Sicherheits- und Konfigurationshinweise

 

Gilt für: Forefront Security for Exchange Server

Letzte Änderung des Themas: 2012-05-14

Forefront Security für Exchange Server (FSE) enthält zahlreiche Updates und Konfigurationsänderungen zu früheren Versionen. Dieser Abschnitt enthält diverse Sicherheits- und Konfigurationsangaben und wird bei Bedarf aktualisiert, um neue Änderungen an Forefront Security für Exchange Server anzuzeigen.

Die Sicherheit wurde verbessert, indem die Anzahl der Berechtigungen verringert wurde, die beim Start der Dienste und Vorgänge von Forefront Security für Exchange Server verfügbar sind. Dies hilft zu verhindern, dass schädliche Daten potenzielle Sicherheitsanfälligkeiten innerhalb des Codes von Forefront Security für Exchange Server oder bei den Scanmodulen von Drittunternehmen ausnutzen können. Viele Dienste und Vorgänge werden unter dem Netzwerkdienstkonto ausgeführt, einige unter dem lokalen Systemkonto. Beim Start der FSS-Dienste werden von Forefront Security für Exchange Server alle Berechtigungen bis auf diejenigen entfernt, die zur Ausführung der Dienste erforderlich sind.

Die einzigen aktivierten Berechtigungen sind:

  • SeImpersonatePrivilege

  • SeChangeNotifyPrivilege

  • SeSecurityPrivilege

  • SeIncreaseQuota

  • SeTCB

  • SeAssignPrimaryToken

Es gibt nun eingeschränkte Zugriffssteuerungslisten (Access Control Lists, ACLs) für Ressourcen. Die Sicherheit für Ressourcen von Forefront Security für Exchange Server wurde verbessert, um nicht autorisierte Zugriffe zu verhindern. Mit dieser Änderung können nur Benutzer, die zur Administratorengruppe gehören, auf Forefront Security für Exchange Server zugreifen, um diesen zu verwalten.

Die Zugriffssteuerungslisten (Access Control Lists, ACLs), die auf die Ressourcen von Forefront Security für Exchange Server angewendet werden, sind in der folgenden Tabelle beschrieben.

 

Ressourcentyp Ressource ACL-Satz

Datei

<Installationspfad>

SYSTEM – Vollzugriff

Administratorengruppe – Vollzugriff

Netzwerkdienst – Lesen

Datei

Ordner Data

SYSTEM – Vollzugriff

Administratorengruppe – Vollzugriff

Netzwerkdienst – Vollzugriff

Registrierung

HKLM/Software/xxxxx/xxxxx

SYSTEM – Vollzugriff

Administratorengruppe – Vollzugriff

Netzwerkdienst – Lesen

DCOM

FSEIMC

FSCMonitor

FSCController

FSCStatisticsService

SYSTEM – Vollzugriff

Administratorengruppe – Vollzugriff

Netzwerkdienst – Lesen

Nachfolgend werden Änderungen an den allgemeinen Optionen beschrieben:

  • Aktion bei Modul-Fehler. Die Standardaktion für die allgemeine Option Aktion bei Modul-Fehler wurde von Überspringen auf Löschen geändert. Mit der Aktion Löschen wird der Fehler im Programmprotokoll eingetragen, die Datei, die den Fehler verursacht hat, gelöscht und in Forefront Server Security Administrator ein EngineError-Eintrag mit dem Status Entfernt angezeigt.

  • Aktion bei Zeitüberschreitung bei Transport-Scan. Die Standardaktion für die allgemeine Option Aktion bei Zeitüberschreitung bei Transport-Scan wurde von Überspringen auf Löschen geändert.

  • Aktion bei Zeitüberschreitung bei Echtzeit-Scan. Die Standardaktion für die allgemeine Option Aktion bei Zeitüberschreitung bei Echtzeit-Scan wurde von Überspringen auf Löschen geändert.

  • Zeitüberschreitung für Quarantäne. Der Registrierungswert QuarantineTimeout wurde hinzugefügt, um nach einer Zeitüberschreitung bei einem Scanauftrag die Quarantänefunktion außer Kraft zu setzen. Dieser Wert ist ein DWORD-Typ. Wenn der Registrierungswert nicht vorliegt oder nur mit einem Wert ungleich null vorliegt, werden Nachrichten, die zu einer Zeitüberschreitung beim Scanauftrag führen, unter Quarantäne gestellt. Wenn der Registrierungswert vorhanden ist und sein Wert gleich null ist, wird die Nachricht nicht unter Quarantäne gestellt.

  • Beschädigte komprimierte Dateien löschen. Die Standardeinstellung für die allgemeine Option Beschädigte komprimierte Dateien löschen wurde von Aus zu Ein geändert. Dateien, die als beschädigt identifiziert wurden, werden unter Quarantäne gestellt. Wenn Sie diese Dateien nicht unter Quarantäne stellen möchten, können Sie eine neue Registrierungsschlüsseleinstellung mit der Bezeichnung QuarantineCorruptedCompressedFiles erstellen, um die Quarantänefunktion außer Kraft zu setzen. Die DWORD-Einstellung muss erstellt werden, und es muss der Wert 0 dafür festgelegt werden.

  • Aktion bei ungültigem MIME-Header. Die allgemeine Option Aktion bei ungültigem MIME-Header wurde hinzugefügt. Wenn diese Option aktiviert ist, werden alle Nachrichten mit fehlerhaften und mehreren Headern, die zu einer mehrdeutigen Interpretation der Nachricht führen, von Forefront Security für Exchange Server gelöscht. Zu den Headern, die auf das Vorhandensein mehrerer Header und auf Fehler überprüft werden, gehören Content-Type, Content-Disposition und Content-Transfer-Encoding. Die Standardeinstellung für diese Option ist Ein.

Nachfolgend werden weitere Änderungen und Updates beschrieben:

  • Registrierungseinstellung "ScanAllAttachments". Die Registrierungseinstellung ScanAllAttachments verwendet den Wert 1 als Standardeinstellung für alle Neuinstallationen von Forefront Security für Exchange Server. Damit wird Forefront Security für Exchange Server so konfiguriert, dass sämtliche Anlagen standardmäßig auf Viren überprüft werden. Weitere Informationen zu dieser Einstellung finden Sie unter "Scannen von Dateien nach Typ" in den Kapiteln zum Scanauftrag.

  • Scannen von Winmail.dat. Beim Transportscanauftrag von Forefront Security für Exchange Server werden auch Winmail.dat-Dateien auf Viren überprüft. Exchange verwendet Winmail.dat-Dateien für mehrere Zwecke. Beispielsweise werden Winmail.dat-Dateien zwischen Servern ausgetauscht, um eine Replikation zu vereinfachen (IPM-Replikationsnachrichten). Wenn eine dieser Winmail.dat-Dateien von Forefront Security für Exchange Server geändert wird, ist die Replikation von öffentlichen Ordnern fehlerhaft. Sie können den neuen DWORD-Registrierungsschlüssel DoNotScanIPMReplicationMessages auf 1 festlegen, um dies zu verhindern. Dann werden IPM-Replikationsnachrichten nicht vom Transportscanauftrag gescannt.

    HinweisHinweis:
    Wird ein Virus durch die Replikation von öffentlichen Ordnern repliziert, dann wird er auch mithilfe des Echtzeitscanauftrags von Forefront Security für Exchange Server erkannt, wenn dieser Schlüssel festgelegt ist.
  • FTP-Modulaktualisierungen. Modulaktualisierungen über FTP-Server (File Transfer Protocol) werden nicht mehr unterstützt. Aktualisierungen müssen über HTTP oder lokal über eine UNC-Freigabe (Universal Naming Convention, universelle Namensgebung) durchgeführt werden.

 
Anzeigen: