Forefront Security for Office Communications Server 簡介

 

適用於: Forefront Security for Office Communications Server

主題上次修改日期: 2008-11-14

即時訊息 (IM) 使用容易、傳遞迅速,而且可讓使用者與同事進行線上即時「交談」,並輕鬆快速地交換檔案。可惜,它的好用和速度卻也成為病毒傳輸和擴散的絕佳媒介。

IM 環境需要可以防止病毒散佈的防毒、檔案篩選及內容篩選解決方案,利用對伺服器效能或郵件傳遞次數影響最小的方式,即時掃描所有郵件和檔案傳輸。

Microsoft Forefront Security for Office Communications Server (FSOCS) 會掃描並篩選經由 IM 傳輸的即時訊息和檔案,以提供即時保護。

FSOCS 提供強大的功能,包括下列各項:

  • 使用多個防毒掃描引擎進行防毒掃描。

  • 依檔案名稱、類型、副檔名或大小進行檔案篩選。

  • 對系統管理員、郵件寄件者和收件者進行全面通知。

  • 提供效能計數器,進行 FSOCS 狀況和活動監視。

  • 針對 IM 訊息內容進行關鍵字篩選。

FSOCS 為即時訊息伺服器提供強大的保護,而且是 OCS 2007 和 OCS 2007 R2 環境的防毒解決方案。

各防毒廠商無不希望能盡快發行簽章,但是對於每種病毒威脅,各個防毒研究實驗室取得病毒樣本、加以分析然後發行簽章的速度卻不盡相同。藉由使用多個防毒掃描引擎,FSOCS 客戶便能瞭解引擎多樣化的優點。使用五個防毒掃描引擎掃描郵件時,攔截新病毒的機率,一定高於使用單個引擎。

當 FSOCS 掃描檔案或郵件時,會依照列出的順序執行下列工作。

  • 允許的寄件者-收件者掃描—如果啟用「允許的寄件者-收件者清單」功能,FSOCS 會將郵件寄件者的網域或位址與允許的寄件者-收件者清單進行比較。如果郵件來自允許的寄件者-收件者清單中的網域或位址,則會將郵件傳遞給收件者,而略過指定的篩選工作。您可以將允許的寄件者-收件者清單設為略過關鍵字篩選、檔案篩選和內容篩選。如需相關資訊,請參閱 FSOCS 檔案篩選FSOCS 關鍵字篩選FSOCS 內容篩選

  • 內容篩選掃描—啟用內容篩選時,FSOCS 會將郵件寄件者與寄件者-收件者篩選清單中的寄件者及網域進行比較,以判斷適用於該郵件的篩選設定。如需相關資訊,請參閱 FSOCS 內容篩選

  • 關鍵字篩選掃描—啟用關鍵字篩選時,FSOCS 會搜尋郵件內容中是否有項目符合已建立之關鍵字篩選清單中的項目。如需相關資訊,請參閱 FSOCS 關鍵字篩選

  • 蠕蟲清除—會將檔案內容與已知蠕蟲清單進行比較。如需相關資訊,請參閱清除受蠕蟲感染的 IM 訊息和檔案傳輸

  • 檔案篩選—啟用檔案篩選時,FSOCS 會將透過 IM 傳輸的檔案與檔案篩選清單進行比較。檔案篩選清單可讓您搜尋具有特定名稱、類型和大小的檔案。如需相關資訊,請參閱 FSOCS 檔案篩選

  • 病毒偵測—FSOCS 會使用多重病毒掃描引擎來判斷檔案是否包含病毒。如需相關資訊,請參閱 FSOCS 多重掃描引擎

如果在包含 FSOCS 的伺服器上使用協力廠商的檔案層級防毒程式,為了避免損毀 FSOCS,請務必不要掃描安裝 FSOCS 的資料夾以及 OCS 資料夾本身。這些資料夾預設位於下列位置:

<磁碟機>:\Program Files\Microsoft Forefront Security\Office Communications Server

<磁碟機>:\Program Files\Microsoft Office Communications Server 2007

<磁碟機>:\Program Files\Microsoft Office Communications Server 2007 R2

除了支援 OCS 2007 和 OCS 2007 R2 Standard Edition 伺服器角色,FSOCS 也支援 Enterprise Edition 提供的下列 2007 伺服器角色。

注意事項注意:
支援包含外部使用者的 IM 時,建議您同時在 Access Edge 和 Director 伺服器角色上部署 FSOCS。如果這兩個伺服器角色中有任何一個是部署在伺服器集區內,也應該將 FSOCS 部署在 Access Edge 和 Director 伺服器角色的每個執行個體中。
  • 前端伺服器角色–這個角色一律存在於 Enterprise Edition 拓撲,通常會部署在內部網路中。它可能會是單一的伺服器執行個體,或是多個部署於伺服器集區 (位於 Enterprise Edition 部署拓撲的硬體負載平衡器後方) 之前端伺服器的其中一個。FSOCS 應部署在 OCS 前端伺服器角色的每個執行個體中。也就是說,如果集區中有六個前端伺服器,就必須在其中每一個伺服器上部署 FSOCS。

  • Access Edge Server 角色–當系統管理員想要允許外部使用者與內部使用者進行通訊時,就需要這個角色。外部使用者可能是同盟組織或公用 IM 網路 (例如 Yahoo 、 AOL 或 MSN) 的使用者,也可能是 Active Directory 中具有識別碼的遠端使用者 (其正在透過 VPN 外部的 OCS 進行通訊)。Access Edge Server 角色是部署於網路周邊,介於對內和對外的防火牆之間。它可能會是獨立的伺服器,或是多個部署於伺服器集區 (位於 Enterprise Edition 部署拓撲之網路周邊中的硬體負載平衡器後方) 之 Access Edge Server 的其中一個。

  • Director 伺服器角色–這個角色通常部署在內部網路中,其目的是要卸下前端伺服器角色的使用者驗證責任。Director 會同時驗證內部和外部使用者。雖為選用角色,但是強烈建議您使用。它可能會是獨立的伺服器,或是多個部署於 Enterprise Edition 部署拓撲硬體負載平衡器前方之 Director 伺服器的其中一個。

如需 OCS 2007 和 OCS 2007 R2 伺服器角色和部署方針的相關資訊,請參閱 Office Communications Server (英文) 網站中的《OCS 2007 規劃指南》。

您可以透過上述所有伺服器角色傳送即時訊息。在支援外部使用者的 Enterprise Edition 拓撲中,當即時訊息一路從企業外部穿越周邊網路進入內部網路,而最終送達預定的 IM 收件者時,會經過多個伺服器角色。將 FSOCS 安裝在支援的伺服器角色的每個執行個體之後,IM 訊息可能會經過多次掃描和篩選。

為避免這種情況發生,FSOCS 會確認只掃描「工作階段初始通訊協定」(Session Initiation Protocol,SIP) 訊息和 IM 檔案傳輸一次。如果在 FSOCS 的執行個體第一次判定 IM 或檔案未受感染,不會觸發任何篩選規則時,將訊息戳記套用至 IM 訊息內容,就可以達成此目的。

例如,有一個從外部遠端使用者傳送至內部使用者的 IM 訊息傳遞經過 Access Edge Server 角色。如果這個 FSOCS 執行個體判斷訊息未受感染、未包含限制的關鍵字,且不是來自封鎖的寄件者,那麼當訊息經過前端伺服器角色 (會傳送該訊息至預定的內部收件者) 時,就不會再次掃描這個訊息。

預設會啟用這個訊息戳記行為。如果您想要停用這個功能 (亦即讓訊息由遇到的每一個 FSOCS 執行個體進行掃描),請開啟登錄,然後瀏覽至下列位置中的 [Forefront Server Security] 登錄機碼:

HKLM\SOFTWARE\Microsoft\Forefront Server Security\Office Communications Server

然後,設定下列登錄機碼設定:

DisableMessageStamp

DWORD 值

預設值 = 0

FSOCS 會掃描病毒,並將檔案篩選規則套用至內部網路中內部使用者之間進行的 IM 檔案傳輸。

FSOCS 也會掃描病毒,並將檔案篩選規則套用至內部與外部使用者之間的 IM 檔案傳輸。至少必須要有一個 Access Edge Server 角色可以使用,才能允許與外部使用者進行即時訊息傳送。Access Edge Server 角色的每個執行個體必須已安裝 FSOCS。

若要協助檔案傳輸穿越 Edge,應將防火牆設定為允許輸入連線至每個 Edge Server 上執行的 Forefront 應用程式。預設連接埠為 6891 至 6900,但您可以設定兩個登錄機碼來變更這些值。若要修改連接埠範圍,請開啟登錄,然後瀏覽至下列位置中的 [Forefront Server Security] 登錄機碼:

HKLM\SOFTWARE\Microsoft\Forefront Server Security\Office Communications Server

然後,設定下列兩個登錄機碼設定:

FileTransferStartPortRange

DWORD 值

預設值 = 6891

以及

FileTransferMaxPorts

DWORD 值

預設值 = 10

在兩個內部使用者之間經由 IM 傳輸檔案時,Enterprise Edition 拓撲中的前端伺服器角色執行個體或 Standard Edition 伺服器角色會掃描檔案是否有病毒和篩選規則。

如果 Enterprise Edition 拓撲中有 Access Edge 和 Director 伺服器角色存在,且其中的檔案傳輸是在內部與外部使用者之間進行,則掃描檔案的伺服器角色將視檔案傳輸的方向而定。如果檔案是從內部使用者傳送至外部使用者 (輸出),則會在 Access Edge Server 角色上掃描檔案。如果檔案是從外部使用者傳送至內部使用者 (輸入),則會在前端伺服器角色上掃描檔案。即使可以在不同伺服器上掃描檔案傳輸,您仍然必須將 FSOCS 安裝在所有前端伺服器角色中,如此檔案傳輸才會受到保護。

系統管理員可在 Access Edge 或 Director 伺服器角色上停用檔案掃描,藉以改變掃描輸出檔案傳輸所在的位置。如果 Access Edge Server 角色上的 FSOCS 執行個體已停用檔案掃描,就會在 Director 伺服器角色 (如果有的話) 上掃描輸出檔案傳輸。如果 Director 伺服器角色不存在,或者系統管理員已在 Access Edge 和 Director 伺服器角色兩端停用檔案掃描,則會在前端伺服器角色上掃描輸出檔案。

若要在 Access Edge 或 Director 伺服器角色上停用掃描,請開啟登錄,然後瀏覽至下列位置中的 [Forefront Server Security] 登錄機碼:

HKLM\SOFTWARE\Microsoft\Forefront Server Security\Office Communications Server

然後,設定下列登錄機碼設定:

FileScanningDisabled

DWORD 值

預設值 = 0

注意事項注意:
此設定不適用於前端或 Standard Edition 伺服器角色。

最新的 Microsoft FSOCS 文件可在 Microsoft Forefront Security for Office Communication 中找到。

 
顯示: