Шифрование в Skype для бизнеса Server 2015

Skype for Business Server 2015
 

СерверSkype для бизнеса Server 2015 использует протоколы TLS и MTLS для шифрования мгновенных сообщений. Весь трафик типа "сервер-сервер" требует использования протокола MTLS вне зависимости от того, выявлен ли трафик во внутренней сети или используется по периметру внутренней сети. При подключении Skype для бизнеса Server 2015 к сторонним системам IPPBX или магистральным каналам SIP протокол TLS не является обязательным, но его использование настоятельно рекомендуется между сервером-посредником и медиашлюзом. Если в этой связи настроен протокол TLS, использование протокола MTLS необходимо. Следовательно, шлюз необходимо настроить с помощью сертификата от ЦС, который является доверенным объектом сервера-посредника.

noteПримечание.
Советы по безопасности в отношении SSL 3.0 были опубликованы в 2014 г. Отключение SSL 3.0 в Skype для бизнеса Server 2015 поддерживается. Дополнительные сведения о советах по безопасности см. по адресу https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/.
securityБезопасность Примечание.
Чтобы гарантировать использование самого надежного криптографического протокола, Skype для бизнеса Server 2015 будет предлагать протоколы шифрования TLS клиентам в следующем порядке: TLS 1.2, TLS 1.1, TLS 1.0 . TLS представляет собой критический аспект Skype для бизнеса Server 2015 и поэтому его использование обязательно для формирования поддерживаемой среды.

В следующей таблице представлена сводка требований протокола для каждого типа трафика.

Защита трафика

Тип трафика Защита

Сервер-сервер

MTLS

Клиент-сервер

TLS

Мгновенные сообщения и присутствие

TLS

Аудио/видео и рабочий стол для общего доступа к мультимедиа

SRTP

Общий доступ к рабочему столу (передача сигналов)

TLS

веб-конференции

TLS

Загрузка содержимого собрания, загрузка адресной книги, расширение группы рассылки

HTTPS

Трафик мультимедиа шифруется по протоколу SRTP, профилю протокола RTP, который обеспечивает конфиденциальность, проверку подлинности и защиту от атак с повторением пакетов для трафика RTP. Кроме того, потоки мультимедиа в обоих направлениях между сервером-посредником и его внутренним узлом следующего прыжка также шифруются с помощью SRTP. Дополнительно выполняется (и рекомендуется) шифрование трафика мультимедиа в обоих направлениях между сервером-посредником и медиашлюзом. Сервер-посредник может обеспечивать шифрование на медиашлюзе, однако шлюз должен поддерживать MTLS и хранилище сертификатов.

noteПримечание.
При реализации гибридной среды также необходимо изменить уровень шифрования Skype для бизнеса Server 2015. По умолчанию установлен уровень «Необходимо». Необходимо изменить это значение на «Поддерживается» с помощью командной консоли Skype для бизнеса Server. Дополнительные сведения о настройке гибридной среды см. в разделе Настройка гибридной среды с сетевыми и локальными компонентами в Skype для бизнеса Server 2015 в документации по развертыванию.

Skype для бизнеса Server 2015 и Microsoft Exchange Server 2016 работают с поддержкой алгоритмов FIPS 140-2, если операционные системы Windows Server настроены на использование алгоритмов FIPS 140-2 для системной криптографии. Чтобы реализовать поддержку FIPS, необходимо настроить эту поддержку на каждом сервере, на котором выполняется Skype для бизнеса Server 2015.

 
Показ: