Segurança
Proteger o sistema de mensagens instantâneas com o Forefront Security
Molly Gilmore
Visão geral:
- Protegendo mensagens INSTANTÂNEAS com FSOCS
- Implantar FSOCS em um ambiente de OCS
- Fluxo de mensagem de mensagens INSTANTÂNEAS e taxa de transferência
- Gerenciar e proteger o conteúdo de mensagens INSTANTÂNEAS
Conteúdo
Melhor proteção antivírus de mensagens INSTANTÂNEAS
Implantando FSOCS em um ambiente de OCS
Protegendo transferências de arquivo com base em IM
Transferências de arquivo com usuários externos
Carimbo de data / mensagem
Fluxo de mensagens de mensagens INSTANTÂNEAS dentro de OCS
Gerenciando a taxa de transferência de verificação mensagem
Gerenciamento e proteção de conteúdo de mensagens INSTANTÂNEAS
Exemplos de configuração
Tomada ausente
O Forefront Security para o Office Communications Server (FSOCS) é um produto de antivírus com base no servidor que faz parte da linha de produtos Forefront Server. FSOCS oferece proteção eficaz contra mensagens instantâneas, alvo do malware em ambientes de OCS 2007 e OCS 2007 R2.
FSOCS examina toda a atividade de mensagens INSTANTÂNEAS — incluindo mensagens instantâneas conteúdo bem como com IM transferidos arquivos — por vírus e conteúdo proibido. Controle refinado sobre onde e como isso é feito é exposto para o administrador pelas opções de configuração de produto fáceis de usar. Em tempo real notificações de vírus ameaça detecções e violações de diretivas definir ao redor do conteúdo de mensagens INSTANTÂNEAS podem ser habilitadas em FSOCS para os administradores poderão monitorar a atividade de segurança no sistema. Além disso, relatórios FSOCS e contadores de desempenho estão disponíveis para os administradores avaliar a integridade em andamento e o desempenho da FSOCS e a segurança de Instant Messaging fluir através da infra-estrutura OCS.
Melhor proteção antivírus de mensagens INSTANTÂNEAS
FSOCS integra à esquerda de mecanismos de antivírus de terceiros para garantir que as respostas rápidas e consistentes novas e crescentes ameaças gerados por IM. Cada instância de FSOCS pode ter até cinco mecanismos antivírus ativados; o OCS Standard Edition, perímetro de acesso, Director e servidores front-end são todos protegidos pela solução multi-engine Forefront Server.
Os mecanismos de antivírus estão instalados no servidor com cada instalação do FSOCS, e FSOCS interage com cada mecanismo de verificação de vírus de mensagens INSTANTÂNEAS. FSOCS tem a lógica para avaliar as informações de detecção que fornece cada mecanismo antivírus e escolha a seqüência de verificação mais provavelmente resultará em uma detecção inicial, precisa de um vírus. Os administradores decidir se eles desejam verificação de vírus com todos os cinco mecanismos antivírus ou um subconjunto dos mecanismos disponíveis. Os administradores não é necessário que configurar ou interagir com esses mecanismos individualmente, como isso é feito por FSOCS.
FSOCS inclui componentes para gerenciar a atualização contínua de assinaturas de antivírus, bem como atualizações de mecanismo binário, para que a resposta em tempo real a evolução de ameaças é obtida. Esses componentes apresentar com um sistema hospedado pela Microsoft que constantemente pesquisa parceiros antivírus downloads de sites para recuperar, testar e mecanismo de pacote de atualização e atualizações de assinatura 24 horas por dia, cada dia do ano. FCOCS administradores podem determinar com qual freqüência suas instalações tentar recuperar atualizações de mecanismo, mas FCOCS manipula o processo de verificação para downloads e instalar as atualizações diretamente.
Em ambientes em que o Server de Forefront for Exchange ou Server de Forefront para produtos do SharePoint estão instalados, FSOCS pode ser configurado para recuperar as atualizações de um servidor de redistribuição previamente configurados.
Implantando FSOCS em um ambiente de OCS
FSOCS podem ser implantados nos ambientes OCS 2007 e OCS 2007 R2, e ele oferece suporte as especificações do servidor recomendadas para cada versão de OCS. Implantações de OCS 2007 requerem o Windows Server 2003 SP1 no mínimo, e Windows Server 2003 R2 é recomendado. OCS 2007 e FSOCS serão executados em versões de 64 bits do sistema operacional Windows Server 2003 quando executado no modo de WOW64. Implantações de OCS 2007 R2 exigem hardware de 64 bits, bem como o Windows Server 2008, Windows Server 2003 (SP2), ou o Windows Server 2003 R2 (SP2).
FSOCS devem ser instalados em cada instância de OCS Standard Edition, front-end, perímetro de acesso e Diretor de funções de servidor nos ambientes OCS 2007 e OCS 2007 R2. Em topologias de Enterprise Edition, FSOCS devem ser instalados em cada servidor localizado em um front-end, diretor ou pool de servidor de borda de acesso. O diagrama na Figura 1 mostra os componentes FSOCS instalados em cada função de servidor OCS com suporte.
Figura 1 FSOCS componentes implantados em cada suporte para a função de servidor OCS
O ForefrontRTCProxy integra OCS 2007 e OCS 2007 R2 pela API de aplicativo do Office Communications Server 2007 Server. Quando FSOCS registra com OCS, ele instancia um objeto MSFT_SIPApplicationSetting (definido no .NET Microsoft.RTC.Sip namespace) e define o atributo "crítico" como true para que OCS não irá iniciar sem a execução de serviço ForefrontRTCProxy.
O ForefrontRTCProxy se comunica com o FSCController para instanciar os processos de FSOCScanner. É o FSOCScanner que gerencia as chamadas de verificação de vírus para os mecanismos antivírus ativados. No console FSOCS administrativas no painel SETTINGS…General opções, a contagem de processo de mensagens INSTANTÂNEAS configuração determina quantas instâncias do FSOCScanner obter criadas. Instâncias adicionais aumentar verificação taxa de transferência, embora o custo da usando mais recursos de sistema.
Cada mensagem INSTANTÂNEA é roteada por meio a ForefrontRTCProxy e até um FSOCScanner disponível, que aplica regras de filtragem primeiro, e transmite a mensagem para os mecanismos de antivírus configurados para procurar qualquer vírus dentro do IM mensagem ou arquivo transferido IM.
Se uma regra de filtro é acionada ou um vírus detectado, o agente de notificação de mensagem INSTANTÂNEA FSOCS alerta o usuário de mensagens INSTANTÂNEAS que uma mensagem de mensagens INSTANTÂNEAS ou um arquivo tentou enviar ou receber continha um vírus ou palavra-chave restrita ou tipo de arquivo. Opcionalmente, as notificações são enviadas para o remetente e o destinatário por meio de uma sessão de mensagens INSTANTÂNEAS. O conteúdo da mensagem de notificação é personalizável.
O agente de notificação Forefront mensagens INSTANTÂNEAS é a própria um cliente de OCS modo que ele possa estabelecer uma sessão de mensagens INSTANTÂNEAS com o destinatário da notificação de mensagem INSTANTÂNEA. (Por motivos de segurança, FSOCS não é possível inserir mensagens SIP na sessão IM-estiver filtrando para que ele cria sua própria sessão com o usuário).
Protegendo transferências de arquivo com base em IM
Por padrão, as transferências de arquivos com base em IM ocorrer como uma cópia de arquivo TCP/FTP peer-to-peer entre duas instâncias do Office Communicator. O SIP mensagens utilizado para negociar a transferência de arquivo é roteadas entre o envio e recebimento de Comunicadores do Office por meio de OCS. a Figura 2 mostra a seqüência de SIP mensagens usado para configurar uma transferência de arquivo.
A Figura 2 padrão OCS SIP mensagens utilizado para negociar uma transferência de arquivos por meio do Office Communicator
O destinatário usa o endereço IP do remetente para iniciar a conexão TCP que permitirá que a transferência de arquivo do FTP para ocorrer.
Como mostra a Figura 3 , quando FSOCS estiver instalado, a seqüência é um pouco diferente. FSOCS filtra o SIP mensagens para redirecionar a transferência de arquivos por meio do servidor, armazenando o endereço IP do remetente original e substituí-la com o endereço IP FSOCS.
A Figura 3 modificações para o SIP mensagens para transferências de arquivo depois que o FSOCS for instalado
FSOCS usa o endereço IP armazenado para se conectar ao computador do remetente e, em seguida, copia o arquivo para o servidor. FSOCS examina o arquivo e se o arquivo for limpo, permite que o destinatário transferir o arquivo do servidor para a área de trabalho. Se a transferência de arquivos falhar como resultado de uma ação de detecção, notificações configuradas serão enviadas para o remetente, destinatário e / ou administrador. Nenhuma configuração adicional para OCS ou o Office Communicator é necessário para habilitar a verificação de transferências de arquivo com base em IM para usuários internos.
Transferências de arquivo com usuários externos
Se necessário para transferir arquivos entre usuários internos e externos a conexão for feita com êxito, arquivos transferidos IM serão protegidos pelo FSOCS entre o perímetro de acesso. Pelo menos uma função de servidor de perímetro de acesso precisa estar disponível para permitir mensagens INSTANTÂNEAS com usuários externos e cada instância da função de servidor de perímetro de acesso precisa ter FSOCS instalado. Se o administrador desejar facilitar a transferência de arquivos entre a borda, o firewall deve ser configurado para permitir conexões de entrada para o aplicativo de Forefront em execução em cada servidor de perímetro de acesso. Por padrão, isso usa portas 6891-6900, mas o intervalo de portas também pode ser configurado por meio de duas chaves do Registro: FileTransferStartPortRange e FileTransferMaxPorts
Carimbo de data / mensagem
Em uma topologia de Enterprise Edition, uma mensagem SIP poderia ser roteada entre várias instâncias de OCS e FSOCS. A primeira instância de FSOCS que determina a que uma mensagem é limpa irá adicionar um carimbo de mensagem para a mensagem SIP. Ele faz isso usando a propriedade Message.Stamp da classe de mensagem no namespace Microsoft.RTC.Sip. A propriedade Message.Stamp pode ser atualizada, armazenada na mensagem SIP e subseqüentemente passada frente a seqüência de roteamento de mensagem SIP. FSOCS usa essa propriedade para indicar que uma mensagem SIP já foi examinada.
Fluxo de mensagens de mensagens INSTANTÂNEAS dentro de OCS
No núcleo do cada OCS a função de servidor é uma implementação de um servidor SIP com os serviços proxy, redirecionamento e registrar. Esses serviços permitir o servidor de OCS para receber mensagens SIP retirando mensagens INSTANTÂNEAS conteúdo, localizar usuário Agent final pontos, como o Office Communicator, destino e roteiam ou encaminham mensagens SIP adequadamente. FSOCS protege todas as mensagens INSTANTÂNEAS, inserindo se o fluxo de roteamento de mensagem SIP para examinar e filtrar mensagens INSTANTÂNEAS em busca de vírus ou outros conteúdos proibidos para que ele pode bloquear comprometidos mensagens INSTANTÂNEAS do que estão sendo transmitidos. Inserindo próprio à direita no fluxo de mensagem SIP, FSOCS pode proteger mensagens INSTANTÂNEAS com um impacto mínimo sobre o desempenho de OCS.
Figura 4 mostra o fluxo de mensagem SIP típico como ele será encaminhado em uma topologia de OCS Enterprise Edition com FSOCS instalado. Mensagens INSTANTÂNEAS foi habilitada para um parceiro federado. Nesse cenário, um usuário pertencente à organização federada inicia uma mensagem INSTANTÂNEA a um usuário interno. Aqui está a seqüência de eventos:
- 1.The ponto de entrada de mensagens INSTANTÂNEAS é o servidor de perímetro de acesso. A instância do FSOCS no servidor de perímetro de acesso recebe a mensagem INSTANTÂNEA, verifica-lo de vírus e as regras de filtragem e determina é seguro. A mensagem INSTANTÂNEA é marcada como limpa e é roteada através de para a função de servidor do Director no sua maneira de computador do destinatário pretendido na rede interna.
- Função de servidor 2.The diretor foi implantada conforme recomendado para descarregar a autenticação do usuário dos servidores front-end. Esta função de servidor é normalmente implantada na rede interna para que ele possa acessar a instância do Active Directory armazenar informações de configuração do usuário OCS. O IM é roteada para este servidor de perímetro de acesso. Normalmente, o servidor de salto próximo internamente opostas de um perímetro de acesso é a função de servidor diretor. FSOCS verifica se o IM já foi marcada como limpa por uma instância anterior do FSOCS e se assim, ela evitará a processar a mensagem ainda mais e permitirá OCS route-frente.
- 3.The IM será encaminhado ao lado para o pool de servidores front-end. O destinatário pretendido será ser localizado a um dos servidores front-end no pool. Instância do FSOCS no servidor front-end que recebe a mensagem INSTANTÂNEA também irá ignorar o IM como já foi marcada como limpa. O servidor front-end localiza o destinatário e encaminha a mensagem INSTANTÂNEA frente.
A Figura 4 SIP de fluxo de mensagens em uma topologia de OCS Enterprise Edition
Todos os esta atividade é transparente para o usuário final.
Gerenciando a taxa de transferência de verificação mensagem
Quando implantado em um ambiente de OCS Enterprise Edition, FSOCS fornece um mecanismo para manipular a atividade de mensagens INSTANTÂNEAS inesperadamente pesada. Nesses casos raros, a profundidade da fila de armazenamento de mensagens a mensagens INSTANTÂNEAS para serem examinadas pelo FSOCS em um servidor pode aumentar para o ponto de uma mensagem de mensagens INSTANTÂNEAS no final da fila não será examinada em um período aceitável de tempo.
Existem ações padrão que FSOCS levará se isso ocorrer, bem como opções de configuração disponíveis para o administrador para gerenciar as ações que FSOCS irá executar. Como FSOCS é sensível ao comprimento da fila IM mensagem aguardando para serem examinadas de, um limite padrão para profundidade de fila de mensagens INSTANTÂNEAS máxima foi estabelecido para indicar quando uma fila cresceu muito grande. A ação que FSOCS obtém na resposta a um evento de limite excedido de comprimento de fila depende da função de servidor no qual FSOCS será implantado. Aqui são as ações de padrão executadas na função do servidor indicado.
Borda de acesso Rotas FSOCS mensagens INSTANTÂNEAS frente unscanned para a próxima instância do FSOCS, sem aplicar qualquer carimbo de mensagem.
diretor Rotas FSOCS o IM encaminhar unscanned e unstamped à função de servidor front-end. O destinatário não receberá a mensagem INSTANTÂNEA, a menos que ele tenha passado por meio de uma instância da função de servidor front-end.
front-end FSOCS verifica as mensagens INSTANTÂNEAS. O evento improvável que a fila de mensagens INSTANTÂNEAS excede o limite nessa função de servidor, FSOCS levará medidas adicionais para resolver a situação mas no final descartará a mensagem em vez de permitir que ele por meio de unscanned.
Observe que os valores de limite podem ser definidos em cada função de servidor através a chave do Registro MessageOverloadWatermark. O valor é armazenado como um DWORD com os seguintes padrões: 1.000 para o perímetro de acesso, 3, 000 para diretor e 10.000 para funções de servidor front-end.
Carimbo de data / mensagem pode também ter sido desativado definindo a chave de registro DisableMessageStamp. Isso é armazenado como um valor DWORD; o padrão é 0, mas pode ser definido como 1 para desabilitar o carimbo de data / mensagem.
Gerenciamento e proteção de conteúdo de mensagens INSTANTÂNEAS
FSOCS fornece uma camada adicional de controle sobre o fluxo de informações através de mensagens INSTANTÂNEAS dois internamente (entre os funcionários na rede interna) e entre o perímetro da rede para usuários externos. Em FSOCS, esses controles são colocados em vigor por meio de três tipos de filtro diferente.
o serviço de filtros de arquivo pode ser configurados de mensagens para impedir determinados arquivos do enviado entre usuários de mensagens INSTANTÂNEAS. Os administradores podem identificar os arquivos desejam restrito por especificar nomes de arquivo, extensões de arquivo, tamanhos de arquivo ou tipos de arquivo (detecção de tipo de arquivo true é incluída). Por exemplo, FSOCS pode ser configurado para bloquear todos os arquivos executáveis de transferidos por meio de mensagens INSTANTÂNEAS, mesmo se a extensão de arquivo foi alterada de .exe para .txt.
Os administradores poderá posteriormente controlar transferências do arquivo de mensagens INSTANTÂNEAS-com base, identificando onde uma regra de filtro de arquivo é colocada em vigor. Regras de filtro de arquivo podem ser aplicadas para todos os arquivos transferidos IM ou especificamente para arquivos enviados entre usuários internos, arquivos de saída de usuários internos para usuários externos de título ou arquivos provenientes entrada um usuário externo entre o perímetro da rede a um usuário interno. Por exemplo, FSOCS pode ser configurado para permitir que todos os tipos de arquivo para ser transferida por meio de mensagens INSTANTÂNEAS entre usuários internos, mas para bloquear todos os arquivos executáveis provenientes de usuários externos a usuários internos.
Filtros de palavra-chave pode ser configurado para bloquear mensagens INSTANTÂNEAS mensagem conteúdo ou arquivos transferidos com base em texto seja enviado quando eles contêm restritas palavras ou frases. Palavras-chave ou frases podem ser definidas em qualquer idioma. Além disso, FSOCS vem com uma lista de profanação instalável que os administradores podem opcionalmente usar para bloquear linguagem ofensiva em mensagens INSTANTÂNEAS. Filtros de palavra-chave também podem ser associado com a direção do arquivo transferido ou mensagens INSTANTÂNEAS; interno, entrada ou saída.
filtros de conteúdo permitem que o administrador bloquear mensagens INSTANTÂNEAS ou arquivos de transferidos IM com base em domínio ou URI SIP do remetente de mensagem INSTANTÂNEA ou destinatário. Usando um caractere curinga, mensagens INSTANTÂNEAS e arquivos transferidos podem ser bloqueados para todos os usuários de um domínio específico.
Por exemplo, ao configurar " *. unknown.com " dentro de um filtro de conteúdo, todas as mensagens INSTANTÂNEAS de ou para usuários associados ao domínio unknown.com serão bloqueados. Mensagens INSTANTÂNEAS também podem ser bloqueadas no nível do usuário, configurando o URI do SIP de um usuário individual.
Determinados conceitos são relevantes para todos os filtros em FSOCS:
detectar ações determinar o processamento FSOCS executará em qualquer mensagem INSTANTÂNEA ou arquivo transferido que corresponda ao configurado critérios de filtro. Por exemplo, um filtro de palavra-chave em FSOCS pode ser configurado com uma ação de detecção do bloco de forma que uma mensagem de mensagens INSTANTÂNEAS que contenha uma palavra-chave restrita será impedida de atingir a qualquer usuário.
as notificações estão os alertas opcionais gerados pela FSOCS quando uma ação de detecção ocorre. Alertas podem ser configuradas por filtro e sempre podem ser enviadas para o administrador. Dependendo o tipo de filtro, o remetente de mensagem INSTANTÂNEA, o destinatário ou ambos pode ser alertado sobre uma ação de detecção. Por exemplo, se um remetente tentar IM uma restrita palavra ou frase, FSOCS pode ser configurado para enviar um alerta para o administrador e para o remetente, indicando que o IM foi bloqueada devido à palavra-chave restrita.
As notificações são sempre enviadas para o administrador via email; remetentes e destinatários recebem a notificação por meio de uma conversa de mensagens INSTANTÂNEAS iniciada pelo FSOCS.
quarentena é o repositório de mensagens de mensagens INSTANTÂNEAS e transferência de arquivos que são bloqueados como resultado de uma ação de detecção. Os administradores têm a oportunidade de avaliar os itens em quarentena e reenvie-los por email para o destinatário original e outros usuários se eles julgar o conteúdo ou arquivo a ser apropriado.
Exemplos de configuração
Agora vamos considerar como um administrador pode assegurar que informações confidenciais ou particulares abertamente são abordadas por alguns funcionários não obter enviadas para qualquer pessoa fora da empresa por meio de mensagens INSTANTÂNEAS. Isso é importante que OCS tenha sido configurado para permitir mensagens INSTANTÂNEAS com organizações federadas e várias redes IM públicas.
Uma maneira de realizar essa meta é configurar cada instância de FSOCS que é implantado na função do servidor OCS perímetro de acesso com um filtro de palavra-chave que bloqueia qualquer mensagem INSTANTÂNEA ou um arquivo transferido baseado em texto que contém o restritas palavras ou frases sejam enviadas de um usuário interno para um usuário externo. Como observado anteriormente, todas as mensagens de mensagem INSTANTÂNEA enviadas de um usuário interno para um usuário externo são roteadas entre a função de servidor de borda de acesso antes de alcançar o usuário externo, para FSOCS irá bloquear essas informações no perímetro da rede.
Por outro lado, se o administrador deseja bloquear ofensivas informações provenientes na rede interna usuários externos que poderiam ser transmitidos por uma mensagem INSTANTÂNEA ou transferidos arquivo, os filtros de palavra-chave devem ser configurados nas instâncias de FSOCS instalado na rede interna no OCS Standard Edition ou as funções de servidor front-end.
Os administradores obter ainda mais controle por meio de permitido usuário listas, que fornecem a opção de configuração FSOCS para excluir um conjunto de usuários tenha suas mensagens INSTANTÂNEAS avaliada em relação a filtros configurados. Administrador pode associar uma lista de usuários permitido o tipo de filtro que desejam ignorar. Por exemplo, um administrador pode configurar FSOCS para bloquear todas as mensagens INSTANTÂNEAS de um domínio IM pública usando um filtro de conteúdo e identifique um subconjunto de usuários (por meio de uma lista de usuários permitidos) desse domínio IM público que têm permissão para enviar e receber mensagens INSTANTÂNEAS de funcionários internos.
Tomada ausente
Como mensagens INSTANTÂNEAS se torna cada vez mais populares, é cada vez mais importante que os administradores tenham uma maneira mantê-la segura. Esperamos que as informações de resumo apresentadas no Forefront Security para OCS faz e os detalhes adicionais em torno de configuração e desempenho, dê idéias para como FSOCS pode fornecer confiança aos administradores que mensagens INSTANTÂNEAS de sua organização é segura e na diretiva.
Luciana Gilmore é gerente de programa trabalhando a equipe de Forefront Security rápida resposta engenharia localizada em Ilha longos, Nova York. Bem como iniciar a primeira versão do Forefront Security para Office Communications Server, ela também funciona diretamente com os fornecedores de software que desenvolvem os mecanismos de antivírus e antispam distribuídos com a linha de produtos Forefront Server Security. Luciana contém um mestre de engenharia no gerenciamento de engenharia e um certificado formando em quantitativa software Engineering do Freitas Institute of Technology. Ela iniciado como um desenvolvedor de software em 1991 e trabalhou em diferentes funções e tecnologias antes Microsoft em 2006.