• Article

Principales améliorations de sécurité dans Lync Server 2010

 

Dernière rubrique modifiée : 2012-10-18

Microsoft Lync Server 2010 comprend les améliorations suivantes en matière de sécurité :

  • Outils de planification et de conception   Lync Server 2010 fournit deux outils afin de faciliter la planification et la conception et de réduire le risque d’erreur de configuration des composants Lync Server. Vous pouvez utiliser l’outil de planification pour automatiser une grande partie du processus de conception de topologie. Vous pouvez exporter les résultats de l’outil de planification vers le Générateur de topologies, qui est l’outil nécessaire pour installer chaque serveur exécutant Lync Server 2010. Le Générateur de topologies stocke toutes les informations de configuration dans le magasin central de gestion. Pour plus de détails sur ces outils, voir Lancement du processus de planification dans la documentation de planification.

  • Magasin central de gestion. Dans Lync Server 2010, les données de configuration relatives aux serveurs et aux services sont stockées dans le magasin central de gestion. Le magasin central de gestion procure un stockage robuste et schématisé des données nécessaires pour définir, configurer, maintenir, administrer, décrire et exploiter un déploiement de Lync Server. Il valide également les données afin de garantir la cohérence de la configuration. Toutes les modifications apportées à ces données de configuration ont lieu au niveau du magasin central de gestion, ce qui élimine les problèmes de « désynchronisation ». Des copies en lecture seule des données sont répliquées vers tous les serveurs de la topologie, y compris les serveurs Edge et les serveurs Survivable Branch Appliance. La réplication est gérée par un service qui, par défaut, s’exécute sous le contexte du service Réseau, réduisant ainsi les droits et autorisations à ceux d’un simple utilisateur sur l’ordinateur. Pour plus d’informations, voir Nouveau magasin central de gestion dans la documentation de prise en main.

  • Interface de gestion Windows PowerShell et web   Lync Server 2010 fournit une interface de gestion puissance reposant sur l’interface de ligne de commande Windows PowerShell. Elle comprend des applets de commande pour la gestion de la sécurité ; les fonctionnalités de sécurité Windows PowerShell sont activées par défaut, de sorte que les utilisateurs ne puissent pas exécuter de scripts facilement ou inconsciemment. Cela signifie que les paramètres par défaut des logiciels sont configurés de façon à optimiser la sécurité et à réduire les itinéraires d’agression. Pour plus de détails sur la prise en charge de la gestion Windows PowerShell dans Lync Server 2010, voir Outils de gestion Lync Server et Windows PowerShell.

  • Contrôle d’accès basé sur un rôle (RBAC)   Microsoft Lync Server 2010 introduit le contrôle d’accès basé sur un rôle (RBAC) pour vous permettre de déléguer des tâches d’administration tout en maintenant des critères de sécurité élevés. Vous pouvez recourir au contrôle d’accès basé sur un rôle pour appliquer le principe du « privilège minimum » selon lequel les utilisateurs reçoivent uniquement les droits d’administration nécessaires à leur travail. Pour plus d’informations, voir Contrôle d’accès basé sur un rôle.

  • Traduction d’adresses réseau (NAT)   Lync Server 2010 ne prend pas en charge l’utilisation de la traduction d’adresses réseau sur l’interface interne du serveur Edge, mais prend en charge le placement de l’interface externe du service Edge d’accès, du service Edge de conférence web et du service Edge A/V derrière un routeur ou un pare-feu qui effectue la traduction NAT pour les topologies de serveur Edge consolidées uniques et ayant subi une montée en puissance. Plusieurs serveurs Edge situés derrière un programme d’équilibrage de la charge réseau ne peuvent pas utiliser la traduction NAT. Si plusieurs serveurs Edge utilisent la traduction NAT sur leurs interfaces externes, un équilibrage de la charge DNS (Domain Name System) est nécessaire. L’utilisation de l’équilibrage de la charge DNS vous permet de réduire le nombre d’adresses IP publiques par serveur Edge dans un pool de serveurs Edge. Pour plus d’informations, voir Service Edge d’accès.

  • Conditions requises en matière de ports

    noteRemarque :
    Si vous vous fédérez avec des entreprises qui ont un déploiement de Microsoft Office Communications Server 2007 et que vous devez utiliser l’audio et la vidéo entre votre entreprise et une entreprise fédérée, les ports utilisés seront ceux de l’ancienne version des serveurs Edge déployés. Par exemple, les plages de ports requises pour ces anciennes versions doivent être ouvertes pour les deux entreprises jusqu’à ce que le partenaire fédéré mette à niveau ses serveurs Edge vers Lync Server 2010. Les exigences relatives aux ports peuvent alors être réévaluées et réduites, conformément à la nouvelle configuration.

  • Certificats simplifiés pour les serveurs Edge   L’Assistant Déploiement peut remplir automatiquement les noms du sujet et les autres noms du sujet, réduisant le risque d’inclusion d’entrées inutiles et éventuellement non sécurisées.

Vous trouverez dans la documentation Mise en route une liste complète et une discussion des nouvelles fonctionnalités deLync Server 2010 et Microsoft Lync 2010.

Fiable par conception

Lync Server 2010 a été conçu et développé en conformité avec le cycle de vie de développement de sécurité (SDL,Security Development Lifecycle) Microsoft Trustworthy Computing, qui est décrit à l’adresse https://go.microsoft.com/fwlink/?linkid=68761&clcid=0x40C. Pour créer un système de communications unifiées plus sûr, la première étape était de concevoir des modèles de menace, puis de tester chaque nouvelle fonctionnalité durant sa conception. Plusieurs améliorations liées à la sécurité ont été intégrées dans le processus et les pratiques de codage. Au moment de la création, des outils détectent les dépassements de mémoire tampon et d’autres risques de sécurité potentiels avant l’archivage du code dans le produit final. Bien entendu, il est impossible de concevoir un produit capable de contrer toutes les menaces de sécurité encore inconnues. Aucun système ne saurait garantir une sécurité à toute épreuve. Toutefois, dans la mesure où le développement du produit utilise des règles de conception prenant en compte la sécurité dès le départ, les technologies de sécurité standard font partie intégrante de l’architecture de Lync Server 2010.

Fiable par défaut

Les communications réseau dans Lync Server 2010 sont chiffrées par défaut. Tous les serveurs doivent utiliser des certificats et, en plus de l’authentification Kerberos, les protocoles TLS, SRTP (Secure Real-Time Transport Protocol) et d’autres techniques de chiffrement standard sont utilisés, notamment le chiffrement AES (Advanced Encryption Standard) 128 bits. Ces mesures permettent de protéger pratiquement l’ensemble des données de Lync Server sur le réseau. Par ailleurs, le contrôle d’accès basé sur un rôle rend possible le déploiement de serveurs exécutant Lync Server 2010 de sorte que chaque rôle de serveur exécute uniquement les services adaptés à ce rôle et dispose uniquement des autorisations associés à ces services.

Fiable par déploiement

Cette documentation relative à la sécurité, comme toute la documentation Lync Server 2010, inclut des meilleures pratiques et des recommandations destinées à vous aider à déterminer et configurer les niveaux de sécurité optimaux pour votre déploiement et à évaluer les risques de sécurité liés à l’activation d’options autres que les options par défaut.