’interface interne du serveur Edge, mais il prend en charge le placement de l’interface externe du service Access Edge, du service Edge de conférence web et du service Edge A/V derrière un routeur ou un pare-feu qui effectue la traduction d’adresses réseau (NAT) pour les topologies Edge Server consolidées uniques et mises à l’échelle. S’il y a plusieurs serveurs Edge utilisant un programme d’équilibrage de la charge matérielle, ils ne peuvent pas utiliser la traduction d’adresses réseau. Si plusieurs serveurs Edge utilisent la traduction d’adresses réseau sur leurs interfaces externes, l’équilibrage de la charge DNS (Domain Name System) est requise. L’utilisation de l’équilibrage de la charge DNS vous permet de réduire le nombre d’adresses IP publiques par serveur Edge dans un pool de serveurs Edge. Pour plus d’informations, consultezPlanification de l’accès des utilisateurs externes dans Lync Server 2013.
Remarque
Si vous vous fédérez avec des entreprises qui ont un déploiement de Microsoft Office Communications Server 2007 et que vous devez utiliser l’audio et la vidéo entre votre entreprise et une entreprise fédérée, les ports utilisés seront ceux de l’ancienne version des serveurs Edge déployés. Par exemple, les plages de ports requises pour ces versions antérieures doivent être ouvertes pour les deux entreprises jusqu’à ce que le partenaire fédéré met à niveau ses serveurs Edge vers Lync Server 2013. Les exigences relatives aux ports peuvent alors être réévaluées et réduites, conformément à la nouvelle configuration.
Certificats simplifiés pour les serveurs Edge
L’Assistant Déploiement peut renseigner automatiquement les noms du sujet et les autres noms du sujet, et minimiser ainsi la possibilité d’inclure des entrées inutiles et éventuellement non sécurisées.
Cycle de développement d’une sécurité informatique fiable
Lync Server 2013 est conçu et développé conformément au SDL (Trustworthy Computing Security Development Lifecycle) de https://go.microsoft.com/fwlink/?linkid=68761Microsoft Trustworthy Computing.
Trustworthy by Design La première étape de la création d’un système de communication unifié plus sécurisé a été de concevoir des modèles de menace et de tester chaque fonctionnalité telle qu’elle a été conçue. De plus, Microsoft effectue des tests sur des comportements anormaux afin de détecter les failles de sécurité résultant d’un comportement inattendu du produit. Plusieurs améliorations liées à la sécurité ont été intégrées au processus et aux pratiques de codage. Au moment de la création, des outils détectent les dépassements de mémoire tampon et d’autres risques de sécurité potentiels avant l’archivage du code dans le produit final. Bien sûr, il est impossible de prévoir toutes les menaces de sécurités inconnues lors de la conception. Aucun système ne peut garantir une sécurité totale. Toutefois, étant donné que le développement de produits a adopté les principes de conception sécurisée dès le début, Lync Server 2013 intègre les technologies de sécurité standard du secteur comme une partie fondamentale de son architecture.
Digne de confiance par défaut Par défaut, les communications réseau dans Lync Server 2013 sont chiffrées. Étant donné que tous les serveurs utilisent des certificats et l’authentification Kerberos, TLS, SRTP (Secure Real-Time Transport Protocol) et d’autres techniques de chiffrement standard, notamment le chiffrement AES (Advanced Encryption Standard) 128 bits, pratiquement toutes les données Lync Server sont protégées sur le réseau. En outre, le contrôle d’accès en fonction du rôle permet de déployer des serveurs exécutant Lync Server 2013 afin que chaque rôle de serveur exécute uniquement les services et dispose uniquement des autorisations associées à ces services, appropriées pour le rôle serveur.
Digne de confiance par déploiement Toute la documentation de Lync Server 2013 inclut les meilleures pratiques et recommandations pour vous aider à déterminer et à configurer les niveaux de sécurité optimaux pour votre déploiement et à évaluer les risques de sécurité liés à l’activation d’options non par défaut.