http://sinitsyn.org/2009/02/forefront-security-for-office-communications-server-gotovitsya-k-vyxodu/ ИТ/ИБ в отражении действительном, ретроспективном и многогранно перспективном | В фокусе: ISA Server, Forefront TMG, IAG, UAG, RMS, Security. Sat, 16 Apr 2011 07:45:50 +0000 hourly 1 http://wordpress.org/?v=3.1 http://sinitsyn.org/2009/02/forefront-security-for-office-communications-server-gotovitsya-k-vyxodu/comment-page-1/#comment-2462 Артём [d.raven] Синицын Thu, 12 Feb 2009 11:46:43 +0000 http://sinitsyn.org/?p=436#comment-2462 Агрументация очень неплохая, Максим. Но в данном случае идёт разговор об эшелонировании системы защиты. То есть создании многоуровневой системы защиты от вредоносного ПО и контентной фильтрации пользовательских сообщений. Во-первых, если на пользовательких станций используется антивирусное ПО любого вендора, отличного от Microsoft (к примеру, Dr.Web), использование FSOCS позволяет создать ещё один (или несколько) уровней защиты от вредоносного ПО, за счет использования антивирусных ядер других вендоров при инспекции трафика. Во-вторых, первоочередность защиты серверов (в частности серверных приложений) в подавляющем большинстве случаев предпочтительна перед защитой конечных пользовательских систем. Тем более что существует огромное количество случаев, когда пользователи имеют возможность управлять антиврусным приложениям на своих системах. Очень многие "подкованные" пользователи просто отключают приложения защиты, потому что у них видишь ли система тормозит. А кроме как антивирус тормозить систему больше ни одно приложение не может :) В-третьих, никто не отменял организационную составляющую вопроса. В больших компаниях за поддержку рабочих станций и серверов отвечают разные люди, как то разные люди могут отвечать за антивирусную защиту. Вряд ли вменяемый человек вверит судьбу своей системы (за которую ему голову оторвут, ежели что) другому сотруднику компании, который в свою очередь, конечно же обязан "рубить" распространение вредоносного кода на уровне конечных пользовательских систем. В-четвертых, не зря я упомянул про интеграцию с Forefront Codename Stirling. Использование FSOCS в рамках Stirling позволит предотвращать вирусные эпидемии, даже если описания угрозы нет ни в одной антивирусной базе. Также возможно заблокировать доступ ко всем службам OCS пользователям, чьи системы только подозреваются в факте заражения. А это уже, что называется, проактивные методы защиты. В любом случае, универсального решения не существует. И каждая компании и сеть уникальна в своем роде. Просто необходимо учитывать все составляющие при принятии оптимального решения В ДАННОМ КОНКРЕТНОМ случае. З.Ы. Помимо ссылок в IM и передачи файлов есть ещё и каталог контента веб-конференций. В него тоже можно зараженный объект загрузить =) Агрументация очень неплохая, Максим. Но в данном случае идёт разговор об эшелонировании системы защиты. То есть создании многоуровневой системы защиты от вредоносного ПО и контентной фильтрации пользовательских сообщений.
Во-первых, если на пользовательких станций используется антивирусное ПО любого вендора, отличного от Microsoft (к примеру, Dr.Web), использование FSOCS позволяет создать ещё один (или несколько) уровней защиты от вредоносного ПО, за счет использования антивирусных ядер других вендоров при инспекции трафика.
Во-вторых, первоочередность защиты серверов (в частности серверных приложений) в подавляющем большинстве случаев предпочтительна перед защитой конечных пользовательских систем. Тем более что существует огромное количество случаев, когда пользователи имеют возможность управлять антиврусным приложениям на своих системах. Очень многие “подкованные” пользователи просто отключают приложения защиты, потому что у них видишь ли система тормозит. А кроме как антивирус тормозить систему больше ни одно приложение не может :)
В-третьих, никто не отменял организационную составляющую вопроса. В больших компаниях за поддержку рабочих станций и серверов отвечают разные люди, как то разные люди могут отвечать за антивирусную защиту. Вряд ли вменяемый человек вверит судьбу своей системы (за которую ему голову оторвут, ежели что) другому сотруднику компании, который в свою очередь, конечно же обязан “рубить” распространение вредоносного кода на уровне конечных пользовательских систем.
В-четвертых, не зря я упомянул про интеграцию с Forefront Codename Stirling. Использование FSOCS в рамках Stirling позволит предотвращать вирусные эпидемии, даже если описания угрозы нет ни в одной антивирусной базе. Также возможно заблокировать доступ ко всем службам OCS пользователям, чьи системы только подозреваются в факте заражения. А это уже, что называется, проактивные методы защиты.
В любом случае, универсального решения не существует. И каждая компании и сеть уникальна в своем роде. Просто необходимо учитывать все составляющие при принятии оптимального решения В ДАННОМ КОНКРЕТНОМ случае.
З.Ы. Помимо ссылок в IM и передачи файлов есть ещё и каталог контента веб-конференций. В него тоже можно зараженный объект загрузить =)

]]> http://sinitsyn.org/2009/02/forefront-security-for-office-communications-server-gotovitsya-k-vyxodu/comment-page-1/#comment-2461 Maxim Efremov Thu, 12 Feb 2009 09:51:38 +0000 http://sinitsyn.org/?p=436#comment-2461 И все равно, имхо антивирус для OCS - это излишество, и аргументов у меня несколько: 1. бОльшая часть трафика - это видео или голос (я не говорю про частоту), остается IM и что самое главное - file transfer. Использовать для этого антивирь на OCS и не использовать тот же FCS это нонсенс. 2. Даже если используется Federation или Public IM Connectivity и можно, получить "плохую" ссылку на какой-нибудь сайт - фильтрацией этого дела должен заниматься прокси, покупка которого, разумеется, должна быть более приоритетна чем покупка антивируса на OCS. И все равно, имхо антивирус для OCS – это излишество, и аргументов у меня несколько:
1. бОльшая часть трафика – это видео или голос (я не говорю про частоту), остается IM и что самое главное – file transfer. Использовать для этого антивирь на OCS и не использовать тот же FCS это нонсенс.
2. Даже если используется Federation или Public IM Connectivity и можно, получить “плохую” ссылку на какой-нибудь сайт – фильтрацией этого дела должен заниматься прокси, покупка которого, разумеется, должна быть более приоритетна чем покупка антивируса на OCS.

]]>