Share via

  • Artigo

Principais aprimoramentos de segurança do Lync Server 2010

 

Tópico modificado em: 2012-10-18

O Microsoft Lync Server 2010 inclui os seguintes aprimoramentos de segurança:

  • Ferramentas de planejamento e design   O Lync Server 2010 fornece duas ferramentas para facilitar o planejamento e o design e reduzir a chance de uma configuração incorreta dos componentes do Lync Server. É possível usar a Ferramenta de Planejamento para automatizar grande parte do processo de design de topologia. É possível exportar os resultados da Ferramenta de Planejamento para Construtor de Topologias, que é a ferramenta necessária para instalar cada servidor que estiver executando o Lync Server 2010. O Construtor de Topologias armazena todas as informações de configuração no Repositório de Gerenciamento Central. Para obter detalhes sobre essas ferramentas, consulte Iniciando o processo de planejamento na documentação Planejamento.

  • Repositório de Gerenciamento Central. Com o Lync Server 2010, os dados de configuração sobre servidores e serviços são transferidos para o Repositório de Gerenciamento Central. O Repositório de Gerenciamento Central fornece um armazenamento robusto e esquematizado dos dados necessários para definir, configurar, manter, administrar, descrever e operar uma implantação do Lync Server. Também valida os dados para garantir a consistência da configuração. Todas as alterações a esses dados de configuração ocorrem no Repositório de Gerenciamento Central, eliminando problemas de “falta de sincronia”. Cópias somente leitura dos dados são replicadas para todos os servidores na topologia, incluindo Servidores de Borda e Aparelho de Filial Persistente. A replicação é gerenciada por um serviço que, por padrão, é executado sob o contexto do serviço de Rede, reduzindo os direitos e permissões para os de um simples usuário no computador. Para obter detalhes, consulte Novo repositório de gerenciamento central na documentação Guia de introdução.

  • Gerenciamento com base no Windows PowerShell e interface de gerenciamento com base na web   O Lync Server 2010 fornece uma interface de gerenciamento avançada, construída sobre a interface de linha de comando do Windows PowerShell. Ela inclui cmdlets para o gerenciamento de segurança e os recursos de segurança do Windows PowerShell estão habilitados por padrão, de modo que os usuários não podem executar scripts com facilidade ou sem ter conhecimento. Isso significa que os padrões do software são definidos para ajudar automaticamente a maximizar a segurança e a reduzir os meios para ataques. Para obter detalhes sobre o suporte de gerenciamento do Windows PowerShell no Lync Server 2010, consulte Ferramentas de gerenciamento do Lync Server e Windows PowerShell.

  • RBAC (Controle de acesso baseado na função)   O Microsoft Lync Server 2010 introduz o RBAC para permitir que você delegue tarefas administrativas enquanto mantém um alto padrão de segurança. É possível usar o RBAC para seguir o princípio de "privilégios mínimos", no qual os usuários recebem somente os direitos administrativos que seus trabalhos exigem. Para obter detalhes, consulte Controle de acesso baseado em função (RBAC).

  • NAT (Conversão de endereços de rede)   O Lync Server 2010 não suporta o uso de NAT na interface interna do Servidor de Borda, mas suporta o posicionamento da interface externa dos serviços Borda de Acesso, Borda de Webconferência e Borda de A/V atrás de um roteador ou firewall que executa a conversão de endereços de rede para topologias do Servidor de Borda consolidadas simples e dimensionada. Múltiplos Servidores de Borda atrás de um balanceador de carga de hardware não podem usar NAT. Se vários Servidores de Borda usarem NAT em suas interfaces externas, será necessário executar o balanceamento de carga de DNS (Sistema de Nomes de Domínio). Por sua vez, usar o balanceamento de carga DNS permite que você reduza o número de endereços IP públicos por Servidor de Borda em um Pool do servidor de borda. Para obter detalhes, consulte Serviço de borda de acesso.

  • Requisitos de porta   

    noteObservação:
    Se você federar com empresas que possuem uma implantação do Microsoft Office Communications Server 2007 e precisar usar áudio/vídeo entre sua empresa e a empresa federada, os requisitos de porta serão os da versão mais antiga do Servidores de Borda que está implantado. Por exemplo, os intervalos de porta exigidos para as versões mais antigas precisam estar abertos para ambas as empresas até que o parceiro federado atualize seu Servidores de Borda para Lync Server 2010. A qualquer momento, os requisitos de porta podem ser revisados e reduzidos de acordo com a nova configuração.

  • Certificados simplificados para Servidores de Borda   O Assistente de Implantação pode preencher automaticamente os SNs (nomes de entidade) e os SANs (nomes de entidade alternativos), reduzindo a possibilidade de inclusão de entradas desnecessárias e possivelmente perigosas.

É possível encontrar uma lista completa e uma discussão sobre os novos recursos do Lync Server 2010 e do Microsoft Lync 2010 na documentação Guia de Introdução.

Confiável por design

O Lync Server 2010 foi projetado e desenvolvido em conformidade com o SDL (Ciclo de vida do desenvolvimento da segurança) de computação confiável da Microsoft, que é descrito em https://go.microsoft.com/fwlink/?linkid=68761&clcid=0x416. A primeira etapa da criação de um sistema de comunicação unificado mais seguro era criar modelos de risco e testar cada recurso à medida que ele era criado. Diversos aprimoramentos relacionados à segurança foram integrados ao processo e práticas de codificação. As ferramentas de tempo de compilação detectam estouros de buffer e outras possíveis ameaças de segurança antes que o código seja verificado no produto final. É claro que é impossível estar preparado para todas as ameaças de segurança desconhecidas. Nenhum sistema pode garantir a segurança completa. No entanto, como o desenvolvimento do produto envolveu princípios de design seguros desde o início, o Lync Server 2010 incorpora tecnologias de segurança padrão do setor como uma parte fundamental de sua arquitetura.

Confiável por padrão

As comunicações de rede no Lync Server 2010 são criptografadas por padrão. Ao exigir que todos os servidores usem certificados e ao usar a autenticação Kerberos, TLS, SRTP (Secure Real-Time Transport Protocol) e outras técnicas de criptografia padrão do setor, incluindo a criptografia AES (Advanced Encryption Standard) de 128 bits, praticamente todos os dados do Lync Server são protegidos na rede. Além disso, o controle de acesso baseado em função possibilita a implantação de servidores executando o Lync Server 2010, de modo que cada função de servidor execute somente os serviços e tenha apenas as permissões relacionadas a esses serviços, apropriados à função do servidor.

Confiável por implantação

Não apenas esta documentação de segurança, mas toda a documentação do Lync Server 2010 inclui as melhores práticas e recomendações para ajudá-lo a determinar e configurar os níveis de segurança mais adequados para sua implantação e avalia os riscos de segurança da ativação de opções que não são padrão.