Lync Server 2013 加密
上次修改的主题: 2017-09-14
Microsoft Lync Server 2013 使用 TLS 和 MTLS 来加密即时消息。 无论通信是限制在内部网络还是跨越内部网络外围,所有服务器到服务器的通信都需要 MTLS。 TLS 是可选的,但强烈建议在中介服务器和媒体网关之间使用 TLS。 如果在此链接上配置了 TLS,则 MTLS 是必需的。 因此,必须使用中介服务器信任的 CA 的证书配置网关。
注意
2014 年发布了关于 SSL 3.0 的安全公告。 支持在 Lync Server 2013 中禁用 SSL 3.0。 若要了解有关安全公告的详细信息,请参阅 https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/。
.gif "安全性")
安全说明: |
|---|
| 为确保使用最强加密协议,Lync Server 2013 将按以下顺序向客户端提供 TLS 加密协议: TLS 1.2 、 TLS 1.1、 TLS 1.0。 TLS 是 Lync Server 2013 的一个重要方面,因此需要它才能维护受支持的环境。 |
客户端到客户端流量的要求取决于该流量是否通过内部企业防火墙。 严格来说,内部流量可以使用 TLS(在这种情况下,即时消息已加密)或 TCP(在这种情况下,它不是加密的)。
下表汇总了每种类型的通信的协议要求。
通信保护
| 通信类型 | 保护协议 |
|---|---|
服务器到服务器 |
MTLS |
客户端到服务器 |
TLS |
即时消息和状态 |
TLS(如果已配置 TLS) |
音频、视频和媒体的桌面共享 |
SRTP |
桌面共享(信号) |
TLS |
Web 会议 |
TLS |
会议内容下载、通讯簿下载和通讯组扩展 |
HTTPS |
媒体加密
媒体通信使用安全 RTP (SRTP) 进行加密,SRTP 是为 RTP 通信提供保密性、身份验证和重播攻击保护的实时传输协议 (RTP) 的配置文件。 此外,中介服务器与其内部下一个跃点之间的双向媒体流也使用 SRTP 进行加密。 默认情况下,在中介服务器和媒体网关之间双向流动的媒体不会加密。 中介服务器能够支持对媒体网关进行加密,但该网关必须支持 MTLS 和证书存储。
注意
新版本的 Windows Live Messenger 支持音频/视频 (A/V) 。 如果要与 Windows Live Messenger 实现 A/V 联合身份验证,还必须修改 Lync Server 加密级别。 默认情况下,加密级别为“必需”。 必须使用 Lync Server 命令行管理程序将此设置更改为“支持”。 有关详细信息,请参阅部署文档中 的在 Lync Server 2013 中部署外部用户访问 。
Microsoft Lync 2013 和 Windows Live 客户端之间的音频和视频媒体流量未加密。
FIPS
如果 Windows Server 操作系统配置为使用 FIPS 140-2 算法进行系统加密,Lync Server 2013 和 Microsoft Exchange Server 2013 支持联邦信息处理标准 (FIPS) 140-2 算法。 若要实现 FIPS 支持,必须配置运行 Lync Server 2013 的每个服务器才能支持它。 有关使用符合 FIPS 的算法以及如何实现 FIPS 支持的详细信息,请参阅 Microsoft 知识库文章 811833,在 Windows XP 和更高版本的 Windows https://go.microsoft.com/fwlink/p/?linkid=3052&中启用“系统加密:使用符合 FIPS 的算法进行加密、哈希和签名”安全设置的效果。kbid=811833。 有关 Exchange 2010 中的 FIPS 140-2 支持和限制的详细信息,请参阅 中的 https://go.microsoft.com/fwlink/p/?LinkId=205335Exchange 2010 SP1 和支持 FIPS 兼容算法。