• Article

Espion de sécurité Contrôle de logiciel malveillant sur le périmètre des formes

Yuri Diogenes, Mohit Saxena, and Jim Harrison

Contenu

Fonctionnement du contrôle de logiciel malveillant
Configuration TMG malveillant contrôle fonctionnalité
Configuration de stratégie pour Web Access
Centre de la mise à jour
Test et de contrôle
Conclusion

Le nouveau Microsoft Forefront threat gestion passerelle moyen le Edition (MBE TMG), disponible dans le cadre de Essential Business Server et comme un produit autonome, offre des améliorations significatives pour l'opération du service Microsoft Pare-feu. Une des fonctionnalités de ce nouveau pare-feu plus importantes est la possibilité d'inspecter le trafic HTTP qui coupe les logiciels malveillants. En utilisant cette nouvelle fonctionnalité, vous pourrez pour :

  • Améliorer votre capacité à protéger votre réseau interne contre les logiciels malveillants provenant d'Internet.
  • Conserver le périmètre mise à jour avec les dernières signatures de logiciels malveillants à l'aide de Centre de mises à jour TMG.
  • Garder un œil sur le trafic suspect via la surveillance en temps réel des écritures de journal et obtenir des statistiques de logiciels malveillants post-mortem utilisant le nouveau jeu de rapports.

Cette approche vous permet de réduire les menaces potentielles du trafic HTTP passage du périmètre, ajouter une nouvelle couche de sécurité à votre solution de logiciels anti-programme malveillant. Le besoin de client et serveur antiviru n'est pas annulé, mais car ce contrôle est effectuée avant la station de travail cliente reçoit les données, la menace de logiciels malveillants est considérablement réduite.

Cela est particulièrement utile si vous disposez ordinateurs non gérés sur votre réseau, tels que les invités ordinateurs. Avec Forefront TMG, vous vous assurez que si ces ordinateurs essayez de télécharger un fichier suspect, le fichier est bloqué même si l'ordinateur non géré est exécuté pas un logiciel antivirus.

Fonctionnement du contrôle de logiciel malveillant

Lorsqu'un utilisateur accède à un site Web et tente de télécharger un fichier, TMG est intercepter que le trafic et vérifiez si est ou non la règle qui permet à cet utilisateur d'accéder au site cible la fonction inspection de logiciels malveillants activée sur ce dernier. Si c'est le cas, TMG démarrera l'inspection. (Bien entendu, si cette fonctionnalité n'est pas activée, TMG pas analyse le trafic.) la figure 1 résume le flux de base de l'inspection de logiciels malveillants que le client télécharge un fichier :

  1. Client envoie une demande HTTP au site Web cible pour télécharger un fichier.
  2. Forefront TMG reçoit la requête, détermine si toute règle correspond à et, si cette règle a inspection de logiciels malveillants activée, analyse la demande de logiciels malveillants.
  3. Si la requête est valide et en mode minimal, Forefront TMG envoie ensuite la requête sur le serveur de destination.
  4. Le serveur de destination reçoit la requête et répond en conséquence.
  5. Forefront TMG reçoit la réponse du serveur de destination et il traite tout d'abord par l'intermédiaire du moteur de proxy.
  6. Si la règle spécifie inspection de logiciels malveillants, le moteur de proxy envoie le corps de la requête HTTP le filtre d'inspection logiciels malveillants. Réponses inférieures à 64 Ko sont additionnés en mémoire. (Basé sur les statistiques d'Internet, environ 98% de téléchargements taille est inférieure à 64 Ko et peut être analysé sans e / S disque.) Le filtre d'inspection malveillant cumule le contenu, minutage le téléchargement et l'inspection, puis renvoie le contrôle au moteur de proxy.
  7. Si le contenu est autorisé, Forefront TMG envoie le fichier d'origine à l'utilisateur. Si le fichier est infecté et TMG ne peut pas nettoyer le fichier, TMG envoie une page HTML à l'utilisateur indiquant que le contenu a été bloqué.

fig01.gif

Figure 1 inspection de logiciels malveillants de flux

Lors de l'accumulation (étape 6), TMG améliore l'expérience utilisateur utilisant l'une des méthodes de livraison de contenu suivant :

  • Page HTML cours, qui affiche indication avancement dynamique et permet à l'utilisateur de télécharger le contenu à partir de l'ordinateur TMG lors de l'analyse complète.
  • Trickling standard, dans laquelle Forefront TMG initialement envoie le contenu à une vitesse très lente au client et, lorsque l'analyse terminée, envoie les données selon le taux le plus élevé possible.
  • Rapide trickling, dans laquelle le paramètre que vous définissez est un nombre indiquant le compromis entre l'expérience utilisateur (moins tampon sur Forefront TMG et analyses plus) et les performances (plus tampon sur Forefront TMG et moins analyses). Il est généralement utilisé pour les fichiers multimédias lus par les joueurs en ligne (pas par multimédia en continu).

Pour conserver les normes trouvés dans les autres solutions de sécurité Microsoft, la fonctionnalité de protection de logiciels malveillants dans TMG tire parti de la même logiciel malveillant protection moteur (MPE) utilisé dans Forefront Client Security, Windows Defender et ceux qui leur sont un. Plus loin dans cette chronique, nous explique comment conserver les définitions à jour à l'aide mise à jour centre.

Configuration TMG malveillant contrôle fonctionnalité

Pour configurer l'inspection des logiciels malveillants, vous devez activer tout d'abord à un niveau global et également au niveau règle. La première étape consiste à atteindre le nœud stratégie d'accès Web et cliquez sur dans Contrôle des logiciels malveillants configurer dans le volet Tâches, comme illustré figure 2 .

fig02.gif

La figure 2 paramètres d'accès Web

Lorsque vous faites, une boîte de dialogue se vous activer globalement, comme illustré figure 3 inspection de logiciels malveillants. Cette boîte de dialogue contient également les autres paramètres pour l'inspection des logiciels malveillants qui sont prédéfinies avec les paramètres par défaut. Certains de ces paramètres peuvent être contrôlées au niveau de règle d'accès tant que certains peuvent uniquement être valeur globalement.

fig03.gif

La figure 3 inspection de logiciels malveillants de configuration au niveau global

L'onglet Exceptions dans la figure 4 permet de contrôler quels sites va être exemptés d'inspection de logiciels malveillants. Vous pouvez également cette via des paramètres de stratégie, mais configuration à l'aide de cette boîte de dialogue remplace toute règle d'accès : si le site est répertorié ici, il ne va pas d'inspecter les logiciels malveillants même si défini pour l'inspection au niveau de la règle. Ces paramètres globaux sont utiles pour les sites Web hébergés par site organisations dans leur zone DÉMILITARISÉE pour leurs utilisateurs internes ou pour les autres approuvés, fréquemment utilisées.

fig04.gif

La figure 4 exceptions de site

L'onglet Paramètres de contrôle illustré figure 5 vous permet de spécifier quel type de contenu sera bloqué. Vous pouvez définir l'action par défaut pour ce type de contenu, tels que si TMG Forefront doit tentez nettoyer contenu infecté et puis envoyez-le à l'utilisateur final ou si le contenu sera entièrement bloqué à aucune tentative nettoyer.

fig05.gif

La figure 5 Paramètres de contrôle configuration

Vous pouvez également choisir de bloquer les fichiers suspects, endommagés ou chiffrés ou des fichiers ne peut pas être analysées. Et vous pouvez définir des limites de taille de fichier pour préserver la bande passante et empêcher les utilisateurs de télécharger des fichiers volumineuses ou des fichiers être trop longs pour l'inspection. Notez que ces paramètres globaux et non exposées dans la règle.

L'onglet livraison de contenu, illustré figure 6 , permet de configurer l'expérience utilisateur au cours de téléchargement de fichier, notamment en spécifiant si un utilisateur final reçoit une réponse trickled ou une page de notification cours pour fichiers suivre plus de 10 secondes (configurable dans COM) pour télécharger et d'analyse. (Aucune notification ne se produit si le processus prend 10 secondes ou moins.)

fig06.gif

La figure 6 spécification mode de remise du contenu

Vous pouvez également sélectionner le type de contenu est une notification progression par opposition à une réponse trickled en cliquant sur Sélectionner les types de contenu et ajouter ou supprimer des types de contenu de cette boîte de dialogue. Il s'agit d'un paramètre global et n'est pas exposée dans la règle.

L'onglet stockage définit le dossier dans lequel les fichiers va être cumulées temporairement lors est analysé et fournie pour l'utilisateur final. Le dossier par défaut est le pourcentage SystemRoot%\Temp, mais cela peut être modifié. Là encore, il s'agit d'un paramètre global et n'est pas exposée dans la règle.

Forefront TMG logiciels malveillants inspection performances de contenu qui doit être cumulée pour disque s'améliorer lorsque ce dossier se trouve sur une pile autre que les lecteurs utilisée pour d'échange de système d'exploitation ou enregistrement Forefront TMG. Il est important exclure ce dossier en cours d'analyse si vous avez un logiciel antivirus sur le serveur TMG afin que les fichiers sont verrouillées pas pour l'analyse par le logiciel antiviru en utilisation par Forefront TMG Server. Pour les meilleures pratiques recommandées sur les dossiers à exclure, reportez-vous à » Considérations lors de l'utilisation des logiciels antivirus sur ISA Server."

Configuration de stratégie pour Web Access

L'administrateur Forefront TMG peut configurer des règles de contrôle de l'accès utilisateur à Internet via la stratégie d'accès Web ou sur la stratégie de pare-feu. Lorsque vous utilisez la stratégie d'accès Web, les règles autoriser explicitement uniquement les protocoles HTTP et HTTPS et ils permettent aux administrateurs permettent d'autoriser ou interdire l'accès utilisateur aux sites Web. Le tri peut également être effectué par la règle d'accès sous la stratégie de pare-feu, où vous pouvez autoriser manuellement accès HTTP et HTTPS en fonction de source, la destination et utilisateur. Notez que dans une règle d'accès, l'option de contrôle de logiciel malveillant est visible uniquement si les protocoles sélectionnés incluent les protocoles Web.

Pour activer l'inspection de logiciels malveillants au niveau de la règle, vous pouvez vérifier la zone « inspecter contenu téléchargé à partir des serveurs Web sur les clients, » que vous trouver dans la boîte de dialogue Propriétés de règle par défaut Web Access. N'oubliez pas que ce contrôle s'applique uniquement aux contenu HTTP qui est téléchargé par la règle. Inspection de logiciel malveillant doit être activé globalement premier avant que peut être appliqué au niveau de la règle.

Centre de la mise à jour

Forefront TMG gère les définitions de virus connus, vers et autres logiciels malveillants. Pour conserver ces importantes définitions à jour, Forefront TMG a créé dans un mécanisme centralisé appelé le Centre de mises à jour permettant à l'administrateur configurer la fréquence de mise à jour, ainsi que l'action de la mise à jour automatique. Le Centre de mises à jour sont accessibles depuis la console Forefront TMG.

Le volet mises à jour des définitions affiche l'état de la dernière mise à jour et l'heure lorsque la dernière vérification de nouvelles mises à jour a été effectuée. Le volet de tâches sur le côté droit est où vous pouvez configurer les paramètres de mise à jour. figure 7 illustre les différentes options de mises à jour des définitions qui sont accessibles en cliquant sur Configurer les paramètres de mise à jour dans le volet tâches liées.

fig07.gif

La figure 7 mettre à jour de définitions de fenêtre

Par défaut, Forefront TMG utilise l'agent de mises à jour automatiques pour extraire les mises à jour le service de mise à jour de Microsoft afin d'actualiser les définitions de logiciels anti-programmes malveillants. L'agent de mise à jour utilise la sélection du serveur mise à jour de l'ordinateur par défaut ; par conséquent, si l'ordinateur utilise des mises à jour de Windows Server Update Services (WSUS), l'agent va obtenir également mises à jour WSUS, sinon, il obtiendra les directement à partir de Microsoft Update. Ces transactions sont enregistrées dans le fichier %systemroot%\windowsupdate.log (comme le sont les mises à jour Windows standard).

Les paramètres de fréquence dans le Centre de mises à jour de TMG Forefront ne remplacent pas les paramètres de mise à jour de Windows. Ces paramètres sont complètement distincte ; par conséquent, Windows télécharge les mises à jour logicielles pendant que Forefront TMG télécharge uniquement les signatures.

Vous pouvez forcer TMG Forefront pour rechercher les mises à jour en cliquant sur Rechercher les mises à jour dans le volet Office. Si les nouvelles mises à jour sont détectés et installés, une alerte d'information apparaîtra dans l'onglet alertes, comme illustré figure 8 . Comme vous pouvez le voir, la partie inférieure de la fenêtre affiche des informations sur la mise à jour, ainsi que les versions des fichiers qui ont été mis à jour.

fig08.gif

La figure 8 alerte Filtre d'inspection logiciels malveillants

Test et de contrôle

Après avoir configuré les paramètres de Centre de mises à jour et de contrôle, l'étape suivante consiste à tester la fonctionnalité. Nous allons supposent que vous avez une station de travail cliente qui accède à Internet via TMG Forefront et la possibilité de télécharger un fichier à partir d'un site Web. La première étape, avant le téléchargement du fichier démarre, consiste à configurer la surveillance dans Forefront TMG en filtrant l'adresse IP de la station de travail cliente qu'essaie d'accéder à la ressource externe, comme diaporama dans la figure 9 .

fig09.gif

La figure 9 analyse la station de travail client qui tente de télécharger un fichier

Pour que cet exemple, supposons que le client envoie HTTP GET vers files.fabrikam.com/suspicious.exe. Forefront TMG évalue la demande, et après détecter que le fichier dans la demande est suspect, il écrit un événement a échoué une tentative de connexion dans le journal (voir figure 10 ).

fig10.gif

La figure 10 fichier suspect détecté

Notez que dans la colonne résultat contrôle logiciel malveillant, ce fichier est classé comme suspect, la colonne nom threat indique le nom de logiciels malveillants, et le niveau threat est grave. Le volet de détails de l'erreur affiche plus d'informations sur pourquoi la tentative de connexion a échoué.

L'utilisateur qui a été tentez de télécharger ce fichier également rencontre cette erreur, mais reçoit un message plus convivial et plus descriptif expliquant que "Accès aux fichiers suspects est bloqué en raison paramètres de sécurité stratégie » (comme illustré à la figure 11 ). Cette approche permet à l'utilisateur de comprendre ce qui se passe et pourquoi le fichier qu'il tente d'accéder n'est pas disponible.

fig11.gif

La figure 11 A message d'erreur plus conviviale

Conclusion

Notre objectif principal dans cette colonne était pour expliquer comment la fonctionnalité de contrôle logiciels malveillants de la TMG Forefront Microsoft peut améliorer la bord sécurité. Cette fonctionnalité vous donne une vue centralisée de tout trafic suspect potentiellement coupe votre pare-feu et vous permet effectuer les actions basées sur les résultats de l'inspection. Si c'est une approche importante vers un environnement plus sécurisé, il existe toujours problèmes sur comment cela peut affecter l'expérience utilisateur tout en naviguant sur le Web.

Le TMG Forefront Microsoft résout également ces problèmes de telle sorte que le processus d'analyse peut être plus transparent à l'utilisateur final. Pour plus d'informations, consultez la Documentation TMG Forefront dans le TechCenter de sécurité Microsoft Forefront Edge.

Yuri Diogenes (MCSE + S, MCTS, MCITP, sécurité +, Network +, CCNP) travaille pour Microsoft en tant qu'ingénieur de prise en charge de sécurité de l'équipe IAG serveur ISA. Il écrit également articles Blog de l'équipe ISA Serveret TechNet Magazine. Yuri est un co-auteur de la communauté Forefront appelé » Tales à partir de la bord."

Mohit Saxena est le responsable technique de Microsoft ISA Server de support. Il dirige une équipe de techniciens du support et demandes de changement au ingénieurs pour fournir prise en charge pour les clients sur les problèmes de correctif saut, bogues et Création.

Jim Harrison rejoint l'équipe d'ISA Server constamment Engineering comme un testeur de correctif QFE en janvier 2003. Il est maintenant un passionné supporter de serveur ISA et implémenteur de systèmes et le co-auteur de la communauté Forefront appelées » Tales à partir de la bord."

Yuri, Mohit et Jim écrivez la loi de Microsoft Press suivante sur Microsoft Forefront threat gestion passerelle (TMG); le Carnet de sera disponible dans 2009.