Mejoras de seguridad clave en Lync Server 2010
Última modificación del tema: 2012-10-18
Microsoft Lync Server 2010 incluye las siguientes mejoras de seguridad:
Herramientas de planeación y diseño Lync Server 2010 ofrece dos herramientas para facilitar las tareas de planeación y diseño y reducir la probabilidad de configurar erróneamente componentes de Lync Server. Puede utilizar Herramienta de planeamiento para automatizar gran parte del proceso de diseño de topologías. Puede exportar los resultados de Herramienta de planeamiento a Topology Builder, que es la herramienta necesaria para instalar todos los servidores donde se ejecute Lync Server 2010. Topology Builder almacena toda la información de configuración en Almacén de administración central. Para obtener información detallada sobre estas herramientas, vea Inicio del proceso de planeación en la documentación de planeación.
Almacén de administración central. Con Lync Server 2010, los datos de configuración sobre servidores y servicios se mueven a Almacén de administración central. Almacén de administración central ofrece un sistema sólido y esquematizado de almacenamiento de los datos necesarios para definir, configurar, mantener, administrar, describir y operar una implementación de Lync Server. También valida los datos para garantizar la coherencia en la configuración. Todos los cambios realizados en los datos de configuración se producen en Almacén de administración central eliminando problemas de no sincronización. Las copias de solo lectura de los datos se replican a todos los servidores de la topología, incluyendo Servidores perimetrales y Aplicaciones de sucursal con funciones de supervivencia. La replicación se administra por medio de un servicio que, de manera predeterminada, se ejecuta en el contexto del servicio de red limitando los derechos y permisos a los de un simple usuario del equipo. Para obtener información detallada, vea Nuevo Central Management Store en la guía de introducción.
Administración basada en Windows PowerShell e interfaz de administración basada en web Lync Server 2010 ofrece una potente interfaz de administración integrada en la interfaz de línea de comandos de Windows PowerShell. Incluye cmdlets para administración de seguridad, y las características de seguridad de Windows PowerShell se habilitan de manera predeterminada de manera que los usuarios no puedan ejecutar scripts fácilmente o sin saberlo. Esto significa que los valores predeterminados de software se configuran automáticamente de manera que ayuden a maximizar la seguridad y a reducir las vías de ataque. Para obtener información detallada sobre soporte de administración de Windows PowerShell en Lync Server 2010, vea Herramientas de administración de Windows PowerShell y Lync Server.
Control de acceso basado en roles (RBAC) Microsoft Lync Server 2010 introduces el control de acceso basado en roles (RBAC) para que pueda delegar tareas administrativas y, al mismo tiempo, mantener altos niveles de seguridad. Puede usar RBAC para seguir el principio de "privilegios mínimos", donde los usuarios solo reciben los derechos administrativos que requiere su trabajo. Para obtener información detallada, vea Control de acceso basado en roles (RBAC).
Traducción de direcciones de red (NAT) Lync Server 2010 no permite utilizar traducción de direcciones de red (NAT) en la interfaz interna de Servidor perimetral, pero sí permite colocar la interfaz externa del servicio perimetral de acceso, el servicio perimetral de conferencia web y el servicio perimetral A/V tras un enrutador o firewall que realice traducción de direcciones de red (NAT) para topologías Servidor perimetral consolidadas tanto independientes como escaladas. Si hay varios Servidores perimetrales tras un equilibrador de carga de hardware, no se podrá utilizar NAT. Si hay varios Servidores perimetrales que utilizan NAT en sus interfaces externas, se necesitará aplicar equilibrio de carga de sistema de nombres de dominio (DNS). El equilibrio de carga de DNS permite, al mismo tiempo, reducir el número de direcciones IP públicas por Servidor perimetral en Grupo de servidores perimetrales. Para obtener información adicional, vea Servicio perimetral de acceso.
Requisitos de los puertos
Nota
Si su empresa se federa con otra que tenga una implementación de Microsoft Office Communications Server 2007 y necesita utilizar audio/vídeo entre su empresa y la empresa federada, los requisitos de los puertos serán los correspondientes a la versión antigua de Servidores perimetrales que se haya implementado. Por ejemplo, los intervalos de puertos requeridos para esas versiones antiguas deberán abrirse para ambas empresas hasta que el socio federado actualice su Servidores perimetrales a Lync Server 2010. En ese momento, los requisitos en materia de puertos se podrán revisar y reducir de acuerdo con la nueva configuración.
Certificados simplificados para Servidores perimetrales El asistente para implementación puede rellenar automáticamente los nombres de sujetos (SN) y los nombres alternativos de sujetos (SAN) para reducir la probabilidad de incluir entradas innecesarias y potencialmente no seguras.
Puede ver una lista completa y una explicación de las nuevas características de Lync Server 2010 y Microsoft Lync 2010 en la documentación Introducción.
Confiable por diseño
Lync Server 2010 se ha diseñado y desarrollado conforme al ciclo de vida de desarrollo de seguridad (SDL) de Trustworthy Computing (computación confiable), que se describe en https://go.microsoft.com/fwlink/?linkid=68761&clcid=0xC0A. El primer paso para crear un sistema de comunicaciones unificadas más seguro consistía en diseñar modelos de amenaza y probar cada característica que se había diseñado. Se integraron varias mejoras relacionadas con la seguridad en los procesos y procedimientos de codificación. Las herramientas en tiempo de compilación detectaron la saturación del búfer y otras posibles amenazas para la seguridad antes de que se comprobase el código en el producto final. Naturalmente, es imposible que al diseñar se tengan en cuenta todas las amenazas desconocidas en materia de seguridad. Ningún sistema puede garantizar una total seguridad. Ahora bien, dado que el desarrollo de productos se basa en principios de diseño seguro desde un principio, Lync Server 2010 incorpora tecnologías de seguridad estándar en la industria como parte fundamental de su arquitectura.
Confiable de forma predeterminada
En Lync Server 2010, las comunicaciones en red se cifran de manera predeterminada. Al requerir que todos los servidores usen certificados y al usar la autenticación Kerberos, TLS, el protocolo de transporte seguro en tiempo real (SRTP) y otras técnicas de cifrado estándar del sector, incluyendo el cifrado avanzado AES de 128 bits, casi todos los datos de Lync Server están protegidos en la red. Además, el control de acceso basado en roles permite implementar los servidores de Lync Server 2010 modo que solo se instalen los servicios apropiados y los permisos relacionados con dichos servicios en cada función de servidor.
Confiable por desarrollo
No solo esta documentación de seguridad, sino toda la documentación de Lync Server 2010, incluye prácticas recomendadas y sugerencias para ayudarle a determinar y configurar los niveles de seguridad óptimos para su implementación y para evaluar los riesgos de seguridad derivados de activar opciones no predeterminadas.