• Artikel

Die wichtigsten Sicherheitsverbesserungen in Lync Server 2010

 

Letztes Änderungsdatum des Themas: 2012-10-18

In Microsoft Lync Server 2010 gibt es die folgenden Sicherheitsverbesserungen:

  • Planungs- und Designtools   In Lync Server 2010 gibt es zwei Tools, um die Planung und den Entwurf zu vereinfachen und das Risiko von Fehlkonfigurationen bei Lync Server-Komponenten zu reduzieren. Mit dem Planungstool können Sie einen Großteil des Topologieentwurfsprozesses automatisieren. Sie können die Ergebnisse aus dem Planungstool in den Topologie-Generator exportieren. Dieses Tool ist zum Installieren jedes Servers mit Lync Server 2010 erforderlich. Der Topologie-Generator speichert alle Konfigurationsinformationen im zentralen Verwaltungsspeicher. Ausführliche Informationen zu diesen Tools finden Sie unter Beginn des Planungsprozesses in der Planungsdokumentation.

  • Zentraler Verwaltungsspeicher   In Lync Server 2010 werden die Konfigurationsdaten für Server und Dienste in den zentralen Verwaltungsspeicher verschoben. Der zentrale Verwaltungsspeicher ermöglicht die stabile, schematisierte Speicherung der Daten, die zum Definieren, Einrichten, Warten, Verwalten, Beschreiben und zum Betrieb einer Lync Server-Bereitstellung benötigt werden. Darüber hinaus werden die Daten überprüft, um eine konsistente Konfiguration zu gewährleisten. Alle Änderungen an diesen Konfigurationsdaten erfolgen im zentralen Verwaltungsspeicher, wodurch Synchronisierungsprobleme beseitigt werden. Schreibgeschützte Kopien der Daten werden auf alle Server in der Topologie repliziert, Edgeserver und Survivable Branch Appliances eingeschlossen. Die Replikation wird von einem Dienst verwaltet, der standardmäßig unter dem Kontext des Netzwerkdiensts ausgeführt wird, wodurch die Rechte und Berechtigungen auf die eines einfachen Benutzers auf dem Computer reduziert werden. Ausführliche Informationen finden Sie unter Neuer zentraler Verwaltungsspeicher im Dokumentationsabschnitt "Erste Schritte".

  • Windows PowerShell-basierte und webbasierte Verwaltungsschnittstelle   In Lync Server 2010 gibt es eine leistungsstarke Verwaltungsschnittstelle, die auf der Windows PowerShell-Befehlszeilenschnittstelle basiert. Sie enthält Cmdlets für die Verwaltung der Sicherheit, und Windows PowerShell-Sicherheitsfeatures sind standardmäßig aktiviert, sodass Skripts von Benutzern nicht versehentlich oder unwissentlich ausgeführt werden können. Dies bedeutet, dass die Softwarestandardeinstellungen so konfiguriert sind, dass die Sicherheit automatisch optimiert wird und Angriffsmöglichkeiten reduziert werden. Ausführliche Informationen zur Unterstützung der Verwaltung mit Windows PowerShell in Lync Server 2010 finden Sie unter Windows PowerShell- und Lync Server-Verwaltungstools.

  • Rollenbasierte Zugriffssteuerung   In Microsoft Lync Server 2010 wird die rollenbasierte Zugriffssteuerung eingeführt, um Ihnen das Delegieren von Verwaltungsaufgaben zu ermöglichen, während gleichzeitig eine hohe Sicherheit gewährleistet bleibt. Mit der rollenbasierten Zugriffssteuerung können Sie dem Prinzip der geringsten Rechte folgen, bei dem Benutzer nur die administrativen Rechte erhalten, die sie für ihre Arbeit benötigen. Ausführliche Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC).

  • Netzwerkadressenübersetzung   Die Verwendung der Netzwerkadressenübersetzung (Network Address Translation, NAT) wird in der internen Schnittstelle des Edgeservers nicht von Lync Server 2010 unterstützt. Dagegen wird sowohl in Topologien mit einzelnem konsolidierten Edgeserver als auch in Topologien mit skalierten konsolidierten Edgeservern das Platzieren der externen Schnittstelle des Zugriffs-, Webkonferenz- und A/V-Edgediensts hinter einem Router oder einer Firewall, über den bzw. die eine Netzwerkadressenübersetzung durchgeführt wird, unterstützt. Mehrere Edgeserver hinter einem Hardwaregerät zum Lastenausgleich können keine NAT verwenden. Falls mehrere Edgeserver NAT in den externen Schnittstellen verwenden, ist der DNS-Lastenausgleich (Domain Name System) erforderlich. Die Verwendung des DNS-Lastenausgleichs wiederum ermöglicht die Reduzierung der Anzahl von öffentlichen IP-Adressen pro Edgeserver in einem Edgeserverpool. Ausführliche Informationen finden Sie unter Zugreifen auf den Edgedienst.

  • Portanforderungen   

    noteHinweis:
    Wenn Sie mit Verbundunternehmen mit einer Microsoft Office Communications Server 2007-Bereitstellung zusammenarbeiten und Audio-/Videofunktionen zwischen Ihrem Unternehmen und dem Verbundunternehmen unterstützt werden sollen, entsprechen die Portanforderungen denen für die bereitgestellten älteren Edgeserver. Beispielsweise müssen die für diese älteren Versionen erforderlichen Portbereiche für beide Unternehmen geöffnet sein, bis der Verbundpartner ein Upgrade der Edgeserver auf Lync Server 2010 vornimmt. Dann können die Portanforderungen erneut überprüft und gemäß der neuen Konfiguration vermindert werden.

  • Vereinfachte Zertifikate für Edgeserver   Mit dem Bereitstellungs-Assistenten können Antragstellernamen (SNs) und alternative Antragstellernamen (SANs) automatisch aufgefüllt werden. Dadurch reduziert sich das Risiko von unnötigen und potenziell unsicheren Einträgen.

Eine vollständige Aufstellung und Behandlung der neuen Features in Lync Server 2010 und Microsoft Lync 2010 finden Sie in der Dokumentation Erste Schritte.

Vertrauenswürdiger Aufbau

Lync Server 2010 wurde in Übereinstimmung mit dem Microsoft Trustworthy Computing Security Development Lifecycle (SDL) entwickelt, der auf der Webseite https://go.microsoft.com/fwlink/?linkid=68761&clcid=0x407 beschrieben wird. Der erste Schritt beim Erstellen eines sicheren Unified Communications-Systems bestand in der Entwicklung von Gefahrenmodellen und im Testen der einzelnen Features während des Entwurfs. Mehrere sicherheitsrelevante Verbesserungen wurden während der Codephase getestet und integriert. Mit Buildzeittools werden Pufferüberläufe und andere potenzielle Sicherheitsbedrohungen erkannt, bevor der Code in das Endprodukt aufgenommen wird. Natürlich ist es nicht möglich, alle unbekannten Sicherheitsbedrohungen vorherzusehen. Es gibt kein System ohne Sicherheitslücken. Da bei der Produktentwicklung jedoch von Anfang an sichere Entwurfsprinzipien angewendet wurden, beinhaltet Lync Server 2010 die branchenüblichen Standardsicherheitstechnologien als grundlegenden Bestandteil seiner Architektur.

Vertrauenswürdig durch seine Standardeinstellungen

Die gesamte Netzwerkkommunikation in Lync Server 2010 ist standardmäßig verschlüsselt. Da alle Server Zertifikate und Kerberos-Authentifizierung, TLS, SRTP (Secure Real-Time Transport Protocol) und andere Standardverschlüsselungstechniken einschließlich der 128-Bit-Advanced Encryption Standard (AES)-Verschlüsselung verwenden, sind praktisch alle Lync Server-Daten auf dem Netzwerk geschützt. Darüber hinaus ist es aufgrund der rollenbasierten Zugriffssteuerung möglich, Server mit Lync Server 2010 so bereitzustellen, dass nur die Dienste und die damit verbundenen Berechtigungen entsprechend der einzelnen Serverrollen installiert werden.

Vertrauenswürdig durch die Bereitstellung

Nicht nur diese Dokumentation zur Sicherheit, sondern die gesamte Dokumentation zu Lync Server 2010 enthält bewährte Methoden und Empfehlungen, um Sie beim Erkennen und Konfigurieren der optimalen Sicherheitsebenen für Ihre Bereitstellung zu unterstützen und die Bewertung der Risiken bei der Aktivierung von nicht standardmäßigen Optionen zu ermöglichen.