Microsoft Forefront: Fundierter Schutz durch Forefront
Mithilfe der verschiedenen Schutzebenen und -modi, die im Angebot von Microsoft Forefront enthalten sind, können Sie Ihr Schutzsystem genau Ihren Anforderungen entsprechend konfigurieren.
William Stanek
Spam, Viren, Phishing-Versuche, Malware – die Bedrohungen der Computersicherheit sind vielfältig. Böswillige Benutzer versuchen die herkömmlichen Schutzsysteme und -techniken zu durchbrechen, die als alleinige Lösung unzureichend sind. Um Bedrohungen immer einen Schritt voraus zu sein, müssen Sie Ihre Tools und Verfahren aktualisieren. Hierbei kann Ihnen Microsoft Forefront helfen.
Forefront ist eine mehrschichtige Produktsuite, die erstklassige Identitätsverwaltungs- und Sicherheitslösungen bietet. Der Versuch, sich im Dschungel der Forefront-Angebote zurechtzufinden, kann ziemlich entmutigend sein, weil sich die Produktlandschaft kontinuierlich wandelt und Forefront das liefert, was ich selbst gerne als "Fundierter Schutz hoch zwei" (FS2) bezeichne.
Obgleich es einige Änderungen gegeben hat, enthalten die einzelnen Produkte der Forefront-Suite jetzt:
- Forefront for Office Communications Server 2007 R2
- Forefront Identity Manager 2010
- Forefront Endpoint Protection 2010
- Forefront Threat Management Gateway 2010
- Forefront Unified Access Gateway 2010
- Forefront Online Protection für Exchange Server
- Forefront Protection 2010 für Exchange Server
- Forefront Protection 2010 für SharePoint
Eine recht ansehnliche Reihe, insbesondere, wenn man die damit verbunden Angebote dazuzählt, die gerade eingestellt werden, während andere gerade eingeführt werden, zum Beispiel:
- Identity Lifecycle Manager 2007
- Forefront Client Security
- ISA Server 2006
- Intelligent Access Gateway 2007
- Office Communications Server 2007
- Forefront Security für Office Communications Server
Die Ersetzungen
Lync Server ersetzt Office Communications Server 2007. Lync Server ist eine Unified Communications (UC)-Plattform, die Präsenz-, Konferenz- und Instant Messaging-Features ebenso wie erstklassige Sprachfeatures bietet, die herkömmliche PBX-Systeme erweitern oder ersetzen.
Sie installieren Forefront Protection 2010 für Lync Server auf Ihren internen Servern, um die UC-Umgebung zu schützen. Forefront Protection sichert die Präsenz-, Konferenz- und Instant Messaging-Funktionen mithilfe von Scanmodulen und Filtern, die nicht richtlinienkonforme Inhalte sperren sowie Malware und Spam herausfiltern.
Forefront Identity Manager 2010 ersetzt Identity Lifecycle Manager 2007. Forefront Identity Manager ist ein einheitliches Richtlinienverwaltungssystem zur Kontrolle von Benutzeridentitäten, Benutzerzugriffsebenen, Ressourcen und Anmeldeinformationen. Die Anwendung ist für heterogene Umgebungen konzipiert. Auf diese Weise können Unternehmensinhaber und IT-Mitarbeiter mithilfe des Produkts sicherstellen, dass alle Unternehmenssysteme, einschließlich Branchenanwendungen, Datenbanken und Verzeichnissen, mit denselben Richtlinien konform laufen. Forefront Identity Manager (siehe Abbildung 1) deckt Folgendes ab:
- Benutzerverwaltung: Benutzerbereitstellung und Deaktivierung von Zugriff und Ressourcen
- Verwaltung von Anmeldeinformationen: Systemübergreifendes Verwalten und Synchronisieren von Anmeldeinformationen
- Gruppenverwaltung: Verwalten von Sicherheitsgruppen und Verteilerlisten
- Richtlinienverwaltung: Systemübergreifendes Erstellen und Durchsetzen von Richtlinien
.jpg)
Abbildung 1 Forefront Identity Manager 2010 auf einen Blick
Forefront Endpoint Protection 2010 ist eine integrierte Lösung zur Verwaltung und Sicherung von Netzwerkendpunkten. Bei einem Endpunktcomputer handelt es sich einfach um einen Client oder Server, der zum Unternehmen gehört und in der Regel nicht als Gateway oder Einstiegspunkt verwendet wird. Forefront Endpoint Protection ersetzt Forefront Client Security und baut auf System Center Configuration Manager 2007 auf.
Forefront Endpoint Protection nutzt die Configuration Manager-Infrastruktur zur Bereitstellung und Verwaltung des Endpunktschutzes. Die Anwendung hat zwei Hauptkomponenten: Sicherheitsmonitore und Verwaltungsserver (siehe Abbildung 2). Die Sicherheitsmonitore werden auf den Endpunktcomputern ausgeführt, ermöglichen Echtzeitschutz vor allen Arten von Malware und führen in regelmäßigen, vorab festgelegten Abständen Sicherheitsüberprüfungen durch. Mithilfe von Verwaltungsservern können Sie die Bereitstellung und Verwaltung von Schutzfunktionen zentralisieren.
.jpg)
Abbildung 2 Forefront Endpoint Protection 2010 verfügt über zwei primäre Komponenten
Forefront Threat Management Gateway (TMG) 2010 ersetzt ISA Server 2006. Forefront TMG ist ein sicheres Webgateway, das Schutz vor webbasierten Bedrohungen gewährleistet. Der Server fungiert als Threat-Management-Firewall und ermöglicht URL-Filterung, Malware-Erkennung, Eindringschutz und HTTP/HTTPS-Prüfung. Im Rahmen der HTTPS-Prüfung (siehe Abbildung 3) untersucht Forefront TMG während des Transports den SSL-verschlüsselten Webdatenverkehr, um sicherzustellen, dass dieser mit der Sicherheitsrichtlinie übereinstimmt. Dieses Vorgehen dient der Erkennung von schädlicher Software und schränkt die Webnutzung auf genehmigte Websites ein, während bestimmte kritische Websites, z. B. Bankingwebsites, von der Überprüfung ausgeschlossen werden. Abbildung 3 enthält eine Übersicht der Funktionsweise dieses Prozesses.
Forefront TMG kann als Endpunkt für ein virtuelles privates Netzwerk (VPN) fungieren. So wird ein Standort-zu-Standort-VPN ermöglicht, RAS-VPN-Clients können am TMG-Server geschlossen werden. Die Anwendung kann auch den VPN-Datenverkehr überprüfen, der am TMG-Server geschlossen wird, um sicherzustellen, dass er mit der Sicherheitsrichtlinie übereinstimmt. Der Prozess läuft ähnlich wie die HTTPS-Prüfung ab. Der TMG-Server kann außerdem als gehosteter Cacheserver für eine Zweigniederlassung eingesetzt werden, um die BranchCache-Bereitstellung zu vereinfachen. Ebenso könnte dieser Server der schreibgeschützte Domänencontroller der Zweigniederlassung sein.
.jpg)
Abbildung 3 HTTPS-Prüfung mit Forefront Threat Management Gateway 2010
Achtung, Mail!
Forefront bietet doppelten Exchange Server-Schutz:
- Forefront Online Protection für Exchange Server schützt ein- und ausgehende E-Mails anhand von externen, gehosteten Scanmodulen und Filtern, die nicht richtlinienkonforme Inhalte sperren sowie Malware und Spam herausfiltern, bevor diese an den Exchange-Servern im Unternehmen ankommen.
- Forefront Protection 2010 für Exchange Server schützt ein- und ausgehende E-Mails an standortgebundenen Exchange-Servern anhand von vor Ort installierten Scanmodulen und Filtern, die nicht richtlinienkonforme Inhalte sperren sowie Malware und Spam herausfiltern.
Die externe, gehostete Lösung erfordert keine Hardware- oder Softwareinstallation und ist Bestandteil der Microsoft Online Services. Sie können diese Lösung mit externen, gehosteten oder Exchange Online-Messagingfunktionen nutzen. In jedem Fall aber erleichtert sie die Überprüfung von Nachrichten, bevor diese im Posteingang ankommen.
Die standortgebundene Lösung ist für die Nutzung mit standortgebundenen Exchange-Messagingfunktionen konzipiert. Sie müssen sie auf Edge-, Hub-, Postfachservern sowie auf Servern für öffentliche Ordner installieren. Sie überprüft Nachrichten, während sich diese im Transit befinden und bevor sie ausgeliefert werden. Bei Nutzung der Anwendung mit der gehosteten Lösung wird ein sicherheitsoptimierter Datenstrom zwischen Ihrer standortgebundenen Messagingumgebung und der externen Lösung erstellt.
Die Überprüfung von Modulen und Filtern ist die wesentliche Grundlage beider Produkte. Beide nutzen mehrere Scanmodule und Filter, damit sichergestellt ist, dass bei einem Ausfall oder einer Offlinephase eines einzelnen Moduls zu Aktualisierungszwecken Spam, gefährliche Anhänge und sonstige unerwünschte Inhalte weiterhin gesperrt werden. Nachrichten werden in Echtzeit überprüft, während sie von Edge- und Hubservern transportiert werden und sich im Speicher von Postfachservern oder Servern für öffentliche Ordner befinden (siehe Abbildung 4).
.jpg)
Abbildung 4 Überprüfen von Nachrichten mit Forefront Protection 2010 für Exchange Server
Forefront Unified Access Gateway (UAG) 2010 ersetzt Intelligent Access Gateway 2007. Forefront UAG ermöglicht Remoteclients den sicheren Zugriff auf Unternehmensanwendungen, -ressourcen und -netzwerke. Mit Forefront UAG können Sie Web- sowie Nichtwebanwendungen veröffentlichen, damit Sie remote per HTTP oder HTTPS auf diese zugreifen können. Veröffentlichte Anwendungen können Microsoft-Anwendungen, Branchenanwendungen und RemoteApps umfassen, die anhand der Remotedesktopdienste verfügbar gemacht wurden (siehe Abbildung 5). Sie können Forefront UAG auch als DirectAccess-Server konfigurieren, um Clients direkt mit internen Ressourcen zu verbinden, ohne dass hierzu eine VPN-Verbindung erforderlich ist.
.jpg)
Abbildung 5 Veröffentlichen von Anwendungen für den externen Zugriff mit Forefront Unified Access Gateway 2010
Die letzte Forefront-Lösung ist Forefront Protection 2010 für SharePoint. Forefront Protection 2010 für SharePoint ermöglicht mehrschichtigen Schutz für Dokumente, die in SharePoint-Bibliotheken gespeichert und freigegeben wurden. Die Anwendung installiert Scanmodule und Filter auf SharePoint-Servern, um zu verhindern, dass Benutzer Dateien, die Viren, Malware oder sonstige Arten von schädlichen Inhalten enthalten, hoch- oder herunterladen. Sie können die Richtlinie ebenso auf die Sicherung von vertraulichen Daten und die Sperrung von ungeeigneten Inhalten festlegen.
Damit haben Sie eine vollständige Einführung in Forefront und die verbundene Produktfamilie erhalten. Forefront stellt zuallererst DiD2-Schutz für Endpunktcomputer, Kommunikations- und Zusammenarbeitsserver sowie für Unternehmensnetzwerke bereit.
Im Folgenden finden Sie eine umfassende Liste der Forefront-Produktfamilie:
- Forefront Protection 2010 für Lync Server
- Forefront Identity Manager 2010
- Forefront Endpoint Protection 2010
- Forefront Threat Management Gateway 2010
- Forefront Unified Access Gateway 2010
- Forefront Online Protection für Exchange Server
- Forefront Protection 2010 für Exchange Server
- Forefront Protection 2010 für SharePoint
.jpg)
William R. Stanek ist ein führender Technologieexperte und Trainer. Er hat mehr als 100 Bücher verfasst und wurde mehrfach mit Preisen ausgezeichnet. Folgen Sie William R. Stanek auf Twitter unter https://twitter.com/williamstanek.