Você pode ativar o Cisco Unified Communications Manager para operar em um ambiente de segurança avançada. Com esses aprimoramentos, sua rede de telefonia opera sob um conjunto de controles rígidos de gerenciamento de segurança e riscos para proteger você e seus usuários.

O ambiente de segurança optimizada inclui os seguintes recursos:

  • Autenticação de pesquisa de contatos.

  • O TCP como o protocolo padrão para o registro em log de auditoria remota.

  • Modo FIPS.

  • Uma política de credenciais aprimorada.

  • Suporte à família SHA-2 de hashes para assinaturas digitais.

  • Suporte para uma chave RSA de 512 bits e 4096 bits.

Com Cisco Unified Communications Manager Versão 14.0 e Firmware do telefone de vídeo Cisco versão 2.1 e posterior, os telefones oferecem suporte à autenticação SIP OAuth.

OAuth é compatível com o Proxy Trivial File Transfer Protocol (TFTP) com Cisco Unified Communications Manager Versão 14.0(1)SU1 ou posterior. Proxy TFTP e OAuth para proxy TFTP não são compatíveis com o Mobile Remote Access (MRA).

Para obter informações adicionais sobre a segurança, consulte o seguinte:

Seu telefone só pode armazenar um número limitado de arquivos da Lista de confiança de identidade (ITL). Os arquivos ITL não podem exceder 64K, então limite o número de arquivos que o Cisco Unified Communications Manager envia para o telefone.

Recursos de segurança suportados

Os recursos de segurança protegem contra ameaças, incluindo ameaças à identidade do telefone e aos dados. Os recursos estabelecem e mantêm fluxos de comunicação autenticados entre o telefone e o servidor Cisco Unified Communications Manager, além de garantir que o telefone use apenas arquivos assinados digitalmente.

O Cisco Unified Communications Manager versão 8.5(1) e posterior inclui a opção Segurança por padrão, que fornece os seguintes recursos de segurança para Telefones IP Cisco sem executar o cliente CTL:

  • Assinatura dos arquivos de configuração do telefone

  • Criptografia dos arquivos de configuração do telefone

  • HTTPS com Tomcat e outros serviços Web

Os recursos de mídia e sinalização segura ainda exigem que você execute o cliente CTL e use eTokens físicos.

Implementar a segurança no sistema Cisco Unified Communications Manager impede o roubo de identidade do telefone e do servidor Cisco Unified Communications Manager, impede a violação de dados e impede a adulteração da sinalização de chamadas do fluxo de mídia.

Para minimizar essas ameaças, a rede de telefonia IP da Cisco estabelece e mantém fluxos de comunicação seguros (criptografados) entre um telefone e o servidor, assina digitalmente os arquivos antes de serem transferidos para um telefone e criptografa fluxos de mídia e a sinalização de chamadas entre Telefones IP Cisco.

Um LSC (Locally Significant Certificate) é instalado nos telefones depois que você executa as tarefas necessárias associadas à função de proxy de autoridade de certificação (CAPF). Você pode usar a Administração do Cisco Unified Communications Manager para configurar um LSC, conforme descrito no Guia de segurança do Cisco Unified Communications Manager. Como alternativa, você pode iniciar a instalação de um LSC no menu de configurações de segurança do telefone. Este menu também permite atualizar ou remover um LSC.

Um LSC não pode ser usado como o certificado do usuário para EAP-TLS com autenticação WLAN.

Os telefones usam o perfil de segurança do telefone, que define se o dispositivo está seguro ou não. Para obter informações sobre como aplicar o perfil de segurança ao telefone, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Se você definir configurações de segurança na Administração do Cisco Unified Communications Manager, o arquivo de configuração do telefone conterá informações confidenciais. Para garantir a privacidade de um arquivo de configuração, você deve configurá-lo para criptografia. Para obter informações detalhadas, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

O telefone está em conformidade com o Padrão de Processamento de Informações Federais (FIPS). Para funcionar corretamente, o modo FIPS requer uma chave com 2048 bits ou mais. Se o certificado tiver menos de 2048 bits, o telefone não será registrado no Cisco Unified Communications Manager e será exibida a mensagem Falha ao registrar o telefone. O tamanho da chave do certificado não é compatível com FIPS é exibida no telefone.

Se o telefone tiver uma chave LSC, você precisa atualizar o tamanho dela para 2048 bits ou mais antes de ativar o modo FIPS.

A tabela a seguir fornece uma visão geral dos recursos de segurança suportados pelos telefones. Para obter mais informações, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Para visualizar o modo de segurança, pressione Configurações a tecla Configurações E navegue até as configurações Rede e serviço > Ssegurança.

Tabela 1. Visão geral dos recursos de segurança

Recurso

Descrição

Autenticação de imagem

Arquivos binários assinados impedem a adulteração da imagem do firmware antes que ela seja carregada em um telefone.

A falsificação com a imagem causa falha no processo de autenticação do telefone e rejeita a nova imagem.

Instalação de certificado no site do cliente

Cada Telefone IP Cisco exige um certificado exclusivo para autenticação de dispositivo. Os telefones incluem um Certificado instalado pelo fabricante (MIC), mas, para ter mais segurança, você pode especificar a instalação do certificado na Administração do Cisco Unified Communications Manager usando a CAPF (Função de proxy de autoridade de certificação). Como alternativa, é possível instalar um LSC (Certificado localmente significativo) no menu Configuração de segurança no telefone.

Autenticação do dispositivo

Ocorre entre o servidor Cisco Unified Communications Manager e o telefone quando cada entidade aceita o certificado da outra entidade. Determina se uma conexão segura entre o telefone e um Cisco Unified Communications Manager deve ocorrer; e, se necessário, cria um caminho de sinalização seguro entre as entidades usando o protocolo TLS. O Cisco Unified Communications Manager não registra os telefones a menos que possa autenticá-los.

Autenticação de arquivo

Valida arquivos assinados digitalmente baixados pelo telefone. O telefone valida a assinatura para garantir que não tenha havido adulteração do arquivo após sua criação. Os arquivos que falham na autenticação não são gravados na memória Flash do telefone. O telefone rejeita tais arquivos sem outro processamento.

Criptografia de arquivos

A criptografia impede que informações confidenciais sejam reveladas enquanto o arquivo estiver em trânsito para o telefone. Além disso, o telefone valida a assinatura para garantir que não tenha havido adulteração do arquivo após sua criação. Os arquivos que falham na autenticação não são gravados na memória Flash do telefone. O telefone rejeita tais arquivos sem outro processamento.

Autenticação de sinalização

Usa o protocolo TLS para confirmar que não tenha havido adulteração dos pacotes de sinalização durante a transmissão.

Certificado instalado pelo fabricante

Cada Telefone IP Cisco contém um MIC (certificado instalado pelo fabricante), que é usado para autenticação do dispositivo. O MIC fornece uma prova de identidade exclusiva e permanente para o telefone e permite que o Cisco Unified Communications Manager autentique o telefone.

Criptografia de mídia

Usa o SRTP para garantir que os fluxos de mídia entre dispositivos suportados comprovem segurança e que apenas o dispositivo programado receba e leia os dados. Inclui criação de um par de chaves primárias de mídia para os dispositivos, fornecendo as chaves aos dispositivos e protegendo a entrega das chaves enquanto são transportadas.

CAPF (Função de proxy de autoridade de certificação)

Implementa partes do procedimento de geração do certificado que consome muito processamento do telefone e interage com o telefone para geração de chave e instalação do certificado. A CAPF pode ser configurada para solicitar certificados das autoridades de certificação especificadas pelo cliente em nome do telefone ou pode ser configurada para gerar certificados localmente.

São suportados os tipos de EC (Curva Elíptica) e RSA chaves. Para usar a chave de EC, certifique-se de que o parâmetro "Suporte de algoritmos de criptografia avançada de ponto final" (a partir do parâmetro System >Enterprise) esteja ativado.

Para obter mais informações sobre CAPF e configurações relacionadas, consulte os seguintes documentos:

Perfil de segurança

Define se o telefone não é seguro e se está autenticado, criptografado ou protegido. Outras entradas nesta tabela descrevem os recursos de segurança.

Arquivos de configuração criptografados

Permite que você assegure a privacidade dos arquivos de configuração do telefone.

Desativação do servidor Web opcional para um telefone

Para fins de segurança, você pode impedir o acesso às páginas da Web para um telefone (que exibem várias estatísticas operacionais para o telefone) e ao Portal de Ajuda.

Proteção do telefone

Opções de segurança adicionais, que você controla na Administração do Cisco Unified Communications Manager:

  • Desativar a porta do PC
  • Desativar o ARP gratuito (GARP)
  • Desativar o acesso à VLAN de voz do PC
  • Desativar o acesso ao menu Configuração ou fornecer acesso restrito
  • Desativar o acesso às páginas da Web de um telefone
  • Desativar a porta do acessório Bluetooth
  • Restringir codificações de TLS

Autenticação 802.1X

O Telefone IP Cisco pode usar autenticação 802.1X para solicitar e obter acesso à rede. Consulte Autenticação 802.1X para saber mais.

Failover de SIP seguro para SRST

Depois de configurar uma referência SRST (Survivable Remote Site Telephony) para segurança e redefinir os dispositivos dependentes na Administração do Cisco Unified Communications Manager, o servidor TFTP adiciona o certificado SRST ao arquivo cnf.xml do telefone e envia o arquivo ao telefone. Um telefone seguro usa uma conexão TLS para interagir com o roteador habilitado para SRST.

Criptografia de sinalização

Garante que todas as mensagens de sinalização SIP que são enviadas entre o dispositivo e o servidor Cisco Unified Communications Manager sejam criptografadas.

Alarme de atualização da lista de confiança

Quando a lista de confiança é atualizada no telefone, o Cisco Unified Communications Manager recebe um alarme para indicar o sucesso ou a falha da atualização. Consulte a tabela a seguir para obter mais informações.

Criptografia AES 256

Quando conectados ao Cisco Unified Communications Manager versão 10.5(2) e posteriores, os telefones aceitam a criptografia AES 256 para TLS e SIP para sinalização e criptografia de mídia. Isso permite que os telefones iniciem e permitam conexões TLS 1.2 usando cifras baseadas em AES-256 em conformidade com os padrões SHA-2 (Secure Hash Algorithm) e compatíveis com o padrão FIPS (Federal Information Processing Standards). As codificações incluem:

  • Para conexões TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Para sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Para obter mais informações, consulte a documentação do Cisco Unified Communications Manager.

Certificados Elliptic Curve Digital Signature Algorithm (ECDSA)

Como parte da certificação critérios comuns (CC), o Cisco Unified Communications Manager adicionou certificados ECDSA na versão 11.0. Isso afeta todos os produtos de sistema operacional de voz (VOS) executando versões CUCM 11.5 e posteriores.

Certificado Tomcat de vários servidores (SAN) com Cisco UCM

O telefone é compatível com Cisco UCM com certificados Tomcat de vários servidores (SAN) configurados. O endereço correto TFTP servidor pode ser encontrado no arquivo ITL do telefone para registro do telefone.

Para obter mais informações sobre o recurso, consulte o seguinte:

A tabela a seguir contém as mensagens de alarme de atualização da lista de confiança e seus significados. Para obter mais informações, consulte a documentação do Cisco Unified Communications Manager.

Tabela 2. Mensagens de alarme de atualização da lista de confiança
Código e mensagem Descrição

1 - TL_SUCCESS

Nova CTL e/ou ITL recebida

2 - CTL_INITIAL_SUCCESS

Nova CTL recebida, nenhuma TL existente

3 - ITL_INITIAL_SUCCESS

Nova ITL recebida, nenhuma TL existente

4 - TL_INITIAL_SUCCESS

Nova CTL e ITL recebidas, nenhuma TL existente

5 - TL_FAILED_OLD_CTL

Falha na atualização da nova CTL, mas há uma TL anterior

6 - TL_FAILED_NO_TL

Falha na atualização da nova TL e nenhuma TL anterior

7 - TL_FAILED

Falha genérica

8 - TL_FAILED_OLD_ITL

Falha na atualização da nova ITL, mas há uma TL anterior

9 - TL_FAILED_OLD_TL

Falha na atualização da nova TL, mas há uma TL anterior

O menu Configuração de segurança fornece informações sobre várias configurações de segurança. O menu também fornece acesso ao menu Lista de confiança e indica se o arquivo CTL ou ITL está instalado no telefone.

A tabela a seguir descreve as opções do menu Configuração de segurança.

Tabela 3. Menu Configuração de segurança

Opção

Descrição

Para alterar

Modo de segurança

Exibe o modo de segurança que é definido para o telefone.

Na Administração do Cisco Unified Communications Manager, selecione Dispositivo > Telefone. A configuração aparece na parte Informações específicas do protocolo da janela de Configuração do telefone.

LSC

Indica se um certificado localmente significativo usado para os recursos de segurança está instalado no telefone (Instalado) ou não está instalado no telefone (Não instalado).

Para obter informações sobre como gerenciar o LSC do telefone, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

Configurar um certificado localmente significativo (LSC)

Essa tarefa se aplica à configuração de um LSC com o método de cadeia de autenticação.

Antes de começar

Verifique se configurações de segurança apropriadas do Cisco Unified Communications Manager e da CAPF (Função de proxy de autoridade de certificação) foram concluídas:

  • O arquivo CTL ou ITL tem um certificado CAPF.

  • Na Administração do sistema operacional do Cisco Unified Communications, verifique se o certificado CAPF está instalado.

  • A CAPF está em execução e foi configurada.

Para obter mais informações sobre essas configurações, consulte a documentação da sua versão específica do Cisco Unified Communications Manager.

1

Obtenha o código de autenticação da CAPF que foi definido quando a CAPF foi configurada.

2

No telefone, pressione Definições the Settings hard key.

3

Se solicitado, digite a senha para acessar o menu Configurações . Você pode obter a senha do administrador.

4

Navegue até as configurações rede e serviço > Sa de segurança> LSC.

Você pode controlar o acesso ao menu Configurações usando o campo Acesso às configurações na Administração do Cisco Unified Communications Manager.

5

Digite a cadeia de caracteres de autenticação e selecione Enviar.

O telefone começa a instalar, atualizar ou remover o LSC, dependendo de como a CAPF foi configurada. Quando o procedimento estiver concluído, será exibida a mensagem Instalado ou Não instalado no telefone.

O processo de instalação, atualização ou remoção do LSC pode demorar bastante para ser concluído.

Quando o procedimento de instalação do telefone for bem-sucedido, a mensagem Instalado será exibida. Se o telefone exibir Não instalado, a string de autorização pode estar incorreta ou a atualização do telefone pode não estar ativada. Se a operação de CAPF excluir o LSC, o telefone exibirá Não instalado para indicar que a operação foi bem-sucedida. O servidor CAPF registra em log as mensagens de erro. Consulte a documentação do servidor CAPF para localizar os logs e entender o significado das mensagens de erro.

Ativar modo FIPS

1

Na Administração do Cisco Unified Communications Manager, selecione Dispositivo > Telefone e localize o telefone.

2

Navegue até a área Configuração específica do produto.

3

Defina o campo Modo FIPS como Ativado.

4

Selecione Salvar.

5

Selecione Aplicar config.

6

Reinicie o telefone.

Desligar o alto-falante, o fone de ouvido e o monofone em um telefone

Você tem as opções para desligar permanentemente o alto-falante, o fone de ouvido e o monofone em um telefone para o usuário.

1

Na Administração do Cisco Unified Communications Manager, selecione Dispositivo > Telefone e localize o telefone.

2

Navegue até a área Configuração específica do produto.

3

Marque uma ou mais das seguintes caixas de seleção para desativar as capacidades do telefone:

  • Desabilitar Alto-falante
  • Desabilitar Alto-falante e Fone de Ouvido
  • Desativar monofone

Por padrão, essas caixas de seleção estão desmarcadas.

4

Selecione Salvar.

5

Selecione Aplicar config.

Autenticação 802.1X

Os Telefones IP Cisco são compatíveis com a Autenticação 802.1X.

Os Telefones IP Cisco e os switches do Cisco Catalyst tradicionalmente usam o CDP (Cisco Discovery Protocol) para identificar um ao outro e determinar parâmetros como a alocação de VLAN e os requisitos de potência embutida. O CDP não identifica estações de trabalho conectadas localmente. Os Telefones IP Cisco fornecem um mecanismo de passagem EAPOL. Esse mecanismo permite que uma estação de trabalho conectada ao Telefone IP Cisco passe mensagens EAPOL ao autenticador 802.1X no switch da LAN. O mecanismo de passagem garante que o telefone IP não atue como o switch da LAN para autenticar um dispositivo de dados antes de acessar a rede.

Os Telefones IP Cisco também fornecem um mecanismo de encerramento do EAPOL por proxy. Se o PC conectado localmente for desconectado do telefone IP, o switch da LAN não verá a falha do link físico, porque o link entre o switch da LAN e o telefone IP será mantido. Para evitar o comprometimento da integridade da rede, o telefone IP envia uma mensagem de encerramento do EAPOL para o switch em nome do PC de downstream, que dispara o switch da LAN para limpar a entrada de autenticação do PC de downstream.

O suporte à autenticação 802.1X exige vários componentes:

  • Telefone IP Cisco: o telefone inicia a solicitação para acessar a rede. Os Telefones IP Cisco contêm um suplicante 802.1X. Esse suplicante permite aos administradores de rede controlar a conectividade dos telefones IP para as portas de switch da LAN. A versão atual do suplicante 802.1X do telefone usa as opções EAP-FAST e EAP-TLS para autenticação de rede.

  • Servidor de autenticação: o servidor de autenticação e o comutador devem ser configurados com um segredo compartilhado que autentice o telefone.

  • Switch: o switch precisa suportar 802.1X para atuar como autenticador e passar as mensagens entre o telefone e o servidor de autenticação. Após a conclusão da troca, o switch concede ou nega o acesso do telefone à rede.

Você deve executar as ações a seguir para configurar a 802.1X.

  • Configure os outros componentes antes de ativar a Autenticação 802.1X no telefone.

  • Configure a porta do PC: o padrão 802.1X não considera VLANs e, assim, recomenda que apenas um único dispositivo seja autenticado para uma porta de switch específica. No entanto, alguns switches aceitam a autenticação de vários domínios. A configuração do switch determina se você pode conectar um PC à porta do PC do telefone.

    • Ativado: se estiver usando um switch que suporta a autenticação de vários domínios, você poderá ativar a porta do PC e conectar um PC a ela. Nesse caso, os Telefones IP Cisco aceitam o encerramento do EAPOL por proxy para monitorar a troca de autenticação entre o switch e o PC conectado.

      Para obter mais informações sobre o suporte do IEEE 802.1X em switches do Cisco Catalyst, consulte os guias de configuração de switch do Cisco Catalyst em:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Desativado: se o switch não oferecer suporte a vários dispositivos compatíveis com 802.1X na mesma porta, você deverá desativar a porta do PC quando a autenticação 802.1X for ativada. Se você não desativar essa porta e em seguida tentar conectar um PC a ela, o switch negará o acesso à rede tanto para o telefone quanto para o PC.

  • Configure a VLAN de voz: como o padrão 802.1X não considera as VLANs, você deve definir essa configuração com base no suporte ao switch.
    • Ativado: se você estiver usando um switch que suporta a autenticação de vários domínios, você poderá continuar usando a VLAN de voz.
    • Desativado: se o switch não suportar a autenticação de vários domínios, desative a VLAN de voz e considere a atribuição da porta à VLAN nativa.
  • (Somente para o Telefone de mesa Cisco 9800 Series)

    O Cisco Desk Phone 9800 Series tem um prefixo diferente no PID daquele para outros telefones Cisco. Para ativar seu telefone para passar pela autenticação 802.1X, defina o Radius· Parâmetro nome de usuário para incluir seu Telefone de mesa Cisco série 9800.

    Por exemplo, a PID do telefone 9841 é DP-9841; você pode definir Radius· O nome de usuário para iniciar com DP ou contém DP. Você pode defini-lo nas duas seções a seguir:

    • Condições > conduções > Libraria

    • Conjuntos de políticas>Estimização > Estimização > Retodonar 1

Ativar autenticação 802.1X

Siga estas etapas para ativar a autenticação 802.1X para o telefone:

1

Pressione Configurações the Settings hard key.

2

Se solicitado, digite a senha para acessar o menu Configurações . Você pode obter a senha do administrador.

3

Navegue até configurações de Rede e serviço > Security> 802.1X Autenticação.

4

Ative a autenticação IEEE 802.1X.

5

Selecione Aplicar.

Visualizar informações sobre as configurações de segurança no telefone

Você pode visualizar as informações sobre as configurações de segurança no menu do telefone. A disponibilidade das informações depende das configurações de rede de sua organização.

1

Pressione Configurações the Settings key.

2

Navegue até as configurações de Rede e serviço > Se de segurança.

3

Nas configurações de Segurança, veja as informações a seguir.

Tabela 4. Parâmetros para configurações de segurança

Parâmetros

Descrição

Modo de segurança

Exibe o modo de segurança que é definido para o telefone.

LSC

Indica se um certificado localmente significativo que é usado para os recursos de segurança está (Sim) ou não está (Não) instalado no telefone.

Lista de certific. credíveis

A lista de confiança fornece submenus para os arquivos CTL, ITL e configuração assinada.

O submenu Arquivo CTL exibe o conteúdo do arquivo CTL. O submenu Arquivo ITL exibe o conteúdo do arquivo ITL.

O menu Lista de confiança também exibe as seguintes informações:

  • Assinatura CTL: o hash SHA1 do arquivo CTL
  • Servidor Unified CM/TFTP: o nome do servidor Cisco Unified Communications Manager e do Servidor TFTP usado pelo telefone. Exibe um ícone de certificado se houver um certificado instalado para esse servidor.
  • Servidor CAPF: o nome do servidor CAPF usado pelo telefone. Exibe um ícone de certificado se houver um certificado instalado para esse servidor.
  • Roteador SRST: o endereço IP do roteador SRST confiável que o telefone pode usar. Exibe um ícone de certificado se houver um certificado instalado para esse servidor.

Segurança da chamada telefônica

Quando a segurança é implementada para um telefone, você pode identificar chamadas telefônicas seguras por ícones na tela do telefone. Também será possível determinar se o telefone conectado está seguro e protegido se um tom de segurança for tocado no início da chamada.

Em uma chamada segura, todos os fluxos de mídia e sinalização de chamada são criptografados. Uma chamada segura oferece um alto nível de segurança, fornecendo integridade e privacidade à chamada. Quando uma chamada em andamento é criptografada, você pode ver o ícone seguro O ícone de cadeado para uma chamada segura Na linha. Para um telefone seguro, também é possível visualizar o ícone autenticado Ou o ícone criptografado Próximo ao servidor conectado no menu do telefone (Configurações> Sobre este dispositivo).

Se a chamada for roteada por meio de segmentos de chamada não IP, por exemplo, o PSTN, ela poderá não ser segura, mesmo que esteja criptografada na rede IP e tenha um ícone de cadeado associado a ela.

Em uma chamada segura, um tom de segurança é tocado no início para indicar que o outro telefone conectado também está recebendo e transmitindo áudio seguro. Se a chamada se conectar a um telefone não seguro, o tom de segurança não será tocado.

A chamada segura é permitida em conexões apenas entre dois telefones. Alguns recursos, como chamada de conferência e linhas compartilhadas, não são disponibilizados quando a chamada segura é configurada.

Quando um telefone é configurado como seguro (criptografado e confiável) em Cisco Unified Communications Manager, ele pode receber um Protegido estado. Depois disso, se desejado, o telefone protegido pode ser configurado para tocar um tom indicativo no início de uma chamada:

  • Dispositivo protegido: para alterar o status de um telefone seguro para protegido, marque a caixa de seleção Dispositivo protegido na janela Configuração do telefone na Administração do Cisco Unified Communications Manager (Dispositivo > Telefone).

  • Tocar tom indicativo de seguro: para permitir que o telefone protegido toque um tom indicativo de seguro ou não seguro, defina a configuração Play Secure Indication Tone (Tocar tom indicativo de seguro) como Verdadeiro. Por padrão, a opção Tocar tom indicativo de seguro é definida como Falso. Você define essa opção na Administração do Cisco Unified Communications Manager (Sistema > Parâmetros de serviço). Selecione o servidor e, em seguida, o serviço do Unified Communications Manager. Na janela Configuração de parâmetro de serviço, selecione a opção na área Recurso - Tom de seguro. O padrão é Falso.

Identificação de chamada de conferência segura

Você pode iniciar uma chamada de conferência segura e monitorar o nível de segurança dos participantes. Uma chamada de conferência segura é estabelecida por este processo:

  1. Um usuário inicia a conferência de um telefone seguro.

  2. O Cisco Unified Communications Manager atribui um recurso de conferência seguro à chamada.

  3. Conforme os participantes são adicionados, o Cisco Unified Communications Manager verifica o modo de segurança de cada telefone e mantém o nível seguro para a conferência.

  4. O telefone exibe o nível de segurança da chamada de conferência. Uma conferência segura exibe o ícone de segurança O ícone de cadeado para uma chamada segura.

A chamada segura é permitida entre dois telefones. Em telefones protegidos, alguns recursos, como a chamada de conferência, as linhas compartilhadas e o Extension Mobility, não estão disponíveis quando a chamada segura é configurada.

A tabela a seguir fornece informações sobre alterações nos níveis de segurança da conferência, de acordo com o nível de segurança do telefone do iniciador, os níveis de segurança dos participantes e a disponibilidade dos recursos de conferência seguros.

Tabela 5. Restrições de segurança com chamadas de conferência

Nível de segurança do telefone do iniciador

Recurso usado

Nível de segurança dos participantes

Resultados da ação

Não seguro

Conferência

Seguro

Recurso de conferência não seguro

Conferência não segura

Seguro

Conferência

Pelo menos um membro não seguro.

Recurso de conferência seguro

Conferência não segura

Seguro

Conferência

Seguro

Recurso de conferência seguro

Conferência de nível criptografado seguro

Não seguro

Meet Me

Nível mínimo de segurança é criptografado.

O iniciador recebe a mensagem Does not meet Security Level, call rejected (Não atende ao Nível de segurança, chamada rejeitada).

Seguro

Meet Me

Nível mínimo de segurança é não seguro.

Recurso de conferência seguro

A conferência aceita todas as chamadas.

Identificação de chamada telefônica segura

Uma chamada segura é estabelecida quando seu telefone, assim como o telefone na outra ponta, é configurado para chamada segura. O outro telefone pode estar na mesma rede IP Cisco ou em uma rede fora da rede IP. As chamadas seguras podem ser feitas apenas entre dois telefones. As chamadas de conferência devem dar suporte à chamada segura após a configuração do recurso de conferência protegida.

Uma chamada segura é estabelecida usando este processo:

  1. Um usuário inicia a chamada de um telefone seguro (modo de segurança protegido).

  2. O telefone exibe o ícone de segurança O ícone de cadeado para uma chamada segura Na tela do telefone. Esse ícone indica que o telefone está configurado para chamadas seguras, mas isso não significa que o outro telefone conectado também está protegido.

  3. O usuário ouve um tom de segurança se a chamada se conectar a outro telefone protegido, indicando que ambas as extremidades da conversa estão criptografadas e protegidas. Se a chamada se conectar a um telefone não seguro, o usuário não ouvirá o tom de segurança.

A chamada segura é permitida entre dois telefones. Em telefones protegidos, alguns recursos, como a chamada de conferência, as linhas compartilhadas e o Extension Mobility, não estão disponíveis quando a chamada segura é configurada.

Somente os telefones protegidos tocam esses tons indicativos de telefones seguros ou não seguros. Os telefones não protegidos nunca tocam tons. Se o status geral da chamada mudar durante a chamada, o tom indicativo também mudará e o telefone protegido tocará o tom apropriado.

Um telefone protegido toca um tom ou não sob estas circunstâncias:

  • Quando a opção Play Secure Indication Tone (Tocar tom indicativo de seguro) estiver ativada:

    • Quando uma mídia segura de ponta a ponta for estabelecida e o status da chamada for seguro, o telefone tocará o tom indicativo seguro (três bipes longos com pausas).

    • Quando uma mídia não segura de ponta a ponta for estabelecida e o status da chamada for não seguro, o telefone tocará o tom indicativo não seguro (seis bipes curtos com pausas rápidas).

Se a opção Play Secure Indication Tone (Tocar tom indicativo de seguro) estiver desativada, nenhum tom será tocado.

Fornecer criptografia para intercalação

O Cisco Unified Communications Manager verifica o status de segurança do telefone quando são estabelecidas conferências e muda a indicação de segurança da conferência ou bloqueia a conclusão da chamada para manter a segurança e a integridade do sistema.

Um usuário não pode entrar em uma chamada criptografada se o telefone usado para isso não está configurado para criptografia. Quando a intercalação falha nesse caso, é reproduzido um tom de reordenação (sinal de ocupado) no telefone em que a intercalação foi iniciada.

Se o telefone do iniciador estiver configurado para criptografia, o iniciador da intercalação poderá entrar em uma chamada não segura do telefone criptografado. Depois que acontece a intercalação, o Cisco Unified Communications Manager classifica a chamada como não segura.

Se o telefone do iniciador estiver configurado para criptografia, o iniciador da intercalação poderá entrar em uma chamada criptografada e o telefone indicará que a chamada está criptografada.

WLAN segurança

Esta seção se aplica apenas a modelos de telefone com capacidade de Wi-Fi.

WLAN segurança

Como todos os dispositivos de WLAN que estão no intervalo podem receber todo o tráfego da WLAN, proteger a comunicação por voz é algo essencial nessas redes. Para garantir que os intrusos não manipulem nem interceptam o tráfego de voz, a arquitetura de Segurança SEGURA da Cisco suporta o telefone. Para obter mais informações sobre a segurança em redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

A solução de telefonia IP sem fio da Cisco fornece segurança de rede sem fio que impede entradas não autorizadas e comunicações comprometidas usando os seguintes métodos de autenticação que o telefone suporta:

  • Autenticação aberta: qualquer dispositivo sem fio pode solicitar autenticação em um sistema aberto. O AP que recebe a solicitação pode conceder autenticação para qualquer solicitante ou apenas para solicitantes encontrados em uma lista de usuários. A comunicação entre o dispositivo sem fio e o Ponto de Acesso (AP) não pôde ser criptografada.

  • Protocolo de Autenticação Extensível – Autenticação Flexível via Túneis Seguros (EAP-FAST) Autenticação: Esta arquitetura de segurança do servidor cliente criptografa EAP transações dentro de um túnel de Segurança de nível de transporte (TLS) entre o AP e o servidor RADIUS, como o Identity Services Engine (ISE).

    O túnel TLS usa credenciais de acesso protegido (PACs) para autenticação entre o cliente (telefone) e o servidor RADIUS. O servidor envia um ID de autoridade (AID) para o cliente (telefone), que por sua vez seleciona a PAC apropriada. O cliente (telefone) retorna uma PAC-Opaque para o servidor RADIUS. O servidor descriptografa a PAC com a chave primária. Agora s dois pontos de extremidade contêm a chave PAC, e um túnel TLS é criado. O EAP-FAST oferece suporte para provisionamento automático de PAC, mas você precisa ativá-lo no servidor RADIUS.

    No ISE, por padrão, o PAC expira em uma semana. Se a PAC do telefone tiver expirado, a autenticação no servidor RADIUS será mais demorada enquanto o telefone obtém uma nova PAC. Para evitar atrasos no provisionamento do PAC, defina o período de expiração do PAC como 90 dias ou mais no servidor ISE ou RADIUS.

  • Protocolo de autenticação ampliável - autenticação de segurança da camada de transporte (EAP-TLS): o EAP-TLS exige um certificado de cliente para autenticação e acesso à rede. Para EAP-TLS sem fio, o certificado do cliente pode ser MIC, LSC ou certificado instalado pelo usuário.

  • Protocolo de autenticação extensível protegido (PEAP): esquema de autenticação mútua baseada em senha e proprietário da Cisco entre o cliente (telefone) e um servidor RADIUS. O telefone pode usar PEAP para autenticação com a rede sem fio. Os métodos de autenticação PEAP MSCHAPV2 e PEAP-GTC têm suporte.

  • Chave pré-compartilhada (PSK):: o telefone é compatível com ASCII formato. Você deve usar este formato ao configurar uma WPA/WPA2/SAE Chave pré-compartilhada:

    ASCII: uma cadeia de caracteres ASCII com 8 a 63 caracteres (0-9, letras minúsculas e a-Z e caracteres especiais)

    Exemplo: GREG123567@9ZX>

Os seguintes esquemas de autenticação usam o servidor RADIUS para gerenciar chaves de autenticação:

  • WPA/WPA2/WPA3: usa informações do servidor RADIUS para gerar chaves exclusivas para autenticação. Como essas chaves são geradas no servidor RADIUS centralizado, o WPA2/WPA3 oferece que mais segurança do que as chaves pré-compartilhadas WPA que são armazenadas no AP e no telefone.

  • Roaming rápido e seguro: usa informações do servidor RADIUS e de um servidor de domínio sem fio (WDS) para gerenciar e autenticar as chaves. O WDS cria um cache de credenciais de segurança para dispositivos cliente ativados por FT para autenticação rápida e segura. Os Telefones de mesa Cisco 9861 e 9871 e Cisco Video Phone 8875 oferecem suporte a 802.11r (FT). Tanto no ar quanto sobre o DS são suportados para permitir roaming seguro rápido. Mas recomendamos muito o uso do método pelo ar 802.11r (FT).

Com o WPA/WPA2/WPA3, as teclas de criptografia não são inseridas no telefone, mas são automaticamente derivadas entre o AP e o telefone. Porém, o nome do usuário EAP e a senha que são usados para autenticação devem ser inseridos em cada telefone.

Para assegurar que o tráfego de voz seja seguro, o telefone suporta TKIP e AES para criptografia. Quando esses mecanismos são usados para criptografia, os pacotes de SIP de sinalização e os pacotes de voz em tempo real (RTP) são criptografados entre o AP e o telefone.

TKIP

WPA utiliza a criptografia TKIP que apresenta várias melhorias em relação à WEP. TKIP fornece vetores de inicialização (IVs) mais longos e criptografia de chave por pacote que reforçam a criptografia. Além disso, uma verificação de integridade das mensagens (MIC) garante que os pacotes criptografados não estejam sendo alterados. O TKIP remove a capacidade de previsão do WEP que ajuda os invasores a decifrar a chave WEP.

AES

Um método de criptografia usado para autenticação WPA2/WPA3. Esse padrão nacional de criptografia usa um algoritmo simétrico que tem a mesma chave para criptografia e descriptografia. O AES usa criptografia CBC de 128 bits, que suporta tamanhos de chave de pelo menos 128, 192 e 256 bits. O telefone é compatível com um tamanho de tecla de 256 bits.

O Telefone de mesa da Cisco 9861 e 9871 e o Telefone de vídeo Cisco 8875 não são compatíveis com o Cisco Key Integrity Protocol (CKIP) com o CMIC.

Esquemas de autenticação e criptografia são configuradas na LAN sem fio. As VLANs configuradas na rede e nos APs e especificam diferentes combinações de autenticação e criptografia. Um SSID é associado a uma VLAN e ao esquema de autenticação e criptografia específico. Para que os dispositivos de cliente sem fio se autenticem com êxito, você deve configurar os mesmos SSIDs com seus esquemas de autenticação e criptografia nos APs e no telefone.

Alguns esquemas de autenticação exigem tipos específicos de criptografia.

  • Quando você usa WPA chave pré-compartilhada, chave pré-compartilhada WPA2 ou SAE, a chave pré-compartilhada deve ser definida estáticamente no telefone. Essas chaves devem coincidir com as chaves que estão no AP.

  • O telefone suporta negociação de EAP automática para FAST ou PEAP, mas não para TLS. Para EAP-TLS modo, você deve especifique-o.

Os esquemas de autenticação e criptografia na tabela a seguir mostram as opções de configuração de rede para o telefone que correspondem à configuração AP.

Tabela 6. Esquemas de autenticação e criptografia
Tipo de FSRAutenticaçãoGerenciamento de teclaCriptografiaQuadro de Gerenciamento Protegido (PMF)
802.11r (FT)PSK

PSK WPA

WPA-PSK-SHA256

FT-PSK

AESNão
802.11r (FT)WPA3

SAE

FT-SAE

AESSim
802.11r (FT)EAP-TLS

WPA EAP

FT-EAP

AESNão
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESSim
802.11r (FT)EAP-FAST

WPA EAP

FT-EAP

AESNão
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESSim
802.11r (FT)EAP-PEAP

WPA EAP

FT-EAP

AESNão
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESSim

Configurar perfil de LAN sem fio

Você pode gerenciar seu perfil de rede sem fio configurando credenciais, banda de frequência, método de autenticação e assim por diante.

Antes de configurar o perfil de WLAN, considere estes pontos:

  • Nome de usuário e senha

    • Quando a sua rede usa EAP-FAST e PEAP para autenticação dos usuários, você tem que configurar o nome de usuário e a senha, se necessário no Remote Authentication Dial-In User Service (RADIUS) e no telefone.

    • As credenciais que você inseriu no perfil da LAN sem fio precisam ser idênticas às que você configurou no servidor RADIUS.

    • Se você usa domínios na rede, deve inserir o nome de usuário com o nome de domínio no formato: domínio\nomedeusuário.

  • As seguintes ações podem fazer com que a senha de Wi-Fi seja apagada:

    • Digitar um id de usuário ou uma senha inválidos
    • Instalar uma CA de raiz inválida ou vencida quando o tipo de EAP está definido como PEAP MSCHAPV2 ou PEAP-GTC
    • Desativar o tipo de EAP no servidor RADIUS antes de alternar um telefone para o novo tipo de EAP
  • Para alterar o tipo de EAP, ative o novo tipo no servidor RADIUS antes e, em seguida, alterne o telefone para o tipo desejado. Quando todos os telefones tiverem sido alterados para o novo tipo de EAP, você poderá desativar o tipo anterior se quiser.
1

Na Administração do Cisco Unified Communications Manager, selecione Dispositivo > Configurações do dispositivo > Perfil de LAN sem fio.

2

Escolha o perfil de rede que você deseja configurar.

3

Configure os parâmetros.

4

Clique em Save (Salvar).

Instalar manualmente um certificado de servidor de autenticação

Você pode instalar manualmente um certificado de servidor de autenticação no telefone se o protocolo SCEP (Simple Certificate Enrollment Protocol) não estiver disponível.

O certificado raiz de CA que emitiu o certificado de servidor RADIUS deve estar instalado para o EAP-TLS.

Antes de começar

Antes de instalar um certificado em um telefone, você deve ter um certificado de servidor de autenticação salvo no PC. O certificado deve ser codificado no PEM (Base 64) ou DER.

1

Na página da Web de administração do telefone, selecione Certificados.

2

Localize o campo CA do servidor de autenticação e clique em Instalar.

3

Navegue até o certificado em seu PC.

4

Clique em Carregar.

5

Reinicie o telefone depois que o upload terminar.

Se você estiver reinstalando mais de um certificado, somente o último instalado será usado.

Instalar manualmente um certificado de usuário

Você pode instalar manualmente um certificado de usuário no telefone se o protocolo SCEP (Simple Certificate Enrollment Protocol) não estiver disponível.

O Certificado instalado pelo fabricante (MIC) pré-instalado pode ser usado como o certificado do usuário para EAP-TLS.

Depois de instalar o certificado do usuário, adicione-o à lista de confiança do servidor RADIUS.

Antes de começar

Para poder instalar um certificado de usuário para um telefone, você precisa ter:

  • Um certificado de usuário salvo em seu PC. O certificado deve estar no formato PKCS #12.

  • A senha para extrair o certificado.

    Essa senha pode ter até 16 caracteres.

1

Na página da Web de administração do telefone, selecione Certificados.

2

Localize o campo Instalado pelo usuário e clique em Instalar.

3

Navegue até o certificado em seu PC.

4

No campo Extrair senha, insira a senha de extração do certificado.

5

Clique em Carregar.

6

Reinicie o telefone depois que o upload terminar.

Remover manualmente um certificado de segurança

Você pode remover manualmente um certificado de segurança de um telefone se o protocolo SCEP (Simple Certificate Enrollment Protocol) não estiver disponível.

1

Na página da Web de administração do telefone, selecione Certificados.

2

Localize o certificado na página Certificados.

3

Clique em Excluir.

4

Reinicie o telefone depois que o processo de exclusão for concluído.

Configurar os parâmetros SCEP

O protocolo SCEP (Simple Certificate Enrollment Protocol) é o padrão para fornecimento e renovação automática de certificados. O servidor SCEP pode automaticamente manter seus certificados de usuário e servidor.

Você deve configurar os seguintes parâmetros do SCEP na página da Web do telefone

  • Endereço IP do RA

  • Impressão digital SHA-1 ou SHA-256 do certificado raiz da CA para o servidor SCEP

A Autoridade de registro (RA) do Cisco IOS atua como um proxy para o servidor SCEP. O cliente SCEP no telefone usa os parâmetros que são baixados do Cisco Unified Communication Manager. Depois que você configura os parâmetros, o telefone envia uma solicitação SCEP getcs para o RA, e o certificado raiz da CA é validado usando a impressão digital definida.

Antes de começar

No servidor SCEP, configure o agente de registro (RA) SCEP para:

  • Agir como um ponto de confiança PKI
  • Agir como um RA PKI
  • Executar a autenticação de dispositivos usando um servidor RADIUS

Para obter mais informações, consulte a documentação do servidor SCEP.

1

Na Administração do Cisco Unified Communications Manager, selecione Dispositivo > Telefone.

2

Localize o telefone.

3

Role até a área Layout da configuração específica do produto.

4

Marque a caixa de seleção Servidor WLAN SCEP para ativar o parâmetro SCEP.

5

Marque a caixa de seleção Impr. digital CA de raiz WLAN (SHA256 ou SHA1) para ativar o parâmetro QED SCEP.

Configurar as versões suportadas de TLS

Você pode configurar a versão mínima de TLS exigidos para cliente e servidor, respectivamente.

Por padrão, a versão TLS mínima do servidor e do cliente é 1.2. A configuração tem impacto nas seguintes funções:

  • Conexão de acesso à Web HTTPS
  • Noboarding para o telefone no local
  • Noboarding para Mobile and Remote Access (MRA)
  • Serviços HTTPS, como, os serviços de diretório
  • DTLS (Datagram Transport Layer Security, segurança da camada de transporte de datagram)
  • Entidade de acesso à porta (PAE)
  • Segurança da camada de transporte de protocolo de autenticação extensível (EAP-TLS)

Para obter mais informações sobre a compatibilidade do TLS 1.3 para Cisco IP Phones, consulte TLS Matriz de compatibilidade 1.3 dos produtos Cisco Collaboration.

1

Inicie uma sessão na Administração do Cisco Unified Communications Manager como um administrador.

2

Navegue até uma das seguintes janelas:

  • Sistema > Configuração de telefone corporativo
  • Configurações do dispositivo> Device> Perfil de telefone daCommon
  • Configuração > Phone> Phone
3

Configurar o campo TLS Versão mín. cliente:

A opção "TLS 1.3" está disponível em Cisco Unified CM 15SU2 ou posterior.
  • TLS 1.1: O cliente TLS suporta as versões de TLS de 1.1 a 1.3.

    Se a versão do TLS no servidor for inferior a 1.1, por exemplo, 1.0, a conexão não poderá ser estabelecida.

  • TLS 1.2 (padrão): O cliente TLS suporta TLS 1.2 e 1.3.

    Se a versão do TLS no servidor for inferior a 1.2, por exemplo, 1.1 ou 1.0, a conexão não poderá ser estabelecida.

  • TLS 1.3: O cliente TLS suporta TLS somente 1.3.

    Se a versão do TLS no servidor for inferior a 1.3, por exemplo, 1.2, 1.1 ou 1.0, a conexão não poderá ser estabelecida.

4

Configurar o campo TLS Versão mín. do servidor:

  • TLS 1.1: O servidor TLS suporta as versões de TLS de 1.1 a 1.3.

    Se a versão da TLS no cliente for inferior a 1.1, por exemplo, 1.0, a conexão não poderá ser estabelecida.

  • TLS 1.2 (padrão): O servidor TLS suporta TLS 1.2 e 1.3.

    Se a versão do TLS no cliente for inferior a 1.2, por exemplo, 1.1 ou 1.0, a conexão não poderá ser estabelecida.

  • TLS 1.3: O servidor TLS suporta TLS somente 1.3.

    Se a versão do TLS no cliente for inferior a 1.3, por exemplo, 1.2, 1.1 ou 1.0, a conexão não poderá ser estabelecida.

A partir da versão de PhoneOS 3.2, a configuração do campo "Desativar TLS 1.0 e TLS 1.1 para acesso à Web" não afeta os telefones.
5

Clique em Save (Salvar).

6

Clique em Aplicar config.

7

Reinicie os telefones.

Serviços de garantia SIP

Os serviços de garantia SIP (AS-SIP) são um conjunto de recursos e protocolos que oferecem um fluxo de chamadas altamente seguras para Telefones IP Cisco e telefones de outros fabricantes. Os seguintes recursos são conhecidos coletivamente como AS-SIP:

  • Precedência em vários níveis e preempção (MLPP)
  • Ponto de código de serviços diferenciados (Differentiated Services Code Point - DSCP)
  • TLS (Transport Layer Security) e SRTP (Secure Real-time Transport Protocol)
  • Protocolo de Internet versão 6 (IPv6)

AS-SIP é frequentemente usado com Precedência e antecipação de vários níveis (MLPP) para priorizar chamadas durante uma emergência. Com a MLPP, você atribui um nível de prioridade para as chamadas de saída do nível 1 (baixa) ao 5 (alta). Quando você recebe uma chamada, um ícone de nível de precedência é exibido no telefone que mostra a prioridade da chamada.

Para configurar AS-SIP, conclua as seguintes tarefas no Cisco Unified Communications Manager:

  • Configure um usuário de Digest — Configure o usuário final para usar a autenticação digest em solicitações SIP.
  • Configurar porta segura de telefone SIP — O Cisco Unified Communications Manager usa essa porta para ouvir telefones SIP para registros de linha SIP em TLS.
  • Reiniciar serviços — Depois de configurar a porta segura, reinicie os serviços do Cisco Unified Communications Manager e Cisco CTL Provider. Configure o perfil SIP para AS-SIP - Configure um perfil SIP com configurações de SIP para seus dispositivos AS-SIP e seus troncos SIP. Os parâmetros específicos de telefone não são baixados para um telefone SIP-AS de terceiros. Eles são usados apenas pelo Cisco Unified Manager. Os telefones de terceiros têm que configurar localmente as mesmas configurações.
  • Configurar o perfil de segurança do telefone para AS-SIP — Você pode usar o perfil de segurança do telefone para atribuir configurações de segurança como TLS, SRTP e autenticação digest.
  • Configurar dispositivo AS-SIP — Configure um Telefone IP Cisco ou um dispositivo de terceiros com suporte AS-SIP.
  • Associar dispositivo ao usuário final — Associe o ponto final a um usuário.
  • Configurar o perfil de segurança do tronco de SIP para AS-SIP — Você pode usar o perfil de segurança do tronco de SIP para atribuir recursos de segurança como TLS ou autenticação digest para um tronco de SIP.
  • Configurar o tronco de SIP para AS-SIP — Configure um tronco de SIP com suporte AS-SIP.
  • Configurar recursos do AS-SIP — Configure recursos adicionais do AS-SIP como MLPP, TLS, V.150 e IPv6.

Para obter informações detalhadas sobre como configurar o AS-SIP, consulte o capítulo "Configurar pontos de saída AS-SIP" no Guia de configuração do recurso para Cisco Unified Communications Manager.

Precedência em vários níveis e preempção

A precedência e antecipação de vários níveis (MLPP) permite priorizar chamadas durante as emergências ou outras situações de crise. Você atribui uma prioridade às chamadas efetuadas que variam de 1 a 5. As chamadas recebidas exibem um ícone e a prioridade da chamada. Os usuários autenticados podem antecipar chamadas para estações de destino ou através de troncos TDM totalmente assinados.

Esse recurso garante aos funcionários de alto escalão a comunicação com organizações e pessoal críticos.

MLPP é frequentemente usado com Serviços seguros SIP (AS-SIP). Para obter informações detalhadas sobre como configurar MLPP, consulte o capítulo Configurar precedência e antecipação multinível no Guia de configuração de recursos para Cisco Unified Communications Manager.

Configurar FAC e CMC

Quando os códigos de autorização forçada (FAC) ou códigos de assunto de cliente (CMC), ou ambos são configurados no telefone, os usuários precisam inserir as senhas necessárias para discar um número.

Para obter mais informações sobre como configurar FAC e CMC no Cisco Unified Communications Manager, consulte o capítulo "Códigos de assunto de cliente e códigos de autorização forçada" no Guia de configuração do recurso para Cisco Unified Communications Manager, solte 12.5 (1) ou posterior.