Principais recursos de segurança no Lync Server 2013
Tópico última modificação: 18-07-2013
O Lync Server 2013 inclui vários recursos de segurança, incluindo autenticação de servidor para servidor, controle de acesso baseado em função e armazenamento centralizado de dados de configuração.
Este artigo fornece uma visão geral de alto nível da segurança do Lync Server 2013.
Principais recursos de segurança no Lync Server 2013
Segurança é um tópico bastante amplo. A segurança atinge todos os recursos do Lync Server 2013, bem como bancos de dados, serviços e hardware que compõem um ecossistema do Lync. Este artigo descreve alguns dos recursos do Lync Server 2013, em particular, projetados para segurança.
Ferramentas de Planejamento e Design
O Lync Server 2013 fornece duas ferramentas para facilitar o planejamento e o design e reduzir a chance de configurar incorretamente os componentes do Lync Server.
A Ferramenta de Planejamento de Topologia automatiza grande parte do processo de design de topologia. Você pode exportar os resultados da Ferramenta de Planejamento para o Construtor de Topologias, que é a ferramenta necessária para instalar cada servidor que executa o Lync Server 2013.
O Construtor de Topologias armazena todas as informações de configuração no repositório de Gerenciamento Central.
Para obter detalhes sobre essas ferramentas, consulte Planning for Lync Server 2013.
Repositório de Gerenciamento Central
No Lync Server 2013, os dados de configuração sobre servidores e serviços fazem parte do repositório de Gerenciamento Central. O repositório de Gerenciamento Central fornece um armazenamento robusto e esquematizado dos dados necessários para definir, configurar, manter, administrar, descrever e operar uma implantação do Lync Server. Ele também valida os dados para assegurar a consistência da configuração. Todas as alterações nestes dados de configuração acontecem nesse repositório, eliminando problemas de "dessincronização".
Cópias somente leitura dos dados são replicadas para todos os servidores na topologia, incluindo Servidores de borda e Aparelhos de Filial Persistente. A replicação é gerenciada por um serviço que, por definição, é executado sob um contexto de serviço de rede, fazendo com que os direitos e permissões sejam reduzidos aos de um usuário comum do computador.
Autenticação Servidor para Servidor
No Lync Server 2013, a autenticação pode ser configurada entre servidores usando o protocolo OAuth (Open Authorization). Por exemplo, você pode configurar o Lync Server 2013 para autenticar com um servidor que esteja executando o Exchange Server 2013. Usando o protocolo OAuth, o servidor Lync e o servidor Exchange podem confiar um no outro. Isso possibilita a integração perfeita dos produtos. Para obter detalhes, consulte Gerenciando a autenticação de servidor para servidor (OAuth) e aplicativos parceiros no Lync Server 2013
Gerenciamento baseado no Windows PowerShell e Interface de Gerenciamento baseada na Web
O Lync Server 2013 fornece uma interface de gerenciamento avançada, criada Windows PowerShell interface de linha de comando. Inclui cmdlets para gerenciamento de segurança e recursos de segurança do Windows Power Shell padrão, habilitados para que os usuários não executem scripts inadvertidamente. Isso significa que os padrões do software são definidos automaticamente para maximizar a segurança e reduzir possíveis ataques. Para obter detalhes sobre Windows PowerShell de gerenciamento no Lync Server 2013, consulte o Shell de Gerenciamento do Lync Server 2013.
Controle de Acesso Baseado em Função (RBAC)
O Microsoft Lync Server 2013 fornece RBAC (controle de acesso baseado em função) para permitir que você delegue tarefas administrativas, mantendo altos padrões de segurança. Você pode usar o RBAC para seguir o princípio de "privilégio mínimo", no qual os usuários recebem apenas os direitos administrativos que seus trabalhos exigem. O Lync Server 2013 apresenta a capacidade de criar uma nova função e também a capacidade de modificar uma função existente. Para obter detalhes, consulte Planejamento de controle de acesso baseado em função no Lync Server 2013.
Conversão de Endereço de Rede (NAT)
O Lync Server 2013 não dá suporte ao uso da NAT (conversão de endereços de rede) na interface interna do Servidor de Borda, mas dá suporte à colocação da interface externa do serviço do Access Edge, do serviço de Borda de WebConferência e do serviço de Borda A/V atrás de um roteador ou firewall que executa a NAT (conversão de endereços de rede) para topologias de Servidor de Borda consolidadas única e dimensionada. Múltiplos Servidores de Borda ocultos sob um balanceador de carga de hardware não podem usar o NAT. O balanceador de carga do DNS (Domain Name System) é obrigatório se múltiplos Servidores de Borda usarem o NAT em suas interfaces externas. Por sua vez, o uso do balanceador de carga do DNS permite reduzir o número de endereços de IP públicos por Servidor de Borda em um pool de Servidores de Borda. Para obter detalhes,consulte Planning for external user access in Lync Server 2013.
Nota
Se você federa com empresas em uma implantação da Microsoft Office Communications Server 2007 e precisa usar áudio/vídeo entre a sua empresa e a empresa federada, os requisitos de porta serão os da versão antiga do Servidor de Borda implantado. Por exemplo, os intervalos de portas necessários para essas versões mais antigas devem ser abertos para ambas as empresas até que o parceiro federado atualize seus Servidores de Borda para o Lync Server 2013. Neste momento, os requisitos de porta poderão ser revistos e reduzidos de acordo com a nova configuração.
Simplificar Certificados para Servidores de Borda
O Assistente de Implantação preenche nomes de identidade (SNs) e nomes de identidade alternativos (SANs) automaticamente, reduzindo possíveis inclusões desnecessárias e entradas potencialmente não seguras.
Ciclo de Vida do Desenvolvimento da Segurança de Computação Confiável (SDL)
O Lync Server 2013 foi projetado e desenvolvido em conformidade com o SDL (Ciclo de Vida de Desenvolvimento de Segurança de Computação Confiável) da Microsoft, descrito em https://go.microsoft.com/fwlink/?linkid=68761.
Confiável por design A primeira etapa na criação de um sistema de comunicações unificada mais seguro foi projetar modelos de ameaça e testar cada recurso conforme ele foi projetado. Além disso, a Microsoft executa testes de comportamento fora do esperado para encontrar vulnerabilidades na segurança resultantes de atitudes inesperadas do projeto. Vários aprimoramentos relacionados à segurança foram incorporados às práticas e processos de codificação. As ferramentas de construção em tempo detectam invasões de buffer e outras potenciais ameaças antes do código ser checado no produto final. É claro que é impossível prever todas as ameaças à segurança desconhecidas e incluí-las no projeto. Nenhum sistema pode garantir a segurança completa. No entanto, como o desenvolvimento de produtos adotou princípios de design seguros desde o início, o Lync Server 2013 incorpora tecnologias de segurança padrão do setor como parte fundamental de sua arquitetura.
Confiável por padrão Por padrão, as comunicações de rede no Lync Server 2013 são criptografadas. Como todos os servidores usam certificados e autenticação Kerberos, TLS, PROTOCOLO DE TRANSPORTE Real-Time Seguro (SRTP) e outras técnicas de criptografia padrão do setor, incluindo criptografia AES (Criptografia Avançada Padrão) de 128 bits, praticamente todos os dados do Lync Server são protegidos na rede. Além disso, o controle de acesso baseado em função possibilita implantar servidores que executam o Lync Server 2013 para que cada função de servidor execute apenas os serviços e tenha apenas as permissões relacionadas a esses serviços, que são apropriadas para a função de servidor.
Confiável por implantação Toda a documentação do Lync Server 2013 inclui práticas recomendadas e recomendações para ajudá-lo a determinar e configurar os níveis de segurança ideais para sua implantação e avaliar os riscos de segurança da ativação de opções não padrão.