Share via

  • 项目

安全

保护与 Forefront Security 即时消息

Molly Gilmore

 

概览:

  • 保护与 FSOCS
  • OCS 环境中部署 FSOCS
  • IM 的邮件流和吞吐量
  • 管理和保护 IM 内容

内容

IM 的最佳防病毒保护
部署 FSOCS OCS 环境中
保护 IM 基于文件传输
与外部的用户的文件传输
邮件标记
OCS 中的 IM 消息流
管理邮件扫描吞吐率
管理和保护 IM 内容
配置示例
立即执行

Forefront Security Office Communications Server (FSOCS) 是一种基于服务器的防病毒产品,属于 Forefront Server 产品系列。 FSOCS 提供对即时消息的有效保护针对 OCS 2007 和 OCS 2007 R 2 环境中的恶意软件。

FSOCS 扫描所有 IM 活动,包括即时消息内容以及为 IM 的基于传输文件,病毒和禁止的内容。 细化的控制方式,这来实现公开给管理员通过易于使用的产品配置选项。 实时通知病毒的威胁检测到,并且能 FSOCS 中启用的策略设置 IM 内容周围的漏洞,以便管理员可以监视安全活动,在系统中。 此外,FSOCS 报告和性能计数器可用于评估正在进行运行状况和 FSOCS 的性能和安全性的即时消息流经 OCS 基础结构的管理员。

IM 的最佳防病毒保护

FSOCS 将集成了导致第三方防病毒引擎以确保快速、 一致的对新的和发展 IM 传播的威胁。 FSOCS 的每个实例可以具有最多五个启用的防病毒引擎,; 在 OCS Standard Edition、 访问边缘,Director 和前端服务器将所有受 Forefront Server multi-engine 解决方案。

防病毒引擎在服务器上安装 FSOCS 的每个安装以及与每个 IM 病毒扫描引擎的 FSOCS 交互。 FSOCS 具有逻辑计算每个防病毒引擎提供的检测信息,选择扫描最可能导致病毒的最早、 准确检测的序列。 管理员决定是否要扫描所有的五个防病毒引擎或可用引擎的一个子集。 管理员不必配置或与之交互这些引擎单独,因为这通过 FSOCS 来实现的。

FSOCS 包括管理连续更新的防病毒的签名,以及引擎二进制更新程序,以便不断发展的威胁的实时响应实现的组件。 这些更新组件与 Microsoft 主持的系统不断轮询防病毒合作伙伴下载站点检索,测试,通信和打包引擎,签名更新一天,年的每一天 24 小时中。 FCOCS 管理员可以确定频率其安装尝试检索引擎更新,但 FCOCS 处理检查下载和无缝地安装更新的过程。

在环境中,Forefront for Exchange 的服务器或 SharePoint 产品的 Forefront Server 的安装位置 FSOCS 可以配置从以前配置的重新发布服务器检索更新。

部署 FSOCS OCS 环境中

FSOCS 可以部署在 OCS 2007 和 OCS 2007 R 2 环境,并支持服务器规范适合每个 OCS 版本。 OCS 2007 部署在至少需要 Windows Server 2003 SP 1,Windows Server 2003 R 2 建议使用。 OCS 2007 和 FSOCS 上运行 Windows Server 2003 操作系统的 64 位版本在 WOW 64 模式下运行时。 OCS 2007 R 2 部署需要 64 位硬件,以及 Windows Server 2008,Windows Server 2003 (SP 2) 或 Windows Server 2003 R 2 (SP 2)。

FSOCS 应安装在每个实例,OCS Standard Edition,前端、 访问边缘和 OCS 2007 和 OCS 2007 R 2 环境中的 Director 服务器角色上。 在 Enterprise Edition 的拓扑 FSOCS 应安装在位于前端服务器、 Director 或访问每个服务器上边缘服务器池。 图 1 中的图表显示了每个受支持的 OCS 服务器角色上安装的 FSOCS 组件。

fig01.gif

图 1 部署在每个 FSOCS 组件支持 OCS 服务器角色

在 ForefrontRTCProxy 集成了 OCS 2007 和 OCS 2007 R 2 中,通过 Office Communications Server 2007 Server 应用程序 API。 当 FSOCS 注册与 OCS 时,它实例化 MSFT_SIPApplicationSetting 对象 (定义.NET Microsoft.RTC.sip 命名空间),并将"关键"属性为 True,以便 OCS 不启动不 ForefrontRTCProxy 服务正在运行设置。

与要实例化 FSOCScanner 进程 FSCController 通信在 ForefrontRTCProxy。 是,FSOCScanner 管理已启用的防病毒引擎在病毒扫描调用的。 在 FSOCS 管理控制台 SETTINGS…General 选项面板上,IM 过程计数设置确定获取创建多少个该 FSOCScanner 实例。 其他实例增加扫描的吞吐量,但在开销的使用更多的系统资源。

每个 IM 消息被路由通过在 ForefrontRTCProxy 和到第一次,应用筛选规则,然后将以查找在 IM 消息或 IM 转移文件中的任何病毒邮件到已配置的防病毒引擎传递一个可用 FSOCScanner。

如果一个筛选规则触发或检测到病毒,FSOCS IM 通知代理警报 IM 用户的一个 IM 消息或文件在试图发送或接收包含病毒或受限制的关键字或文件类型。 通知 (可选) 发送到发件人和收件人通过 IM 会话。 通知邮件内容是可自定义的。

Forefront IM 通知代理是本身 OCS 的客户端以便可以建立与 IM 通知的收件人的 IM 会话。 (出于安全原因 FSOCS 无法插入 SIP 消息它筛选以便与该用户创建自己的会话的 IM 会话)。

保护 IM 基于文件传输

默认,IM 基于文件传输出现作为对等的 TCP / FTP 文件副本的 Office Communicator 的两个实例之间。 SIP 消息来协商文件传输被路由通过 OCS 发送和接收 Office Communicators 之间。 图 2 显示 SIP 消息用于设置文件传输的顺序。

fig02.gif

图 2 默认 OCS SIP 消息来协商通过 Office Communicator 的文件传输

接收方使用发件人的 IP 地址启动 TCP 连接允许 FTP 文件传输进行的。

图 3 显示 FSOCS 安装时该序列是有些不同。 FSOCS 筛选将 SIP 消息要重定向通过存储原始发件人 IP 地址,并使用 FSOCS IP 地址替换的文件传输通过服务器。

fig03.gif

图 3 SIP 邮件 FSOCS 安装后的文件传输的修改

FSOCS 使用存储的 IP 地址连接到发件人的计算机,,然后将该文件复制到服务器中。 FSOCS 扫描该文件,并如果该文件是干净,允许收件人将从该服务器的文件传送到桌面。 如果文件传输失败,因一个检测操作,配置的通知将发送至所发件人、 收件人,和/或管理员中。 没有其他配置才可以 OCS 或 Office Communicator 需要启用扫描的内部用户的 IM 基于文件传输。

与外部的用户的文件传输

如果建立,内部和外部的用户之间传输文件所需连接也成功会是 IM 转移文件将受 FSOCS 整个访问边缘。 需要至少一个访问边缘服务器角色允许外部用户的 IM,访问边缘服务器角色的每个实例需要有 FSOCS 安装。 如果管理员希望文件传输简化整个边缘,则应将该防火墙配置为允许入站的连接到每个访问边缘服务器上运行 Forefront 应用程序。 默认,这样使用端口 6891-6900,但也可以通过两个注册表项配置端口范围: FileTransferStartPortRange 和 FileTransferMaxPorts

邮件标记

Enterprise Edition 拓扑中跨多个实例 OCS 和 FSOCS 可能被路由 SIP 消息。 确定消息是干净的 FSOCS 的第一个实例会将邮件标记添加到 SIP 消息。 它实现此 Microsoft.RTC.sip 命名空间中,使用邮件类的 message.stamp 属性。 message.stamp 属性可以是更新,存储在 SIP 消息并随后通过 SIP 消息路由序列中传递转发。 FSOCS 使用此属性来指示 SIP 消息已被扫描。

OCS 中的 IM 消息流

每个 OCS 的核心服务器角色是 SIP 服务器的实现与代理服务器、 重定向和注册服务。 这些服务允许 OCS 服务器接收 SIP 消息具有 IM 内容,找到目标用户代理终结点,如 Office Communicator 和路由或相应地转发 SIP 消息。 FSOCS 保护通过本身插入 SIP 消息路由流,来扫描,并进行病毒筛选 IM 的所有 IM 或其他禁止的内容,以便它可以阻止从传输泄露 IM。 通过插入到 SIP 邮件流的本身,FSOCS 可以保护 IM OCS 性能的影响最小。

图 4 显示典型的 SIP 邮件流,如被使用 FSOCS 安装路由通过一个 OCS Enterprise Edition 拓扑。 IM 已启用联盟的伙伴。 在这的种情况下用户属于联盟组织,请启动向内部用户的即时消息。 以下是的事件序列:

  1. 1.the 的 IM 入口点是访问边缘服务器。 访问边缘服务器上的 FSOCS 实例接收 IM,其扫描病毒和筛选规则,并确定它是安全。 IM 标记为干净,并且通过路由到 Director 服务器角色,其方法在内部网络上的预期的收件人的计算机上。
  2. 卸载从前端服务器的用户身份验证的建议,尚未部署 2.the Director 服务器角色。 此服务器角色通常部署在内部网络上,这样它才能访问 Active Directory 实例存储 OCS 用户配置信息。 从访问边缘,IM 被路由到此服务器。 下通常,内部面向一跃点服务器的访问边缘的是 Director 服务器角色。 FSOCS 检查如果 IM 具有已标记为干净的 FSOCS 早期实例,并且因此,将避免在处理更多信息,并将使转发路由它的 OCS。
  3. 3.the IM 将被路由到前端服务器池旁边中。 预期的收件人将托管的前端服务器池中。 因为它已标记为干净,FSOCS 的实例接收 IM 的前端服务器上将也绕过 IM。 前端服务器将查找收件人,并转发路由 IM。

fig04.gif

图 4 SIP OCS Enterprise Edition 拓扑中的邮件流

此活动的所有是最终用户透明的。

管理邮件扫描吞吐率

当部署的 OCS Enterprise Edition 环境中,FSOCS 提供了处理异常高的 IM 活动一个机制。 在这些极少数的情况存储要在服务器上的 FSOCS 扫描 IM 消息队列的深度可以提高到队列末尾的 IM 消息将不被扫描的可接受的时间内的点中。

有 FSOCS 将如果发生这种情况,以及可用于管理的操作 FSOCS 将管理员的配置选项的默认操作。 因为 FSOCS 是敏感等待扫描 IM 消息队列的长度,最大 IM 队列深度的默认阈值已建立以指示当队列已变得太大。 FSOCS 采用以响应队列长度超过阈值事件的操作取决于部署 FSOCS 了服务器角色。 以下是执行了指定的服务器角色的默认操作。

访问边缘 FSOCS 路由 IM 向前 unscanned 到下一个实例 FSOCS,而不应用任何邮件标记。

Director FSOCS 路由 IM 转发 unscanned 和 unstamped 到前端服务器角色。 收件人无法接收 IM,除非经过通过前端服务器角色的实例。

前端 FSOCS 扫描 IM。 在 IM 队列超过此服务器角色上的阈值不大可能事件,FSOCS,会将解决该问题的其他措施但最后将删除该邮件而不是通过 unscanned 让它。

注意阈值可以通过 MessageOverloadWatermark 注册表项设置每个服务器角色上。 将值存储为用以下默认值是 DWORD: 访问边缘的 1,000、 3、 Director,000 和 10,000 个前端服务器角色。

邮件标记可以同时关闭通过设置 DisableMessageStamp 注册表项。 这将其存储为 DWORD 值 ; 默认值为 0,但可以禁用邮件标记设置为 1。

管理和保护 IM 内容

FSOCS 提供其他层的控制信息流通过 IM 这两个内部 (之间内部网络中的员工) 和外围网络外部的用户之间。 FSOCS 中, 这些控件放在通过三种不同的筛选类型的效果。

为防止某些文件 IM 用户之间发送的 文件筛选器可以配置 。 管理员可以确定的文件所需受指定文件名、 文件扩展名、 文件大小或文件类型 (true 的文件类型检测是包含)。 是例如 FSOCS 可以被配置为阻止通过 IM,传输所有可执行文件,即使如果文件扩展名.exe 从更改为.txt。

管理员可以进一步控制的文件筛选器规则被置于效果通过标识的 IM 基于文件传输。 可以将应用文件筛选器规则,所有 IM 传输文件或专门用于内部用户、 标题从内部的用户传出外部的用户的文件或文件来自入站外部用户跨网络外围向内部用户之间发送的文件。 是例如 FSOCS 可以被配置为允许内部用户之间传输通过 IM 而阻止内部用户来自外部用户的所有可执行文件的所有文件类型。

可以是 关键字的筛选器 配置为阻止 IM 消息内容或基于文本的传输的文件,它们包含受限的字词或短语时发送。 可以用任何语言中定义关键字或短语。 此外,FSOCS 附带管理员可以选择用来阻止 IM 中的冒犯性语言的可安装亵渎的语言列表。 关键字的筛选器也可以与该 IM 或传输的文件的方向,内部、 入站,或出站。

内容筛选器 允许管理员阻止 IM 或基于域或 SIP URI IM 发件人或收件人的 IM 传输文件。 通过通配符字符可以为指定的域的所有用户阻止 IM 和传输的文件。

是例如通过配置"* unknown.com"From 或 To 与 unknown.com 域相关联的用户的所有 IM 将都阻止内容的筛选器中。 此外可以配置单个用户的 SIP URI 以在用户级别阻止 IM。

特定的概念是与 FSOCS 内所有筛选器:

检测到操作 确定 FSOCS 执行任何 IM 消息处理,或者匹配的传输的文件配置筛选条件。 是例如 FSOCS 一个关键字筛选器可以配置检测操作的块,以便包含一个受限制的关键字的 IM 邮件会阻止到达任何用户。

通知 是一个检测操作发生时生成 FSOCS 可选通知。 通知可以配置每个筛选器,并且始终可以向管理员进行发送。 根据筛选器类型、 IM 发件人、 该的收件人或都可以将预警一个检测操作。 是例如如果发件人试图 IM 受限的单词或短语,FSOCS 可以被配置为管理员和指示 IM 由于受限的关键字被阻止发件人发送警报。

通过电子邮件管理员始终发送通知,; 发件人和收件人会收到通过由 FSOCS 启动 IM 对话通知。

隔离 储备库 IM 消息并且传输的一个检测操作被阻止的文件。 管理员有机会评估隔离的项目并重新发送它们通过电子邮件原始收件人和其他如果它们是内容或是合适的文件。

配置示例

现在让我们设想如何管理员可以确保所公开讨论由某些员工的敏感或私人信息会不获取发送到通过 IM 公司外部的任何人。 这一重要 OCS 已被配置为允许与联盟组织和多个公用 IM 网络。

实现此目标的一种方法是使用关键字筛选器阻止任何 IM 消息或包含在受限的词或短语从内部用户发送到外部用户基于文本的传输的文件的 OCS 访问边缘服务器角色上中配置的部署 FSOCS 每个实例。 如前所述,从内部用户发送到外部用户的所有 IM 消息进行到达该外部的用户,以便 FSOCS 将阻止此信息在网络外围之前都路由通过访问边缘服务器角色中。

而在另一方面,如果管理员希望阻止来自于外部用户可以通过 IM 邮件传输或传输文件的进入内部网络的冒犯性信息,关键字筛选器应配置 FSOCS OCS Standard Edition 或前端服务器角色上内部网络中安装的实例上。

管理员对通过提供配置 FSOCS 的选择排除一组的用户具有对配置的筛选器评估其 IM 的允许的用户列表的更多控制。 管理员可以将与它们要跳过的筛选器的类型关联的允许的用户列表。 是例如管理员可以配置 FSOCS 阻止使用内容的筛选器的公用 IM 域中的所有 IM,然后确定的用户 (通过一个允许的用户列表中) 的公用 IM 域允许发送和接收来自内部员工的 IM 的一个子集。

立即执行

如 IM 变得更加受欢迎的很日益重要管理员具有可以确保安全。 我们希望为 OCS 哪些 Forefront Security 会和配置和性能的详细摘要信息,提供了解到如何 FSOCS 能够提供信任管理员组织中的 IM 是安全和策略中。

Molly Gilmore 是位于上长岛,New York,Forefront Security 快速响应工程团队所从事的程序管理器。 除了使用 Office Communications Server 的首次发布 Forefront Security,她也可直接用于开发与 Forefront Server 安全产品系列在防病毒和 antispam 引擎的软件供应商。 Molly 定量从 Stevens Institute of Technology 的软件工程存放在工程管理的工程和毕业证书的主控形状。 她在 1991 启动作为软件开发人员,并在 2006 年加入 Microsoft 之前工作在不同的角色和技术。