Sécurité

Protection de la messagerie instantanée avec Forefront Security

Molly Gilmore

À une vue d'ensemble :

• Protection par messagerie INSTANTANÉE avec FSOCS
• Déploiement FSOCS dans un environnement OCS
• Flux des messages par messagerie INSTANTANÉE et le débit
• Gestion et protection de contenu de la messagerie INSTANTANÉE

Contenu

Optimale protection antivirus de messagerie INSTANTANÉE
Déploiement FSOCS dans un environnement OCS
Sécurisation des transferts de fichiers en fonction par messagerie INSTANTANÉE
Transfert de fichiers avec des utilisateurs externes
Horodatage de message
Flux de messages par messagerie INSTANTANÉE dans OCS
Gestion des messages analyse débit
Gestion et protection de contenu de la messagerie INSTANTANÉE
Exemples de configuration
Prendre absence

Forefront Security pour Office Communications Server (FSOCS) est un produit antiviru basées sur le serveur qui fait partie de la ligne de produit Forefront Server. FSOCS offre une protection efficace contre la messagerie instantanée, ciblé de logiciels malveillants dans des environnements OCS 2007 et OCS 2007 version 2.

FSOCS analyse toutes les activités de messagerie INSTANTANÉE, y compris la messagerie instantanée contenu ainsi en fonction par messagerie INSTANTANÉE transférer des fichiers, les virus et contenu interdit. Affinées contrôler où et comment cela est exposé à l'administrateur via les options de configuration de produit facile à utiliser. Notifications en temps réel de virus menace détections et violations de stratégies définir autour de contenu de la messagerie INSTANTANÉE peuvent être activées dans FSOCS pour les administrateurs peuvent surveiller l'activité sécurité dans le système. En outre, FSOCS rapports et les compteurs de performance sont disponibles pour les administrateurs à évaluer l'intégrité en cours et les performances des FSOCS et la sécurité de la messagerie instantanée circulant à travers l'infrastructure OCS.

Optimale protection antivirus de messagerie INSTANTANÉE

FSOCS intègre menant moteurs antivirus tiers pour garantir des réponses rapides et cohérentes aux nouvelles et évolutif menaces par messagerie INSTANTANÉE. Chaque instance de FSOCS pouvez avoir jusqu'à cinq moteurs antivirus activées ; la OCS Standard Edition, Access Edge, directeur et les serveurs frontaux sont tous les protégés par la solution multi-engine Forefront Server.

Les moteurs antivirus sont installés sur le serveur dans chaque installation de FSOCS, et FSOCS interagit avec chaque moteur de messagerie INSTANTANÉE antivirus. FSOCS est la logique pour évaluer les informations de détection que chaque moteur antiviru fournit et de choisir la séquence analyse probablement à aboutir à une détection au plus tôt, précise d'un virus. Les administrateurs décider si elles souhaitent analyse antivirus avec tous les cinq moteurs antivirus ou un sous-ensemble des moteurs disponibles. Les administrateurs est inutile configurer ou manipuler ces moteurs individuellement, comme cela est accompli en FSOCS.

FSOCS inclut des composants pour gérer la mise à jour continues de signatures d'antivirus, ainsi que les mises à jour binaire moteur, afin que la réponse en temps réel à l'évolution des menaces est atteint. Ces mise à jour de composants communiquer avec un système hébergé par Microsoft que constamment sondages partenaires antivirus télécharge des sites à récupérer, tester et package moteur et un mises à jour de signatures 24 heures sur 24, tous les jours de l'année. Les administrateurs FCOCS peuvent déterminer la fréquence à laquelle leur installation tenter d'extraire mises à jour de moteur, mais FCOCS gère le processus de la vérification des téléchargements et installation des mises à jour en toute transparence.

Dans les environnements où la Forefront Server pour Exchange ou de la Forefront Server pour les produits SharePoint sont installés, FSOCS peut être configuré pour récupérer les mises à jour d'un serveur redistribution précédemment configurées.

Déploiement FSOCS dans un environnement OCS

FSOCS peut être déployée dans des environnements OCS 2007 et OCS 2007 version 2, et il prend en charge les spécifications de serveur recommandées pour chaque version OCS. Déploiements OCS 2007 nécessitent Windows Server 2003 SP1 au minimum, et Windows Server 2003 R2 est recommandé. OCS 2007 et FSOCS s'exécuteront sur les versions 64 bits du système d'exploitation Windows Server 2003 lors de l'exécution en mode WOW64. Version 2 2007 OCS déploiements nécessiteront matériel 64 bits, ainsi que Windows Server 2008, Windows Server 2003 (SP2) ou Windows Server 2003 version 2 (SP2).

FSOCS doit être installé sur chaque instance de la OCS Standard Edition, frontal, Access Edge et rôles de serveur directeur dans les environnements OCS 2007 et OCS 2007 version 2. Dans les topologies Enterprise Edition, FSOCS doit être installé sur chaque serveur situé dans un frontal, directeur ou Access Edge Server liste. Le diagramme dans la figure 1 illustre FSOCS composants installés sur chaque rôle de serveur OCS pris en charge.

Figure 1 FSOCS composants déployés sur chaque pris en charge OCS le rôle de serveur

Le ForefrontRTCProxy s'intègre à 2007 OCS et OCS 2007 R2 via l'API Application Office Communications Server 2007 Server. Lorsque FSOCS enregistre avec OCS, il instancie un objet MSFT_SIPApplicationSetting (défini dans le .NET espace de noms Microsoft.RTC.sip) et définit l'attribut « critique » à la valeur true afin que OCS ne commencent pas sans l'exécution de service ForefrontRTCProxy.

Le ForefrontRTCProxy communique avec le FSCController pour instancier les processus FSOCScanner. Il est le FSOCScanner qui gère les appels de détection de virus les moteurs antivirus activées. Dans la FSOCS d'administration console sur le panneau Options SETTINGS…General, le nombre de traitements par messagerie INSTANTANÉE paramètre détermine combien d'instances de la FSOCScanner créés. Des instances supplémentaires augmenter le débit analyse, bien qu'aux dépens de l'utilisation des ressources système plus.

Chaque message de messagerie INSTANTANÉE est routé via le ForefrontRTCProxy et sur un FSOCScanner disponible, qui applique les règles filtrage tout d'abord, puis transfère le message sur les moteurs antivirus configurés pour rechercher des virus dans le message de messagerie INSTANTANÉE ou le fichier transféré par messagerie INSTANTANÉE.

Si une règle de filtrage est déclenchée ou un virus est détecté, l'agent de notification par messagerie INSTANTANÉE FSOCS avertit l'utilisateur de messagerie INSTANTANÉE qu'un message de messagerie INSTANTANÉE ou un fichier qu'ils essayé d'envoyer ou recevoir contenait un virus ou un mot-clé restreint ou un type de fichier. Notifications sont également envoyées à l'expéditeur et le destinataire via une session de messagerie INSTANTANÉE. Le contenu de message de notification est personnalisable.

L'agent de notification par messagerie INSTANTANÉE Forefront elle-même est un client de OCS afin qu'il puisse établir une session de messagerie INSTANTANÉE avec le destinataire de la notification par messagerie INSTANTANÉE. (Pour des raisons de sécurité, FSOCS Impossible d'insérer messages SIP dans la session de messagerie INSTANTANÉE que filtre afin qu'il crée son propre session avec l'utilisateur).

Sécurisation des transferts de fichiers en fonction par messagerie INSTANTANÉE

Par défaut, les transferts de fichiers en fonction par messagerie INSTANTANÉE se produisent comme une copie de fichier TCP/FTP peer-to-peer entre deux instances d'Office Communicator. La messagerie SIP utilisé pour négocier le transfert de fichier est routée entre l'envoi et réception communicateurs Office via OCS. la figure 2 illustre la séquence de SIP messagerie permet de paramétrer un transfert de fichiers.

La figure 2 par défaut OCS SIP messagerie utilisée pour négocier un transfert de fichiers via Office Communicator

Le destinataire utilise l'adresse de l'expéditeur IP pour lancer la connexion TCP qui permettra le transfert de fichiers FTP se produit.

Comme le montre la figure 3 , lorsque FSOCS est installé, la séquence est un peu différent. FSOCS filtre le SIP messagerie afin de rediriger le transfert de fichiers par le biais du serveur à stocker l'adresse IP de l'expéditeur d'origine et le remplacement à l'adresse IP FSOCS.

La figure 3 modification à SIP messagerie pour les transferts de fichiers une fois FSOCS est installé

FSOCS utilise l'adresse IP stockée pour se connecter à l'ordinateur de l'expéditeur, puis copier le fichier sur le serveur. FSOCS analyse le fichier et si le fichier est en mode minimal, permet au destinataire de transférer le fichier à partir du serveur sur le Bureau. Si le transfert de fichiers échoue as a result of une action de détection, configurées notifications seront envoyées à l'expéditeur, destinataire, et/ou administrateur. Aucune configuration supplémentaire OCS ou d'Office Communicator n'est nécessaire pour activer l'analyse des transferts de fichiers en fonction de IM pour les utilisateurs internes.

Transfert de fichiers avec des utilisateurs externes

Si la connexion nécessaire pour transférer des fichiers entre les utilisateurs internes et externes est établie avec succès, fichiers transférés par messagerie INSTANTANÉE va être protégés par FSOCS entre le bord d'Access. Au moins un rôle de serveur Edge de Access doit être disponible pour permettre la messagerie INSTANTANÉE avec des utilisateurs externes et chaque instance du rôle serveur Edge Access doit avoir FSOCS installé. Si l'administrateur souhaite faciliter les transferts de fichiers entre le bord, le pare-feu doit être configuré pour autoriser les connexions entrantes à l'application Forefront s'exécutant sur chaque serveur Edge de Access. Par défaut, il utilise les ports 6891 à 6900, mais la plage de ports peut également être configurée via deux clés de Registre : FileTransferStartPortRange et FileTransferMaxPorts

Horodatage de message

Dans une topologie Enterprise Edition, un message SIP peut être acheminé via plusieurs instances de OCS et FSOCS. La première instance de FSOCS qui détermine qu'un message est en mode minimal ajoute une marque de message au message SIP. Pour cela utilisant la propriété Message.Stamp de la classe de message dans l'espace de noms Microsoft.RTC.sip. La propriété Message.Stamp peut être mis à jour, stockée dans le message SIP et ensuite transmise avant l'ordre de routage du message SIP. FSOCS utilise cette propriété pour indiquer qu'un message SIP a déjà été analysé.

Flux de messages par messagerie INSTANTANÉE dans OCS

Au cœur de chaque OCS rôle de serveur est une implémentation d'un serveur SIP services proxy, de redirection et de Registre. Ces services permet au serveur OCS recevoir des messages SIP portant la messagerie INSTANTANÉE contenu, recherchez cible points de fin agent utilisateur tels que Office Communicator et de gamme ou transférer des messages SIP en conséquence. FSOCS sécurise IM tout en insérant lui-même dans le flux routage des messages SIP pour analyser et filtrer par messagerie INSTANTANÉE de virus ou tout autre contenu interdit afin qu'il peut bloquer compromis par messagerie INSTANTANÉE de transmis. En insérant elle-même directement dans le flux des messages SIP, FSOCS pouvez sécuriser Internet Mail avec un impact minimal sur les performances OCS.

la figure 4 illustre le le flux des messages SIP standard comme il est acheminé dans une topologie OCS Enterprise Edition avec FSOCS installé. Messagerie INSTANTANÉE a été activée pour un partenaire fédéré. Dans ce scénario, un utilisateur appartenant à l'organisation fédérée lance une messagerie INSTANTANÉE à un utilisateur interne. Voici la séquence d'événements :

1. 1.The point d'entrée par messagerie INSTANTANÉE est le serveur Edge de Access. L'instance de FSOCS sur le serveur Edge Access reçoit la messagerie INSTANTANÉE, Analyse des virus et les règles de filtrage et détermine qu'il est plus sûr. La messagerie INSTANTANÉE est marquée comme en mode minimal et est routée via pour le rôle serveur directeur son permet ordinateur au destinataire prévu du réseau interne.
2. 2.The rôle de serveur directeur a été déployé comme recommandé de décharger l'authentification utilisateur à partir des serveurs frontaux. Ce rôle serveur est généralement déployé sur le réseau interne afin qu'il peut accéder à l'instance Active Directory stocker des informations de configuration utilisateur OCS. La messagerie INSTANTANÉE est acheminée vers ce serveur dans le bord d'Access. En règle générale, le serveur de saut suivant en vis-à-vis en interne pour un bord Access est le rôle de serveur directeur. FSOCS vérifie si la messagerie INSTANTANÉE a déjà été marquée comme en mode minimal par une instance précédente de FSOCS et si par conséquent, elle évitera de traitement du message plus et permettra OCS acheminer vers l'avant.
3. 3.The messagerie INSTANTANÉE est routée côté vers le pool de serveur frontal. Le destinataire est hébergé à un des serveurs frontaux dans le pool. L'instance de FSOCS sur le serveur frontal qui reçoit la messagerie INSTANTANÉE également contournent la messagerie INSTANTANÉE comme il a déjà été marqué comme en mode minimal. Le serveur frontal localise le destinataire et envoie la messagerie INSTANTANÉE vers l'avant.

La figure 4 SIP flux des messages dans une topologie OCS Enterprise Edition

Partie de cette activité est transparent pour l'utilisateur final.

Gestion des messages analyse débit

Lorsqu'il est déployé dans un environnement OCS Enterprise Edition, FSOCS fournit un mécanisme pour gérer l'activité de messagerie INSTANTANÉE épais de façon inattendue. Dans ces rares cas, la profondeur de la file d'attente de stocker les messages de messagerie INSTANTANÉE pour être analysés par FSOCS sur un serveur peut augmenter au point qu'un message de messagerie INSTANTANÉE à la fin de la file d'attente n'est pas analysé dans un délai acceptable.

Il existe des actions par défaut que FSOCS prendra si cela se produit, ainsi que les options de configuration disponibles pour l'administrateur de gérer les actions de FSOCS. FSOCS étant sensible à la longueur de la file d'attente par messagerie INSTANTANÉE en attente d'être analysé, un seuil par défaut de profondeur de file d'attente de messagerie INSTANTANÉE maximale a été établie pour indiquer quand une file d'attente a augmenté trop grande. L'action que FSOCS prend de réponse à un événement de seuil dépassé longueur de file d'attente varie selon le rôle de serveur où FSOCS est déployé. Voici les actions par défaut effectuées sur le rôle de serveur indiqué.

Accès Edge Gammes FSOCS la messagerie INSTANTANÉE avant unscanned à l'occurrence suivante de FSOCS, sans appliquer un tampon de message.

directeur FSOCS gammes la messagerie INSTANTANÉE unscanned avant et unstamped pour le rôle serveur frontal. Le destinataire reçoit pas la messagerie INSTANTANÉE, sauf si elle a transmis une instance du rôle de serveur frontal.

frontaux FSOCS analyse la messagerie INSTANTANÉE. Dans l'événement peu probable que la file d'attente de messagerie INSTANTANÉE dépasse le seuil de ce rôle de serveur, FSOCS va prendre des mesures supplémentaires pour résoudre le problème mais au final est déposer le message plutôt que de laisser à unscanned.

Notez que les valeurs de seuil peuvent être définis de chaque rôle de serveur via la clé de Registre MessageOverloadWatermark. La valeur est stockée comme une valeur DWORD par défaut suivantes: 1 000 pour Access Edge, 3 000 pour directeur et 10 000 pour les rôles serveur frontal.

Horodatage du message peut également être désactivé en définissant la clé de Registre DisableMessageStamp. Ce est stockée en tant que valeur DWORD ; la valeur par défaut est égale à 0 mais peut être définie à 1 pour désactiver l'horodatage du message.

Gestion et protection de contenu de la messagerie INSTANTANÉE

FSOCS offre une couche supplémentaire de contrôler le flux d'informations via messagerie INSTANTANÉE les deux en interne (entre employés au sein du réseau interne) et sur le périmètre réseau pour les utilisateurs externes. Dans FSOCS, ces contrôles sont placés en vigueur via trois types de différents filtres.

filtres de fichier peut être configurés pour empêcher certains fichiers d'être envoyé entre utilisateurs de messagerie INSTANTANÉE. Les administrateurs peuvent identifier les fichiers qu'ils veulent restreint par spécifiant les noms de fichiers, extensions de fichier, taille des fichiers ou types de fichiers (détection de cette propriété a la valeur true type de fichier est incluse). Par exemple, FSOCS peut être configuré pour bloquer tous les fichiers exécutables de transféré via la messagerie INSTANTANÉE, même si l'extension de fichier a changé de .exe en .txt.

Administrateurs peuvent contrôler davantage les transferts de fichiers en fonction par messagerie INSTANTANÉE en identifiant où une règle de filtre de fichier est placée en vigueur. Règles de filtrage fichier peuvent être appliquées à tous les fichiers transférés par messagerie INSTANTANÉE ou spécifiquement pour les fichiers envoyés entre utilisateurs internes, des fichiers en-tête sortant provenant d'utilisateurs internes vers les utilisateurs externes ou des fichiers provenant entrant d'un utilisateur externe sur le périmètre réseau à un utilisateur interne. Par exemple, FSOCS peut être configuré pour autoriser tous les types de fichier pour être transférées via messagerie INSTANTANÉE entre les utilisateurs internes mais pour bloquer tous les fichiers exécutables, provenant des utilisateurs externes aux utilisateurs internes.

filtres de mot clé peut être configuré pour bloc messagerie INSTANTANÉE message contenu ou les fichiers transférés basé sur du texte d'être envoyé lorsque qu'ils contiennent des mots restreints ou des expressions. Mots clés ou des expressions peuvent être définies dans n'importe quelle langue. En outre, FSOCS est fourni avec une liste de blasphèmes installable qui les administrateurs peuvent également utiliser pour bloquer le langage offensant de messagerie INSTANTANÉE. Filtres de mot clé peuvent également être associé avec le sens de la messagerie INSTANTANÉE ou le fichier transféré ; interne, entrant ou sortant.

filtres de contenu permettent à l'administrateur de bloquer messagerie INSTANTANÉE ou fichiers transférés par messagerie INSTANTANÉE basés sur le domaine ou l'URI SIP de l'expéditeur de la messagerie INSTANTANÉE ou un destinataire. À l'aide d'un caractère générique, messagerie INSTANTANÉE et les fichiers transférés peuvent être bloquées pour tous les utilisateurs d'un domaine spécifié.

Par exemple, par configuration « *. unknown.com » dans un filtre de contenu, tout messagerie INSTANTANÉE ou d'utilisateurs associés au domaine unknown.com sera bloqué. Messagerie INSTANTANÉE peut également être bloquée au niveau de l'utilisateur en configurant URI SIP un utilisateur individuel.

Certains concepts sont pertinentes pour tous les filtres dans FSOCS :

détecter les actions déterminent le traitement FSOCS devra effectuer pour les messages de messagerie INSTANTANÉE ou fichier de transfert qui correspond configuré critères de filtre. Par exemple, un filtre de mot clé dans FSOCS peut être configuré avec une action de détection du bloc de sorte que d'un message de messagerie INSTANTANÉE contenant un mot-clé restreint ne pourra d'atteindre n'importe quel utilisateur.

les notifications sont les alertes facultatifs générées par FSOCS lorsqu'une action de détection se produit. Alertes peuvent être configurées par le filtre et peuvent toujours être envoyés à l'administrateur. Selon le type de filtre, l'expéditeur de messagerie INSTANTANÉE, le destinataire ou les deux peut être alerté sur une action de détection. Par exemple, si un expéditeur tente de messagerie INSTANTANÉE un mot restreint ou une phrase, FSOCS peut être configuré pour envoyer une alerte à l'administrateur et à l'expéditeur qui indique que la messagerie INSTANTANÉE a été bloquée en raison du mot-clé restreint.

Notifications sont toujours envoyées à l'administrateur par courrier électronique ; expéditeurs et destinataires recevez la notification via une conversation de messagerie INSTANTANÉE initiée par FSOCS.

mise en quarantaine est le référentiel de messages de messagerie INSTANTANÉE et transférer des fichiers qui sont bloqués as a result of une action de détection. Les administrateurs ont la possibilité pour évaluer les éléments en quarantaine et renvoyer les par courrier électronique pour le destinataire d'origine et d'autres utilisateurs si leur jugez le contenu ou le fichier approprié.

Exemples de configuration

Maintenant Prenons comment un administrateur peut garantir qu'informations sensibles ou confidentielles ouvertement décrite par certains employés ne pas obtenir envoyées à toute personne en dehors de la société par messagerie INSTANTANÉE. Ceci est important que OCS a été configuré pour autoriser les organisations fédérées et plusieurs réseaux de messagerie INSTANTANÉE publics messagerie INSTANTANÉE.

Un moyen d'atteindre cet objectif consiste à configurer chaque instance de FSOCS est déployé sur le rôle serveur Edge Access OCS avec un filtre de mot clé qui bloque tout un message de messagerie INSTANTANÉE ou un fichier transféré basé sur du texte est contenant les mots restreints ou les phrases d'être envoyé à un utilisateur interne à un utilisateur externe. Comme indiqué précédemment, tous les messages Internet Mail envoyés à un utilisateur interne à un utilisateur externe sont acheminés via le rôle de serveur Edge de Access avant d'atteindre l'utilisateur externe, donc FSOCS bloquera ces informations au niveau du périmètre réseau.

En revanche, si l'administrateur souhaite bloquer offensant informations provenant dans le réseau interne les utilisateurs externes qui peuvent être transmis via un message de messagerie INSTANTANÉE ou transférer des fichiers, les filtres de mot clé doivent être configurés sur les instances de FSOCS installé dans le réseau interne sur le OCS Standard Edition ou rôles de serveur frontal.

Les administrateurs prendre le contrôle encore plus via autorisé utilisateur listes, qui fournissent l'option de configuration FSOCS pour exclure un ensemble d'utilisateurs d'avoir leur IM évalué par rapport à filtres configurés. Administrateur pouvez associer une liste d'utilisateurs autorisés au type de filtre qu'ils souhaitent contourner. Par exemple, un administrateur peut configurer FSOCS pour bloquer tout messagerie INSTANTANÉE d'un domaine Internet Mail public utilisant un filtre de contenu, puis identifier un sous-ensemble d'utilisateurs (via une liste d'utilisateurs autorisés) de ce domaine public de messagerie INSTANTANÉE qui sont autorisés à envoyer et recevoir messagerie INSTANTANÉE d'employés internes.

Prendre absence

Comme messagerie INSTANTANÉE devient jamais plus populaire, il est plus en plus important que les administrateurs possèdent un moyen de conserver sécurisé. Nous espérons que les informations récapitulatives présentées sur quel Forefront Security pour OCS ne, et les détails supplémentaires autour de configuration et les performances, donner une vue d'ensemble en comment FSOCS peut fournir confiance aux administrateurs que la messagerie INSTANTANÉE dans leur organisation est sécurisée et dans stratégie.

Molly Gilmore est un chef de programme travaillant sur l'équipe Forefront Security rapide réponse Engineering situé sur Île de la valeur de type Long, New York. En outre à travailler sur la première version de Forefront Security pour Office Communications Server, elle aussi fonctionne directement avec les fournisseurs de logiciels qui mettent les moteurs antivirus et antispam distribués avec la gamme de produits Forefront Server Security. Molly contient un masque de techniques dans Gestion des techniques et un certificat graduate dans quantitatifs Software Engineering de Stevens Institute of Technology. Elle lancement en tant que développeur de logiciels en 1991 et travaillé dans différents rôles et des technologies avant de rejoindre Microsoft en 2006.