共用方式為

  • 發行項

安全性

保護具有 Forefront 安全性的立即訊息

Molly Gilmore

 

簡介:

  • 保護 FSOCS 的立即訊息
  • 如果要在 OCS 環境中,部署 FSOCS
  • IM 訊息流程和輸送量
  • 管理及保護 IM 內容

內容

最佳化的防毒保護 」 的 IM
部署在 OCS 環境 FSOCS
設定 IM-基礎檔案開信點閱數的安全性
與外部的使用者的檔案開信點閱數
訊息戳記
OCS 內的 IM 訊息流程
管理訊息掃描輸送量
管理及保護 IM 內容
組態範例
立即取得

Forefront Security for Office Communications Server (FSOCS) 會是一個伺服器防毒產品是 Forefront Server 的產品線的一部分。 FSOCS 提供有效的保護,如果針對即時訊息-目標 OCS 2007 和 OCS 2007 R2 環境內的惡意軟體。

FSOCS 掃描所有 IM 活動 — 包括立即訊息內容,以及為 IM-以傳送檔案 — 的病毒和禁止使用的內容。 精密控制何處以及如何完成公開給系統管理員透過易於使用的產品組態選項。 即時通知病毒威脅的偵測,且破壞的 IM 內容所設定的原則可以啟用 FSOCS 內,讓系統管理員可以監視安全性活動,在系統中。 此外,FSOCS 報告和效能計數器可評估,持續健康情況和效能的 FSOCS 的即時通訊傳送透過 OCS 基礎結構安全性的系統管理員。

最佳化的防毒保護 」 的 IM

FSOCS 整合前置的協力廠商的防毒引擎,以確保 「 快速 」 和 「 一致性的回應,新的和發展 IM-攜帶的潛在威脅。 FSOCS 的每個執行個體可以有最多五個防毒引擎,啟用 ; OCS Standard Edition、 Access 邊緣、 Director,以及前端伺服器所有保護 Forefront Server multi-engine 解決方案。

防毒引擎伺服器上安裝 FSOCS 的每個安裝以及 FSOCS 互動與 IM 病毒掃描的每個引擎。 FSOCS 會有邏輯來評估每個防毒引擎提供偵測資訊,以及選擇最有可能會導致病毒的早期,正確偵測掃描的順序。 系統管理員決定是否要病毒掃描所有的五個防毒引擎] 或 [可用的引擎的子集。 設定或互動與這些引擎個別,FSOCS 所完成,不需要系統管理員。

FSOCS 包含的元件,以管理持續更新的防毒簽章,以及引擎的二進位更新,以便即時回應發展潛在威脅來達成。 這些更新與 Microsoft 主控的系統,不斷地輪詢防毒合作廠商的下載網站來擷取,測試,通訊元件,以及封裝引擎] 及 [簽章更新一天,年每一天 24 小時中。 FCOCS 系統管理員可以判斷其安裝頻率會嘗試擷取引擎的更新,但 FCOCS 處理檢查下載] 和 [順利安裝更新程式的程序]。

在安裝 「 Exchange Forefront Server 」 或 「 SharePoint 產品的 Forefront Server 是的環境 FSOCS 可以用來擷取先前設定的轉散發伺服器的更新程式中設定。

部署在 OCS 環境 FSOCS

FSOCS 可以部署在 OCS 2007 和 OCS 2007 R2 的環境中,並支援建議每個 OCS 版本的伺服器規格。 OCS 2007 部署會需要 Windows Server 2003 SP1,至少,Windows Server 2003 R2 建議此設定。 在 OCS 2007] 和 [FSOCS 將版本上執行 64 位元 Windows Server 2003 作業系統的 WOW64 模式中執行時。 OCS 2007 R2 部署會需要 64 位元的硬體,以及 Windows Server 2008,Windows Server 2003 (SP2) 」 或 「 Windows Server 2003 R2 (SP2)。

FSOCS 都應安裝在 OCS Standard Edition 前, 端,Access Edge 和 Director 伺服器角色在 OCS 2007 和 OCS 2007 R2 的環境中每個執行個體上。 在 Enterprise Edition 的拓撲 FSOCS 應該安裝在每個前端,Director 或 Access 內的伺服器上 Edge Server 集區。 [圖 1 ] 中的此圖表會顯示每個支援的 OCS 伺服器角色上所安裝的 FSOCS 元件。

fig01.gif

[圖 1 FSOCS 元件部署在每個支援 OCS 伺服器角色

透過 Office Communications Server 2007 伺服器應用程式的 API,與 OCS 2007] 和 [OCS 2007 R2 整合,ForefrontRTCProxy。 使用 OCS,註冊 FSOCS,具現化 MSFT_SIPApplicationSetting 物件 (定義於.Net Microsoft.RTC.sip 命名空間),並將"重要屬性為 true,以便 OCS 不會啟動不 ForefrontRTCProxy 服務執行設定。

在 ForefrontRTCProxy 會與 FSCController,具現化 FSOCScanner 處理程序進行通訊。 它是在 FSOCScanner 管理防毒引擎已啟用病毒掃描呼叫。 在系統 FSOCS 管理主控台 SETTINGS…General 選項面板上,IM 的處理序計數設定會決定取得,建立的 FSOCScanner 的多少執行個體。 其他的執行個體掃描的輸送量雖然在成本的增加使用更多的系統資源。

透過 [ForefrontRTCProxy] 和 [到它先,套用篩選規則,然後傳遞訊息到設定的防毒引擎來尋找任何病毒,IM 訊息或 IM-傳輸檔案內的可用 FSOCScanner,則每個 IM 訊息是路由。

如果將篩選規則會觸發,或是偵測到病毒,FSOCS IM 通知代理程式警告 IM 使用者的 IM 訊息或檔案在嘗試傳送或接收包含病毒或受限制的關鍵字或檔案類型。 選擇性地會傳送通知至寄件者和收件者,透過的 IM 工作階段。 通知訊息內容是可自訂的。

Forefront IM 通知代理程式是 OCS 的本身用戶端,可以建立與 IM 通知的收件者的 IM 工作階段。 (基於安全性的理由 FSOCS 無法將 SIP 訊息插入篩選功能讓使用者建立自己的工作階段的 IM 工作階段)。

設定 IM-基礎檔案開信點閱數的安全性

預設的情況下,IM-基礎檔案傳輸點對點 TCP / FTP 檔案複本的 Office Communicator 的兩個執行個體之間發生。 在 SIP 訊息使用來交涉 「 檔案傳輸是之間路由傳送傳送和接收 Office Communicators 透過 OCS。 [圖 2 ] 顯示 SIP 訊息,用來設定檔案傳輸的密。

fig02.gif

[圖 2] 預設 OCS SIP 訊息用來交涉透過 Office Communicator 傳輸檔案

收件者用來啟始 TCP 連接,可讓 FTP 檔案傳輸進行寄件者的 IP 位址。

[圖 3 ] 顯示,安裝 FSOCS 時順序是有點不同。 FSOCS 篩選在 SIP 訊息以將檔案傳輸,透過伺服器重新導向將儲存在原始寄件者 IP 位址,並且將它取代 FSOCS IP 位址。

fig03.gif

[圖 3] 修改到 SIP FSOCS 安裝之後,檔案傳輸的郵件

FSOCS 使用預存的 IP 位址連接到 [寄件者的電腦,並再將複製到伺服器的 [檔案中。 FSOCS 會掃描檔案,並如果檔案是初始狀態,允許收件者將檔案從伺服器傳輸到桌上型電腦。 如果檔案傳輸失敗,在偵測動作的結果,設定的通知將傳送寄件者、 收件者,及 / 或系統管理員。 沒有其他設定 OCS 或 Office Communicator 需要啟用掃描的內部使用者的 IM-基礎檔案傳輸。

與外部的使用者的檔案開信點閱數

如果成功建立連線所需的內部和外部的使用者之間傳輸檔案,IM-傳輸檔案將會受到 FSOCS 在 Access 邊緣。 至少一個 Access Edge 伺服器角色需要可允許外部使用者 IM,並且每個 Access Edge 伺服器角色的執行個體需要 FSOCS 安裝。 如果系統管理員,想要在邊緣促進檔案傳輸,防火牆應該被設定為允許在每個 Access Edge Server 上執行 Forefront 應用程式的輸入的連線] 中。 預設的情況下,這會使用連接埠 ;-6900,但您也可以透過兩個登錄機碼設定連接埠範圍: FileTransferStartPortRange 和 FileTransferMaxPorts

訊息戳記

在的 Enterprise Edition] 拓樸無法被跨多個執行個體,OCS 和 FSOCS 的路由 SIP 訊息。 第一個執行個體 FSOCS,決定訊息是初始狀態會將訊息戳記新增至 SIP 訊息中。 它會使用訊息類別,message.stamp 屬性 Microsoft.RTC.sip 命名空間中的。 message.stamp 屬性可以更新,儲存在 SIP 訊息並接著傳轉寄透過 SIP 訊息的路由序列。 FSOCS 使用這個屬性,表示已經已掃描 SIP 訊息。

OCS 內的 IM 訊息流程

每個 OCS 的核心伺服器角色會是 SIP 伺服器與 Proxy、 重新導向,域名註冊商服務的實作。 這些服務會允許 OCS 伺服器接收具有 IM 的 SIP 訊息的內容,找出目標使用者代理程式結束點,例如,Office Communicator,和路由或適當轉寄 SIP 訊息。 FSOCS 保護所有 IM,藉由本身插入 SIP 郵件路由流量掃描,並篩選 IM 的病毒,或其他禁止使用的內容,因此它可以封鎖危害 IM,從傳輸]。 藉由插入本身權限 SIP 訊息流程,FSOCS 可以保護 IM 最小 OCS 效能的影響。

[圖 4 ] 顯示典型 SIP 訊息流程,它會在的 OCS Enterprise Edition 拓撲與 FSOCS 安裝路由傳送。 IM 已啟用聯盟的協力廠商。 在這種情況下,屬於聯盟的組織使用者啟始對內部使用者的 IM。 以下是事件的順序:

  1. 1.the IM 的起點會是 Access Edge Server。 FSOCS 的執行個體,Access Edge 伺服器上會接收 IM,它會掃描的病毒和篩選規則,並判斷它安全。 IM 戳記為初始狀態,並透過傳送到其預定的收件者的內部網路上的電腦在 Director 伺服器角色。
  2. 已部署 2.the Director 伺服器的角色,以卸載前端伺服器的使用者驗證的建議。 這個伺服器角色是通常部署在內部網路上,讓它能夠存取 Active Directory 執行個體儲存 OCS 使用者組態資訊。 路由 IM 被傳送至此伺服器從 Access 邊緣。 通常,Access 邊緣的內部面 Next Hop 伺服器都是 Director 伺服器角色。 FSOCS 會檢查如果 IM 已已經被戳記為初始狀態 FSOCS 的舊版執行個體所,並因此,它會避免處理進一步的訊息,並將會讓 OCS 轉寄路由傳送它。
  3. 路由傳送 3.the IM 到在前端伺服器集區旁邊。 預定的收件者將會是其中一個集區中的前端伺服器主伺服器。 FSOCS 的執行個體接收 IM 前端伺服器上也會略過 IM,已經戳記為初始狀態。 前端伺服器尋找收件者,以及路由傳送 IM 轉寄。

fig04.gif

[圖 4 SIP 的 OCS Enterprise Edition 拓撲中的郵件流量

所有此活動都不會感受到使用者。

管理訊息掃描輸送量

當部署的 OCS Enterprise Edition 環境中,FSOCS 會提供處理預期的重裝 IM 活動機制。 在這些罕見的情況下儲存要由 FSOCS 掃描伺服器上,IM 訊息在佇列的深度,可以增加到佇列的結尾的 IM 訊息將不會掃描的可接受的時間內的點。

有 FSOCS 會採取發生這種情況,以及管理 FSOCS 將的動作的管理員可用的組態選項的預設動作。 因為 FSOCS 是機密等待要掃描的 IM 訊息佇列的長度,就已經建立一個最大的 IM 佇列深度的預設閾值,表示當佇列成長太大。 FSOCS 會回應佇列長度閾值已超過事件動作取決於伺服器角色 FSOCS 部署的位置。 以下是所指定的伺服器角色採取預設動作。

存取邊緣 FSOCS 路由,而不套用任何訊息戳記轉寄的 IM unscanned FSOCS 的下一個執行個體。

導演 FSOCS 路由 IM 向前 unscanned,並 unstamped 到前端伺服器角色。 收件者不會收到 IM,除非它已傳遞透過前端伺服器角色的執行個體。

前端 FSOCS 掃描的 IM。 在不太可能的事件,IM 佇列超過此伺服器角色上的閾值,FSOCS 需要解決此問題的其他措施,但最後將捨棄訊息,而不是讓它透過 unscanned。

請注意閾值可以設定每個伺服器角色上透過 MessageOverloadWatermark 登錄機碼。 值儲存為一個 DWORD,以下列預設值: 1,000 的 Access 邊緣、 3、 為 Director,000 和 10,000 前, 端伺服器角色。

訊息戳記可以也會關閉藉由設定 DisableMessageStamp 登錄機碼。 此儲存為 DWORD 值 ; 預設值為 0 可設定為 1,以停用訊息戳記。

管理及保護 IM 內容

FSOCS 可以提供額外層級的控制權的資訊透過 IM 兩個內部 (之間內部網路內的員工) 傳送以及外部使用者在網路周邊。 FSOCS,在這些控制項會生效透過三種不同的篩選器類型。

您可以設定檔案篩選條件 IM 使用者之間傳送時,防止某些檔案。 系統管理員可以識別他們想要限制指定檔案名稱、 檔案副檔名、 檔案的大小或檔案類型 (真實的檔案類型偵測是包含) 的檔案。 例如,FSOCS 可以設定成封鎖從透過 IM,傳送的所有可執行檔,即使如果已從.exe 變更副檔名,為.txt。

系統管理員可以進一步控制檔案的篩選規則生效的放置 IM-基礎檔案傳輸藉由識別。 所有 IM-傳輸檔案或特別是內部的使用者、 標題輸出從內部使用者,而外部的使用者的檔案或檔案來自輸入外部使用者在網路周邊內部使用者之間傳送的檔案,可以套用檔案篩選器規則。 例如,FSOCS 可以設定以允許所有的檔案類型之間的內部使用者透過 IM 傳輸,但封鎖來自內部的使用者的外部使用者的所有可執行檔。

傳送在包含受限制的單字或片語時,可以是 關鍵字篩選器 設定為封鎖 IM 訊息內容或文字為主的傳輸的檔案。 在任何語言中,可以定義關鍵字或片語。 此外,FSOCS 會有一個可安裝的粗話的清單,系統管理員可以選擇性地用來封鎖不當的語言,在 IM。 關鍵字篩選器也可以是 IM 或傳輸的檔案的方向與相關聯,內部,輸入,或輸出。

內容篩選器 會允許封鎖 IM 或 IM-傳輸檔案根據網域或 SIP URI IM 寄件者或收件者的系統管理員。 利用萬用字元 IM 和傳輸的檔案可以阻擋指定網域的所有使用者。

例如,藉由設定 「 * unknown.com 」 在內容的篩選器內或與 unknown.com 網域相關聯的使用者的所有 IM 會被都封鎖。 IM 可以也被封鎖在使用者層級設定的個別使用者的 SIP URI。

特定的概念是相關 FSOCS 內的所有篩選:

偵測到的動作 判斷 FSOCS 將執行任何 IM 訊息的處理,或傳輸的檔案符合設定的篩選條件]。 例如,FSOCS 中的關鍵字篩選器可設定與區塊的偵測動作,因此包含受限制的關鍵字的 IM 訊息將無法達到任何使用者。

通知 都是選擇性的警示時將偵測動作會產生 FSOCS。 警示會可以設定每一個篩選條件,並且永遠都可傳送給系統管理員。 根據在的篩選器型別、 IM 寄件者、 在的收件者或兩者都可以在偵測動作有關得到提醒。 例如,如果寄件者會嘗試 IM,受限制的單字或片語,FSOCS 可以被設定為傳送警示,系統管理員,並指出由於以受限制的關鍵字 IM 已封鎖寄件者。

透過電子郵件管理員永遠會傳送通知寄件者與收件者收到透過立即訊息交談 FSOCS 由通知 ;

隔離 會是 IM 訊息在儲存機制,並且傳送一個的偵測動作的結果會封鎖的檔案。 系統管理員有機會來評估隔離的項目,並在重新傳送它們透過電子郵件原始的收件者和其他人如果其認定內容或適當的檔案。

組態範例

現在讓我們先考慮系統管理員如何確保敏感或私密的資訊所公開討論一些員工不不會取得傳送到外部透過 IM 公司的任何人都。 這很重要,OCS 已經被設定,讓聯盟組織的立即訊息和數個公用 IM 網路。

達成此目標的一種方法是 FSOCS 的以關鍵字篩選,會封鎖任何 IM 訊息 」 或 「 文字為主的傳輸的檔案,包含受限制的字或片語,從內部使用者傳送到外部使用者,OCS Access 的邊緣伺服器角色上設定 FSOCS 的部署的每個執行個體。 所先前述所有 IM 郵件從內部使用者傳送到外部使用者路由都傳送跨 Access Edge 伺服器角色之前到達,外部的使用者,因此 FSOCS 會封鎖這項資訊在網路邊緣。

另一方面,如果想要封鎖不當的資訊,從來自外部的使用者透過 IM 訊息無法傳送或傳輸檔案到內部網路的系統管理員,關鍵字篩選器應該設定 FSOCS 安裝在內部網路 OCS Standard Edition 或前端伺服器角色上的執行個體上。

系統管理員可以取得更多的控制,透過提供選擇設定 FSOCS,以排除一組的使用者需要他們的 IM 評估設定的篩選器的允許使用者清單。 系統管理員可以建立允許使用者清單與篩選器要略過的型別關聯性。 到目前例如,系統管理員可以設定為封鎖來自公用 IM 網域使用在內容的篩選器的所有 IM FSOCS,然後將識別 (透過的允許使用者] 清單中) 網域的使用者的公用 IM 允許傳送和接收 IM,從內部員工的子集。

立即取得

以往更普遍的 IM 時,很越來越重要的系統管理員具備能夠保持安全。 我們會希望 [摘要資訊呈現在 OCS 哪些 Forefront 安全性不會,和其他組態及效能的詳細資訊,提供見解,到如何 FSOCS 可以提供信賴的系統管理員 IM 在其組織的安全性] 及 [原則內。

程式管理員使用 Forefront 安全性快速回應工程小組位在長島,New York Molly Gilmore 。 除了使用 Office Communications Server 的第一個發佈 Forefront 安全性,她也可以直接與開發散發 Forefront Server 安全性的產品線的防毒和 antispam 引擎,軟體廠商。 Molly 會保留在工程管理的工程和畢業憑證的主要量化的軟體工程,從技術 Stevens 局。 她啟動在 1991 軟體開發人員,並 2006 年加入 Microsoft 之前,在不同的角色和技術工作。