Основные функции безопасности в Lync Server 2013
Последнее изменение раздела: 2013-07-18
Lync Server 2013 включает несколько функций безопасности, включая проверку подлинности между серверами, управление доступом на основе ролей и централизованное хранение данных конфигурации.
В этой статье представлен общий обзор безопасности Lync Server 2013.
Основные функции безопасности в Lync Server 2013
Безопасность — чрезвычайно обширная тема. Безопасность достигается во всех компонентах Lync Server 2013, а также в базах данных, службах и оборудовании, в которых используется экосистема Lync. В этой статье описываются некоторые функции Lync Server 2013, в частности предназначенные для обеспечения безопасности.
Средства планирования и проектирования
Lync Server 2013 предоставляет два средства для упрощения планирования и проектирования и снижения вероятности неправильной настройки компонентов Lync Server.
Средство планирования топологии автоматизирует большую часть процесса проектирования топологии. Результаты можно экспортировать из средства планирования в построитель топологий, который является средством, необходимым для установки каждого сервера под управлением Lync Server 2013.
Построитель топологий хранит все сведения о конфигурации в центральном хранилище управления.
Дополнительные сведения об этих средствах см . в разделе "Планирование Lync Server 2013".
Центральное хранилище управления
В Lync Server 2013 данные конфигурации о серверах и службах являются частью центрального хранилища управления. Центральное хранилище управления предоставляет надежное и схематизированное хранилище данных, необходимых для определения, настройки, обслуживания, администрирования, описания и эксплуатации развертывания Lync Server. Кроме того, оно обеспечивает проверку этих данных на предмет внутренней согласованности. Все изменения данных конфигурации вносятся через центральное хранилище управления, что избавляет от проблем рассинхронизации.
Копии данных, доступные только для чтения, реплицируются на всех серверах топологии, включая пограничные серверы и устройства для обеспечения связи в филиалах. Репликацией управляет служба, которая по умолчанию работает в контексте сетевой службы с ограниченными правами и разрешениями, как у обычного пользователя компьютера.
Проверка подлинности "сервер-сервер"
В Lync Server 2013 проверку подлинности можно настроить между серверами с помощью протокола Open Authorization (OAuth). Например, можно настроить Lync Server 2013 для проверки подлинности на сервере под управлением Exchange Server 2013. С помощью протокола OAuth сервер Lync и сервер Exchange могут доверять друг другу. Это позволяет легко интегрировать продукты. Дополнительные сведения см. в статье об управлении проверкой подлинности между серверами (OAuth) и партнерскими приложениями в Lync Server 2013.
Управление с помощью Windows PowerShell и веб-интерфейс управления
Lync Server 2013 предоставляет мощный интерфейс управления, созданный на основе Windows PowerShell интерфейса командной строки. Он включает в себя командлеты для управления безопасностью, причем функции безопасности Windows PowerShell по умолчанию включены, чтобы пользователи не могли случайно или без усилий запускать сценарии. То есть настройки программ по умолчанию помогают обеспечить максимальную безопасность и уменьшают число механизмов атаки. Дополнительные сведения о Windows PowerShell управления в Lync Server 2013 см. в разделе Lync Server 2013 Management Shell.
Управление доступом на основе ролей (RBAC)
Microsoft Lync Server 2013 предоставляет управление доступом на основе ролей (RBAC), которое позволяет делегировать административные задачи, сохраняя при этом высокие стандарты безопасности. С помощью RBAC можно реализовать принцип наименьших привилегий, при котором пользователям даются только те административные права, которые необходимы им для выполнения своих задач. В Lync Server 2013 реализована возможность создания новой роли, а также возможность изменения существующей роли. Дополнительные сведения см . в разделе "Планирование управления доступом на основе ролей" в Lync Server 2013.
Преобразование сетевых адресов (NAT)
Lync Server 2013 не поддерживает использование преобразования сетевых адресов (NAT) во внутреннем интерфейсе пограничного сервера, но поддерживает размещение внешнего интерфейса службы Access Edge, пограничной службы веб-конференций и службы A/V Edge за маршрутизатором или брандмауэром, который выполняет преобразование сетевых адресов (NAT) для одно- и масштабируемых консолидированных топологий пограничного сервера. Несколько пограничных серверов, находящиеся за устройством балансировки нагрузки, не могут использовать NAT. Если NAT используется на внешних интерфейсах нескольких пограничных серверов, требуется балансировка нагрузки на DNS. В свою очередь, балансировка нагрузки на DNS позволяет уменьшить число общедоступных IP-адресов, приходящихся на каждый пограничный сервер из пула пограничных серверов. Дополнительные сведения см. в разделе "Планирование доступа внешних пользователей в Lync Server 2013".
Примечание.
Если вы входите в федерацию с предприятиями, на которых развернут сервер Microsoft Office Communications Server 2007, и хотите использовать аудио- и видеосвязь между вашим и федеративным предприятием, требования к портам будут такими же, как и для развернутых старых версий пограничных серверов. Например, диапазоны портов, необходимые для этих старых версий, должны быть открыты для обоих предприятий, пока федеративный партнер не обнотит пограничные серверы до Lync Server 2013. После этого требования к портам можно будет пересмотреть и сократить в соответствии с новой конфигурацией.
Упрощенные сертификаты для пограничных серверов
Мастер развертывания может автоматически подставлять имена субъектов (SN) и альтернативные имена субъектов (SAN), уменьшая риск внесения ненужных и потенциально опасных записей.
Жизненный цикл разработки безопасного ПО (SDL) защищенных информационных систем
Lync Server 2013 разработан и разработан в соответствии с жизненным циклом разработки для обеспечения безопасности вычислений (SDL), который описан на сайте https://go.microsoft.com/fwlink/?linkid=68761.
Надежность по дизайну Первым шагом в создании более безопасной унифицированной системы связи было проектирование моделей угроз и тестирование каждой функции в том виде, в которой она была разработана. Кроме того, Microsoft выполняет тестирование в нештатных ситуациях для поиска уязвимостей, обусловленных необычным поведением продукта. Различные улучшения, связанные с обеспечением безопасности, были включены в технологический процесс разработки исходного кода. Переполнения буфера и другие угрозы безопасности обнаруживаются средствами разработки на этапе сборки, прежде чем код будет внесен в окончательную версию продукта. Конечно, невозможно спроектировать защиту от всех неизвестных угроз безопасности. Ни одна система не может гарантировать полную безопасность. Тем не менее, так как разработка продукта с начала применяла принципы безопасного проектирования, Lync Server 2013 включает стандартные отраслевые технологии безопасности как основную часть своей архитектуры.
Надежность по умолчанию По умолчанию сетевые подключения в Lync Server 2013 шифруются. Так как все серверы используют сертификаты и проверку подлинности Kerberos Real-Time, TLS, протокол SRTP и другие стандартные отраслевые методы шифрования, включая 128-разрядное шифрование AES, практически все данные Lync Server защищены в сети. Кроме того, управление доступом на основе ролей позволяет развертывать серверы под управлением Lync Server 2013, чтобы каждая роль сервера запускала только службы и имеет только разрешения, связанные с этими службами, которые подходят для роли сервера.
Надежность по развертыванию Вся документация по Lync Server 2013 содержит рекомендации и рекомендации, которые помогут определить и настроить оптимальные уровни безопасности для развертывания и оценить риски безопасности при активации параметров, отличных от стандартных.