Criptografia para Lync Server 2013
Tópico Última Modificação: 2017-09-14
O Microsoft Lync Server 2013 usa TLS e MTLS para criptografar mensagens instantâneas. Todo o tráfego de servidor para servidor exige o MTLS, independentemente de o tráfego ter sido ajustado à rede interna ou cruzar o perímetro da rede interna. O TLS é opcional, mas altamente recomendado entre o Servidor de Mediação e o gateway de mídia. Se o TLS for configurado neste link, o MTLS será necessário. Portanto, o gateway deve ser configurado com um certificado de uma AC confiável pelo Servidor de Mediação.
Nota
Um comunicado de segurança sobre SSL 3.0 foi publicado em 2014. Desabilitar o SSL 3.0 no Lync Server 2013 é uma opção com suporte. Para saber mais sobre o aviso de segurança, consulte https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/.
.gif "segurança de segurança")
Observação de segurança: |
|---|
| Para garantir que o protocolo criptográfico mais forte seja usado, o Lync Server 2013 oferecerá protocolos de criptografia TLS na seguinte ordem aos clientes: TLS 1.2 , TLS 1.1, TLS 1.0. O TLS é um aspecto crítico do Lync Server 2013 e, portanto, é necessário para manter um ambiente com suporte. |
Os requisitos para o tráfego cliente a cliente dependem se esse tráfego cruza o firewall corporativo interno. O tráfego estritamente interno pode usar O TLS, nesse caso, a mensagem instantânea é criptografada ou TCP, nesse caso não é.
A seguinte tabela resume os requisitos de protocolo para cada tipo de tráfego.
Proteção de Tráfego
| Tipo de Tráfego | Protegido por |
|---|---|
Servidor para Servidor |
MTLS |
Cliente para Servidor |
TLS |
Mensagens instantâneas e presença |
TLS (se configurado para TLS) |
Compartilhamento de mídia de áudio, vídeo e de área de trabalho |
SRTP |
Compartilhamento de área de trabalho (sinalização) |
TLS |
Webconferência |
TLS |
Download de conteúdo de reunião, download do catálogo de endereços, expansão de grupo de distribuição |
HTTPS |
Criptografia de mídia
O tráfego de mídia é criptografado usando SRTP (Secure RTP), um perfil do protocolo RTP que fornece confidencialidade, autenticação e proteção contra ataques de repetição para o tráfego RTP. Além disso, a mídia que flui em ambas as direções entre o Servidor de Mediação e seu próximo salto interno também é criptografada usando SRTP. A mídia que flui em ambas as direções entre o Servidor de Mediação e um gateway de mídia não é criptografada por padrão. O Servidor de Mediação pode dar suporte à criptografia para o gateway de mídia, mas o gateway deve dar suporte a MTLS e ao armazenamento de um certificado.
Nota
Há suporte para áudio/vídeo (A/V) com a nova versão do Windows Live Messenger. Se você estiver implementando a federação A/V com Windows Live Messenger, também deverá modificar o nível de criptografia do Lync Server. Por padrão, o nível de criptografia é Exigido. Você deve alterar essa configuração para Com suporte usando o Shell de Gerenciamento do Lync Server. Para obter mais informações, confira Implantando o acesso externo do usuário no Lync Server 2013 na documentação de implantação.
O tráfego de mídia de áudio e vídeo não é criptografado entre clientes Microsoft Lync 2013 e Windows Live.
FIPS
O Lync Server 2013 e o Microsoft Exchange Server 2013 operam com suporte para algoritmos FIPS (Federal Information Processing Standard) 140-2 se os sistemas operacionais do Windows Server estiverem configurados para usar os algoritmos FIPS 140-2 para criptografia do sistema. Para implementar o suporte ao FIPS, você deve configurar cada servidor que executa o Lync Server 2013 para dar suporte a ele. Para obter detalhes sobre o uso de algoritmos compatíveis com FIPS e como implementar o suporte ao FIPS, confira Artigo da Base de Dados de Conhecimento da Microsoft 811833, Os efeitos de habilitar a configuração de segurança "Criptografia do sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura" no Windows XP e em versões posteriores do Windows em https://go.microsoft.com/fwlink/p/?linkid=3052& kbid=811833. Para obter detalhes sobre o suporte e as limitações do FIPS 140-2 no Exchange 2010, consulte Exchange 2010 SP1 e Suporte para Algoritmos compatíveis com FIPS em https://go.microsoft.com/fwlink/p/?LinkId=205335.