Обмен мгновенными сообщениями (IM) прост в использовании, быстр, позволяет пользователям поддерживать живой «разговор» с коллегами, а также легко и быстро обмениваться файлами. Однако благодаря легкости использования и скорости IM создается идеальное средство для переноса и распространения вирусов.
Для использования среды обмена мгновенных сообщениями требуется антивирусное, фильтрующее файлы и содержимое решение, которое будет проверять все сообщения и передачу файлов в режиме реального времени и предотвращать распространение вирусов, оказывая минимальное влияние на быстродействие сервера и скорость доставки сообщений.
Программа Microsoft Forefront Security для Office Communications Server (FSOCS) обеспечивает защиту в режиме реального времени посредством сканирования и фильтрации как мгновенных сообщений, так и файлов, передаваемых через IM.
FSOCS предоставляет мощные средства, включая следующее.
- Поиск вирусов с использованием нескольких антивирусных
ядер.
- Фильтрация файлов по имени, типу, расширению или размеру.
- Подробные уведомления для администраторов, отправителей и
получателей сообщений.
- Счетчики производительности для мониторинга состояния
работоспособности и активности FSOCS.
- Фильтрация по ключевым словам содержимого мгновенных
сообщений.
Программа FSOCS обеспечивает мощную защиту серверов мгновенных сообщений и является антивирусным решением для сред OCS 2007 и OCS 2007 R2.
Преимущества использования нескольких антивирусных ядер
Все поставщики антивирусных программ стремятся в максимально короткие сроки выпускать подписи, однако скорость получения образцов различных вирусов и выпуска подписей в различных антивирусных лабораториях различается. Используя несколько антивирусных ядер, клиенты FSOCS могут убедиться в преимуществах диверсификации. Если все сообщения проверяются пятью антивирусными ядрами, велика вероятность того, что хотя бы одно из ядер сможет обнаружить новый вирус.
Порядок сканирования
Во время сканирования программой FSOCS файла или сообщения выполняются следующие задания в перечисленном порядке.
Задания по обеспечению трафика обмена мгновенными сообщениями
- Сканирование для разрешенных отправителей/получателей —
если включена функция использования списков разрешенных
отправителей/получателей, программа FSOCS сравнивает домен или
адрес отправителя сообщения со списком разрешенных
отправителей/получателей. Если сообщение исходит из домена или
адреса, содержащегося в списке разрешенных
отправителей/получателей, сообщение доставляется получателю и
заданные задания фильтрации пропускаются. Список разрешенных
отправителей/получателей можно настроить для пропуска фильтров
ключевых слов, фильтров файлов и фильтров содержимого.
Дополнительные сведения см. в разделах Фильтрация файлов
FSOCS, Фильтрация ключевых слов
в программе FSOCS и Фильтрация содержимого
FSOCS.
- Сканирование для фильтрации содержимого — когда включена
фильтрация содержимого, программа FSOCS сравнивает отправителя
сообщения с отправителями и доменами из списка фильтра
отправителей/получателей для определения параметров фильтрации,
применимых к сообщению. Дополнительные сведения см. разделе
Фильтрация
содержимого FSOCS.
- Сканирование для фильтрации ключевых слов — когда
включена фильтрация ключевых слов, FSOCS осуществляет поиск в
содержимом сообщения совпадений с элементами в созданных списках
фильтров ключевых слов. Дополнительные сведения см. разделе
Фильтрация
ключевых слов в программе FSOCS.
Задания по сканированию передачи файлов
- Очистка от вирусов-червей — содержимое файла
сравнивается со списком известных червей. Дополнительные сведения
см. в разделе Очистка сообщений IM и
передач файлов, содержащих вирусы-черви.
- Фильтрация файлов — когда включена фильтрация файлов,
FSOCS сравнивает файлы, переданные посредством системы обмена
мгновенными сообщениями, со списком фильтров файлов. Список
фильтров файлов позволяет искать файлы, имеющие определенное имя,
тип и размер. Дополнительные сведения см. разделе Фильтрация файлов
FSOCS.
- Обнаружение вирусов — FSOCS использует несколько
антивирусных ядер для определения, содержит ли файл вирус.
Дополнительные сведения см. в разделе Использование нескольких
антивирусных ядер в программе FSOCS.
Антивирусные программы сторонних производителей, выполняющие проверку на файловом уровне
При использовании антивирусной программы стороннего производителя, выполняющей проверку на файловом уровне, на сервере, содержащем FSOCS, для предотвращения повреждения FSOCS необходимо гарантировать, чтобы папки, в которые установлены FSOCS и OCS, не сканировались. По умолчанию эти папки расположены в следующем месте:
<диск>:\Program Files\Microsoft Forefront Security\Office Communications Server
<диск>:\Program Files\Microsoft Office Communications Server 2007
<диск>:\Program Files\Microsoft Office Communications Server 2007 R2
Поддерживаемые роли
Дополнительно к поддержке роли сервера OCS 2007 и OCS 2007 R2 Standard Edition FSOCS также поддерживает указанные ниже роли сервера 2007, доступные в выпуске Enterprise Edition.
Note: |
---|
Если осуществляется обмен мгновенными сообщениями с поддержкой внешних пользователей, рекомендуется развертывать FSOCS для выполнения как роли сервера пограничного доступа, так и роли направляющего сервера. Если какая-либо из этих ролей развернута внутри серверного пула, FSOCS следует также развернуть на каждом экземпляре, выполняющем роли сервера пограничного доступа и направляющего сервера. |
- Роль сервера переднего плана — эта роль всегда присутствует в
топологиях выпуска Enterprise Edition и обычно разворачивается в
пределах внутренней сети. Эта роль может существовать в виде
отдельного экземпляра сервера или как несколько серверов переднего
плана, развернутых в пуле серверов за аппаратной подсистемой
балансировки нагрузки в топологии развертывания выпуска Enterprise
Edition. FSOCS следует развернуть на каждом экземпляре роли сервера
переднего плана OCS. Это значит, что в серверном пуле из шести
серверов переднего плана FSOCS следует развернуть на каждом из
них.
- Роль пограничного сервера доступа — эта роль необходима, если
администратор хочет, чтобы внешние пользователи могли общаться с
внутренними. Внешние пользователи могут быть пользователями
интегрированных организаций или пользователями публичной сети
обмена мгновенными сообщениями, например Yahoo, AOL или MSN. Также
это могут быть удаленные пользователи с учетной записью в службе
каталогов Active Directory, общающиеся через OCS вне сети VPN. Роль
сервера пограничного доступа разворачивается по периметру сети,
между внутренним и внешним интерфейсами брандмауэра. Эта роль может
существовать в виде отдельного экземпляра сервера или как несколько
пограничных серверов доступа, развернутых в пуле серверов по
периметру сети в топологиях развертывания выпуска Enterprise
Edition.
- Роль направляющего сервера — эта роль обычно разворачивается во
внутренней сети. Ее цель — снять нагрузку по аутентификации
пользователей с роли сервера переднего плана. Направляющий сервер
удостоверяет подлинность как внутренних, так и внешних
пользователей. Его наличие необязательно, но очень рекомендуется.
Эта роль может существовать в виде отдельного сервера или как
несколько направляющих серверов, развернутых перед аппаратной
подсистемой балансировки нагрузки в топологиях развертывания
выпуска Enterprise Edition.
Дополнительные сведения о ролях сервера OCS 2007 и OCS 2007 R2 и рекомендации по развертыванию см. в «Руководстве по планированию» на веб-сайте Office Communications Server .
Установка штампа на сообщение
Мгновенные сообщения могут передаваться через все вышеуказанные серверные роли. В топологии выпуска Enterprise Edition с поддержкой внешних пользователей мгновенное сообщение следует через несколько серверных ролей при прохождении извне организации через сетевой периметр во внутреннюю сеть и, в конце концов, к заданному получателю IM. При FSOCS, установленной на каждом экземпляре поддерживаемой серверной роли, сообщение IM потенциально может быть просканировано и фильтровано несколько раз.
Чтобы избежать такого сценария, FSOCS гарантирует, что сообщение по SIP-протоколу и передача файлов при обмене мгновенными сообщениями будут просканированы только один раз. Это достигается посредством применения штампа сообщения к содержимому мгновенного сообщения, как только экземпляр FSOCS определяет, что сообщение или файл не содержат вирусов и не активируют какое-либо правило фильтрации.
Например, сообщение IM, отправленное внешним, удаленным пользователем внутреннему пользователю, проходит через роль пограничного сервера доступа. Если экземпляр FSOCS определяет, что сообщение не содержит вирусов, не содержит запрещенных ключевых слов и не исходит от заблокированного отправителя, сообщение не будет сканироваться снова, когда оно будет проходить через роль сервера переднего плана, который перенаправляет сообщение к заданному внутреннему получателю.
По умолчанию установка штампа на сообщение включена. Если требуется отключить эту возможность (т. е. сообщения будут сканироваться каждым экземпляром FSOCS, который встретится сообщениям), откройте реестр и перейдите к разделу реестра Forefront Server Security по следующему пути:
HKLM\SOFTWARE\Microsoft\Forefront Server Security\Office Communications Server
Затем настройте следующий параметр раздела реестра:
DisableMessageStamp
Значение DWORD
Default = 0
Передача файлов
Программа FSOCS осуществляет сканирование на наличие вирусов и применяет правила фильтрации файлов при передаче файлов через систему обмена мгновенными сообщениями по внутренней сети между внутренними пользователями.
FSOCS также осуществляет сканирование на наличие вирусов и применяет правила фильтрации файлов при передаче файлов через систему обмена мгновенными сообщениями между внутренними и внешними пользователями. Для осуществления обмена мгновенными сообщениями с внешними пользователями должна быть доступна по крайней мере одна роль пограничного сервера доступа. На каждом экземпляре роли пограничного сервера доступа необходимо иметь установленную программу FSOCS.
Для обеспечения передачи файлов через пограничный сервер брандмауэр должен быть настроен на разрешение входящих подключений к приложению Forefront на каждом пограничном сервере. Порты по умолчанию находятся в диапазоне от 6891 до 6900, однако их можно изменить с помощью двух разделов реестра. Для изменения диапазона портов, откройте реестр и перейдите к разделу реестра Forefront Server Security по следующему пути:
HKLM\SOFTWARE\Microsoft\Forefront Server Security\Office Communications Server
Затем настройте следующие два параметра раздела реестра:
FileTransferStartPortRange
Значение DWORD
Default = 6891
и
FileTransferMaxPorts
Значение DWORD
Default = 10
При передаче файлов между двумя внутренними пользователями через обмен мгновенными сообщениями экземпляр роли сервера переднего плана в топологии выпуска Enterprise Edition или роль сервера Standard Edition будут сканировать файлы на наличие вирусов и соответствие правилам фильтрации.
В топологии Enterprise Edition, когда присутствуют роли сервера пограничного доступа и направляющего сервера и передача файлов осуществляется между внутренним и внешним пользователями, роль сервера, которая сканирует файл, зависит от направления передачи. Если файл отправляется внутренним пользователем внешнему (исходящая передача), файл будет сканироваться ролью сервера пограничного доступа. Если файл отправляется внешним пользователем внутреннему (входящая передача), файл будет сканироваться ролью сервера переднего плана. Даже если передача файлов может сканироваться на различных серверах, программа FSOCS должна быть установлена на всех ролях сервера переднего плана, чтобы передача файлов была защищенной.
Администратор может повлиять на место сканирования исходящих передач файлов, отключив сканирование на ролях пограничного доступа и направляющего сервера. Если для экземпляра FSOCS, расположенного на роли сервера пограничного доступа, отключено сканирование файлов, исходящая передача файла сканируется на роли направляющего сервера, если тот присутствует. Если роль направляющего сервера отсутствует или администратор отключил сканирование файлов как на роли сервера пограничного доступа, так и на роли направляющего сервера, исходящий файл сканируется на роли сервера переднего плана.
Для отключения сканирования на роли сервера пограничного доступа или роли направляющего сервера откройте реестр и перейдите к разделу реестра Forefront Server Security по следующему пути:
HKLM\SOFTWARE\Microsoft\Forefront Server Security\Office Communications Server
Затем настройте следующий параметр раздела реестра:
FileScanningDisabled
Значение DWORD
DEFAULT = 0
Note: |
---|
Данный параметр недоступен для ролей сервера переднего плана или сервера Standard Edition. |
Дополнительная документация
Наиболее обновленная документация по Microsoft FSOCS доступна на веб-сайте Microsoft Forefront Security for Office Communication.