Einführung in die Microsoft Forefront-Produktfamilie

Transcrição

Kapitel 2
Einführung in die Microsoft
Forefront-Produktfamilie
In diesem Kapitel:
Forefront-Produktportfolio im Überblick
54
Lizenzierung
60
Forefront Server Security
63
Einsatz von Forefront Server Security bei Fabrikam Inc.
66
Forefront Security für Exchange Server
66
Nächste Generation: Forefront Stirling
70
Zusammenfassung
70
53
Sichere Messaging-Infrastruktur mit Microsoft Forefront, © 2008 Microsoft Press Deutschland, ISBN 978-3-86645-636-5
54
Kapitel 2:
Es gibt inzwischen eine Vielzahl an Produkten, die Sicherheit in das Unternehmensnetzwerk bringen. Jedoch
decken diese Lösungen oft nur einen Teil des notwendigen Schutzes ab, lassen sich nur schwer in die ITLandschaft integrieren oder bieten gar keine Interoperabilität mit anderen Produkten. Netzwerksicherheit ist
daher immer noch schwierig umzusetzen, zu nutzen, zu verwalten und kann darüber hinaus auch noch sehr
kostspielig werden. Auf der anderen Seite ist der Schutz des Netzwerks unerlässlich, denn Daten und Dienste
wie E-Mail sind inzwischen unternehmenskritische Kommunikationsmittel.
Forefront ist eine zentrale Komponente der Microsoft-Strategie, seinen Unternehmenskunden eine End-toEnd-Sicherheitslösung für das gesamte Unternehmensnetzwerk anzubieten. Dabei werden dem Netzwerk
mehrere Sicherheitsebenen hinzugefügt, mit denen Daten geschützt und der Zugriff auf wichtige Ressourcen
und Daten eines Unternehmens kontrolliert werden können. Viele Unternehmen setzen bereits eine Infrastruktur auf Basis von Microsoft-Produkten wie Windows, Active Directory oder Exchange Server ein, in die
sich die Forefront-Produkte optimal integrieren.
Forefront enthält ein umfangreiches Portfolio an Sicherheitsprodukten, um jedes Segment einer Netzwerkinfrastruktur vor Bedrohungen zu schützen. In Abbildung 2.1 und Tabelle 2.1 sehen Sie die jeweiligen Produkte der Forefront-Familie und deren Schutzfunktion im jeweiligen Netzwerksegement.
Abbildung 2.1 Microsoft Forefront beinhaltet eine umfassende Reihe an Produkten zum Schutz des Netzwerks
Segment
Forefront-Produkte
Edge/Perimeter
Internet Security & Acceleration Server und Intelligent Application Gateway für die sichere Veröffentlichung von Diensten, Anbindung von Zweigstellen, sowie gesicherten Web- und Remotezugriff
Server-Anwendungen
Forefront Server Security für den Schutz von Messaging- und Collaboration-Systemen, wie
Microsoft Exchange und SharePoint
Client & Server-Betriebssysteme
Forefront Client Security für den Schutz von 32- und 64-Bit Windows-Betriebssystemen ab Version
Windows 2000
Tabelle 2.1 Die Produkte der Microsoft Forefront-Familie
55
Internet Security and Acceleration Server
Internet Security and Acceleration Server (ISA), aktuell in der Version 2006, ist eine ausgereifte Firewall auf
Anwendungsebene, mit der sich Unternehmensnetzwerke beliebiger Größe vor externen und auch internen
Bedrohungen absichern lassen. Die integrierte VPN-Funktionalität ermöglicht eine einfache Anbindung von
Zweigstellen und den sicheren Zugriff für Remoteclients mit optionaler Quarantäne-Funktion, die eine Einhaltung von Sicherheitsrichtlinien, wie beispielsweise eine aktivierte Windows-Firewall oder aktuelle Antivirussoftware für eine Einwahl erzwingen kann. Über den Webzugriffsschutz, als dritte wichtige Komponente von ISA Server, können interne Benutzer kontrolliert auf Ressourcen im Internet zugreifen und sind
zeitgleich vor Angriffen aus dem weltweiten Netz geschützt. Caching-Mechanismen und Überwachungsmöglichkeiten runden das Produkt in puncto Effizienz und Verwaltung optimal ab.
HINWEIS
Einen umfassenden und praxisorientierten Leitfaden zum Arbeiten mit Microsoft Internet Security & Acceleration Server 2006 erhalten Sie mit dem Buch Microsoft ISA Server 2006 – Das Handbuch von Marc Grote, Christian Gröbner und
Dieter Rauscher aus dem Microsoft Press Verlag.
Intelligent Application Gateway
Das im Jahre 2006 mit Whale Communications übernommene Intelligent Application Gateway (IAG) 2007
erweitert das Edge-Portfolio von Forefront um eine Komplettlösung für den sicheren Remotezugriff. Alle
Verbindungen über das Gateway werden durch Secure Sockets Layer (SSL) getunnelt und ermöglichen so
einen einfachen, aber sicheren Zugriff auf Unternehmensressourcen über die gängigsten Browseranwendungen, ohne dass die Installation einer Clientsoftware erforderlich ist.
Neben einer Web-Applikations-Firewall stellt das IAG eine Endpoint-Sicherheit bereit, die eine Zugriffskontrolle, Autorisierung und Content-Prüfung für eine große Vielzahl von Spartenanwendungen ermöglicht.
Eine durchgängige Richtliniendurchsetzung, die sich nach dem Endgerät, dem Benutzer, der Anwendung
und nach anderen Unternehmenskriterien richtet, hilft bei der Einhaltung von rechtlichen und unternehmensinternen Vorgaben für den Zugriff auf Ressourcen. Besonders in ihrer Kombination bieten diese Technologien vor allem den Mobil- und Remotebenutzern einen schnellen und flexiblen Zugriff von den unterschiedlichsten Orten und Geräten wie Kiosken, PCs und Mobilgeräten.
Das IAG unterstützt neben der zu erwartenden Veröffentlichungsmöglichkeit für bekannte Microsoft-Webanwendungen wie Outlook Web Access und SharePoint Services auch die Bereitstellung vieler Anwendungen
von Drittanbietern wie SAP, IBM Domino und Lotus Notes. Dabei ermöglicht das IAG nicht nur granulare
Zugriffsrichtlinien und Sicherheitsfunktionalitäten, sondern auch echtes Single Sign-On (SSO) für diese
Anwendungen. SSO bietet dabei den Vorteil, dass nach einer Anmeldung am IAG die verwendeten Anmeldeinformationen an die aufgerufenen Anwendungen transportiert werden können und somit keine erneute
Authentifizierung für den Benutzer beim Zugriff auf die Anwendung erforderlich ist.
Darüber hinaus werden auch generische Anwendungen wie Telnet, FTP oder unternehmenskritische Client/
Server-Anwendungen wie Microsoft Outlook, Lotus Notes native Client, Citrix oder Microsoft Terminaldienste unterstützt. Im Bedarfsfall lässt sich sogar eine direkte VPN-Verbindung über das so genannte
Network Connector-Modul herstellen, die als virtuelle und security-fähige Verbindung komplett auf der
Netzwerkschicht realisiert ist.
Das Intelligent Application Gateway basiert auf einem gehärteten Windows Server 2003 mit ISA Server 2006
und Internet Information Server 6.0 und ist im Gegensatz zu einem ISA Server nur als Hardware-Appliance
56
Kapitel 2:
erhältlich. Die Abbildung 2.2 zeigt die umfangreichen Remotezugriffsmöglichkeiten über das IAG auf
interne Ressourcen.
Abbildung 2.2 Sicherer Remotezugriff über SSL-VPN mit dem Intelligent Application Gateway
Forefront Server Security schützt gezielt die Messaging- und Collaborations-Plattformen in einem Netzwerk,
die von Malware einfach als Medium für eine explosionsartige Verteilung verwendet werden könnte. Microsoft
setzt deswegen hier ein besonderes Augenmerk auf einen maximalen Schutz durch Verteidigungsmaßnahmen auf mehreren Ebenen bei optimaler Leistung und Verfügbarkeit und einfacher Verwaltung. Besonderes
Highlight dieser Lösung ist, dass für den Schutz vor Malware insgesamt acht Scanmodule namhafter Hersteller mitgeliefert und lizenziert werden, von denen bis zu fünf Module gleichzeitig für die Suche nach Viren,
Trojanern, Würmern und ähnlichen Bedrohungen eingesetzt werden können.
Verfügbare Versionen
In der aktuellen Version 10 gibt es Forefront Server Security als Forefront Security für Exchange für
Exchange Server 2007 und als Forefront Security für SharePoint für Office SharePoint Server 2007 und Windows SharePoint Services 3.0. Beide Produkte sind mit Service Pack 1 (SP1) verfügbar. Die Neuerungen
durch den SP1 sind in diesem Buch selbstverständlich mit eingearbeitet. Eine Version von Forefront Security
für den Office Communication Server war bei Erstellung dieses Buches noch in einem frühen Beta-Stadium.
Antigen
Vorgängerprodukte wie Microsoft Exchange 2000 Server, Exchange Server 2003, SharePoint Portal Server
2003, Windows SharePoint Services 2.0 und auch Live Communications Server fallen nicht ungeschützt
unter den Tisch: Microsoft bietet für den Schutz dieser Produkte weiterhin den Vorgänger von Forefront Server Security an. Diese Produkte werden weiterhin unter dem Namen Antigen geführt, wie sie von der durch
Microsoft im Jahre 2005 eingegliederten Firma Sybari ursprünglich ins Leben gerufen wurden.
57
Management Console
Eine gemeinsame Konsole zur Verwaltung mehrerer Forefront Server Security- und Antigen-Installationen
steht mit der Forefront Server Security Management Console zur Verfügung. Diese webbasierte Anwendung
ermöglicht die zentrale Konfiguration der Einstellungen und eine ausfallsichere Bereitstellung der Aktualisierungen der Scanmodule. Neben einer zentralisierten Quarantäne für eine einfache Wiederherstellung aus
dem Verkehr gezogener Elemente ermöglicht sie außerdem durch eine integrierte Berichtsfunktion einen
vollständigen Überblick über den gesamten Status einer Server Security-Umgebung. Da die Informationen
und Ereignisse aus allen Installationen in der Konsole zusammenlaufen, können auch so genannte Outbreak-Benachrichtigungen definiert und gesammelt ausgelöst oder an Microsoft Operations Manager oder
System Center Operations Manager weitergegeben werden.
Forefront Client Security
Das jüngste Kind der Forefront-Familie kam Mitte 2007 auf den Markt und schließt eine wichtige Lücke im
Portfolio der Sicherheitsprodukte von Microsoft: eine zentral verwaltete Antimalware-Lösung für den einheitlichen Schutz von Desktops, Laptops und Servern mit einem Windows-Betriebssystem ab Windows 2000
(Service Pack 4, SP4). Forefront Client Security schützt mit einem einzigen Agenten die Computer nicht nur
vor herkömmlichen Angriffen wie Viren und Würmern, sondern auch vor neuen Bedrohungen wie Spyware
und Rootkits. Alle Dateien, und somit jeglicher Schadcode, wird dabei in Echtzeit überprüft, bevor er ausgeführt werden kann. Ermöglicht wird dies durch die Implementierung des Agenten über die »Minifilter«Technologie, die durch den Windows Filter Manager bereitgestellt und direkt Kernel-Mode von Windows
ausgeführt wird. Der Anwender wird bei seiner Arbeit so wenig wie möglich beeinträchtigt und auch Terminalserver können mit Client Security geschützt werden, ohne dass die Performance zu sehr unter einem Malwarescan leidet.
Architektur
Auffallend an der Architektur von Client Security ist nicht nur die zu erwartende hohe Integration in bestehende IT-Infrastrukturen, sondern auch die enge Verzahnung mit dem IT-Management. Wie Sie in Abbildung 2.3 sehen können, zeigt sich dies vor allem bei Microsofts Griff in die vorhandene Produkt- und Technologiepalette, um Client Security effizient zu betreiben und nicht ständig das Rad neu erfinden zu müssen.
Für die Ausbringung der Richtlinien, die in einer Management Console festgelegt werden, bedient sich Forefront dem lange bewährten System der Gruppenrichtlinien, also dem Active Directory.
Aktualisierungen der Antimalware-Engine werden für die Clients über die Microsoft Update-Infrastruktur
bereitgestellt und können somit ganz einfach beispielsweise per Windows Server Update Services (WSUS)
oder auch System Center Configuration Manager verteilt werden. Für den Fall, dass ein Clientcomputer
keine Verbindung zu einem internen Verteilungsserver herstellen kann, ist auch ein Fallback zu Microsoft
Update möglich. Benutzer mit tragbaren Computern auf einer Reise und ohne Zugriff auf das Unternehmensnetzwerk können auf diesem Weg auch optimal auf dem neuesten Stand gehalten werden.
58
Kapitel 2:
Abbildung 2.3 Architektur und Integration von Forefront Client Security in Unternehmensnetzwerke
Ein besonderer Vorteil beim Einsatz von WSUS als Verteilungsserver ist übrigens, dass sogar die Bereitstellung der Software für die Clients automatisch erfolgt, sobald sie eine Client Security-Richtlinie von Active
Directory erhalten haben.
HINWEIS
Für die Überprüfung der Voraussetzungen für eine Bereitstellung von Forefront Client Security, zur Überprüfung
einer Installation auf die Best Practices oder zur einfacheren Diagnose von Problemen gibt es den Microsoft Forefront Client
Security Best Practices Analyzer, den Sie unter http://go.microsoft.com/fwlink/?LinkID=98401 finden können.
Integriertes Reporting und Alert-Management
Heutzutage genügt es jedoch nicht mehr, nur die Computer vor den Bedrohungen zu schützen, sondern
auch nahtlos den Zustand des Computers und die vorgefallenen Probleme lückenlos nachverfolgen zu können. Compliance, also auch die Nachverfolgbarkeit von Sicherheitsvorfällen, wird immer wichtiger und
Client Security wälzt dies nicht auf ein einfaches »das ist auch zu implementieren« ab, sondern schließt hier
selbst die Lücke zum IT-Management: Das komplette Ereignisprotokollierungs- und Benachrichtigungssystem basiert auf der Microsoft Operation Manager (MOM) 2005-Technologie.
Die erforderlichen MOM 2005-Komponenten sind in einer speziell optimierten Version im Paket von Forefront Client Security integriert. Besteht bereits eine Installation von MOM 2000, MOM 2005 oder Microsoft
System Center Operations Manager 2007, können Sie diese Installation mit der MOM 2005-Installation von
Client Security integrieren. Da die MOM-Agenten eine mehrfache Vernetzung unterstützen, kann der
Clientcomputer sowohl mit dem MOM-Server von Client Security als auch dem vorhanden MOM-Server
kommunizieren. In Summe können bis zu 10.000 Clients mit einer Installation von Forefront Client Security
verwaltet werden. Erst dann ist eine weitere Bereitstellung der Serverkomponenten erforderlich. Maximal
zehn dieser Installationen können dann mithilfe des Forefront Client Security Enterprise Managers zusammengefasst werden. Der Enterprise Manager ermöglicht einen gemeinsamen Speicherort für die Verwaltung
59
von Client Security-Richtlinien, die Initiierung von unternehmensweiten Antimalwarescans und die Aggregation von Berichts- und Warnungsinformationen.
Zur Speicherung der Informationen und Daten, die von den per MOM verwalteten Computern gemeldet
werden, verwendet Client Security den SQL Server 2005. Wie für einen MOM-Server üblich, werden
zunächst alle Ereignisse und Warnungen der Clientagenten fünf Tage in einer Auflistungsdatenbank gespeichert und dann über einen Wartungsauftrag in eine Berichtsdatenbank übertragen und dort standardmäßig
395 Tage (entspricht 13 Monate) vorgehalten. Die Auswertungen und Berichte dieser Daten werden dabei
mit den mitgelieferten SQL Server 2005 Reporting Services und vielen vorgefertigten bereitgestellt. Echtzeitund Langzeit-Daten können in verschiedensten Formen von Zusammenfassungen bis zum Detail einer Malware aufbereitet werden. Integrierte Drill-Downs per Hyperlink erleichtern dabei die Navigation. Und auch
regelmäßige Berichte, wie beispielsweise den zusammenfassenden Sicherheitsbericht können Sie sich als
Administrator automatisch per E-Mail zusenden lassen.
Proaktiver Schutz mit dem Security State Assessment
Forefront Client Security stellt aber auch Tools bereit, damit Sie sich proaktiv auf die wichtigsten Bedrohungen und potenziellen Sicherheitsrisiken im Unternehmensnetzwerk konzentrieren können. So genannte Statusbewertungsscans (Security State Assessment Scans, SSA) ermöglichen, ein zentrales Sicherheitsrisikoprofil der Clients zu erstellen. Dabei werden, ähnlich wie eine manuelle Durchleuchtung eines Clients mit dem
Microsoft Security Baseline Analyzer (MBSA), Daten aus der Registrierung, dem Dateisystem, WMI, IIS
Metabase, SQL und anderen Komponenten des Clients überprüft. Diese Sicherheitsbewertungen zeigen
unter anderen, welche der Computer Patches benötigen, nicht erforderliche Dienste ausführen oder unsichere Software ausführen und nicht sicherheitskonform konfiguriert sind.
Hinter den Kulissen
Tatsächlich ist auch Forefront Client Security kein völlig Unbekannter. Wie bereits angesprochen, handelt es
sich um eine Antimalwarelösung, die aus einer Antivirus- und einer Antispyware-Komponente besteht. Zu
sehen ist dies auch unmittelbar bei der Definition der Scanrichtlinien für die zu schützenden Clients. Darin
kann sowohl die Antivirus- als auch die Antispyware-Funktion separat aktiviert werden. Diese Trennung ist
unter anderem auch historisch bedingt: Einerseits wurde die Antivirus-Technologie einer Firma und andererseits die Antispyware-Technologie einer anderen Firma von Microsoft übernommen und erst im Laufe
der Zeit zu einer Antimalware-Engine kombiniert. Die Antispyware-Komponente war einige Zeit als
Microsoft Antispyware Beta verfügbar und ist nun als Windows Defender auf Windows-Clients zu finden.
Windows Defender wird daher auch automatisch deinstalliert, sobald die Clientkomponenten von Forefront
Client Security auf einem Computer installiert werden. Im Übrigen findet man die Antimalware-Engine von
Forefront Client Security auch im Paket von Windows Live One Care oder als Microsoft Antimalware Engine
in Forefront Server Security wieder.
Integration in Network Access Protection von Windows Server 2008
Mit dem Microsoft Forefront Integration Kit for Network Access Protection ermöglicht Microsoft auch,
Forefront Client Security in die Network Access Protection (Netzwerkzugriffsschutz, NAP)-Technologie von
Windows Server 2008 zu integrieren. NAP ist eine der neuen Sicherheitstechnologien von Windows Server
2008, mit der Zugriffe auf Unternehmensnetzwerke beispielsweise direkt, per VPN oder Terminal Services
Gateway geregelt werden können.
60
Kapitel 2:
Das Kit enthält dazu die für NAP erforderlichen Komponenten: System Health Validator (SHV) und System
Health Agent (SHA). Wie in Abbildung 2.4 zu sehen, können Sie mit NAP als Administrator eine Richtlinie
definieren, die es Computern nur dann erlaubt, auf das Unternehmensnetzwerk zuzugreifen, wenn Forefront Client Security installiert und auf dem aktuellsten Stand ist. Dazu wird der SHA auf jeden Client
bereitgestellt, um ein so genanntes Statement of Health (SoH) ausweisen zu können, welches dann über
einen Network Policy Server (NPS) gegen die Richtlinie auf dem NAP-Server mit dem SHV überprüft wird.
Erfüllt der Client die gestellten Anforderungen nicht, wird der Client in ein Remediation-Netzwerk geführt,
um sich dort beispielsweise mit den aktuellen Signaturen für Client Security zu versorgen, damit er im
Anschluss vollen Zugriff auf das Netzwerk erhalten kann.
Abbildung 2.4 Forefront Client Security kann mithilfe des Integration Kit for Network Access Protection in eine NAP-Achitektur
von Windows Server 2008 eingebunden werden
Lizenzierung
Für den Betrieb der Forefront-Produkte gibt es für die einzelnen Produkte unterschiedliche Lizensierungsarten. Abhängig vom Produkt muss dies entweder pro Prozessor oder User beziehungsweise Computer lizenziert werden. Welche Lizenzierungsarten für die jeweiligen Produkte zur Auswahl stehen wird im folgenden
Abschnitt behandelt.
ISA Server und IAG
ISA Server 2006 wird im Prozessor-Lizenzmodell der Microsoft Serverprodukte lizenziert und kann in jedem
Internet-, Extranet- oder Intranetszenario verwendet werden. Eine Prozessorlizenz beinhaltet den Zugriff für
eine unbegrenzte Anzahl von Nutzern oder Geräten, die eine Verbindung aus dem LAN oder WAN des
Unternehmens oder von außerhalb zu ISA Server herstellen. Prozessorlizenzen bei ISA Server sind in der
Enterprise Edition und in der Standard Edition verfügbar.
61
Lizenzierung
Bei IAG 2007 ist die Lizenzierung etwas komplizierter, denn neben einer Serverlizenz sind hier auch Clientzugriffslizenzen erforderlich. Da das IAG nur als Appliance erworben werden kann, erhält man die Serverlizenz nur über den Anbieter der Appliance und Benutzerlizenzen entweder über den Hardwarepartner oder
über die Microsoft-Volumenlizenzprogramme. Die Tabelle 2.2 zeigt die verfügbaren Lizenzierungsmöglichkeiten von IAG 2007.
Von Hardwareanbietern
Von Microsoft über die Volumenlizenzierung
IAG Appliance
–
IAG 2007-Paket mit 10 CALs
IAG 2007 CAL und Software Assurance
Tabelle 2.2 Lizenzierung des Intelligent Application Gateway 2007
Forefront Server Security und Antigen
Alle Microsoft Forefront Server Security- und Microsoft Antigen-Sicherheitsprodukte werden in den Lizenzprogrammen als Microsoft-Onlinedienste lizenziert. Die Microsoft-Onlinedienste lassen sich mit einem
Abonnement vergleichen: Die Lizenz beinhaltet die Aktualisierungen aller Scanmodule und Produktaktualisierungen während des Zeitraums, in dem das Abonnement gültig ist.
Je nach Produkt werden folgende Lizenzen angeboten:
쐍 Dienst-Abonnementlizenz
쐍 Nutzer- oder Geräte-Abonnementlizenz
쐍 Add-On-Abonnementlizenz
Eine Dienst-Abonnementlizenz (Dienst-AL) stellt die Funktionalität eines Microsoft Forefront- oder Microsoft
Antigen-Produktes auf Unternehmensebene zur Verfügung. Eine Dienst-AL ist für jeden Server erforderlich,
der die Forefront Server Security Management Console oder den Antigen Enterprise Manager ausführt. Für
die oben genannten Management-Konsolen ist aber keine weitere Abonnementlizenz erforderlich.
Ähnlich wie bei den Zugriffslizenzen auf Microsoft Serverprodukte (Client Access License, CALs) berechtigt
eine Nutzer-Abonnementlizenz (Nutzer-AL) den Nutzer, die Funktionalität des Onlinedienstes für beliebige
Geräte zu nutzen, z.B. für einen Desktop-PC im Büro und ein zusätzliches Notebook. Eine Geräte-Abonnementlizenz (Geräte-AL) berechtigt dazu, die Funktionalität des Onlinedienstes für ein Gerät zu nutzen.
Dabei darf das Gerät von mehreren Personen genutzt werden, z.B. von Halbtagskräften, die sich einen PC
teilen. Sie können dabei nach Ihren Bedürfnissen entscheiden, ob Nutzer- oder Geräte-Abonnementlizenzen
besser für Ihre Infrastruktur geeignet sind, und auch eine Kombination aus beiden Lizenztypen einsetzen.
Eine Add-On-Abonnementlizenz (Add-On-AL) ist beispielsweise für den Schutz einer Internet-Site mit
Forefront Security für SharePoint erforderlich, wenn die Anzahl der Nutzer oder Geräte unbestimmt ist. Für
diese Produkte der Microsoft Forefront- und Microsoft Antigen-Familie werden keine Dienst-Abonnementlizenzen benötigt. In Tabelle 2.3 sehen Sie die verfügbaren Lizenzierungsmöglichkeiten für Forefront Server
Security und Antigen.
Produkt
Dienst-AL
Nutzer-AL
Geräte-AL
Add-On-AL
Antigen for Instant Messaging
–
X
X
–
–
X
X
–
Tabelle 2.3 Lizenzmodell für Forefront Server Security und Antigen
62
Kapitel 2:
Produkt
Dienst-AL
Nutzer-AL
Geräte-AL
Add-On-AL
Forefront Security für SharePoint
–
X
X
–
Forefront Security für SharePoint für Internet-Sites
–
–
–
X
Antigen Enterprise Manager
X
–
–
–
Forefront Server Security Management Console
X
–
–
–
Tabelle 2.3 Lizenzmodell für Forefront Server Security und Antigen (Fortsetzung)
Ähnlich wie bei Forefront Server Security können für Forefront Client Security entweder Nutzer-Abonnementlizenzen (Nutzer-AL) oder Geräte-Abonnementlizenzen (Geräte-AL) bezogen werden. Auch enthalten
die Aktualisierungen für die Antimalware-Engine und das gesamte Produkt während des Zeitraums, in dem
das Abonnement gültig ist.
Ein besonderer Vorteil bei einer Nutzer-AL ist das so genannte Home Use Right. Die Clientsoftware, also der
Forefront Client Security Agent, darf dann von Ihren Anwendern auch zu Hause verwendet werden, um so
beispielsweise die Risiken zu minimieren, wenn Sie mit dem Heim-PC auf Ressourcen in Ihrem Unternehmensnetzwerk zugreifen. Die Installation des Agenten auf dem Heimcomputer kann dabei so vorgenommen
werden, dass sie nicht in Ihre Management-Infrastruktur aufgenommen werden und somit eigenständig
(unmanaged) agieren.
Auch für den Managementserver, der in jeder verwalteten Forefront Client Security-Umgebung erforderlich
ist, wird auch eine eigene Abonnementlizenz benötigt. Wenn Sie keine SQL Server 2005 Standard Edition
oder Enterprise Edition lizenziert haben, können Sie die Lizenz für den Management-Server auch mit einer
SQL Server 2005 Enterprise Edition beziehen. Dieser SQL Server darf jedoch dann nur für die Datenhaltung
von Forefront Client Security eingesetzt werden.
WICHTIG
Wenn Sie eine Umgebung mit mehr als 10.000 zu schützenden Clients betreiben möchten, ist pro 10.000 Benutzer je ein Managementserver und somit je eine Abonnementlizenz für einen Managementserver erforderlich.
Weitere Lizenzierungsmöglichkeiten
Die Forefront-Produkte sind auch gesammelt in entsprechenden Suites verfügbar oder sogar auch in Lizenzmodellen anderer Produkte mit enthalten.
So besteht beispielsweise die Möglichkeit, Forefront Security für Exchange über die Exchange Server 2007
Enterprise CAL zu lizenzieren. Neben der Berechtigung, auf die Enterprise-Funktionalitäten (Unified Messaging) von Exchange Server 2007 zuzugreifen, ist auch Forefront Security für Exchange Server und Microsoft
Exchange Hosted Filtering Bestandteil dieser Lizenz, sofern sie mit Software Assurance ausgestattet ist. Voraussetzung für die Enterprise CAL ist übrigens auch, dass Sie sowohl die Standard CAL als auch die Enterprise CAL
für Microsoft Exchange Server 2007 erworben haben.
Ein Rundum-Sorglospaket ist die Enterprise CAL Suite, die neben mehreren Zugriffslizenzen auf Microsoft
Serverprodukte auch die komplette Forefront Security Suite enthält, die auch eigenständig erhältlich ist. In
der Suite sind Lizenzen für die Forefront Server Security-Produkte, Antigen for Instant Messaging und Forefront Client Security-Agenten enthalten. Bei beiden Suiten ist eine zusätzliche Lizenz für den Managementserver erforderlich, um Forefront Client Security betreiben zu können.
63
Die nachfolgende Tabelle 2.4 zeigt eine Auswahl an drei Lizenzmodellen, die ein oder mehrere ForefrontProdukte enthalten:
Produkt
Exchange Enterprise CAL mit SA
Enterprise CAL Suite
Forefront Security Suite
–
X
X
X
X
X
Forefront Security für Office SharePoint Server –
X
X
Antigen für Instant Messaging
–
X
X
Microsoft Exchange Hosted Filtering
X
X
X
Tabelle 2.4 Lizenzmodelle Exchange Enterprise CAL, Enterprise CAL Suite und Forefront Security Suite
WICHTIG
Da Forefront Security für Office Communication Server 2007 zum Zeitpunkt der Erstellung dieses Buches noch
nicht verfügbar war, ist noch Antigen für Instant Messaging für den Einsatz auf Live Communication Server in den jeweiligen
Lizenzierungsformen enthalten.
Besonders bei Messaging- und Collaboration-Systemen wie Microsoft Exchange Server und Microsoft Office
SharePoint Server können sich Viren, Trojaner und ähnliche Malware einfach und häufig explosionsartig
verbreiten. Mit herkömmlicher Antivirustechnologie, die auf der Ebene des Betriebssystems tätig ist, kann
jedoch der Inhalt einer Exchange-Datenbank oder der Transportweg der Nachrichten nicht überprüft oder
gescannt werden.
Gleiches gilt für den Inhalt einer SharePoint-Datenbank und den Up- und Download in einer Dokumentenbibliothek. Für diese Systeme ist daher eine speziell auf das Produkt abgestimmte Antiviruslösung erforderlich, mit der sämtliche Nachrichten und Dokumente in Echtzeit gescannt werden können, ohne dass dies die
Serverleistung oder -verfügbarkeit beeinträchtigt.
Microsoft ermöglicht Herstellern von Antiviruslösungen eine einfache Integration mittels einer so genannten VSAPI (Virus Scanning Application Programming Interface) bei Exchange Server und Office SharePoint
Server. Forefront Server Security setzt auf die entsprechenden VSAPI-Schnittstellen auf und bietet dadurch
eine nahtlose Integration und mit einem besonderen Funktionsumfang die höchstmögliche Sicherheit vor
Bedrohungen durch Malware aus den internen und externen Netzwerken.
Multi-Engine-Technologie
Hersteller von Antiviruslösungen sind immer sehr bemüht, neue Virensignaturen so schnell wie möglich zu
veröffentlichen. Es zeigt sich doch bei jeder neuen Bedrohung durch einen neuen Virus, dass die einzelnen
Antivirus-Entwicklerlabors meist unterschiedlich lange brauchen, um die notwendigen Virusbeispiele zu
erhalten, sie zu analysieren und die Signaturen zu veröffentlichen.
64
Kapitel 2:
Mehrere Scanmodule zur Überprüfung
Forefront Server Security versucht dieses so genannte Verwundbarkeitszeitfenster auf ein Minimum zu reduzieren, indem mehrere Antivirusscanmodule verschiedener Hersteller gleichzeitig für die Überprüfung auf
Malware eingesetzt werden. Durch diesen Ansatz ist die Wahrscheinlichkeit deutlich größer, dass eines der
Module in der Lage ist, einen neuen Virus zu erkennen und unschädlich zu machen, bevor es in die
Messaging- oder Collaboration-Infrastruktur gelangen und sich verbreiten kann.
Forefront Server Security versucht dieses so genannte Verwundbarkeitszeitfenster auf ein Minimum zu reduzieren, indem mehrere Antivirusscanmodule verschiedener Hersteller gleichzeitig für die Überprüfung auf
Malware eingesetzt werden. Durch diesen Ansatz ist die Wahrscheinlichkeit deutlich größer, dass eines der
Module in der Lage ist, einen neuen Virus zu erkennen und unschädlich zu machen, bevor es in die
Messaging- oder Collaboration-Infrastruktur gelangen und sich verbreiten kann.
Verfügbare Scanmodule
Die Lizenz von Forefront Server Security schließt alle aktuell integrierten Antivirusmodule ein:
쐍 CA Vet
쐍 Microsoft Antimalware Engine
쐍 Norman Virus Control
쐍 Sophos Virus Detection Engine
쐍 Kaspersky Antivirus Technology
쐍 Authentium Command Antivirus Engine
쐍 AhnLab Antivirus Scan Engine
쐍 VirusBuster Antivirus Scan Engine
Alle von Forefront Server Security integrierten Scanmodule wurden von mindestens einer der folgenden
Organisationen zertifiziert: West Coast Labs, ICSA Labs oder Virus Bulletin.
Multiple-Scan-Engine-Manager
Nicht immer ist eine Überprüfung mit allen verfügbaren Scanmodulen erforderlich. In einer Umgebung mit
mehreren Sicherheitsebenen, die man beispielsweise durch die Installation von Forefront Security für
Exchange auf den Edge-Transport-, Hub-Transport- und Postfachservern erreichen kann, macht eine ressourcensparende Auswahl der Scanmodule Sinn.
Forefront Server Security kann selbstständig nach einer groben Vorgabe eigenständig die für einen Scan
erforderlichen Module auswählen. Dabei geben Sie nur die etwaige Anzahl der Module in einer so genannten
Abweichungseinstellung vor und Forefront Server Security bestimmt mithilfe des Multiple Scan Engine
Manager (MEM) für jeden Scan die am besten geeignetsten Module wieder aufs Neue.
MEM verwendet die Ergebnisse der Scanmodule, um die Wahrscheinlichkeit zu bestimmen, mit der eine
bestimmte Nachricht oder Datei bei Exchange Server oder ein Dokument bei SharePoint Server einen Virus
enthalten könnte. Wenn eines der im Scan verwendeten Module eine Infektion erkennt, gilt das Element als
infiziert, woraufhin der MEM dann eine entsprechende auf Basis der Grundeinstellungen trifft. Das kann
beispielsweise das Löschen des infizierten Elements oder der gesamten Nachricht bei Forefront Security für
Exchange Server bedeuten.
65
Wie der MEM die Reihenfolge bestimmt und wie die Abweichungseinstellung die zu verwendenden Module
beeinflusst, sehen Sie in den folgenden Abschnitten.
Modulrangfolge
Der Multiple Scan Engine Manager verwendet die Ergebnisse jedes Moduls zur Bestimmung der Rangfolge,
nach der es entsprechend der gewählten Abweichungseinstellung für einen Scan herangezogen wird. Jedes
Modul wird anhand der bisherigen Leistung und seines Alters von MEM eingestuft. Diese Information
ermöglicht MEM, jedes Modul zu gewichten, sodass diejenigen mit einer besseren Leistung vermehrt während des Scannens eingesetzt werden und ihren Ergebnissen bei der Bestimmung, ob eine Datei infiziert ist,
mehr Gewicht verliehen wird. Dadurch wird sichergestellt, dass die aktuellsten Module mit der besten Leistung einen größeren Einfluss auf den Scanvorgang haben.
Werden zwei oder mehrere Module an gleicher Stelle eingestuft, ruft MEM diese durch zyklisches Durchlaufen der verschiedenen Modulreihenfolgen abwechselnd auf.
Abweichungseinstellung
Die Abweichungseinstellung steuert, wie viele Scanmodule benötigt werden, um Ihnen eine akzeptable
Wahrscheinlichkeit zu bieten, dass Ihr System geschützt ist. Je mehr Module Sie verwenden, desto größer ist
die Wahrscheinlichkeit, dass alle Viren gefunden werden. Je mehr Module Sie jedoch verwenden, desto größer ist die Auswirkung auf die Leistung Ihres Systems.
Das eine Extrem ist also die Anzahl der verwendeten Module für eine maximale Sicherheit. Das andere
Extrem ist die Anzahl der Module, die eine maximale Leistung ermöglichen. Dazwischen liegt die Anzahl der
Module, die eine ausgeglichene Leistung zulassen.
Sie können je nach Bedarf unterschiedliche Abweichungseinstellungen auf verschiedenen Servern verwenden. So empfiehlt es sich unter Umständen, in einer Exchange-Umgebung auf dem Postfachserver nur ein
Modul zu verwenden, um so eine optimale Leistung für die Benutzer zu erreichen. Sie können dann mehrere
Module auf Ihren anderen Servern verwenden, auf denen die Leistung nicht ganz so kritisch ist.
Basierend auf der Auswahl von fünf Modulen (das Maximum an Scanmodulen, das Sie gleichzeitig verwenden können) zeigt die Tabelle 2.5, wie der MEM bei jeder der Abweichungseinstellungen die Module für das
Virenscannen verwendet.
Abweichungseinstellung
Beschreibung und Funktion
Maximale Sicherheit
Jedes Element wird mit allen fünf der ausgewählten Module gescannt
Sicherheit bevorzugen
Wechselt zwischen dem Virenscannen jedes Elements mit drei und fünf Modulen
Neutral
Jedes Element wird mit mindestens drei Modulen gescannt
Leistung bevorzugen
Wechselt zwischen dem Virenscannen jedes Elements mit einem und drei Modulen
Maximale Leistung
Jedes Element wird nur mit einem der ausgewählten Module gescannt
Tabelle 2.5 Beispiele für die möglichen Abweichungseinstellungen bei fünf ausgewählten Scanmodulen
66
Kapitel 2:
Einsatz von Forefront Server Security bei Fabrikam Inc.
Fabrikam Inc. wird Microsoft Forefront Server Security als Antiviruslösung für die vorhanden Exchange
2007-Server und einen Office SharePoint 2007-Server einsetzen. Ausschlaggebende Gründe für die Entscheidung für Forefront Server Security waren dabei:
쐍 Es ist eine Antiviruslösung, die mit mehreren Antivirusscanmodulen namhafter Hersteller ausgeliefert
wird und die Verwendung von bis zu fünf Scanmodulen gleichzeitig ermöglicht.
쐍 Sie bietet verteilten Schutz auf allen Exchange-Serverrollen für Speicherung und Transport, einschließ-
lich Edge-Transport, Hub-Transport und Postfach/Öffentliche Ordner.
쐍 Die neuen Open XML-Formate von Microsoft Office können gescannt werden und auch die in Share-
Point Server mit IRM (Information Rights Management) geschützten Dokumente werden auf Malware
überprüft.
쐍 Es können Filter für die gezielte Blockierung unerwünschter Dateien auf Basis von Dateiname, Datei-
erweiterung oder Dateigröße hinterlegt werden. Darüber hinaus lassen sich Nachrichten in Exchange
und Dokumente in SharePoint auf bestimmte Schlüsselwörter überprüfen.
쐍 Es können umfangreiche Benachrichtigungen für den Administrator festgelegt werden. Bei Exchange
Server können sowohl Sender als auch Empfänger über eine infizierte oder blockierte Nachricht oder
Anlage informiert werden. Bei SharePoint Server wird der Benutzer direkt beim Zugriff auf eine Dokumentbibliothek auf eine Infizierung oder Blockierung eines Dokuments hingewiesen.
쐍 Die mit Forefront Server Security geschützten Exchange und SharePoint Server lassen sich zentral mit der
Forefront Server Security Management Console verwalten und überwachen. Diese Konsole ist als Zusatzprodukt zu erwerben.
Forefront Security für Exchange (FSE) ermöglicht den Schutz von Exchange Server für die Exchange-Serverrollen Edge-Transport, Hub-Transport und Postfach/Öffentliche Ordner. FSE erkennt dabei automatisch die
Rolle des zu schützenden Exchange Servers und ermöglicht durch die Verteilung der Scanaufträge auf die
verschiedenen Exchange-Server eine deutliche Reduzierung der Belastung einzelner Server.
Auf den nächsten Seiten sehen Sie, wie die Nachrichtenüberprüfung auf den verschiedenen Kommunikationswegen in Exchange Server durch Forefront Security für Exchange erfolgt, welche Scanaufträge dabei
involviert sind und welche Mechanismen eingesetzt werden, um eine optimale Performance bei der Überprüfung zu ermöglichen.
Ablauf der Nachrichtenüberprüfung
Forefront Security für Exchange verwendet eine Scanlogik, die sicherstellt, dass bereits überprüfte Nachrichten nicht unnötig mehrfach gescannt werden. Standardmäßig werden E-Mails, die beim Edge-Transportoder Hub-Transport-Server überprüft wurden, nicht erneut gescannt, wenn sie an einen anderen HubTransport-Server weitergeleitet oder im Speicher eines Postfachservers abgelegt werden.
67
Diese standardmäßig aktivierte Funktion von Forefront Security für Exchange reduziert die Anzahl der notwendigen Antivirusscanvorgänge auf ein Minimum, während auf der anderen Seite eine maximale Leistung
des gesamten E-Mail-Systems ohne Einbußen bei der Sicherheit ermöglicht wird.
Verhalten im Nachrichtenfluss
Das Verhalten von Forefront Security für Exchange für die Überprüfung von Nachrichten ist je nach Richtung des Nachrichtenflusses unterschiedlich.
쐍 Eingehende Nachrichten
Werden auf dem Edge-Transport-Server durch den Transportscanauftrag
überprüft. Wie in Abbildung 2.5 dargestellt, wird am Hub-Transport-Server oder beim ersten Speichern
auf den Postfachservern die E-Mail nicht wiederholt gescannt. Sobald sich die Nachrichten jedoch im
Postfachserver befinden, kann Forefront so konfiguriert werden, dass der Informationsspeicher von Zeit
zu Zeit vollständig oder teilweise neu gescannt wird, wenn neuere Signaturen für die Scanmodule vorhanden sind.
Abbildung 2.5 Ablauf der Überprüfung von eingehenden Nachrichten bei Forefront Security für Exchange
쐍 Ausgehende Nachrichten
Werden standardmäßig nicht auf dem Postfachserver, sondern wie in Abbildung 2.6 dargestellt, auf dem folgenden Hub-Transport-Server durch den Transportscanauftrag überprüft. Wenn die Postfach- und Hubserverrolle vom selben Server bereitgestellt wird, wird die E-Mail von
der Hub-Transport-Rolle auf diesem Server gescannt. Gibt es in der Exchange-Umgebung einen EdgeTransport-Server, wird die Nachricht auf dem Edge-Transport-Server nicht noch einmal überprüft.
Abbildung 2.6 Ablauf der Überprüfung von ausgehenden Nachrichten bei Forefront Security für Exchange
쐍 Interne Nachrichten
Werden entsprechend der Abbildung 2.7 beim Routing nur auf dem ersten HubTransport-Server durch den Transportscanauftrag überprüft. Nachrichten werden nicht auf dem ursprünglichen Postfachserver oder auf dem Ziel-Postfachserver gescannt.
68
Kapitel 2:
Abbildung 2.7 Ablauf der Überprüfung von internen Nachrichten bei Forefront Security für Exchange
Optimierung durch Antivirusstempel
Jede Nachricht erhält beim ersten Scannen auf dem Edge-Transport- oder Hub-Transport-Server durch den
Antivirus-Transport-Agent von Forefront Security für Exchange einen so genannten Antivirusstempel. Scanvorgänge auf einem nachfolgenden Hub- oder Postfachserver prüfen die Nachricht auf diesen Stempel. Ist er
vorhanden, wird die Nachricht nicht erneut gescannt. Erreicht die Nachricht einen Postfachserver, werden
diese Antivirusstempeleigenschaften in eine MAPI-Eigenschaft umgewandelt. Um ein Spoofing zu vermeiden, entfernt ein Edge-Transport- oder Hub-Transport-Server automatisch einen eventuell vorhandenen
Antivirusstempel bei eingehenden Nachrichten aus dem Internet. Dadurch wird verhindert, dass von außen
mit einem falschen Antivirusstempel manipulierte Nachrichten in das Netzwerk gesendet werden könnten,
die ein Scannen verhindern und somit die Einschleusung eines Virus ermöglichen. Genauso entfernt ein
Edge-Transport- oder Hub-Transport-Server den Antivirusstempel bei Nachrichten, die das Netzwerk in
Richtung Internet verlassen.
Es müssen drei Bedingungen erfüllt sein, damit der Antivirus-Transport-Agent von Forefront Security für
Exchange eine Nachricht mit einem Antivirusstempel versieht:
쐍 Die Nachricht muss von mindestens einem Scanmodul überprüft worden sein.
쐍 Es wurde kein Virus gefunden, oder ein gefundener Virus wurde bereinigt oder gelöscht.
쐍 Wenn die Nachricht aktualisiert wurde, muss von Forefront die aktualisierte Nachricht erfolgreich
zurück in Exchange geschrieben worden sein.
Für alle Exchange Server im Netzwerk sollten dieselben Konfigurationseinstellungen verwendet werden, um
diese Funktionalität des einmaligen Scannens optimal auszunutzen. So kann sichergestellt werden, dass der
Scanvorgang an verschiedenen verteilten Punkten in der Exchange-Organisation immer gleich abläuft.
HINWEIS
Auf welchen Servern der Antivirusstempel im Nachrichtenfluss angewendet wird, können Sie ebenfalls Abbildung 2.5, Abbildung 2.6 und Abbildung 2.7 entnehmen.
69
PROFITIPP
Um sich den Antivirusstempel auf einem Edge-Transport- oder Hub-Transport-Server ansehen zu können,
klicken Sie im Forefront Server Security Administrator im Navigationsbereich EINSTELLUNGEN auf das Symbol für den Arbeitsbereich Allgemeine Optionen. Wählen Sie im Abschnitt Diagnose für die Option Transportmail archivieren die Einstellung Nach
Scan archivieren. Mehr Informationen hierzu finden Sie in Kapitel 5 dieses Buches.
Beispiel für einen Antivirusstempel als X-Header in einer Nachricht:
X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;Info
MSFTFF: Name des AV-Herstellers (AV Vendor Name, 8 characters); MSFTFF = Microsoft
1: AV-Version (Vendor version, 32-bit unsigned integer); 1 = Microsoft
0: AV-Status (Virus status, 32-bit unsigned integer); 0 = VIRSCAN_NO_VIRUS
Info: Optionale Informationen (Optional Virus info, 128 byte string)
Intelligentes Scannen des Informationsspeichers
Forefront Security für Exchange kann den Informationsspeicher von Postfachservern durch Echtzeitscanaufträge und Hintergrundscans oder durch manuelle Scanaufträge überprüfen.
Nachrichten, die einen Postfachserver erreichen, tragen standardmäßig einen Antivirusstempel, den sie auf
dem Transportweg erhalten haben und werden daher durch einen Echtzeitscanauftrag nicht wiederholt überprüft. Inhalte, die noch nicht über einen Transportserver weitergeleitet wurden, verfügen noch nicht über einen
Antivirusstempel und werden überprüft, wenn auf sie das erste Mal zugegriffen wird. Diese so genannten OnAccess-Scans werden standardmäßig nur dann zum Überprüfen einer Nachricht verwendet, wenn diese bisher
noch nicht gescannt wurde. Der Zugriff umfasst das Öffnen einer Nachricht, ihre Ansicht in einem Vorschaufenster und Inhaltsindexvorgänge. Die meisten Zugriffe haben daher keine Auswirkung auf den Postfachserver,
da die Nachrichten meist schon auf dem Transportweg überprüft wurden. Ein On-Access-Scan bietet daher vor
allem Schutz für Nachrichten im Ordner Gesendete Elemente, dem Postausgang und öffentliche Ordner.
Optional kann auf Postfachserver eine höhere Sicherheit konfiguriert werden, indem Nachrichten beim
Zugriff erneut überprüft werden, sobald seit der letzten Überprüfung die Signaturen der Scanmodule aktualisiert wurden. Diese Sicherheitskonfiguration sollten Sie nur verwenden, wenn ein kontinuierliches Neuscannen von Nachrichten erforderlich ist, um Benutzer vor einer bekannten Bedrohung zu schützen, wie
beispielsweise einer Welle neuer und unbekannter Viren.
Neben dem Echtzeitscanauftrag kann auch ein kontinuierlicher Hintergrundscan ausgeführt werden, der
Nachrichten entsprechend ihres Empfangsdatums überprüft. Auf diese Weise kann man mit Forefront Security für Exchange beispielsweise einen Hintergrundscanauftrag außerhalb der Spitzenzeiten planen, mit dem
nur Nachrichten überprüft werden, die in den vergangenen zwei Tagen empfangen wurden. Ein inkrementelles Hintergrundscannen kann die Belastung des Speichers enorm reduzieren und bietet einen erhöhten
Schutz für die zuletzt eingegangenen Nachrichten, die vom Exchange-Server empfangen wurden, bevor die
entsprechenden Signaturen für diesen Virus verfügbar waren.
HINWEIS
Die Überprüfung von Nachrichten, wenn sie auf dem Postfachserver in den Speicher geschrieben werden (so
genanntes proaktives Scanning) ist standardmäßig deaktiviert.
ACHTUNG
Nur der Transport- und Echtzeitscanauftrag sowie der Hintergrundscan können einen Antivirusstempel setzen.
Der manuelle Scanauftrag oder ein Schnellscan setzt keinen Antivirusstempel.
70
Kapitel 2:
Nächste Generation: Forefront Stirling
Die konsequente Fortführung eines umfangreichen Schutzpaketes für Unternehmensnetzwerke und somit
die nächste Generation der Forefront-Produktpalette wird von Microsoft derzeit unter dem Codenamen
»Stirling« entwickelt.
Alle Produkte der Forefront-Familie werden in einer neuen Version bereitgestellt und können über eine
gemeinsame Management Console zentral und durch alle Rollen von Netzwerkadministratoren verwaltet
werden. Durch den Zusammenschluss der Produkte Forefront Server Security, Forefront Client Security und
dem Threat Management Gateway, als Nachfolgeversion des Internet Security & Acceleration Server, ermöglicht Stirling einen proaktiven und sogar dynamischen Schutz für das Netzwerk.
Über einen gemeinsamen Security Assessment Channel auf Basis von Microsoft Operations Manager 2007
können Informationen ausgetauscht werden und sogar in automatische Aktionen im gesamten Netzwerk
ausgeführt werden, wenn eine Bedrohung von einer Forefront-Komponente erkannt wurde.
Beispielsweise kann ein Trojaner-Befall auf einem Client-Computer durch zu viele Verbindungen nach
außen vom Threat Management Gateway (TMG) erkannt werden und dadurch einen automatischen Scan
des Clients durch Forefront Client Security auslösen. Zusätzlich kann der Computer im Anschluss auch über
Network Access Protection (NAP) vom Unternehmensnetzwerk getrennt werden, um weiteren Schaden
durch den Client abzuwenden. Gleichzeitig lässt sich selbstverständlich auch weitere E-Mail- oder IM-Nachrichten an den Client unterbinden und beispielsweise auch das Konto in Active Directory deaktivieren.
Dieser intelligente Schutz wird erstmalig einen Rundumschutz in Echtzeit, für den bisher viele einzelne
Schritte durch einen oder mehrere Administratoren durchgeführt werden mussten und bis zu mehreren
Stunden Zeit in Anspruch nehmen konnte. Die Steuerung der dynamischen Aktionen kann dabei den Unternehmensanforderungen angepasst werden und ein umfangreiches Berichtswesen ermöglicht den detaillierten und lückenlosen Einblick über das gesamte Netzwerk.
Zum Zeitpunkt der Erstellung dieses Buches lag eine erste Betaversion von Forefront Stirling vor. Informationen
zu Stirling und den Download der Betaversion finden Sie unter http://www.microsoft.com/forefront/stirling.
Zusammenfassung
Dieses Kapitel hat Ihnen einen Überblick über die Forefront-Produktfamilie und deren Lizenzierung gegeben. Sie kennen nun die generellen Unterschiede der Produkte und wissen nun, welche Lizenzen für deren
Nutzung erforderlich sind. Im weiteren Verlauf dieses Buches werden Sie die Produkte Forefront Server
Security und Antigen genauer kennen lernen. Weiterhin werden Sie einen Überblick zur Scanfunktionalität
von Forefront Server Security mit mehreren Scanmodulen erhalten. Außerdem wissen Sie nun auch, wie Sie
Forefront Server Security mithilfe des Multiple-Scan-Engine-Managers die für einen Scanauftrag erforderlichen Module ressourcensparend automatisch auswählen lassen können, ohne dabei die Sicherheit für Ihr
Netzwerk außer Acht zu lassen. In diesem Kapitel haben Sie ergänzend im Überblick erfahren, wie Forefront
Security für Exchange die Überprüfung von eingehenden, ausgehenden und internen Nachrichten vornimmt und wie eine optimale Leistung durch den Einsatz von Antivirusstempel und intelligenten Hintergrundscans gewährleistet werden kann.

Einführung in die Microsoft Forefront-Produktfamilie

Transcrição

Documentos relacionados

Netzwerktechnik CHS Villach Mag. Rainer Swatek Dauer: 2

IXI-UMS und der Dienst Fax

visionapp Platform Management Suite Most Recently Used List

Bericht über eine Migration von NT SBS auf Windows 2003

AutoSketch 9

DynamIk Für IHr UntErnEHmEn.

Herzlich willkommen

Anwenderbericht Altenheim Emmaus

Neuheiten der vorliegenden Version 2005.5: Softwarekomponenten

Microsoft Security Partner Flyer - Ihr Unternehmen für ICT