Seguridad

Proteger la mensajería instantánea con Microsoft Forefront Security

Molly Gilmore

 

En resumen:

  • Protección de mensajería INSTANTÁNEA con FSOCS
  • Implementar FSOCS en un entorno OCS
  • Flujo de mensajes de mensajería INSTANTÁNEA y el rendimiento
  • Administración y protección de contenido de mensajería INSTANTÁNEA

Contenido

Mejor protección antivirus de IM
Implementar FSOCS en un entorno OCS
Proteger las transferencias de archivos en función de mensajería INSTANTÁNEA
Transferencias de archivos con usuarios externos
Marca de mensaje
Flujo de mensajes de mensajería INSTANTÁNEA de OCS
Administrar el rendimiento de detección de mensajes
Administrar y proteger el contenido de la mensajería INSTANTÁNEA
Ejemplos de configuración
Tomar ausente

Forefront Security para Office Communications Server (FSOCS) es un producto antivirus de basadas en servidor que forma parte de la línea de productos de Microsoft Forefront Server. FSOCS proporciona protección eficaz contra la mensajería instantánea, destino malware en entornos de 2007 de OCS y OCS 2007 R2.

FSOCS explora toda la actividad de mensajería INSTANTÁNEA, incluidos mensajería instantánea contenido, así como en función de mensajería INSTANTÁNEA transferir archivos, de virus y contenido prohibido. Control específicos sobre dónde y cómo esto se consigue se expone al administrador a través de producto fácil de usar las opciones de configuración. Las detecciones de amenazas en tiempo real las notificaciones de virus y las infracciones de directivas establecer alrededor de contenido de mensajería INSTANTÁNEA pueden habilitarse dentro FSOCS para los administradores pueden supervisar la actividad de seguridad en el sistema. Además, FSOCS informes y contadores de rendimiento están disponibles para los administradores evaluar el estado continuado y el rendimiento de FSOCS y la seguridad de la mensajería instantánea fluye a través de la infraestructura OCS.

Mejor protección antivirus de IM

FSOCS se integra con los motores de antivirus de otros fabricantes para garantizar la rápida y coherentes respuestas a las amenazas de mensajería INSTANTÁNEA de hay nuevas y en evolución a la izquierda. Cada instancia de FSOCS puede tener hasta cinco motores antivirus habilitados; el OCS Standard Edition, perimetral de acceso A, director y los servidores de solicitudes de cliente están protegidos mediante la solución multi-engine Forefront Server.

Los motores de antivirus se instalan en el servidor con cada instalación de FSOCS, y FSOCS interactúa con cada motor de detección de virus de mensajería INSTANTÁNEA. FSOCS tiene la lógica para evaluar la información de detección que cada motor antivirus proporciona y seleccionar la secuencia de exploración más probable que como resultado una detección anticipada, exacta de un virus. Los administradores de decidir si desean enviar detección de virus con todos los cinco motores antivirus o un subconjunto de los motores de disponibles. Los administradores no es necesario que configurar o interactuar con estos motores individualmente, como esto se consigue al FSOCS.

FSOCS incluye componentes para administrar la actualización continua de las firmas de antivirus, así como las actualizaciones binario del motor, para que se consigue respuesta en tiempo real a la evolución de las amenazas. Estos componentes comunicar con un sistema alojado de Microsoft que constantemente sondeos asociados de antivirus descarga sitios para recuperar, probar y motor de paquete de actualización y actualizaciones de firma de 24 horas al día, cada día del año. Los administradores FCOCS pueden determinar con qué frecuencia sus instalaciones intenta recuperar las actualizaciones del motor, pero FCOCS controla el proceso de comprobación de las descargas e instalando las actualizaciones sin problemas.

En entornos donde la Server de Microsoft Forefront para Exchange o Forefront Server para productos de SharePoint están instalados, FSOCS puede configurarse para recuperar las actualizaciones de un servidor de redistribución previamente configurado.

Implementar FSOCS en un entorno OCS

FSOCS se pueden implementar en entornos OCS 2007 y OCS 2007 R2, y es compatible con las especificaciones de servidor recomendadas para cada versión OCS. Las implementaciones de 2007 OCS requieren Windows Server 2003 SP1 como mínimo, y se recomienda Windows Server 2003 R2. OCS 2007 y FSOCS ejecutarán en versiones de 64 bits del sistema operativo Windows Server 2003 cuando se ejecuta en modo WoW64. Las implementaciones de OCS 2007 R2 requieren hardware de 64 bits, así como Windows Server 2008, Windows Server 2003 (SP2) o Windows Server 2003 R2 (SP2).

FSOCS debe instalarse en cada instancia de la OCS Standard Edition, solicitudes de cliente, perimetral de acceso y director de funciones de servidor en entornos OCS 2007 y OCS 2007 R2. En las topologías de Enterprise Edition, FSOCS debe estar instalado en todos los servidores ubicados dentro de un cliente, director o Access borde Server grupo. El diagrama en la figura 1 muestra los componentes FSOCS instalados en cada función de servidor OCS compatible.

fig01.gif

Figura 1 componentes de FSOCS implementados en cada uno admite OCS función de servidor

El ForefrontRTCProxy se integra con OCS 2007 y OCS 2007 R2 mediante la API aplicaciones del servidor de 2007 de Office Communications Server. Cuando se registra con OCS FSOCS, crea instancias de un objeto MSFT_SIPApplicationSetting (definido en el .NET Microsoft.RTC.sip espacio de nombres) y se establece el atributo "crítico" en true para que no se iniciar OCS copia sin la ejecución del servicio ForefrontRTCProxy.

El ForefrontRTCProxy se comunica con el FSCController para crear instancias de los procesos FSOCScanner. Es el FSOCScanner que administra las llamadas de detección de virus en los motores de antivirus habilitados. En la consola administrativa FSOCS en el panel opciones SETTINGS…General, el recuento de procesamientos IM valor determina cuántas instancias de la FSOCScanner obtener creadas. Instancias adicionales aumentar el rendimiento digitalización, aunque a costa de utiliza más recursos del sistema.

Cada mensaje de mensajería INSTANTÁNEA se enruta a través de la ForefrontRTCProxy y hasta un FSOCScanner disponible, que aplica reglas de filtrado en primer lugar, a continuación, pasa el mensaje en los motores de antivirus configurados para buscar virus en el mensaje de mensajería INSTANTÁNEA o mensajería INSTANTÁNEA de transferir archivos.

Si se desencadena una regla de filtro o un virus detectado, el agente de notificación de mensajería INSTANTÁNEA FSOCS avisa el mensajería INSTANTÁNEA usuario que un mensaje de mensajería INSTANTÁNEA o un archivo intentó enviar o recibir contenía un virus o la palabra clave restringido o el tipo de archivo. Las notificaciones, opcionalmente, se envían para el remitente y destinatario a través de una sesión de mensajería INSTANTÁNEA. El contenido del mensaje de notificación es personalizable.

El agente de notificación de mensajería INSTANTÁNEA de Forefront es sí mismo un cliente de OCS para que puede establecer una sesión de mensajería INSTANTÁNEA con el destinatario de la notificación de mensajería INSTANTÁNEA. No (por motivos de seguridad, FSOCS puede insertar SIP mensajes en la sesión de mensajería INSTANTÁNEA que es el filtrado por lo que crea su propia sesión con el usuario).

Proteger las transferencias de archivos en función de mensajería INSTANTÁNEA

De forma predeterminada, las transferencias de archivos en función de mensajería INSTANTÁNEA se producen como una copia de archivo TCP/FTP punto a punto entre dos instancias de Office Communicator. El SIP de mensajería utilizado para negociar la transferencia de archivos es enrutado entre el envío y recepción escritores de Office mediante OCS. la figura 2 muestra la secuencia de SIP mensajería utilizada para configurar una transferencia de archivos.

fig02.gif

La Figura 2 predeterminado OCS SIP de mensajería utilizado para negociar una transferencia de archivos a través de Office Communicator

El destinatario usa la dirección del remitente IP para iniciar la conexión TCP que permitirá la transferencia de archivos FTP que se produzca.

Como muestra la figura 3 , cuando se instala FSOCS, la secuencia es un poco diferente. FSOCS filtra el SIP para redirigir la transferencia de archivos a través del servidor por almacenar la dirección IP de remitente original y reemplazarlo con la dirección IP FSOCS de mensajería.

fig03.gif

La figura 3 modificaciones de mensajería para transferencias de archivos una vez instalado FSOCS de SIP

FSOCS usa la dirección IP almacenada para conectarse al equipo del remitente y, a continuación, se copia el archivo al servidor. FSOCS examina el archivo y si el archivo es desde el principio, permite al destinatario que transferir el archivo desde el servidor en el escritorio. Si la transferencia de archivos falla as a result of una acción de detectar, configuradas las notificaciones se enviarán al remitente, destinatario o administrador. Ninguna configuración adicional para OCS o Office Communicator es necesario para habilitar la detección de transferencias de archivos en función de mensajería INSTANTÁNEA para los usuarios internos.

Transferencias de archivos con usuarios externos

Si la conexión necesario para transferir archivos entre los usuarios internos y externos se realiza correctamente, mensajería INSTANTÁNEA de transferir archivos estará protegidos por FSOCS entre el borde de Access. Necesita al menos una función de servidor perimetral de acceso para estar disponible para permitir la mensajería INSTANTÁNEA con usuarios externos y cada instancia de la función de servidor perimetral de acceso debe tener FSOCS instalado. Si el administrador desea facilitar la transferencia de archivos entre el borde, el servidor de seguridad debe configurarse para permitir conexiones entrantes a la aplicación de Microsoft Forefront que se ejecuta en cada servidor perimetral de acceso. De forma predeterminada, esto usa puertos 6891-6900, pero también se puede configurar el intervalo de puertos mediante dos claves del registro: FileTransferStartPortRange y FileTransferMaxPorts

Marca de mensaje

En una topología de Enterprise Edition, un mensaje SIP podría se enruta a través de varias instancias de OCS y FSOCS. La primera instancia de FSOCS que determina que un mensaje es desde el principio agregará una marca de mensaje a los mensajes de SIP. Esto se consigue mediante la propiedad de Message.stamp de la clase de mensaje en el espacio de nombres Microsoft.RTC.sip. La propiedad Message.stamp se puede actualizar, almacenada en el mensaje SIP y posteriormente pasar hacia delante la secuencia de ruta mensaje SIP. FSOCS utiliza esta propiedad para indicar que un mensaje SIP ya ha digitalizado.

Flujo de mensajes de mensajería INSTANTÁNEA de OCS

En el núcleo de cada OCS función de servidor es una implementación de un servidor SIP con servicios de proxy, redirección y registrar. Estos servicios permiten que el servidor OCS recibir mensajes SIP influye en mensajería INSTANTÁNEA contenido, busque puntos de usuario agente final como Office Communicator, destino y enruten o reenviar los mensajes SIP en consecuencia. FSOCS protege la mensajería INSTANTÁNEA de todos los insertando Sí en el flujo de enrutamiento de mensajes SIP para buscar y filtrar mensajería INSTANTÁNEA en busca de virus o otro contenido prohibido para que puede bloquear en peligro la mensajería INSTANTÁNEA de transmitirse. Insertando propio hacia la derecha en el flujo de mensajes SIP, FSOCS puede seguro mensajería INSTANTÁNEA con un impacto mínimo en el rendimiento de OCS.

Figura 4 muestra el flujo de mensajes típico de SIP tal como se enruta a través de una topología OCS Enterprise Edition con FSOCS instalado. Mensajería INSTANTÁNEA ha habilitado para un socio federado. En este escenario, un usuario que pertenecen a la organización federada inicia una mensajería INSTANTÁNEA a un usuario interno. Aquí es la secuencia de eventos:

  1. 1 Punto de entrada de mensajería INSTANTÁNEA es el servidor perimetral de acceso. La instancia de FSOCS en el servidor perimetral de acceso A recibe la mensajería INSTANTÁNEA, busca, virus y las reglas de filtrado y se determina que es seguro. La mensajería INSTANTÁNEA se marca como desde el principio y se enruta a través de a la función de servidor director en su camino a equipo de la de destinatario de la red interna.
  2. Se ha implementado 2.The función de servidor de Director como se recomienda para la autenticación de usuario de los servidores de solicitudes de cliente de descarga. Esta función de servidor normalmente se implementa en la red interna para que pueda tener acceso a la instancia de Active Directory, almacenar información de configuración de usuario OCS. La mensajería INSTANTÁNEA se enruta a este servidor desde el borde de Access. Normalmente, el servidor de salto de siguiente enfrentadas internamente para un borde de Access es la función de servidor de director. FSOCS comprueba si la mensajería INSTANTÁNEA ha ya ha registrado como desde el principio por una instancia anterior de FSOCS y si es así, evitará procesar el mensaje aún más y permitirá OCS distribuirlo hacia delante.
  3. 3.The mensajería INSTANTÁNEA se enruta junto al grupo de servidores front-end. El destinatario previsto se se aloja a uno de los servidores front-end en el grupo. La instancia de FSOCS en el servidor front-end que recibe la mensajería INSTANTÁNEA también omitirá la mensajería INSTANTÁNEA como ya se marca como desde el principio. El servidor front-end localiza el destinatario y enruta la mensajería INSTANTÁNEA hacia delante.

fig04.gif

La figura 4 SIP de flujo de mensajes en una topología OCS Enterprise Edition

Toda esta actividad es transparente para el usuario final.

Administrar el rendimiento de detección de mensajes

Cuando se implementa en un entorno OCS Enterprise Edition, FSOCS proporciona un mecanismo para controlar la actividad de mensajería INSTANTÁNEA inesperadamente gruesa. En estas situaciones excepcionales, la profundidad de la cola almacenar los mensajes de mensajería INSTANTÁNEA que se van a explorar mediante FSOCS en un servidor puede aumentar hasta el punto de que un mensaje de mensajería INSTANTÁNEA al final de la cola no se examinarán en un período de tiempo aceptable.

Hay acciones predeterminado que FSOCS tendrá si esto ocurre, así como opciones de configuración para el administrador para administrar las acciones que FSOCS tendrá disponibles. Puesto que FSOCS es confidencial que la longitud de la cola de mensajes IM en espera se pueden examinar, un umbral predeterminado para máxima profundidad de cola de mensajería INSTANTÁNEA se ha establecido para indicar si una cola ha crecido demasiado grande. La acción que FSOCS toma en respuesta a un evento se superó el umbral de longitud de cola depende de la función de servidor donde se implementó FSOCS. Aquí son las acciones de predeterminada tomadas en la función de servidor indicado.

Borde de acceso Rutas FSOCS unscanned la mensajería de INSTANTÁNEA a la siguiente instancia de FSOCS, sin aplicar ninguna marca de mensaje.

director Rutas FSOCS la mensajería INSTANTÁNEA hacia adelante unscanned y unstamped a la función de servidor front-end. El destinatario no recibirá la mensajería INSTANTÁNEA a menos que ha pasado a través de una instancia de la función de servidor front-end.

solicitudes de cliente FSOCS explora la mensajería INSTANTÁNEA. En el caso improbable que la cola de mensajería INSTANTÁNEA supera el umbral de esta función de servidor, FSOCS se tomar medidas adicionales para resolver la situación pero al final se eliminar el mensaje en vez de lo que permite a través de unscanned.

Tener en cuenta que se pueden establecer valores de umbral en cada función de servidor a través de la clave del registro MessageOverloadWatermark. El valor se almacena como un valor de DWORD con los siguientes valores predeterminados: 1.000 de borde de acceso A, 3, 000 de director y 10.000 para funciones de servidor front-end.

Marca de mensaje también se puede desactivar estableciendo la clave del registro DisableMessageStamp. Esto se almacena como un valor DWORD; el valor predeterminado es 0, pero puede establecerse en 1 para deshabilitar la marca de mensaje.

Administrar y proteger el contenido de la mensajería INSTANTÁNEA

FSOCS proporciona una capa adicional de control sobre el flujo de información a través de mensajería INSTANTÁNEA tanto internamente (entre los empleados dentro de la red interna) y en el perímetro de red a los usuarios externos. Dentro de FSOCS, estos controles se colocan en efecto a través de tres tipos de filtro diferente.

se puede configurar filtros de archivos para evitar que ciertos archivos enviados entre los usuarios de IM. Los administradores pueden identificar los archivos que desean restringidos por especificando los nombres de archivo, las extensiones de archivo, los tamaños de archivo o tipos de archivo (detección de tipo de archivo es true se incluye). Por ejemplo, FSOCS puede configurarse para bloquear todos los archivos ejecutables de que se transfieren a través de mensajería INSTANTÁNEA, incluso si la extensión de archivo ha cambiado desde .exe a .txt.

Los administradores controlar aún más transferencias de archivos de en función de mensajería INSTANTÁNEA mediante la identificación de donde se coloca una regla de filtro de archivo en vigor. Reglas de filtro de archivo se pueden aplicar a todos los archivos de mensajería INSTANTÁNEA de transferir o específicamente a archivos enviados entre los usuarios internos, los archivos de encabezado de salida de los usuarios internos a los usuarios externos o los archivos provenientes entrantes de un usuario externo en el perímetro de red a un usuario interno. Por ejemplo, FSOCS puede configurarse para permitir todos los tipos de archivo se transfieren a través de mensajería INSTANTÁNEA entre los usuarios internos pero bloquear todos los archivos ejecutables procedentes de los usuarios externos a los usuarios internos.

filtros de palabra clave se puede configurar para bloquear contenido de mensaje de mensajería INSTANTÁNEA o archivos transferidos de basado en texto no se envía cuando contienen restringidas palabras o frases. Palabras clave o frases pueden definirse en cualquier idioma. Además, FSOCS incluye una lista de blasfemias instalable que los administradores, opcionalmente, pueden utilizar para bloquear el lenguaje ofensivo de mensajería INSTANTÁNEA. Filtros de palabra clave también pueden ser asociado con la dirección de la mensajería INSTANTÁNEA o el archivo transferido; interno, entrante o saliente.

filtros de contenido permiten al administrador bloquear la mensajería INSTANTÁNEA o archivos de mensajería INSTANTÁNEA de transferir basándose en el dominio o SIP URI del remitente de mensajería INSTANTÁNEA o destinatario. Mediante un carácter comodín, mensajería INSTANTÁNEA y los archivos transferidos pueden bloquearse para todos los usuarios de un dominio especificado.

Por ejemplo, mediante la configuración " *. unknown.com " dentro de un filtro de contenido, se bloqueará todo mensajería INSTANTÁNEA desde o a los usuarios asociados con el dominio unknown.com. También puede bloquearse mensajería INSTANTÁNEA en el nivel de usuario mediante la configuración de URI del SIP de un usuario individual.

Algunos conceptos son relevantes para todos los filtros de FSOCS:

detectar acciones determinar el procesamiento FSOCS llevará a cabo en cualquier mensaje de mensajería INSTANTÁNEA o transferido archivo que coincida con configurar criterios de filtro. Por ejemplo, un filtro de palabra clave en FSOCS puede configurarse con una acción de detección del bloque de modo que un mensaje de mensajería INSTANTÁNEA que contiene una palabra clave restringida se impedirá llegar a cualquier usuario.

las notificaciones son las alertas opcionales generadas por FSOCS cuando realiza una acción de detectar. Alertas pueden configurarse por el filtro y siempre se pueden enviar al administrador. Según el tipo de filtro, el remitente de mensajería INSTANTÁNEA, el destinatario o ambos puede recibir alertas sobre una acción de detectar. Por ejemplo, si un remitente intenta IM restringido palabra o frase, FSOCS puede configurarse para enviar una alerta al administrador y al remitente que indica que la mensajería INSTANTÁNEA se bloqueó debido a la palabra clave restringida.

Las notificaciones siempre se envían al administrador a través del correo electrónico; remitentes y destinatarios recibir la notificación a través de una conversación de mensajería INSTANTÁNEA iniciada por FSOCS.

cuarentena es el repositorio para los mensajes de mensajería INSTANTÁNEA y transfiere los archivos que están bloqueados as a result of una acción de detectar. Los administradores tiene la oportunidad para evaluar los elementos en cuarentena y volver a través del correo electrónico al destinatario original y otros usuarios si considerar el contenido o archivo para ser apropiada.

Ejemplos de configuración

Ahora veamos cómo un administrador puede asegúrese de que no obtener envíe información confidencial o privada que se trata openly por algunos de los empleados a nadie fuera de la organización a través de mensajería INSTANTÁNEA. Esto es importante cuando OCS se ha configurado para permitir la mensajería INSTANTÁNEA con organizaciones federadas y varias redes públicas de mensajería INSTANTÁNEA.

Una forma de conseguir este objetivo consiste en configurar cada instancia de FSOCS que se implementa en la función de servidor perimetral de acceso A OCS con un filtro de palabra clave que se bloquea cualquier mensaje de mensajería INSTANTÁNEA o archivo transferido basado en texto que contiene el restringido palabras o frases de enviados desde un usuario interno a un usuario externo. Como se indicó anteriormente, todos los mensajes de mensajería INSTANTÁNEA de un usuario interno a un usuario externo se enrutan a través de la función de servidor perimetral de acceso antes de llegar al usuario externo para FSOCS bloqueará esta información en el perímetro de la red.

Por otro lado, si el administrador desea bloquear información ofensivo de procedentes en la red interna de los usuarios externos que se puede transmitir mediante un mensaje de mensajería INSTANTÁNEA o transfieren archivos, los filtros de palabra clave deben configurarse en las instancias de FSOCS instalado en la red interna en la OCS Standard Edition o las funciones de servidor front-end.

Los administradores obtener el control aún más mediante permite usuarios listas, que ofrece la opción de configuración FSOCS para excluir un conjunto de usuarios de tener su IM evalúa frente a filtros configurados. Administrador puede asociar una lista de permitidas del usuario al tipo de filtro que desean omitir. Por ejemplo, un administrador puede configurar FSOCS para bloquear todo mensajería INSTANTÁNEA de un dominio público de mensajería INSTANTÁNEA mediante un filtro de contenido, a continuación, identifique un subconjunto de usuarios (a través de una lista de usuarios permitido) de ese dominio público de mensajería INSTANTÁNEA que tienen permiso para enviar y recibir mensajería INSTANTÁNEA de los empleados internos.

Tomar ausente

A medida que mensajería INSTANTÁNEA se cada vez más popular, resulta cada vez más importante que los administradores tener una forma mantener seguro. Esperamos que la información de resumen presentada en qué Forefront Security para OCS, y los detalles adicionales alrededor de configuración y rendimiento, proporcionan una perspectiva en cómo FSOCS puede ofrecer confianza a los administradores que mensajería INSTANTÁNEA en su organización es seguro y de directiva.

Molly Gilmore es un administrador de programas trabajando en el equipo de Forefront Security rápida respuesta ingeniería ubicado en Isla de valor de tipo Long, Nueva York. A trabajar en la primera versión de Forefront Security para Office Communications Server, también trabaja directamente con los proveedores de software que desarrollan los motores de antivirus y protección contra correo electrónico no deseados distribuidos con la línea de producto Forefront Server Security. Molly contiene un patrón de ingeniería en Administración de ingeniería y un certificado de graduación en cuantitativo software Engineering de Stevens Institute of Technology. Inició como desarrollador de software en 1991 y trabajó en distintas funciones y tecnologías antes de unirse a Microsoft en 2006.