Protezione

Proteggere la messaggistica immediata con Forefront Security

Molly Gilmore

In un riepilogo delle:

• Protezione dei messaggi IMMEDIATI con FSOCS
• Distribuzione FSOCS in un ambiente OCS
• Flusso di messaggi di messaggistica IMMEDIATA e la velocità
• Gestire e proteggere il contenuto dei messaggi IMMEDIATI

Contenuto

Protezione antivirus ottimale servizi di messaggistica immediata
Distribuzione FSOCS in un ambiente OCS
Protezione dei trasferimenti di file in base messaggistica IMMEDIATA
Trasferimenti di file con utenti esterni
Messaggio STAMP
Flusso per messaggi immediati in OCS
Gestione di velocità effettiva di ricerca di messaggi
Gestione e protezione del contenuto dei messaggi IMMEDIATI
Esempi di configurazione
Richiedere stoccaggio

Forefront Security per Office Communications Server (FSOCS) è un prodotto antivirus di basate su server che fa parte di linea di prodotti Forefront Server. FSOCS fornisce protezione efficace in Messaggistica immediata, destinazione malware in ambienti OCS 2007 e OCS 2007 R2.

FSOCS analizza tutte le attività di messaggistica IMMEDIATA, inclusi la messaggistica immediata contenuto, nonché in base messaggistica IMMEDIATA trasferire file, di virus e contenuto non consentita. Controllare specifiche per la posizione e la modalità a tale scopo viene esposta all'amministratore di opzioni di configurazione prodotto facili da utilizzare. Le notifiche in tempo reale di virus threat detections e violazioni dei criteri impostare intorno a contenuto dei messaggi IMMEDIATI di possono essere attivate in FSOCS in modo che gli amministratori possono monitorare l'attività di protezione all'interno del sistema. Inoltre, FSOCS report e i contatori delle prestazioni sono disponibili per gli amministratori per la valutazione dello stato in corso e prestazioni di FSOCS e la protezione della messaggistica immediata provenienti tramite l'infrastruttura OCS.

Protezione antivirus ottimale servizi di messaggistica immediata

FSOCS si integra con iniziali di terze parti motori antivirus per verificare le risposte rapida e coerenti alle nuove ed evoluzione delle minacce borne messaggistica IMMEDIATA. Ogni istanza di FSOCS può disporre fino a cinque motori antivirus abilitati; il OCS standard, Access Edge, Director e server Front-End siano tutti protetti dalla soluzione multi-engine Forefront Server.

I motori antivirus sono installati nel server con ciascuna installazione di FSOCS, e FSOCS interagisce con ogni motore di messaggistica IMMEDIATA di virus. FSOCS ha la logica per valutare le informazioni di rilevamento fornite ogni modulo antivirus e per selezionare la sequenza di digitalizzazione più probabile che causare un rilevamento anticipata, saranno la precisione di un virus. Gli amministratori di decidere se sono virus con tutti i cinque motori antivirus o un sottoinsieme dei moduli disponibili. Gli amministratori non sono necessario configurare o interagire con i moduli singolarmente, come a tale scopo è FSOCS.

FSOCS include componenti per gestire l'aggiornamento continuo delle firme antivirus, nonché gli aggiornamenti binario nel documento di modulo, in modo che viene ottenuta la risposta in tempo reale all'evoluzione delle minacce. Questi aggiornamento componenti comunicano con un sistema ospitato da Microsoft che costantemente sondaggi partner antivirus download siti per recuperare, test e package motore e aggiornamenti firma 24 ore al giorno, ogni giorno dell'anno. Gli amministratori FCOCS possono determinare la frequenza con cui le installazioni tenta di recuperare gli aggiornamenti del modulo di gestione, ma FCOCS gestisca il processo di controllo dei download e installazione degli aggiornamenti senza problemi.

In ambienti in cui Forefront Server di Exchange o del Forefront Server per i prodotti SharePoint sono installati, FSOCS può essere configurato per recuperare gli aggiornamenti da un server di ridistribuzione configurate in precedenza.

Distribuzione FSOCS in un ambiente OCS

FSOCS può essere distribuito in ambienti OCS 2007 e OCS 2007 R2 e supporta le specifiche del server consigliate per ogni versione OCS. OCS 2007 richiede Windows Server 2003 SP1 il minimo, e Windows Server 2003 R2 pertanto è consigliata. OCS 2007 e FSOCS verranno eseguiti sulle versioni a 64 bit del sistema operativo Windows Server 2003 durante l'esecuzione in modalità WOW64. Le distribuzioni di R2 2007 OCS richiedono hardware a 64 bit, nonché Windows Server 2008, Windows Server 2003 (SP2) o Windows Server 2003 R2 (SP2).

FSOCS deve essere installato su ogni istanza DELL'OCS Edizione Standard, Front-End, Access Edge e ruoli del server director in ambienti OCS 2007 e OCS 2007 R2. In topologie di Enterprise Edition, FSOCS deve essere installato su ogni server che si trova all'interno di un Front-End, director o pool di Access Edge Server. Il diagramma nella Figura 1 Mostra FSOCS installati sui singoli ruoli server di OCS supportati.

Figura 1 FSOCS componenti distribuiti su ogni supportati OCS ruolo del server

Il ForefrontRTCProxy si integra con OCS 2007 e R2 2007 OCS tramite l'API di applicazioni di Office Communications Server 2007 Server. Quando FSOCS Registra con OCS, crea un'istanza oggetto MSFT_SIPApplicationSetting (definito in .NET Microsoft.RTC.Sip dello spazio dei nomi) e imposta l'attributo "critico" su true in modo che OCS non verrà avviato senza il servizio ForefrontRTCProxy sia in esecuzione.

Il ForefrontRTCProxy comunica con FSCController per creare un'istanza i processi FSOCScanner. È FSOCScanner che gestisce le chiamate di ricerca di virus per i motori antivirus attivati. Nella console amministrazione FSOCS nel riquadro opzioni SETTINGS…General il numero di processo di messaggistica IMMEDIATA impostazione determina la quante istanze del FSOCScanner ottenere creare. Istanze aggiuntive Aumenta velocità di digitalizzazione, anche se nel costo delle utilizza più risorse di sistema.

Ogni messaggio di messaggistica IMMEDIATA viene instradato attraverso il ForefrontRTCProxy e su un FSOCScanner disponibili, a cui si applica prima le regole del filtro e viene infine passa il messaggio nei motori antivirus configurati per ricercare eventuali virus all'interno del messaggio di messaggistica IMMEDIATA o file di trasferimento messaggi IMMEDIATI.

Se viene attivata una regola del filtro o ha rilevato un virus, l'agente di notifiche di messaggi IMMEDIATI FSOCS avvisa l'utente di messaggistica IMMEDIATA che un messaggio di messaggistica IMMEDIATA o di un file tentato inviare o ricevere contenuti un virus o la parola chiave con restrizioni o il tipo di file. Se lo si desidera vengono inviate notifiche per il mittente e destinatario tramite una sessione di messaggistica IMMEDIATA. Il contenuto del messaggio di notifica è personalizzabile.

L'forefront messaggistica IMMEDIATA notifica agente è stesso un client di OCS in modo che è possibile stabilire una sessione di messaggistica IMMEDIATA con il destinatario della notifica di messaggistica IMMEDIATA. (Per motivi di sicurezza, FSOCS non può inserire messaggi SIP la sessione di messaggistica IMMEDIATA che è il filtro in modo che crea il proprio sessione con l'utente).

Protezione dei trasferimenti di file in base messaggistica IMMEDIATA

Per impostazione predefinita, trasferimenti di file in base messaggistica IMMEDIATA si verificano come copia peer-to-peer TCP/FTP file tra due istanze di Office Communicator. La messaggistica SIP consente di negoziare il trasferimento del file viene instradata tra il invio e ricezione Communicators Office tramite OCS. Nella figura 2 è illustrata la sequenza della messaggistica SIP consente di impostare un trasferimento di file.

Nella figura 2 predefinito SIP OCS messaggistica consente di negoziare un trasferimento di file tramite Office Communicator

Il destinatario utilizza indirizzo IP del mittente per avviare la connessione TCP che consentirà il trasferimento di file FTP al verificarsi.

Come illustrato nella Figura 3 , quando è installato FSOCS, la sequenza è leggermente diverso. FSOCS Filtra il SIP per reindirizzare il trasferimento dei file tramite il server da memorizzare l'indirizzo IP di mittente originale e sostituirla con l'indirizzo IP FSOCS di messaggistica.

Nella figura 3 modifiche ai trasferimenti di file dopo aver installato FSOCS di messaggistica SIP

FSOCS utilizza l'indirizzo IP archiviato per connettersi a computer del mittente e quindi il file al server. FSOCS analizza il file e se il file è normale, consente il destinatario di trasferire il file dal server al desktop. Se il trasferimento dei file non riesce as a result of un'azione detect, verranno inviate notifiche configurate per il mittente, destinatario e/o amministratore. Per attivare l'analisi dei trasferimenti di file di base messaggistica IMMEDIATA per gli utenti interni non è necessaria nessuna configurazione aggiuntiva OCS o Office Communicator.

Trasferimenti di file con utenti esterni

Se la connessione necessarie per trasferire file tra utenti interni ed esterni viene effettuata correttamente, i file di trasferimento messaggi IMMEDIATI verranno essere protetti da FSOCS in Access Edge. Almeno un ruolo di server Access Edge deve essere disponibile per consentire di messaggistica IMMEDIATA con utenti esterni e ogni istanza del ruolo server Edge di Access deve avere FSOCS installato. Se l'amministratore desidera semplificare il trasferimento di file tra il lato, il firewall deve essere configurato per consentire connessioni in ingresso per l'applicazione di Forefront in esecuzione su ciascun server Access Edge. Per impostazione predefinita, si utilizza porte 6891 6900, ma l'intervallo di porte può anche essere configurata tramite due chiavi del Registro di sistema: FileTransferStartPortRange e FileTransferMaxPorts

Messaggio STAMP

In una topologia Edizione Enterprise, potrebbe essere indirizzato un messaggio SIP tra più istanze di OCS e FSOCS. La prima istanza di FSOCS determina che un messaggio è normale verrà aggiunto un indicatore di messaggio il messaggio SIP. Ciò avviene tramite la proprietà Message.Stamp della classe messaggio nello spazio dei nomi Microsoft.RTC.Sip. La proprietà Message.Stamp possibile aggiornata, memorizzare nel messaggio SIP e successivamente passare avanti la sequenza di routing del messaggio SIP. FSOCS questa proprietà viene utilizzata per indicare che un messaggio SIP è già stato analizzato.

Flusso per messaggi immediati in OCS

Alla base di ogni OCS ruolo del server è un'implementazione di un server SIP con i servizi proxy, reindirizzamento e Registro configurazioni. Questi servizi consentire contenuto al server di OCS di ricevere messaggi SIP con la messaggistica IMMEDIATA, individuare destinazione punti di fine dell'agente utente, ad esempio Office Communicator e inviare o inoltrare i messaggi SIP di conseguenza. FSOCS protegge tutti i messaggi IMMEDIATI inserendo stesso nel flusso di routing dei messaggi SIP per analizzare e filtrare messaggistica IMMEDIATA per la ricerca di virus o altro contenuto non consentito in modo possibile bloccare compromesse messaggistica IMMEDIATA di essere trasmessi. Inserendo stesso direttamente nel flusso di messaggi SIP, FSOCS possibile proteggere messaggistica IMMEDIATA con un impatto minimo sulle prestazioni OCS.

Nella figura 4 è illustrato il tipico flusso di messaggi SIP come viene instradato attraverso una topologia Edizione Enterprise OCS con FSOCS installato. Messaggistica IMMEDIATA è stata abilitata per un partner federato. In questo scenario, un utente appartenente all'organizzazione federata avvia un messaggio immediato a un utente interno. In questo campo è la sequenza di eventi:

1. Il punto di ingresso 1.The messaggistica IMMEDIATA è Access Edge server. L'istanza di FSOCS in Access Edge server riceve la messaggistica IMMEDIATA, analisi di virus e le regole del filtro e determina che sia sicuro. La messaggistica IMMEDIATA contrassegnato come pulito e verrà instradato tramite il ruolo di server director nel modo per computer del destinatario della rete interna.
2. Ruolo di server 2.The director è stata distribuita come consigliato per l'autenticazione dell'utente dai server front-end di offload. Questo ruolo del server è in genere distribuito nella rete interna in modo che possa accedere all'istanza di Active Directory archiviazione delle informazioni di configurazione utente OCS. La messaggistica IMMEDIATA viene instradata al server da Access Edge. In genere, internamente affiancate server dell'hop successivo per un Access Edge è il ruolo di server director. FSOCS controlla se la messaggistica IMMEDIATA è già stato contrassegnato come pulitura da un'istanza precedente di FSOCS e pertanto, verrà visualizzato l'elaborazione del messaggio e consentirà di OCS route Avanti.
3. 3.The messaggistica IMMEDIATA viene instradata accanto al pool di server Front-End. Il destinatario verrà da assegnare a uno del server Front-End nel pool. Dell'istanza di FSOCS in server Front-End che riceve i messaggi IMMEDIATI potrà inoltre ignorare la messaggistica IMMEDIATA come è già stato contrassegnato come pulito. Server Front-End individua il destinatario e distribuito la messaggistica IMMEDIATA Avanti.

Nella figura 4 SIP flusso di messaggi in una topologia Edizione Enterprise OCS

Tutti i questa attività è trasparente per l'utente finale.

Gestione di velocità effettiva di ricerca di messaggi

Quando distribuito all'interno di un ambiente OCS Enterprise Edition, FSOCS fornisce un meccanismo per gestire in modo imprevisto simbolo attività di messaggistica IMMEDIATA. In questi rari casi, può migliorare la profondità della coda di memorizzazione i messaggi di messaggistica IMMEDIATA di essere analizzati dal FSOCS su un server e il punto che un messaggio di messaggistica IMMEDIATA alla fine della coda non verrà essere analizzato all'interno di una quantità di tempo accettabile.

Sono disponibili le azioni predefinite che FSOCS richiederà in tal caso, così come opzioni di configurazione all'amministratore per gestire le azioni FSOCS. Poiché FSOCS sono riservati alla lunghezza della coda di messaggi messaggistica IMMEDIATA in attesa di essere analizzato, una soglia predefinita per la massima profondità della coda messaggi IMMEDIATI è stata stabilita per indicare se una coda ha raggiunto troppo grande. Azione che di risposta a un evento di superamento soglia lunghezza coda vengono messe FSOCS dipende il ruolo del server in cui viene distribuito FSOCS. Ecco le azioni predefinite intraprese sul ruolo del server indicato.

Accesso Edge Route FSOCS messaggistica IMMEDIATA Avanti unscanned all'istanza successiva di FSOCS, senza applicare alcun indicatore di messaggio.

director Cicli di lavorazione FSOCS messaggistica IMMEDIATA unscanned inoltrare e unstamped al ruolo del server Front-End. Il destinatario non riceveranno il messaggio immediato a meno che non ha passato tramite un'istanza del ruolo del server Front-End.

front-End FSOCS analizza la messaggistica IMMEDIATA. Nell'evento improbabile che la coda di messaggi IMMEDIATI supera la soglia a questo ruolo di server, FSOCS verrà adottare misure aggiuntive per risolvere il problema ma alla fine verranno eliminare il messaggio anziché consentire tramite unscanned.

Si noti che i valori di soglia possono essere impostati sui singoli ruoli server tramite la chiave del Registro di sistema MessageOverloadWatermark. Il valore viene memorizzato come un DWORD con le impostazioni predefinite seguenti: 1.000 per Access Edge, 3, 000 di director e 10.000 per i ruoli del server Front-End.

Messaggio STAMP inoltre può essere disattivato impostando la chiave del Registro di sistema DisableMessageStamp. Questo viene memorizzato come un valore DWORD; il valore predefinito è 0, ma può essere impostato su 1 per disattivare il messaggio STAMP.

Gestione e protezione del contenuto dei messaggi IMMEDIATI

FSOCS offre un ulteriore livello di controllare il flusso delle informazioni tramite messaggistica IMMEDIATA sia internamente (tra dipendenti all'interno della rete interna) e tra del perimetro della rete a utenti esterni. All'interno di FSOCS, questi controlli vengono inseriti in vigore tramite tre tipi di filtro diverso.

i filtri di file può essere configurati per impedire l'invio tra gli utenti di messaggistica IMMEDIATA di determinati file. Gli amministratori possono identificare i file da limitata da specificare i nomi di file, le estensioni di file, le dimensioni dei file o tipi di file (rilevamento del tipo di file true è incluso). Ad esempio FSOCS può essere configurato per bloccare tutti i file eseguibili da trasferiti tramite messaggistica IMMEDIATA, anche se l'estensione del file è stato modificato da exe in txt.

Gli amministratori possono definire ulteriormente trasferimenti di file in base messaggistica IMMEDIATA mediante l'identificazione in cui una regola del filtro file verrà inserita in effetto. È possibile applicare le regole dei filtri file per tutti i file trasferiti messaggi IMMEDIATI o in modo specifico per i file inviati tra gli utenti interni, file di intestazione in uscita da utenti interni a utenti esterni o i file provenienti in ingresso da un utente esterno all'interno del perimetro della rete a un utente interno. Ad esempio FSOCS può essere configurato per consentire tutti i tipi di file per essere trasferiti tramite messaggistica IMMEDIATA tra gli utenti interni ma per bloccare tutti i file eseguibili provenienti da utenti esterni agli utenti interni.

è possibile configurare i filtri di parola chiave ai file trasferiti basati su testo e bloccare messaggi IMMEDIATI messaggio contenuto l'invio quando contengono limitate parole o frasi. È possibile definire le parole chiave o frasi in qualsiasi lingua. Inoltre, FSOCS dotato di un elenco di messaggi blasfemi installabile che gli amministratori, facoltativamente, possono utilizzare per bloccare il linguaggio offensivo in messaggistica IMMEDIATA. I filtri di parola chiave possono essere anche associato con la direzione della messaggistica IMMEDIATA o il file trasferiti; interno, in entrata o in uscita.

i filtri del contenuto consentono all'amministratore per impedire a messaggistica IMMEDIATA o i file di trasferimento messaggi IMMEDIATI in base al dominio o l'URI SIP del mittente di messaggistica IMMEDIATA o destinatario. Utilizzando un carattere jolly, messaggistica IMMEDIATA e i file trasferiti possono essere bloccati per tutti gli utenti di un dominio specificato.

Ad esempio per la configurazione " *. unknown.com " all'interno di un filtro contenuto, tutti i messaggi IMMEDIATI da o a utenti associati al dominio unknown.com verranno bloccati. Messaggistica IMMEDIATA può essere bloccato anche a livello di utente configurando URI SIP di un singolo utente.

Alcuni concetti sono rilevanti per tutti i filtri in FSOCS:

rilevare azioni determinano l'elaborazione FSOCS vengano eseguiti su qualsiasi messaggio di messaggistica IMMEDIATA o trasferimento file che corrisponde a configurato criteri di filtro. Ad esempio, un filtro di parola chiave in FSOCS può essere configurato con un'azione detect di blocco in modo che un messaggio di messaggistica IMMEDIATA che contiene una parola chiave con restrizioni non verrà raggiungere qualsiasi utente.

le notifiche sono gli avvisi facoltativi generati dal FSOCS quando un'azione detect ha luogo. Gli avvisi possono essere configurati per il filtro e sempre possono essere inviati all'amministratore. A seconda il tipo di filtro, il mittente di messaggistica IMMEDIATA, il destinatario o entrambi può essere informato su un'azione detect. Ad esempio, se un mittente tenta di messaggistica IMMEDIATA di una parola con restrizioni o una frase, FSOCS è possibile configurare per inviare un avviso all'amministratore e al mittente che indica che la messaggistica IMMEDIATA è stato bloccato a causa la parola chiave con restrizioni.

Le notifiche vengono sempre inviate all'amministratore tramite posta elettronica, mittenti e destinatari riceve la notifica tramite una conversazione IMMEDIATA avviata da FSOCS.

quarantena è l'archivio dei messaggi IMMEDIATI e trasferito i file vengono bloccati as a result of un'azione detect. Gli amministratori è possibile valutare gli elementi in quarantena e inviarli tramite posta elettronica per il destinatario originale e ad altri utenti se considerare il contenuto o il file da appropriato.

Esempi di configurazione

Ora consideriamo come un amministratore può garantire che informazioni riservate o private che openly illustrate alcuni dipendenti ottenere non inviati a tutti gli utenti all'esterno della società tramite messaggistica IMMEDIATA. Questo è importante OCS sono stati configurati per consentire di messaggistica IMMEDIATA con organizzazioni federate e numerose reti di messaggistica IMMEDIATA pubbliche.

Un modo per raggiungere questo obiettivo consiste nel configurare ciascuna istanza di FSOCS viene distribuito sul ruolo OCS Access Edge server con un filtro di parola chiave che blocca qualsiasi messaggio di messaggistica IMMEDIATA o di un file trasferiti basato su testo contenenti le parole con restrizioni o frasi da inviati da un utente interno a un utente esterno. Come osservato in precedenza, tutti i programmi trasmessi dai ad messaggistica IMMEDIATA over the messaggi inviati da un utente interno a un utente esterno vengono instradati attraverso il ruolo di server Access Edge prima di raggiungere l'utente esterno, in modo FSOCS bloccherà queste informazioni sul perimetro della rete.

Se l'amministratore desidera bloccare offensiva le informazioni di ingresso nella rete interna da utenti esterni che potrebbero essere trasmessi tramite un messaggio di messaggistica IMMEDIATA o trasferire file, invece, i filtri di parola chiave devono essere configurati su istanze di FSOCS installati nella rete interna nella OCS standard o i ruoli del server Front-End.

Gli amministratori di ottenere il controllo maggiore tramite consentito utente elenchi, che forniscono l'opzione di configurazione FSOCS per escludere un gruppo di utenti dall'con i messaggi IMMEDIATI valutato con filtri configurati. Amministratore possibile associare un elenco di utenti consentito il tipo di filtro che si desidera ignorare. Ad esempio, un amministratore può configurare FSOCS per bloccare tutti i messaggistica IMMEDIATA da un dominio di messaggistica IMMEDIATA pubblico utilizzando un filtro del contenuto, quindi identificazione di un sottoinsieme di utenti (tramite un elenco di utenti consentito) del dominio messaggistica IMMEDIATA pubblica che sono autorizzati a inviare e ricevere messaggi IMMEDIATI da dipendenti interni.

Richiedere stoccaggio

Come messaggistica IMMEDIATA diventa sempre più comuni, è sempre più importante che gli amministratori hanno un modo per mantenere protetto. Ci auguriamo che vengono presentate in quali Forefront Security per OCS le informazioni di riepilogo e dettagli aggiuntivi intorno a configurazione e le prestazioni, fornire una conoscenza in modalità FSOCS consentono sicurezza agli amministratori che messaggistica IMMEDIATA di propria organizzazione sia protetto e all'interno dei criteri.

Gilmore Molly è una gestione programma lavorando il team di Forefront Security rapida risposta Engineering che si trova sul valore LV (valore lungo, Long Value) isola, New York. Oltre a lavorare nell'prima versione di Forefront Security per Office Communications Server, utente anche interagisce direttamente con i fornitori di software che consente di sviluppare i motori antivirus e civili distribuiti con la linea di prodotti Forefront Server Security. Molly contiene un master di progettazione in ingegneria di processo di gestione e un certificato di laurea in quantitativa software engineering da Stevens Institute of Technology. Utente avviato come sviluppatore software in 1991 e utilizzato in diversi ruoli e tecnologie prima di unirsi a Microsoft nel 2006.