Criptografia para Lync Server 2010
Tópico modificado em: 2012-10-17
O Microsoft Lync Server 2010 usa os protocolos TLS e MTLS para criptografar mensagens instantâneas. Todo o tráfego de servidor para servidor requer o protocolo MTLS, independentemente do tráfego estar restrito à rede interna ou cruzar o perímetro da rede interna. O TLS é opcional, mas altamente recomendado entre o Servidor de Mediação e o gateway de mídia. Se TLS estiver configurado nesse link, o MTLS será requerido. Portanto, o gateway deve ser configurado com um certificado de uma autoridade de certificação confiável para o Servidor de Mediação.
Os requisitos do tráfego de cliente para cliente depende de o tráfego atravessar ou não o firewall corporativo interno. O tráfego estritamente interno pode usar o TLS (as mensagens instantâneas são criptografadas) ou o TCP (as mensagens instantâneas não são criptografadas).
A tabela a seguir resume os requisitos de protocolo de cada tipo de tráfego.
Proteção de tráfego
| Tipo de tráfego | Protegido por |
|---|---|
Servidor para servidor |
MTLS |
Cliente para servidor |
TLS |
Sistema de mensagens instantâneas e presença |
TLS (se configurado para TLS) |
Compartilhamento de área de trabalho, áudio e vídeo da mídia |
SRTP |
Compartilhamento de área de trabalho (sinalização) |
TLS |
Webconferência |
TLS |
Download do conteúdo das reuniões, download do catálogo de endereços, expansão de grupos de distribuição |
HTTPS |
Criptografia da mídia
O tráfego de mídia é criptografado usando SRTP, um perfil de protocolo RTP que fornece confidencialidade, autenticação e proteção contra ataque de repetição para o tráfego RTP. O protocolo SRTP usa uma chave de sessão gerada pelo serviço de autenticação do media relay em resposta a uma autenticação bem-sucedida da solicitação do servidor (em nome dos participantes de mídia). A chave de sessão é protegida pelo nome de usuário e senha negociado apresentado para o serviço de autenticação do media relay pelos servidores Front-End e enviado aos participantes pelo canal SIP protegido por TLS. A descriptografia da chave de sessão segura com o nome de usuário e a senha que o serviço de media relay usou, e forneceu de uma maneira segura por meio do certificado TLS do participante e do canal seguro do SIP, permite aos participantes descriptografar o fluxo do SRTP. Além disso, o fluxo de mídia em ambas as direções entre o Servidor de Mediação e seu próximo salto interno também é criptografado usando o SRTP. O fluxo de mídia nas duas direções entre o Servidor de Mediação e um gateway de mídia não está criptografado. O Servidor de Mediação pode oferecer suporte à criptografia para o gateway de mídia, mas o gateway deve oferecer suporte ao MTLS e ao armazenamento de um certificado.
.gif "note") Observação: |
|---|
| A/V (Áudio/Vídeo) é compatível com a nova versão do Windows Live Messenger. Se você estiver implementando uma federação A/V com Windows Live Messenger, também deverá modificar o nível de criptografia do Lync Server. Por padrão, o nível de criptografia é Obrigatório. Você deve alterar essa configuração para Com Suporte usando o Shell de Gerenciamento do Lync Server. Para obter detalhes, consulte Preparar para suportar a conectividade de IM pública na documentação de Implantação. O tráfego de mídia de áudio e vídeo não é criptografado entre clientes do Microsoft Lync 2010 e do Windows Live. |
FIPS
O Lync Server 2010 e o Microsoft Exchange Server 2010 Service Pack 1 (SP1) operam com suporte para algoritmos Federal Information Processing Standard (FIPS) 140-2 se os sistemas operacionais do Windows Server 2008 Service Pack 2 (SP2) Windows Server 2008 R2 estiverem configurados para usar os algoritmos do FIPS 140-2 para criptografia do sistema. Para implementar o suporte do FIPS, você deve configurar cada servidor que executa o Lync Server 2010 para dar suporte a ele. Para obter detalhes sobre o uso de algoritmos compatíveis com FIPS e como implementar o suporte do FIPS, consulte o artigo 811833 da Base de Dados de Conhecimento Microsoft, Os efeitos de habilitar a configuração de segurança "Criptografia do sistema: use os algoritmos compatíveis com FIPS para criptografia, hash e assinatura" no Windows XP e em versões posteriores do Windows em https://support.microsoft.com/kb/811833/pt-br. Para obter detalhes sobre o suporte e limitações do FIPS 140-2 no Exchange 2010, consulte Exchange 2010 SP1 e Suporte para Algoritmos de Conformidade do FIPS em https://go.microsoft.com/fwlink/?linkid=205335&clcid=0x416.