OCS 2007 R2系統(tǒng)服務(wù)器的客戶(hù)端安全防范措施
原創(chuàng)【51CTO獨(dú)家特稿】OCS 2007 R2已經(jīng)有很多企業(yè)在使用,為了幫助防止OCS 2007 R2(Office Communications Server 2007 R2)組織內(nèi)的服務(wù)器受到意外的或故意的破壞(可能導(dǎo)致停機(jī)),首先需要在客戶(hù)端采取以下防范措施:
使用安全更新使服務(wù)器保持***狀態(tài)。訂閱 Microsoft 安全性通知服務(wù)可以確保您收到任何 Microsoft 產(chǎn)品的安全公告發(fā)布的***通知。若要訂閱此服務(wù),請(qǐng)?jiān)L問(wèn) Microsoft 技術(shù)安全性通知網(wǎng)站。
確保正確設(shè)置訪問(wèn)權(quán)限
將服務(wù)器部署在可防止未授權(quán)訪問(wèn)的物理環(huán)境中。確保在所有服務(wù)器上安裝適當(dāng)?shù)姆啦《拒浖J褂?**的病毒特征文件使軟件保持***。使用防病毒應(yīng)用程序的自動(dòng)更新功能使病毒特征保持***。
建議在安裝OCS 的計(jì)算機(jī)上禁用不必要的 Windows Server 2003 或 Windows Server 2008 操作系統(tǒng)服務(wù)。
另外,需要強(qiáng)化OCS 2007 R2 的服務(wù)器和應(yīng)用程序,主要包括:
保護(hù)應(yīng)用程序服務(wù)器:對(duì)于應(yīng)用程序服務(wù)器,應(yīng)強(qiáng)化操作系統(tǒng)和應(yīng)用程序。例如,對(duì)于專(zhuān)門(mén)用來(lái)運(yùn)行 Microsoft Internet Security and Acceleration (ISA) Server 2006 的 Windows Server 2003 計(jì)算機(jī),應(yīng)從操作系統(tǒng)和應(yīng)用程序方面進(jìn)行強(qiáng)化。應(yīng)將盡量減少服務(wù)器提供的正在運(yùn)行的服務(wù)數(shù)作為主要目標(biāo)。
組策略:在 Windows Server 2003 和 Windows Server 2008 中,組策略將提供基于目錄的桌面配置管理。可以使用組策略來(lái)實(shí)現(xiàn)安全鎖定,方式是在組策略對(duì)象 (GPO) 中定義以下各項(xiàng)的“計(jì)算機(jī)和用戶(hù)”設(shè)置:
◆基于注冊(cè)表的策略
◆安全性
◆軟件安裝
◆腳本
◆文件夾重定向
◆遠(yuǎn)程安裝服務(wù)
為了提供用戶(hù)界面以便管理員能夠配置這些設(shè)置,操作系統(tǒng)的發(fā)行版、Service Pack 版本和一些應(yīng)用程序(包括OCS 2007 R2)都附帶了管理模板。Communicator.adm 文件是OCS 2007 R2 附帶的一個(gè)管理模板,它安裝在 %windir%\inf\ 目錄中,用于提供針對(duì) RTC 客戶(hù)端 API 和 Messenger 組策略設(shè)置的界面。Communicator.adm 中的每項(xiàng)設(shè)置均與注冊(cè)表中可影響應(yīng)用程序的行為的一項(xiàng)設(shè)置對(duì)應(yīng)。利用可通過(guò) Active Directory 用戶(hù)和計(jì)算機(jī)控制臺(tái)和組策略管理控制臺(tái) (GPMC) 訪問(wèn)的 GPedit.dll,可以訪問(wèn)這些設(shè)置。
OCS 2007 R2 還依靠 SQServer 數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)用戶(hù)信息、會(huì)議狀態(tài)、存檔數(shù)據(jù)和呼叫詳細(xì)記錄 (CDR)。通過(guò)以提高容錯(cuò)能力和簡(jiǎn)化故障排除的方式對(duì)應(yīng)用程序數(shù)據(jù)進(jìn)行分區(qū),可以在OCS 2007 R2 后端數(shù)據(jù)庫(kù)上***限度地提高OCS 數(shù)據(jù)的可用性。要達(dá)到這些目標(biāo),需要按照以下方法對(duì)應(yīng)用程序數(shù)據(jù)進(jìn)行分區(qū):
◆使用服務(wù)器分區(qū)的***做法。將操作系統(tǒng)、應(yīng)用程序和程序文件與數(shù)據(jù)文件分開(kāi)。
◆存儲(chǔ)事務(wù)日志文件和數(shù)據(jù)庫(kù)文件。分開(kāi)存儲(chǔ)這些文件可以提高容錯(cuò)能力和優(yōu)化恢復(fù)。
◆使用服務(wù)器群集。將后端服務(wù)器組成群集可以?xún)?yōu)化OCS 2007 R2 系統(tǒng)的可用性。
***,需要為OCS 2007 R2 減少不請(qǐng)自來(lái)的 IM:
智能IM篩選器應(yīng)用程序有助于保護(hù)OCS 2007 R2 部署防御最常見(jiàn)的病毒,同時(shí)***程度地減小對(duì)用戶(hù)體驗(yàn)的影響。智能IM篩選器提供下列功能:
◆增強(qiáng)的 UR篩選功能
◆增強(qiáng)的文件傳輸篩選功能
使用智能IM篩選器可以對(duì)篩選器進(jìn)行配置,以阻止來(lái)自企業(yè)防火墻外部的未知終結(jié)點(diǎn)主動(dòng)提供或可能有害的即時(shí)消息。通過(guò)指定用于確定要阻止的內(nèi)容(例如,包含超鏈接的即時(shí)消息和具有特定擴(kuò)展名的文件)的條件來(lái)配置篩選器。
在部署智能IM消息篩選器應(yīng)用程序之前,用戶(hù)應(yīng)了解在將消息從一臺(tái)OCS 2007 R2 服務(wù)器路由到另一臺(tái)服務(wù)器時(shí)如何應(yīng)用篩選選項(xiàng)。不管服務(wù)器是位于單個(gè)組織中還是跨越多個(gè)組織,應(yīng)用這些篩選選項(xiàng)的方式都是一致的。在消息中插入自定義通知和警告文本以及在服務(wù)器之間發(fā)送這些消息的方式也是一致的。
建議的篩選選項(xiàng)是允許帶有超鏈接的即時(shí)消息,但要求智能IM篩選器在鏈接前插入下劃線來(lái)禁用鏈接。如果選擇此選項(xiàng),則還可以選擇撰寫(xiě)將顯示在包含超鏈接的每條即時(shí)消息開(kāi)頭的用戶(hù)通知。第二個(gè)篩選選項(xiàng)是允許帶有未經(jīng)修改的超鏈接的即時(shí)消息。如果選擇此選項(xiàng),則還可以選擇撰寫(xiě)將插入到每條消息中的用戶(hù)警告(推薦)。第三個(gè)選項(xiàng)是阻止包含超鏈接的所有即時(shí)消息。如果選擇此選項(xiàng),則服務(wù)器將向用戶(hù)發(fā)送警告。您必須編寫(xiě)此警告。
【51CTO獨(dú)家特稿,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處。】
【編輯推薦】