如何保证办公通信服务(OCS)安全

核心提示： 公钥基础设施OCS 2007的服务器验证服务是通过使用由一个可信任的CA签发的数字证书来实现的，这个可信任的CA可以是一个内部CA或者也可以是公共CA(如果你的OCS服务器需要用于与LAN外的系统进行通讯时，如何保证办公通信服务(OCS)安全(3)，则你需要采用公共CA)，OCS是默认设计

公钥基础设施

OCS 2007的服务器验证服务是通过使用由一个可信任的CA签发的数字证书来实现的，这个可信任的CA可以是一个内部CA或者也可以是公共CA(如果你的OCS服务器需要用于与LAN外的系统进行通讯时，则你需要采用公共CA)。OCS是默认设计为与Windows 2003 公钥基础设施(PKI)一起来实现服务器验证。

对于OCS，所有的服务器证书都必须能够支持增强型密钥用法(EKU)以便对服务器进行验证。MTLS采用的也是这种方式。服务器证书还必须包括至少一个证书撤消列表(CRL)分发点。

联盟安全功能

OCS 2007像其前辈Live Communications Server 2005 (SP1版)一样，具有联合主要公共即时通讯供应商(MSN，Yahoo!和AOL)的功能。另外，OCS 2007还支持增强联盟组织功能，这种联盟可以通过使用DNS SRV记录来发现同行企业。OCS 2007还涵盖了联盟模式的新功能，这些功能包括:

· 对于联盟组织能够在特定时间段内允许多少个用户进行通讯作出了限制。这种设计是为了避免“目录获取攻击”，因为通常在这种情况下，攻击者能够通过尝试不同的用户名来找到有效的用户名。

· 对于Access Edge Server 能够从联盟组织处接收的信息率进行限制，而原理就是是通过分析流量来实现的。

管理员同样可以通过将域名加入拒绝列表来限制其访问，或者通过证书存储区来阻止这些证书的访问。

阻止不想要的或危险的即时通讯

你可以使用智能即时通讯过滤器来阻止不想要的或者有潜在威胁的即时消息以及文件传输。你可以采用你想要的标准对过滤器进行配置，以便能够有选择性地阻止即时通讯和文件传输。举例来说，你可以组织载有超链接的即时通讯，或者你也可以将即时通讯设置为阻止超链接。另外你还可以阻止具有特定扩展名的文件。