Microsoft Lync で 標準以外の完全修飾ドメイン名 (FQDN) を持つ SIP サーバーを自動的に検出し セキュリティで保護された通信を行うことを禁止します 注意: このポリシー設定は Microsoft Lync で SIP ...

"Microsoft Lync で、標準以外の完全修飾ドメイン名 (FQDN) を持つ SIP サーバーを自動的に検出し、セキュリティで保護された通信を行うことを禁止します。

注意: このポリシー設定は、Microsoft Lync で SIP サーバー一覧の DNS クエリ用に自動構成が使用されており、Microsoft Lync が TLS トランスポートを使用する SIP サーバーと通信している場合のみ有効です。この場合、サポートされるサーバー FQDN は Microsoft Lync を開始したユーザーの SIP URI に依存します。

たとえば、このポリシー設定を無効にするか構成しない状態で、ユーザーの SIP URI が SIP:[email protected] である場合は、FQDN が EXAMPLE.COM か SIP.EXAMPLE.COM であるときのみ、Microsoft Lync は TLS トランスポートで SIP サーバーと通信できます。つまり、サーバーの FQDN はユーザーの SIP URI のドメイン部分と完全に一致するか、サーバーの FQDN でユーザーの SIP URI のドメイン部分の前に "SIP." がある必要があります。これにより、"man-in-the-middle" 攻撃に対するセキュリティ保護の脆弱性を防ぐことができます。この攻撃では、悪意のあるユーザーは、クライアントが DNS 参照を実行するために使用する UDP メッセージを検出し、認証されていない SIP サーバーの名前でクライアントに応答することができます。これにより、悪意のあるユーザーは信頼されたユーザーを偽装する、または、強度の弱い暗号を使って、サーバーでクライアントを認証することができます。

このポリシー設定を有効にすると、Microsoft Lync は、ユーザーの SIP URI のドメイン部分で終わる FQDN を持つすべての SIP サーバーと TLS トランスポートで通信することができるようになります。上記の例では、ユーザーの SIP URI が SIP:[email protected] である場合、Microsoft Lync は SIP.DIVISION.EXAMPLE.COM や LC.EXAMPLE.COM という名前を持つサーバーと通信できるようになります。しかし、悪意のあるユーザーは、ATTACKER.EXAMPLE.COM というサーバー名を含む応答で最初の DNS クエリへの応答ができるようになります。

注意: このポリシー設定は、[コンピューターの構成] と [ユーザーの構成] の両方で構成できますが、[コンピューターの構成] 内の設定が優先されます。

注意: Communicator 2.0 Beta 3 では、このポリシーは既定で無効に設定されるため、Communicator が man-in-the-middle 攻撃に対して脆弱になる可能性があります。このポリシーを有効にすることを強くお勧めします。"