Sugerir tradução
Outras sugestões:

progress indicator
Sem sugestões.
TechNet Magazine > Home > Todas as edições > 2009 > TechNet Magazine Maio 2009 >  Proteger mensagens INSTANTÂNEAS em seu ambiente...
Exibir Conteúdo: Lado a LadoExibir Conteúdo: Lado a Lado
Este é um conteúdo traduzido por máquina que os membros da comunidade podem editar. Incentivamos você a melhorar a tradução clicando no link Editar associado a qualquer sentença abaixo.
Protect Instant Messaging with Forefront Security
Molly Gilmore
At a Glance:
  • Protecting IM with FSOCS
  • Deploying FSOCS in an OCS environment
  • IM message flow and throughput
  • Managing and protecting IM content

Forefront Security for Office Communications Server (FSOCS) is a server-based antivirus product that is part of the Forefront Server product line. FSOCS provides effective protection against instant messaging—targeted malware within OCS 2007 and OCS 2007 R2 environments.
FSOCS scans all IM activity—including instant messaging content as well as IM-based transferred files—for viruses and prohibited content. Fine-grained control over where and how this is accomplished is exposed to the administrator through easy to use product configuration options. Real-time notifications of virus threat detections and breaches of policies set around IM content can be enabled within FSOCS so administrators can monitor the security activity within the system. In addition, FSOCS reports and performance counters are available for administrators to evaluate the ongoing health and performance of FSOCS and the security of the Instant Messaging flowing through the OCS infrastructure .

Optimal Antivirus Protection of IM
FSOCS integrates with leading third-party antivirus engines to ensure rapid and consistent responses to new and evolving IM-borne threats. Each instance of FSOCS can have up to five antivirus engines enabled; the OCS Standard Edition, Access Edge, Director, and Front-End servers are all protected by the Forefront Server multi-engine solution.
The antivirus engines are installed on the server with each install of FSOCS, and FSOCS interacts with each engine for IM virus scanning. FSOCS has the logic to evaluate the detection information each antivirus engine provides and to choose the scanning sequence most likely to result in an early, accurate detection of a virus. Administrators decide if they want to virus scan with all five antivirus engines or a subset of the available engines. Administrators do not have to configure or interact with these engines individually, as this is accomplished by FSOCS.
FSOCS includes components to manage the continual updating of antivirus signatures, as well as engine binary updates, so that real-time response to evolving threats is achieved. These update components communicate with a Microsoft-hosted system that constantly polls antivirus partner downloads sites to retrieve, test, and package engine and signature updates 24 hours a day, every day of the year. FCOCS administrators can determine how frequently their installations attempt to retrieve engine updates, but FCOCS handles the process of checking for downloads and installing the updates seamlessly.
In environments where the Forefront Server for Exchange or Forefront Server for SharePoint products are installed, FSOCS can be configured to retrieve updates from a previously configured redistribution server.

Deploying FSOCS in an OCS Environment
FSOCS can be deployed in both OCS 2007 and OCS 2007 R2 environments, and it supports the server specifications recommended for each OCS version. OCS 2007 deployments require Windows Server 2003 SP1 at the minimum, and Windows Server 2003 R2 is recommended. OCS 2007 and FSOCS will run on 64-bit versions of the Windows Server 2003 operating system when running in WOW64 mode. OCS 2007 R2 deployments require 64-bit hardware, as well as Windows Server 2008, Windows Server 2003 (SP2), or Windows Server 2003 R2 (SP2).
FSOCS should be installed on each instance of the OCS Standard Edition, Front-End, Access Edge, and Director server roles in both OCS 2007 and OCS 2007 R2 environments. In Enterprise Edition topologies, FSOCS should be installed on every server located within a Front-End, Director, or Access Edge Server Pool. The diagram in Figure 1 shows FSOCS components installed on each supported OCS server role.
Figure 1 FSOCS Components deployed on each supported OCS server role
The ForefrontRTCProxy integrates with OCS 2007 and OCS 2007 R2 through the Office Communications Server 2007 Server Application API. When FSOCS registers with OCS, it instantiates an MSFT_SIPApplicationSetting object (defined in the .Net Microsoft.RTC.Sip namespace) and sets the "Critical" attribute to true so that OCS will not start up without the ForefrontRTCProxy service running.
The ForefrontRTCProxy communicates with the FSCController to instantiate the FSOCScanner processes. It is the FSOCScanner that manages the virus-scanning calls to the enabled antivirus engines. In the FSOCS Administrative Console on the SETTINGS…General Options panel, the IM Process Count setting determines how many instances of the FSOCScanner get created. Additional instances increase scanning throughput, though at the cost of using more system resources.
Each IM message is routed through the ForefrontRTCProxy and onto an available FSOCScanner, which applies filtering rules first, then passes the message onto the configured antivirus engines to look for any viruses within the IM message or IM-transferred file.
If a filter rule is triggered or a virus detected, the FSOCS IM Notification Agent alerts the IM user that an IM message or file they attempted to send or receive contained a virus or restricted keyword or file type. Notifications are optionally sent to the sender and recipient via an IM session. The notification message content is customizable.
The Forefront IM Notification Agent is itself a client of OCS so that it can establish an IM session with the recipient of the IM notification. (For security reasons, FSOCS cannot insert SIP messages into the IM session it is filtering so it creates its own session with the user).

Securing IM-based File Transfers
By default, IM-based file transfers occur as a peer-to-peer TCP/FTP file copy between two instances of Office Communicator. The SIP messaging used to negotiate the file transfer is routed between the sending and receiving Office Communicators through OCS. Figure 2 shows the sequence of SIP messaging used to set up a file transfer.
Figure 2 Default OCS SIP messaging used to negotiate a file transfer through Office Communicator
The recipient uses the sender's IP address to initiate the TCP connection that will allow the FTP file transfer to occur.
As Figure 3 shows, when FSOCS is installed, the sequence is a bit different. FSOCS filters the SIP messaging in order to redirect the file transfer through the server by storing the original sender IP address and replacing it with the FSOCS IP address.
Figure 3 Modifications to SIP messaging for file transfers once FSOCS is installed
FSOCS uses the stored IP address to connect to the sender's computer and then copies the file to the server. FSOCS scans the file and if the file is clean, allows the recipient to transfer the file from the server to the desktop. If the file transfer fails as a result of a detect action, configured notifications will be sent to the sender, recipient, and/or administrator. No additional configuration to OCS or Office Communicator is needed to enable scanning of IM-based file transfers for internal users.

File Transfers with External Users
If the connection necessary to transfer files between internal and external users is successfully made, IM-transferred files will be protected by FSOCS across the Access Edge. At least one Access Edge server role needs to be available to allow IM with external users and each instance of the Access Edge server role needs to have FSOCS installed. If the administrator wants to facilitate file transfers across the Edge, the firewall should be configured to allow inbound connections to the Forefront application running on each Access Edge server. By default, this uses ports 6891-6900, but the port range can also be configured via two Registry keys: FileTransferStartPortRange and FileTransferMaxPorts

Message Stamping
In an Enterprise Edition topology, a SIP message could be routed across multiple instances of OCS and FSOCS. The first instance of FSOCS that determines a message is clean will add a message stamp to the SIP Message. It does this using the Message.Stamp property of the Message class in the Microsoft.RTC.Sip namespace. The Message.Stamp property can be updated, stored in the SIP message and subsequently passed forward through the SIP message routing sequence. FSOCS uses this property to indicate that a SIP message has already been scanned.

IM Message Flow within OCS
At the core of each OCS server role is an implementation of a SIP Server with Proxy, Redirect, and Registrar services. These services allow the OCS server to receive SIP messages bearing IM content, locate target User Agent End Points such as Office Communicator, and route or forward SIP messages accordingly. FSOCS secures all IM by inserting itself into the SIP message routing flow to scan and filter IM for viruses or other prohibited content so it can block compromised IM from being transmitted. By inserting itself right into the SIP message flow, FSOCS can secure IM with minimal impact on OCS performance.
Figure 4 shows the typical SIP message flow as it is routed across an OCS Enterprise Edition topology with FSOCS installed. IM has been enabled for a federated partner. In this scenario, a user belonging to the federated organization initiates an IM to an internal user. Here is the sequence of events:
  1. 1.The IM entry point is the Access Edge server. The instance of FSOCS on the Access Edge server receives the IM, scans it for viruses and filtering rules and determines it is safe. The IM is stamped as clean and is routed through to the Director server role on its way to the intended recipient's computer on the internal network.
  2. 2.The Director server role has been deployed as recommended to offload user authentication from the front-end servers. This server role is typically deployed on the internal network so that it can access the Active Directory instance storing OCS user configuration information. The IM is routed to this server from the Access Edge. Typically, the internally facing next hop server for an Access Edge is the Director server role. FSOCS checks to see if the IM has already been stamped as clean by an earlier instance of FSOCS and if so, it will avoid processing the message further and will let OCS route it forward.
  3. 3.The IM is routed next to the Front-End server pool. The intended recipient will be homed to one of the Front-End servers in the pool. The instance of FSOCS on the Front-End server that receives the IM will also bypass the IM as it has already been stamped as clean. The Front-End server locates the recipient and routes the IM forward.
Figure 4 SIP message flow in an OCS Enterprise Edition topology
All of this activity is transparent to the end user.

Managing Message Scan Throughput
When deployed within an OCS Enterprise Edition environment, FSOCS provides a mechanism to handle unexpectedly heavy IM activity. In these rare situations, the depth of the queue storing the IM messages to be scanned by FSOCS on a server can increase to the point that an IM message at the end of the queue will not be scanned within an acceptable amount of time.
There are default actions FSOCS will take if this occurs, as well as configuration options available to the administrator for managing the actions FSOCS will take. Since FSOCS is sensitive to the length of the IM message queue waiting to be scanned, a default threshold for maximum IM queue depth has been established to indicate when a queue has grown too large. The action FSOCS takes in response to a queue length threshold exceeded event depends on the server role where FSOCS is deployed. Here are the default actions taken on the indicated server role.
Access Edge FSOCS routes the IM forward unscanned to the next instance of FSOCS, without applying any message stamp.
Director FSOCS routes the IM forward unscanned and unstamped to the Front-End server role. The recipient will not receive the IM unless it has passed through an instance of the Front-End server role.
Front-End FSOCS scans the IM. In the unlikely event that the IM queue exceeds the threshold on this server role, FSOCS will take additional measures to resolve the situation but in the end will drop the message rather than letting it through unscanned.
Note that threshold values can be set on each server role through the MessageOverloadWatermark registry key. The value is stored as a DWORD with the following defaults: 1,000 for Access Edge, 3, 000 for Director, and 10,000 for Front-End server roles.
Message stamping can also be turned off by setting the DisableMessageStamp registry key. This is stored as a DWORD value; the default is 0 but can be set to 1 to disable message stamping.

Managing and Protecting IM Content
FSOCS provides an additional layer of control over the flow of information via IM both internally (between employees within the internal network) and across the network perimeter to external users. Within FSOCS, these controls are put into effect via three different filter types.
File Filters can be configured to prevent certain files from being sent between IM users. Administrators can identify the files they want restricted by specifying file names, file extensions, file sizes, or file types (true file-type detection is included). For example, FSOCS can be configured to block all executable files from being transferred via IM, even if the file extension has been changed from .exe to .txt.
Administrators can further control IM-based file transfers by identifying where a file filter rule is put into effect. File filter rules can be applied to all IM-transferred files or specifically to files sent between internal users, files heading outbound from internal users to external users, or files coming inbound from an external user across the network perimeter to an internal user. For example, FSOCS can be configured to allow all file types to be transferred via IM between internal users but to block all executable files coming from external users to internal users.
Keyword filters can be configured to block IM message content or text-based transferred files from being sent when they contain restricted words or phrases. Keywords or phrases can be defined in any language. In addition, FSOCS comes with an installable profanity list that administrators can optionally use to block offensive language within IM. Keyword filters can also be associated with the direction of the IM or transferred file; internal, inbound, or outbound.
Content filters allow the administrator to block IM or IM-transferred files based on the domain or SIP URI of the IM sender or recipient. By using a wildcard character, IM and transferred files can be blocked for all users of a specified domain.
For example, by configuring "*" within a content filter, all IM from or to users associated with the domain will be blocked. IM can also be blocked at the user level by configuring an individual user's SIP URI.
Certain concepts are relevant to all filters within FSOCS:
Detect Actions determine the processing FSOCS will perform on any IM message or transferred file that matches configured filter criteria. For example, a keyword filter in FSOCS can be configured with a detect action of block so that an IM message that contains a restricted keyword will be prevented from reaching any user.
Notifications are the optional alerts generated by FSOCS when a detect action takes place. Alerts can be configured per filter and can always be sent to the administrator. Depending upon the filter type, the IM sender, the recipient, or both can be alerted about a detect action. For example, if a sender attempts to IM a restricted word or phrase, FSOCS can be configured to send an alert to the administrator and to the sender indicating that the IM was blocked due to the restricted keyword.
Notifications are always sent to the administrator via e-mail; senders and recipients receive the notification through an IM conversation initiated by FSOCS.
Quarantine is the repository for IM messages and transferred files that are blocked as a result of a detect action. Administrators have the opportunity to evaluate the quarantined items and resend them through e-mail to the original recipient and others if they deem the content or file to be appropriate.

Configuration Examples
Now let's consider how an administrator can ensure that sensitive or private information that is openly discussed by some employees does not get sent to anyone outside of the company through IM. This is important as OCS has been configured to allow IM with federated organizations and several public IM networks.
One way to accomplish this goal is to configure each instance of FSOCS that is deployed on the OCS Access Edge server role with a keyword filter that blocks any IM message or text-based transferred file containing the restricted words or phrases from being sent from an internal user to an external user. As noted earlier, all IM messages sent from an internal user to an external user are routed across the Access Edge server role before reaching the external user, so FSOCS will block this information at the network perimeter.
On the other hand, if the administrator wants to block offensive information from coming into the internal network from external users that could be transmitted through an IM message or transferred file, the keyword filters should be configured on the instances of FSOCS installed in the internal network on either the OCS Standard Edition or Front-End server roles.
Administrators gain even more control via Allowed User Lists, which provide the option of configuring FSOCS to exclude a set of users from having their IM evaluated against configured filters. Administrator can associate an Allowed User List with the type of filter they wish to bypass. For example, an administrator can configure FSOCS to block all IM from a public IM domain using a content filter, then identify a subset of users (through an Allowed User List) of that public IM domain that are allowed to send and receive IM from internal employees.

Take Away
As IM becomes ever more popular, it is increasingly important that administrators have a way to keep it secure. We hope the summary information presented on what Forefront Security for OCS does, and the additional details around configuration and performance, give insight into how FSOCS can provide confidence to administrators that IM in their organization is secure and within policy.

Molly Gilmore is a program manager working on the Forefront Security Rapid Response Engineering team located on Long Island, New York. In addition to working on the first release of Forefront Security for Office Communications Server, she also works directly with the software vendors who develop the antivirus and antispam engines distributed with the Forefront Server Security product line. Molly holds a Master of Engineering in Engineering Management and a graduate certificate in Quantitative Software Engineering from Stevens Institute of Technology. She started as a software developer in 1991 and worked in different roles and technologies before joining Microsoft in 2006.

Proteger o sistema de mensagens instantâneas com o Forefront Security
Molly Gilmore
Visão geral:
  • Protegendo mensagens INSTANTÂNEAS com FSOCS
  • Implantar FSOCS em um ambiente de OCS
  • Fluxo de mensagem de mensagens INSTANTÂNEAS e taxa de transferência
  • Gerenciar e proteger o conteúdo de mensagens INSTANTÂNEAS

O Forefront Security para o Office Communications Server (FSOCS) é um produto de antivírus com base no servidor que faz parte da linha de produtos Forefront Server. FSOCS oferece proteção eficaz contra mensagens instantâneas, alvo do malware em ambientes de OCS 2007 e OCS 2007 R2.
FSOCS examina toda a atividade de mensagens INSTANTÂNEAS — incluindo mensagens instantâneas conteúdo bem como com IM transferidos arquivos — por vírus e conteúdo proibido. Controle refinado sobre onde e como isso é feito é exposto para o administrador pelas opções de configuração de produto fáceis de usar. Em tempo real notificações de vírus ameaça detecções e violações de diretivas definir ao redor do conteúdo de mensagens INSTANTÂNEAS podem ser habilitadas em FSOCS para os administradores poderão monitorar a atividade de segurança no sistema. Além disso, relatórios FSOCS e contadores de desempenho estão disponíveis para os administradores avaliar a integridade em andamento e o desempenho da FSOCS e a segurança de Instant Messaging fluir através da infra-estrutura OCS.

Melhor proteção antivírus de mensagens INSTANTÂNEAS
FSOCS integra à esquerda de mecanismos de antivírus de terceiros para garantir que as respostas rápidas e consistentes novas e crescentes ameaças gerados por IM. Cada instância de FSOCS pode ter até cinco mecanismos antivírus ativados; o OCS Standard Edition, perímetro de acesso, Director e servidores front-end são todos protegidos pela solução multi-engine Forefront Server.
Os mecanismos de antivírus estão instalados no servidor com cada instalação do FSOCS, e FSOCS interage com cada mecanismo de verificação de vírus de mensagens INSTANTÂNEAS. FSOCS tem a lógica para avaliar as informações de detecção que fornece cada mecanismo antivírus e escolha a seqüência de verificação mais provavelmente resultará em uma detecção inicial, precisa de um vírus. Os administradores decidir se eles desejam verificação de vírus com todos os cinco mecanismos antivírus ou um subconjunto dos mecanismos disponíveis. Os administradores não é necessário que configurar ou interagir com esses mecanismos individualmente, como isso é feito por FSOCS.
FSOCS inclui componentes para gerenciar a atualização contínua de assinaturas de antivírus, bem como atualizações de mecanismo binário, para que a resposta em tempo real a evolução de ameaças é obtida. Esses componentes apresentar com um sistema hospedado pela Microsoft que constantemente pesquisa parceiros antivírus downloads de sites para recuperar, testar e mecanismo de pacote de atualização e atualizações de assinatura 24 horas por dia, cada dia do ano. FCOCS administradores podem determinar com qual freqüência suas instalações tentar recuperar atualizações de mecanismo, mas FCOCS manipula o processo de verificação para downloads e instalar as atualizações diretamente.
Em ambientes em que o Server de Forefront for Exchange ou Server de Forefront para produtos do SharePoint estão instalados, FSOCS pode ser configurado para recuperar as atualizações de um servidor de redistribuição previamente configurados.

Implantando FSOCS em um ambiente de OCS
FSOCS podem ser implantados nos ambientes OCS 2007 e OCS 2007 R2, e ele oferece suporte as especificações do servidor recomendadas para cada versão de OCS. Implantações de OCS 2007 requerem o Windows Server 2003 SP1 no mínimo, e Windows Server 2003 R2 é recomendado. OCS 2007 e FSOCS serão executados em versões de 64 bits do sistema operacional Windows Server 2003 quando executado no modo de WOW64. Implantações de OCS 2007 R2 exigem hardware de 64 bits, bem como o Windows Server 2008, Windows Server 2003 (SP2), ou o Windows Server 2003 R2 (SP2).
FSOCS devem ser instalados em cada instância de OCS Standard Edition, front-end, perímetro de acesso e Diretor de funções de servidor nos ambientes OCS 2007 e OCS 2007 R2. Em topologias de Enterprise Edition, FSOCS devem ser instalados em cada servidor localizado em um front-end, diretor ou pool de servidor de borda de acesso. O diagrama na Figura 1 mostra os componentes FSOCS instalados em cada função de servidor OCS com suporte.
Figura 1 FSOCS componentes implantados em cada suporte para a função de servidor OCS
O ForefrontRTCProxy integra OCS 2007 e OCS 2007 R2 pela API de aplicativo do Office Communications Server 2007 Server. Quando FSOCS registra com OCS, ele instancia um objeto MSFT_SIPApplicationSetting (definido no .NET Microsoft.RTC.Sip namespace) e define o atributo "crítico" como true para que OCS não irá iniciar sem a execução de serviço ForefrontRTCProxy.
O ForefrontRTCProxy se comunica com o FSCController para instanciar os processos de FSOCScanner. É o FSOCScanner que gerencia as chamadas de verificação de vírus para os mecanismos antivírus ativados. No console FSOCS administrativas no painel SETTINGS…General opções, a contagem de processo de mensagens INSTANTÂNEAS configuração determina quantas instâncias do FSOCScanner obter criadas. Instâncias adicionais aumentar verificação taxa de transferência, embora o custo da usando mais recursos de sistema.
Cada mensagem INSTANTÂNEA é roteada por meio a ForefrontRTCProxy e até um FSOCScanner disponível, que aplica regras de filtragem primeiro, e transmite a mensagem para os mecanismos de antivírus configurados para procurar qualquer vírus dentro do IM mensagem ou arquivo transferido IM.
Se uma regra de filtro é acionada ou um vírus detectado, o agente de notificação de mensagem INSTANTÂNEA FSOCS alerta o usuário de mensagens INSTANTÂNEAS que uma mensagem de mensagens INSTANTÂNEAS ou um arquivo tentou enviar ou receber continha um vírus ou palavra-chave restrita ou tipo de arquivo. Opcionalmente, as notificações são enviadas para o remetente e o destinatário por meio de uma sessão de mensagens INSTANTÂNEAS. O conteúdo da mensagem de notificação é personalizável.
O agente de notificação Forefront mensagens INSTANTÂNEAS é a própria um cliente de OCS modo que ele possa estabelecer uma sessão de mensagens INSTANTÂNEAS com o destinatário da notificação de mensagem INSTANTÂNEA. (Por motivos de segurança, FSOCS não é possível inserir mensagens SIP na sessão IM-estiver filtrando para que ele cria sua própria sessão com o usuário).

Protegendo transferências de arquivo com base em IM
Por padrão, as transferências de arquivos com base em IM ocorrer como uma cópia de arquivo TCP/FTP peer-to-peer entre duas instâncias do Office Communicator. O SIP mensagens utilizado para negociar a transferência de arquivo é roteadas entre o envio e recebimento de Comunicadores do Office por meio de OCS. a Figura 2 mostra a seqüência de SIP mensagens usado para configurar uma transferência de arquivo.
A Figura 2 padrão OCS SIP mensagens utilizado para negociar uma transferência de arquivos por meio do Office Communicator
O destinatário usa o endereço IP do remetente para iniciar a conexão TCP que permitirá que a transferência de arquivo do FTP para ocorrer.
Como mostra a Figura 3 , quando FSOCS estiver instalado, a seqüência é um pouco diferente. FSOCS filtra o SIP mensagens para redirecionar a transferência de arquivos por meio do servidor, armazenando o endereço IP do remetente original e substituí-la com o endereço IP FSOCS.
A Figura 3 modificações para o SIP mensagens para transferências de arquivo depois que o FSOCS for instalado
FSOCS usa o endereço IP armazenado para se conectar ao computador do remetente e, em seguida, copia o arquivo para o servidor. FSOCS examina o arquivo e se o arquivo for limpo, permite que o destinatário transferir o arquivo do servidor para a área de trabalho. Se a transferência de arquivos falhar como resultado de uma ação de detecção, notificações configuradas serão enviadas para o remetente, destinatário e / ou administrador. Nenhuma configuração adicional para OCS ou o Office Communicator é necessário para habilitar a verificação de transferências de arquivo com base em IM para usuários internos.

Transferências de arquivo com usuários externos
Se necessário para transferir arquivos entre usuários internos e externos a conexão for feita com êxito, arquivos transferidos IM serão protegidos pelo FSOCS entre o perímetro de acesso. Pelo menos uma função de servidor de perímetro de acesso precisa estar disponível para permitir mensagens INSTANTÂNEAS com usuários externos e cada instância da função de servidor de perímetro de acesso precisa ter FSOCS instalado. Se o administrador desejar facilitar a transferência de arquivos entre a borda, o firewall deve ser configurado para permitir conexões de entrada para o aplicativo de Forefront em execução em cada servidor de perímetro de acesso. Por padrão, isso usa portas 6891-6900, mas o intervalo de portas também pode ser configurado por meio de duas chaves do Registro: FileTransferStartPortRange e FileTransferMaxPorts

Carimbo de data / mensagem
Em uma topologia de Enterprise Edition, uma mensagem SIP poderia ser roteada entre várias instâncias de OCS e FSOCS. A primeira instância de FSOCS que determina a que uma mensagem é limpa irá adicionar um carimbo de mensagem para a mensagem SIP. Ele faz isso usando a propriedade Message.Stamp da classe de mensagem no namespace Microsoft.RTC.Sip. A propriedade Message.Stamp pode ser atualizada, armazenada na mensagem SIP e subseqüentemente passada frente a seqüência de roteamento de mensagem SIP. FSOCS usa essa propriedade para indicar que uma mensagem SIP já foi examinada.

Fluxo de mensagens de mensagens INSTANTÂNEAS dentro de OCS
No núcleo do cada OCS a função de servidor é uma implementação de um servidor SIP com os serviços proxy, redirecionamento e registrar. Esses serviços permitir o servidor de OCS para receber mensagens SIP retirando mensagens INSTANTÂNEAS conteúdo, localizar usuário Agent final pontos, como o Office Communicator, destino e roteiam ou encaminham mensagens SIP adequadamente. FSOCS protege todas as mensagens INSTANTÂNEAS, inserindo se o fluxo de roteamento de mensagem SIP para examinar e filtrar mensagens INSTANTÂNEAS em busca de vírus ou outros conteúdos proibidos para que ele pode bloquear comprometidos mensagens INSTANTÂNEAS do que estão sendo transmitidos. Inserindo próprio à direita no fluxo de mensagem SIP, FSOCS pode proteger mensagens INSTANTÂNEAS com um impacto mínimo sobre o desempenho de OCS.
Figura 4 mostra o fluxo de mensagem SIP típico como ele será encaminhado em uma topologia de OCS Enterprise Edition com FSOCS instalado. Mensagens INSTANTÂNEAS foi habilitada para um parceiro federado. Nesse cenário, um usuário pertencente à organização federada inicia uma mensagem INSTANTÂNEA a um usuário interno. Aqui está a seqüência de eventos:
  1. 1.The ponto de entrada de mensagens INSTANTÂNEAS é o servidor de perímetro de acesso. A instância do FSOCS no servidor de perímetro de acesso recebe a mensagem INSTANTÂNEA, verifica-lo de vírus e as regras de filtragem e determina é seguro. A mensagem INSTANTÂNEA é marcada como limpa e é roteada através de para a função de servidor do Director no sua maneira de computador do destinatário pretendido na rede interna.
  2. Função de servidor 2.The diretor foi implantada conforme recomendado para descarregar a autenticação do usuário dos servidores front-end. Esta função de servidor é normalmente implantada na rede interna para que ele possa acessar a instância do Active Directory armazenar informações de configuração do usuário OCS. O IM é roteada para este servidor de perímetro de acesso. Normalmente, o servidor de salto próximo internamente opostas de um perímetro de acesso é a função de servidor diretor. FSOCS verifica se o IM já foi marcada como limpa por uma instância anterior do FSOCS e se assim, ela evitará a processar a mensagem ainda mais e permitirá OCS route-frente.
  3. 3.The IM será encaminhado ao lado para o pool de servidores front-end. O destinatário pretendido será ser localizado a um dos servidores front-end no pool. Instância do FSOCS no servidor front-end que recebe a mensagem INSTANTÂNEA também irá ignorar o IM como já foi marcada como limpa. O servidor front-end localiza o destinatário e encaminha a mensagem INSTANTÂNEA frente.
A Figura 4 SIP de fluxo de mensagens em uma topologia de OCS Enterprise Edition
Todos os esta atividade é transparente para o usuário final.

Gerenciando a taxa de transferência de verificação mensagem
Quando implantado em um ambiente de OCS Enterprise Edition, FSOCS fornece um mecanismo para manipular a atividade de mensagens INSTANTÂNEAS inesperadamente pesada. Nesses casos raros, a profundidade da fila de armazenamento de mensagens a mensagens INSTANTÂNEAS para serem examinadas pelo FSOCS em um servidor pode aumentar para o ponto de uma mensagem de mensagens INSTANTÂNEAS no final da fila não será examinada em um período aceitável de tempo.
Existem ações padrão que FSOCS levará se isso ocorrer, bem como opções de configuração disponíveis para o administrador para gerenciar as ações que FSOCS irá executar. Como FSOCS é sensível ao comprimento da fila IM mensagem aguardando para serem examinadas de, um limite padrão para profundidade de fila de mensagens INSTANTÂNEAS máxima foi estabelecido para indicar quando uma fila cresceu muito grande. A ação que FSOCS obtém na resposta a um evento de limite excedido de comprimento de fila depende da função de servidor no qual FSOCS será implantado. Aqui são as ações de padrão executadas na função do servidor indicado.
Borda de acesso Rotas FSOCS mensagens INSTANTÂNEAS frente unscanned para a próxima instância do FSOCS, sem aplicar qualquer carimbo de mensagem.
diretor Rotas FSOCS o IM encaminhar unscanned e unstamped à função de servidor front-end. O destinatário não receberá a mensagem INSTANTÂNEA, a menos que ele tenha passado por meio de uma instância da função de servidor front-end.
front-end FSOCS verifica as mensagens INSTANTÂNEAS. O evento improvável que a fila de mensagens INSTANTÂNEAS excede o limite nessa função de servidor, FSOCS levará medidas adicionais para resolver a situação mas no final descartará a mensagem em vez de permitir que ele por meio de unscanned.
Observe que os valores de limite podem ser definidos em cada função de servidor através a chave do Registro MessageOverloadWatermark. O valor é armazenado como um DWORD com os seguintes padrões: 1.000 para o perímetro de acesso, 3, 000 para diretor e 10.000 para funções de servidor front-end.
Carimbo de data / mensagem pode também ter sido desativado definindo a chave de registro DisableMessageStamp. Isso é armazenado como um valor DWORD; o padrão é 0, mas pode ser definido como 1 para desabilitar o carimbo de data / mensagem.

Gerenciamento e proteção de conteúdo de mensagens INSTANTÂNEAS
FSOCS fornece uma camada adicional de controle sobre o fluxo de informações através de mensagens INSTANTÂNEAS dois internamente (entre os funcionários na rede interna) e entre o perímetro da rede para usuários externos. Em FSOCS, esses controles são colocados em vigor por meio de três tipos de filtro diferente.
o serviço de filtros de arquivo pode ser configurados de mensagens para impedir determinados arquivos do enviado entre usuários de mensagens INSTANTÂNEAS. Os administradores podem identificar os arquivos desejam restrito por especificar nomes de arquivo, extensões de arquivo, tamanhos de arquivo ou tipos de arquivo (detecção de tipo de arquivo true é incluída). Por exemplo, FSOCS pode ser configurado para bloquear todos os arquivos executáveis de transferidos por meio de mensagens INSTANTÂNEAS, mesmo se a extensão de arquivo foi alterada de .exe para .txt.
Os administradores poderá posteriormente controlar transferências do arquivo de mensagens INSTANTÂNEAS-com base, identificando onde uma regra de filtro de arquivo é colocada em vigor. Regras de filtro de arquivo podem ser aplicadas para todos os arquivos transferidos IM ou especificamente para arquivos enviados entre usuários internos, arquivos de saída de usuários internos para usuários externos de título ou arquivos provenientes entrada um usuário externo entre o perímetro da rede a um usuário interno. Por exemplo, FSOCS pode ser configurado para permitir que todos os tipos de arquivo para ser transferida por meio de mensagens INSTANTÂNEAS entre usuários internos, mas para bloquear todos os arquivos executáveis provenientes de usuários externos a usuários internos.
Filtros de palavra-chave pode ser configurado para bloquear mensagens INSTANTÂNEAS mensagem conteúdo ou arquivos transferidos com base em texto seja enviado quando eles contêm restritas palavras ou frases. Palavras-chave ou frases podem ser definidas em qualquer idioma. Além disso, FSOCS vem com uma lista de profanação instalável que os administradores podem opcionalmente usar para bloquear linguagem ofensiva em mensagens INSTANTÂNEAS. Filtros de palavra-chave também podem ser associado com a direção do arquivo transferido ou mensagens INSTANTÂNEAS; interno, entrada ou saída.
filtros de conteúdo permitem que o administrador bloquear mensagens INSTANTÂNEAS ou arquivos de transferidos IM com base em domínio ou URI SIP do remetente de mensagem INSTANTÂNEA ou destinatário. Usando um caractere curinga, mensagens INSTANTÂNEAS e arquivos transferidos podem ser bloqueados para todos os usuários de um domínio específico.
Por exemplo, ao configurar " *. " dentro de um filtro de conteúdo, todas as mensagens INSTANTÂNEAS de ou para usuários associados ao domínio serão bloqueados. Mensagens INSTANTÂNEAS também podem ser bloqueadas no nível do usuário, configurando o URI do SIP de um usuário individual.
Determinados conceitos são relevantes para todos os filtros em FSOCS:
detectar ações determinar o processamento FSOCS executará em qualquer mensagem INSTANTÂNEA ou arquivo transferido que corresponda ao configurado critérios de filtro. Por exemplo, um filtro de palavra-chave em FSOCS pode ser configurado com uma ação de detecção do bloco de forma que uma mensagem de mensagens INSTANTÂNEAS que contenha uma palavra-chave restrita será impedida de atingir a qualquer usuário.
as notificações estão os alertas opcionais gerados pela FSOCS quando uma ação de detecção ocorre. Alertas podem ser configuradas por filtro e sempre podem ser enviadas para o administrador. Dependendo o tipo de filtro, o remetente de mensagem INSTANTÂNEA, o destinatário ou ambos pode ser alertado sobre uma ação de detecção. Por exemplo, se um remetente tentar IM uma restrita palavra ou frase, FSOCS pode ser configurado para enviar um alerta para o administrador e para o remetente, indicando que o IM foi bloqueada devido à palavra-chave restrita.
As notificações são sempre enviadas para o administrador via email; remetentes e destinatários recebem a notificação por meio de uma conversa de mensagens INSTANTÂNEAS iniciada pelo FSOCS.
quarentena é o repositório de mensagens de mensagens INSTANTÂNEAS e transferência de arquivos que são bloqueados como resultado de uma ação de detecção. Os administradores têm a oportunidade de avaliar os itens em quarentena e reenvie-los por email para o destinatário original e outros usuários se eles julgar o conteúdo ou arquivo a ser apropriado.

Exemplos de configuração
Agora vamos considerar como um administrador pode assegurar que informações confidenciais ou particulares abertamente são abordadas por alguns funcionários não obter enviadas para qualquer pessoa fora da empresa por meio de mensagens INSTANTÂNEAS. Isso é importante que OCS tenha sido configurado para permitir mensagens INSTANTÂNEAS com organizações federadas e várias redes IM públicas.
Uma maneira de realizar essa meta é configurar cada instância de FSOCS que é implantado na função do servidor OCS perímetro de acesso com um filtro de palavra-chave que bloqueia qualquer mensagem INSTANTÂNEA ou um arquivo transferido baseado em texto que contém o restritas palavras ou frases sejam enviadas de um usuário interno para um usuário externo. Como observado anteriormente, todas as mensagens de mensagem INSTANTÂNEA enviadas de um usuário interno para um usuário externo são roteadas entre a função de servidor de borda de acesso antes de alcançar o usuário externo, para FSOCS irá bloquear essas informações no perímetro da rede.
Por outro lado, se o administrador deseja bloquear ofensivas informações provenientes na rede interna usuários externos que poderiam ser transmitidos por uma mensagem INSTANTÂNEA ou transferidos arquivo, os filtros de palavra-chave devem ser configurados nas instâncias de FSOCS instalado na rede interna no OCS Standard Edition ou as funções de servidor front-end.
Os administradores obter ainda mais controle por meio de permitido usuário listas, que fornecem a opção de configuração FSOCS para excluir um conjunto de usuários tenha suas mensagens INSTANTÂNEAS avaliada em relação a filtros configurados. Administrador pode associar uma lista de usuários permitido o tipo de filtro que desejam ignorar. Por exemplo, um administrador pode configurar FSOCS para bloquear todas as mensagens INSTANTÂNEAS de um domínio IM pública usando um filtro de conteúdo e identifique um subconjunto de usuários (por meio de uma lista de usuários permitidos) desse domínio IM público que têm permissão para enviar e receber mensagens INSTANTÂNEAS de funcionários internos.

Tomada ausente
Como mensagens INSTANTÂNEAS se torna cada vez mais populares, é cada vez mais importante que os administradores tenham uma maneira mantê-la segura. Esperamos que as informações de resumo apresentadas no Forefront Security para OCS faz e os detalhes adicionais em torno de configuração e desempenho, dê idéias para como FSOCS pode fornecer confiança aos administradores que mensagens INSTANTÂNEAS de sua organização é segura e na diretiva.

Luciana Gilmore é gerente de programa trabalhando a equipe de Forefront Security rápida resposta engenharia localizada em Ilha longos, Nova York. Bem como iniciar a primeira versão do Forefront Security para Office Communications Server, ela também funciona diretamente com os fornecedores de software que desenvolvem os mecanismos de antivírus e antispam distribuídos com a linha de produtos Forefront Server Security. Luciana contém um mestre de engenharia no gerenciamento de engenharia e um certificado formando em quantitativa software Engineering do Freitas Institute of Technology. Ela iniciado como um desenvolvedor de software em 1991 e trabalhou em diferentes funções e tecnologias antes Microsoft em 2006.

Page view tracker