Chiffrement pour Lync Server 2010
Dernière rubrique modifiée : 2012-10-17
Microsoft Lync Server 2010 utilise TLS et MTLS pour chiffrer les messages instantanés. Tout trafic serveur-à-serveur nécessite MTLS, que le trafic soit confiné au réseau interne ou franchisse le périmètre du réseau interne. Le protocole TLS est facultatif mais vivement recommandé entre le serveur de médiation et la passerelle multimédia. Si TLS est configuré sur cette liaison, MTLS est requis. Par conséquent, la passerelle doit être configurée à l’aide d’un certificat émis par une autorité de certification approuvée par le serveur de médiation.
Les exigences applicables au trafic entre les clients varient, selon qu’il franchit ou non le pare-feu de l’entreprise. S’il s’agit d’un trafic exclusivement en interne, il peut utiliser TLS, ce qui implique le chiffrement des messages instantanés, ou TCP, sans ce chiffrement.
Le tableau suivant résume les protocoles requis pour chaque type de trafic.
Protection du trafic
Type de trafic | Protégé par |
---|---|
Serveur à serveur |
MTLS |
Client à serveur |
TLS |
Messagerie instantanée et présence |
TLS (si configuré pour TLS) |
Partage de données audio, vidéo ou du Bureau |
SRTP |
Partage du Bureau (signalisation) |
TLS |
Conférence web |
TLS |
Téléchargement de contenu de réunion, de carnets d’adresses, développement des groupes de distribution |
HTTPS |
Chiffrement des données multimédias
Le trafic multimédia est chiffré à l’aide du protocole SRTP (Secure RTP), un profil du protocole RTP (Real-Time Transport Protocol). En plus de garantir la confidentialité, SRTP fournit l’authentification et protège le trafic RTP contre les attaques par relecture. SRTP utilise une clé de session générée par le service d’authentification du serveur relais multimédia en réponse à une demande d’authentification réussie du serveur (de la part des participants). La clé de session est sécurisée par le nom d’utilisateur et le mot de passe négocié présenté au service d’authentification du serveur relais multimédia par les serveurs frontaux, et envoyée aux participants via le canal SIP sécurisé par TLS. Le contenu multimédia transitant dans les deux sens entre le serveur de médiation et son tronçon suivant interne est également chiffré à l’aide de SRTP. Celui qui transite dans les deux sens entre le serveur de médiation et une passerelle multimédia n’est pas chiffré. Le serveur de médiation peut prendre en charge le chiffrement sur la passerelle multimédia mais, dans ce cas, celle-ci doit prendre en charge MTLS et le stockage d’un certificat.
Remarque : |
---|
Audio/Video (A/V ) est pris en charge par la nouvelle version de Windows Live Messenger. Si vous implémentez la fédération A/V avec Windows Live Messenger, vous devez également modifier le niveau de chiffrement de Lync Server. Par défaut, le niveau de chiffrement est Requis. Vous devez modifier ce paramètre en choisissant Pris en charge à l’aide de Lync Server Management Shell. Pour plus d’informations, voir Préparer la prise en charge de la connectivité pour la messagerie instantanée publique dans la documentation relative au déploiement. Le trafic multimédia audio et vidéo n’est pas chiffré entre les clients Windows Live et Microsoft Lync 2010. |
FIPS
Lync Server 2010 et Microsoft Exchange Server 2010 Service Pack 1 (SP1) fonctionnent avec une prise en charge des algorithmes FIPS (Federal Information Processing Standard) 140-2 si les systèmes d’exploitation Windows Server 2008 Service Pack 2 (SP2) et Windows Server 2008 R2 sont configurés pour utiliser les algorithmes FIPS 140-2 pour le chiffrement système. Pour permettre une prise en charge de la norme FIPS, vous devez configurer chaque serveur équipé de Lync Server 2010 pour que ce dernier puisse la reconnaître. Pour plus d’informations sur l’utilisation d’algorithmes compatibles FIPS et la manière d’autoriser la prise en charge de cette norme, voir l’article 811833 de la Base de connaissances Microsoft « Effets du paramètre de sécurité "Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature" dans Windows PX et des versions ultérieures de Windows » à l’adresse https://support.microsoft.com/kb/811833/fr-fr. Pour plus d’informations sur la prise en charge des algorithmes FIPS 140-2 et des restrictions à cet égard dans Exchange 2010, voir « Exchange 2010 SP1 et prise en charge des algorithmes compatibles FIPS » à l’adresse https://go.microsoft.com/fwlink/?linkid=205335&clcid=0x40C.