Forefront Security per Exchange Server 2007

Ultima modifica dell'argomento: 2011-01-13

Microsoft Forefront è un insieme di prodotti completi di protezione integrati che offre una soluzione di protezione end-to-end per i clienti aziendali. Il gruppo di prodotti Forefront comprende i componenti riportati di seguito.

In questo argomento viene descritto Forefront Security for Microsoft Exchange. Questo prodotto è stato sviluppato come successore della suite Microsoft Antigen per Microsoft Exchange 2000 Server e Microsoft Exchange Server 2003. Fornisce diversi motori di scansione per offrire una protezione a più livelli per l'archiviazione e il trasporto dei messaggi di posta elettronica.

Nuove funzionalità in Forefront Security per Exchange Server

Forefront standard per la licenza di Exchange include i seguenti motori di scansione antivirus:

• Kaspersky Labs

• InoculateIT e Vet (entrambi prodotti da CA)

• Sophos

• Authentium

• Ahn Labs

• VirusBuster

• Microsoft Anti-Malware Engine

È possibile configurare fino a cinque motori di scansione ed eseguirli contemporaneamente in diverse combinazioni nell'intero sistema. La varietà dei motori di scansione e le firme offrono una protezione supplementare e incrementano la probabilità di rilevamento dei malware.

Forefront include inoltre le seguenti funzionalità:

• Protezione a più livelli nell'infrastruttura di messaggistica e punti di arresto per il traffico dei messaggi nei ruoli Edge (se presente), Hub e Cassetta postale

• Un contrassegno nell'intestazione di protezione antivirus viene scritto in ogni messaggio e viene analizzato la prima volta a livello di trasporto Edge o Hub

  Nota

  Per incrementare l'efficacia della scansione dei messaggi, successive scansioni a livello di Hub o di archivio controllano tale contrassegno. Questo processo non esegue una ripetizione dell'analisi, a meno che un amministratore richieda esplicitamente una scansione o abbia luogo un aggiornamento delle firme.

• Il supporto per le configurazioni di Microsoft Exchange Server 2007 SCC e CCR garantisce che entrambi i nodi dispongano di configurazioni e firme aggiornate

  Nota

  Un failover del cluster di Exchange non influisce sulla protezione del traffico di messaggistica. Inoltre, se si verifica un problema su un motore di scansione, ciò non coinvolge gli altri motori.

• Le funzionalità di euristica rilevano i codici dannosi in base a caratteristiche di comportamento (filtro di file/allegati per nome file, estensione e altro)

• L'attivazione di una CAL aziendale offre funzionalità avanzate di protezione della posta indesiderata, come il filtro di reputazione IP di Exchange Server 2007, gli aggiornamenti automatici quotidiani del filtro dei contenuti e più volte al giorno dei dati sulle firme di posta indesiderata

• Funzionalità estese per creazione di rapporti e analisi (notifiche personalizzabili per il mittente o il destinatario del messaggio)

• Un'unica console fornisce funzioni centralizzate di distribuzione, configurazione e aggiornamento in ambienti di grandi dimensioni

  Nota

  La localizzazione avviene in 11 lingue, permettendo agli amministratori di gestire la protezione dei messaggi di posta elettronica nella lingua locale.

Configurazione tipica di Forefront per Exchange

È possibile abilitare la scansione Forefront sul server Trasporto Edge, Trasporto Hub e Cassette postali. Tutti i messaggi ricevuti dagli utenti in questa topologia vengono analizzati a livello di trasporto Edge o di trasporto Hub, a seconda dell'origine del messaggio. Ad esempio, un messaggio originato da un destinatario esterno viene analizzato nel server Trasporto Edge prima di essere recapitato al destinatario.

I messaggi provenienti da mittenti interni o dal server Messaggistica unificata vengono analizzati sul primo server Trasporto Hub nel percorso di recapito. È possibile inoltre analizzare le cassette postali e le cartelle pubbliche degli utenti in modo proattivo o reattivo a livello di archiviazione nel server Cassetta postale.

Installazione di Forefront Security per Exchange

I requisiti minimi di sistema per un'installazione server di Forefront per Exchange sono i seguenti:

• Computer con architettura X64 dotato di processori con supporto di piattaforma Intel EM64T o AMD64

• Windows Server 2003

• Microsoft Exchange

• Consigliato 1 gigabyte (GB) di RAM (maggiore quantità di RAM per motori di scansione con licenze supplementari)

• 300 MB di spazio disponibile sul disco rigido

È possibile installare FrontPage per Exchange sul computer nel quale si esegue l'installazione. È possibile inoltre installare il programma su computer remoti per migliorare l'efficienza della distribuzione. Si può anche scegliere di eseguire un'installazione del tipo "solo console client-amministratore" per consentire agli amministratori di installare Management Console di Forefront sulle rispettive workstation.

Nella schermata Seleziona motori la procedura di installazione seleziona Microsoft Anti-Malware Engine. La procedura di installazione seleziona inoltre casualmente altri quattro motori che è possibile modificare da questa schermata. È possibile scegliere fino a 5 motori, tra cui il motore Microsoft Anti-malware.

Forefront per Exchange riconosce i cluster attivi o passivi di Windows Server 2003. In un cluster è necessario che Forefront per Exchange sia installato in ciascun nodo. Tutti di dati di configurazione (processi di scansione, notifiche e altro) e il file delle firme sono associati all'oggetto server di cassette postali cluster (CMS, Clustered Mailbox Server). Perciò i dati verranno configurati e replicati per ciascun nodo. Quando si applicano service pack e aggiornamenti rapidi di Exchange, è consigliabile che Forefront sia "sganciato" da Exchange. Per eseguire questa operazione, utilizzare lo strumento FSCUtility disponibile nella cartella di installazione di Forefront. Utilizzare la sintassi riportata di seguito:

FSCUtility /disable

Dopo avere completato l'installazione, è possibile riabilitare Forefront utilizzando la seguente sintassi:

FSCUtility /enable

Forefront Security per funzionalità di Exchange Server

Ricerca virus: Forefront è in grado di analizzare i messaggi usando vari tipi di motori antivirus e scansioni (all'accesso, manuale, in background e altri). È possibile specificare il livello di profondità della scansione e l'azione da intraprendere quando viene rilevata un'infezione (ignorare, pulire o eliminare). Forefront è in grado di analizzare allegati nidificati e file compressi.

Filtro file: Forefront è in grado di applicare filtri in base a nomi o tipi di file, ad esempio .exe o MP3. I file filtrati possono essere spostati in quarantena. È possibile specificare un testo personalizzato inerente l'eliminazione da inviare come notifica al mittente e al destinatario.

Filtro contenuto: Forefront è in gradi di filtrare i contenuti basandosi su domini dei mittenti, righe dell'oggetto, intestazioni MIME e altro dei messaggi in arrivo. Oltre a ciò, Forefront è in grado di creare e importare elenchi di filtri personalizzati e utilizzare tali elenchi per filtrare i contenuti. È inoltre possibile filtrare i messaggi in base a parole chiave nel corpo del messaggio.

Tipi di scansione

Analisi trasporto: questa scansione viene eseguita sul primo server Trasporto Edge o Trasporto Hub nel percorso del messaggio. Dopo avere analizzato un messaggio, esso viene contrassegnato con l'intestazione di protezione antivirus. Le scansioni successive nel prossimo server Trasporto Hub o Cassetta postale verificheranno questa intestazione. Se presente, il messaggio non verrà analizzato di nuovo. Quando il messaggio viene inoltrato all'archivio, le informazioni dell'intestazione vengono aggiunte come proprietà MAPI e l'intestazione viene rimossa.

Analisi archivio: Forefront comprende due categorie di analisi degli archivi: analisi automatiche (senza programmazione o intervento da parte dell'utente) e analisi su richiesta.

Ciascuna di queste categorie supporta i diversi tipi di scansione riportati di seguito.

Analisi automatica

Analisi proattiva: i messaggi vengono analizzati immediatamente quando vengono inviati all'archivio. Nella configurazione predefinita, l'analisi proattiva è disabilitata.

Per abilitare l'Analisi proattiva, impostare la seguente chiave del Registro di sistema:

HKEY_Local_Machine\System\CurrentControlSet\Services\MSExchangeIS\VirusScan\

In questa sottochiave, impostare su 1 il valore di DWORD ProactiveScanning.

L'analisi proattiva è utile per proteggere i messaggi nelle cartelle Posta inviata, Posta in uscita, Bozze e nelle cartelle pubbliche che non vengono analizzate nel trasporto.

Analisi all'accesso: i messaggi vengono analizzati quando vi accede un utente o un'applicazione. Ad esempio, i messaggi vengono analizzati quando un utente li visualizza in anteprima in Outlook o vi accede da un dispositivo mobile o durante un'indicizzazione del contenuto. Nella configurazione predefinita, l'analisi all'accesso è abilitata.

I messaggi di posta già analizzati dalla funzione di scansione del trasporto non vengono rianalizzati dall'analisi all'accesso (in base all'intestazione di protezione antivirus). La funzione di analisi all'accesso svolge un ruolo di salvaguardia per i messaggi che normalmente non vengono analizzati nel trasporto, come i contenuti di Posta inviata, Posta in uscita, Bozze e cartelle pubbliche.

Per impostazione predefinita, l'analisi all'accesso si limita ai messaggi ricevuti l'ultimo giorno. Questo limite serve per impedire l'accumularsi di richieste di scansione quando si esegue la migrazione delle cassette postali in Exchange 2007 o quando Forefront viene reinstallato sul server. Una volta che le richieste di scansione si sono stabilizzate, si consiglia di incrementare questo valore impostandolo su 3-7 giorni.

Analisi su richiesta

Analisi in background: la funzione di analisi in background svolge un ruolo di pulitura analizzando e pulendo i messaggi nelle cartelle Posta inviata, Posta in uscita, Bozze e nelle cartelle pubbliche i cui contenuti non sono mai stati sottoposti a una scansione del trasporto. È possibile configurare l'analisi in background al fine di eseguire le seguenti azioni:

• Analizzare tutti gli elementi nella cassetta postale

• Analizzare solo gli elementi recapitati negli ultimi n giorni

• Analizzare solo i messaggi con allegati

• Analizzare i messaggi precedenti non ancora analizzati

Nella configurazione predefinita, l'analisi in background viene eseguita una volta al giorno. Questo tipo di scansione ignora i contrassegni di protezione antivirus precedenti e riesegue l'analisi dei messaggi.

Analisi manuale: l'analisi manuale può essere programmata secondo necessità (giornaliera, settimanale ecc.) o su richiesta dalla console. Questo processo analizza tutti i messaggi in ogni cartella delle cassette postali selezionate. Perciò una scansione manuale comporta un sovraccarico elevato. Viene utilizzata principalmente per ricercare un allegato specifico nelle cassette postali. Non è utilizzata necessariamente per rilevare un virus. Solitamente è utilizzata per trovare documenti riservati che sono stati inviati.

Analisi rapida: L'analisi rapida può essere eseguita su richiesta dalla console ed è spesso utilizzata per analizzare specifiche cassette postali o cartelle pubbliche alla ricerca soltanto di virus, senza scansione di file o contenuti. Questo processo permette di selezionare motori specifici per analizzare le cassette postali o le cartelle pubbliche.

Aumento delle scansioni degli archivi in caso di attacco di virus

Nelle situazioni in cui si sta diffondendo un'infezione di virus o si sospetta la presenza di un virus, gli amministratori possono incrementare le scansioni degli archivi. In Forefront si può procedere come descritto di seguito.

Esegui analisi all'aggiornamento dell'utilità di analisi (Modalità diffusione): questa modalità abilita automaticamente l'analisi proattiva. Ogni volta che si aggiorna una firma di un motore di scansione, il numero di versione del motore antivirus viene incrementato. Poiché il numero di versione del motore di scansione antivirus del trasporto è sempre 1 (uno), l'intestazione antivirus del messaggio sarà sempre obsoleta quando raggiunge l'archivio. Perciò l'intestazione provoca una nuova analisi del messaggio al momento dell'invio. I messaggi vengono rianalizzati all'accesso se nel frattempo nessuno dei motori risulta aggiornato. Questa modalità di scansione ha un effetto significativo sulle prestazioni del server ed è opportuno attivarla solo dopo un'attenta considerazione.

Per abilitare questa funzione, fare clic su Impostazioni, quindi su Opzioni nella console di gestione di Forefront.

DisableAVStamping: questa modalità disabilita la creazione di un'intestazione di scansione antivirus durante l'analisi del trasporto. Per abilitare la modalità DisableAVStamping, modificare la seguente sottochiave del Registro di sistema:

HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server

In questa sottochiave, impostare su 1 il valore di DWORD DisableAVStamping.

Questo valore deve essere impostato su ciascun server Trasporto Hub e Trasporto Edge. I messaggi verranno analizzati durante il trasporto ma non verranno contrassegnati e giungeranno nell'archivio marcati come "non analizzati". Verranno in seguito analizzati al primo accesso. È possibile configurare la scansione del trasporto e dell'archivio in modo da utilizzare diversi motori di scansione per fornire la migliore protezione.

Analisi in background con "Esegui analisi all'aggiornamento dell'utilità di analisi" (Modalità di massima protezione): questa modalità offre il massimo livello di protezione tra le modalità disponibili. L'analisi in background si avvia ogni volta che viene aggiornato un motore di scansione. Le cassette postali continuano ad essere analizzate in sequenza, via via che vengono aggiornati i motori. In questo modo si evita che una scansione termini l'analisi delle cassette postali prima dell'aggiornamento di un motore. L'aggiornamento riavvia la scansione in modo che il processo riprenda dalla prima cassetta postale e rianalizzi tutte le cassette postali nel primo passaggio. Tali cassette postali vengono quindi analizzate più volte, mentre le restanti cassette postali non vengono analizzate mai. Inoltre, i messaggi vengono analizzati al momento dell'invio all'archivio. Quindi, vengono nuovamente analizzati all'accesso se si verifica l'aggiornamento di un motore dopo la scansione di invio. La modalità di massima protezione è quella che necessita di più risorse tra le diverse modalità di analisi.

La modalità di massima protezione viene abilitata dalla console di gestione di Forefront. A questo scopo, abilitare la modalità Esegui analisi all'aggiornamento dell'utilità di analisi, quindi selezionare Abilita analisi in background se è attiva l'opzione "Esegui analisi all'aggiornamento dell'utilità di analisi".

Scansione: rapporto tra prestazioni e protezione

Forefront per Exchange offre un parametro denominato Differenza che consente di bilanciare a piacere il rapporto tra prestazioni di scansione e protezione. L'utilizzo di questo parametro offre i seguenti vantaggi:

• Prestazioni massime: esegue l'analisi di tutti gli elementi usando solo uno dei motori selezionati per fornire le massime prestazioni ma la minore attendibilità.

• Prestazioni preferite: esegue l'analisi di tutti gli elementi che utilizzano un numero qualsiasi di motori di scansione selezionati in modo casuale da un motore a metà dei motori selezionati.

• Neutrale: esegue la scansione di tutti gli elementi che utilizzano almeno metà dei motori selezionati.

• Attendibilità preferita: esegue l'analisi di tutti gli elementi che utilizzano un numero qualsiasi di motori di scansione selezionati in modo casuale da un motore a metà dei motori selezionati.

• Attendibilità massima: esegue l'analisi di tutti gli elementi usando tutti i motori selezionati per fornire le prestazioni minime ma la massima attendibilità.

Processo di scansione nelle diverse modalità di protezione

Ulteriori informazioni

Per ulteriori informazioni sui vari motori di scansione, consultare il documento Multiple Scan Engine Advantage and Best Practices for Optimal Security and Performance .

Per ulteriori informazioni sull'utilizzo di Forefront Security per Exchange Server, consultare i seguenti argomenti:

Forefront Security for Exchange Server Best Practices Guide

Guida di Forefront Security per Exchange Server