Office Communications Server 2007 R2 中的重大安全增强

上一次修改主题： 2009-05-22

Office Communications Server 2007 R2 包括以下安全增强功能：

• 在使用单台边缘服务器的情况下，合并的边缘服务器允许对所有服务器角色使用网络地址转换 (NAT)。硬件负载平衡器后面的多台边缘服务器不能使用 NAT，并且不支持扩展的边缘配置。
• 对外部音频/视频支持的端口要求降低。防火墙上的 50,000-59,999/TCP 和 50,000-59,999/UDP 范围的入站和出站开放端口的要求降低为使用特定方案。但 443/TCP 和 3478/UDP 的基本要求仍是必需的。

注意：
如果与 Office Communications Server 2007 上的企业建立联盟并且需要在您的企业和联盟企业之间使用音频/视频，则端口要求将采用部署的早期版本的边缘服务器上的那些要求。例如，在联盟伙伴将其边缘升级为 Office Communications Server 2007 R2 之前，必须为这两个企业实施 Office Communications Server 2007 要求的端口范围。此时，可以根据新配置检查并减少端口要求。

可在Office Communications Server 2007 R2 入门中找到有关 Office Communications Server 2007 R2 和 Office Communicator 2007 R2 中的所有新功能的完整列表和讨论。

设计方面的可信赖性

Office Communications Server 2007 R2 是依照可信赖计算安全开发生命周期 (SDL) 设计和开发的，如以下 Microsoft 网站中所述：https://go.microsoft.com/fwlink/?linkid=68761。创建更安全的统一通信系统的第一步是设计威胁模型，并按每项功能的设计要求对其进行测试。编码过程和做法中植入了多项与安全相关的改进。生成时工具会在将代码签入到最终产品之前检测缓冲区溢出和其他潜在安全威胁。当然，在设计上不可能做到能够防范所有未知安全威胁。任何系统都无法保证绝对的安全。不过，由于产品开发从一开始就遵循安全设计原则，因此 Office Communications Server 2007 R2 采用了行业标准安全技术作为其架构的基础部分。

默认的可信赖性

默认情况下，Office Communications Server 2007 R2 中的网络通信会进行加密。通过要求所有服务器使用证书并通过使用 Kerberos 身份验证、TLS、安全实时传输协议 (SRTP) 以及其他行业标准加密技术，事实上可以保护网络上的所有 Office Communications Server 2007 R2 数据。此外，基于角色进行设置还可部署 Office Communications Server，以便仅在每个服务器角色上安装适当的服务及其相关的权限。

部署方面的可信赖性

Office Communications Server 规划指南、部署指南、迁移指南以及本指南均提供了最佳做法和建议，以帮助您确定和配置最佳的部署安全级别并评估启用非默认选项的风险。