Forefront Security für Exchange Server 2007

Letztes Änderungsdatum des Themas: 2011-01-13

Microsoft Forefront ist eine Suite umfassender, integrierter Sicherheitsprodukte, die End-to-End-Sicherheit für Geschäftskunden bereitstellen. Die Forefront-Produktsuite besteht aus den folgenden Komponenten:

In diesem Thema wird schwerpunktmäßig Forefront Security für Microsoft Exchange behandelt. Dieses Produkt wurde als Nachfolger der Microsoft Antigen Suite für Microsoft Exchange 2000 Server und für Microsoft Exchange Server 2003 entwickelt. Es stellt mehrere Scanmodule zur Verfügung, die Schutz auf mehreren Ebenen für E-Mail-Nachrichten bei der Speicherung und während des Transports bereitstellen können.

Neue Features in Microsoft Forefront Security für Exchange Server

Die Forefront für Exchange-Standardlizenz enthält die folgenden Virenscanmodule:

• Kaspersky Labs

• InoculateIT und Vet (beide von CA)

• Sophos

• Authentium

• Ahn Labs

• VirusBuster

• Microsoft-Antimalwaremodul

Sie können bis zu fünf Scanmodule konfigurieren, die gleichzeitig und in verschiedenen Kombinationen auf dem System ausgeführt werden können. Die Vielfältigkeit der Scanmodule und Signaturen bietet zusätzlichen Schutz und erhöht die Wahrscheinlichkeit der Malwareerkennung.

Forefront enthält außerdem die folgende Features:

• Schutz auf mehreren Ebenen in der Messaginginfrastruktur und Prüfpunkte für den Datenverkehr für die Serverfunktionen Edge-Transport (wenn vorhanden), Hub-Transport und Mailbox.

• Einen sicheren Antivirus-Kopfzeilenstempel, der auf jede Nachricht gestempelt und erstmals auf Edge- oder Hub-Transport-Ebene gescannt wird.

  Hinweis

  Damit die Effizienz beim Scannen von Nachrichten gesteigert wird, überprüfen nachfolgende Scans auf der Hub- oder Informationsspeicherebene den Stempel. Dieser Vorgang umgeht erneutes Scannen, es sei denn, ein Administrator fordert ausdrücklich die Ausführung eines Scans an, oder es tritt eine Signaturaktualisierung ein.

• Unterstützung für Microsoft Exchange Server 2007 SCC- und CCR-Konfigurationen, damit sichergestellt wird, dass beide Knoten aktualisierte Konfigurationen und Signaturen aufweisen.

  Hinweis

  Ein Failover des Exchange-Clusters wirkt sich nicht auf die Sicherheit des Nachrichtenverkehrs aus. Ein Fehler eines Scanmoduls wirkt sich außerdem nicht auf andere Scanmodule aus.

• Heuristische Funktionen, die bösartigen Code basierend auf Verhaltensmerkmalen erkennen (Datei-/Anlagenfilter nach Dateiname, nach Erweiterung usw.).

• Aktivierung der Enterprise-CAL zum Bereitstellen von Premium-Antispamfunktionen, z. B. eines Exchange Server 2007 IP-Zuverlässigkeitsfilters, täglicher automatisierter Inhaltsfilteraktualisierungen und Spamsignatur-Zieldaten mehrmals täglich.

• Umfangreiche Berichts- und Analysefunktionen (anpassbare Benachrichtigungen für den Nachrichtenabsender oder -empfänger).

• Eine einzige Konsole, die zentralisierte Bereitstellungs-, Konfigurations- und Aktualisierungsfunktionen in großen Umgebungen zur Verfügung stellt.

  Hinweis

  Die Lokalisierung erfolgt in 11 Sprachen. Auf diese Weise können Administratoren die E-Mail-Sicherheit in ihrer Landessprache verwalten.

Typische Forefront für Exchange-Konfiguration

Forefront-Scans können auf den Edge-Transport-, Hub-Transport- und Postfachservern aktiviert werden. Alle Nachrichten, die von Benutzern in dieser Topologie empfangen werden, werden abhängig vom Ursprung der Nachricht auf der Edge-Transport- oder auf der Hub-Transport-Ebene gescannt. Eine Nachricht, die von einem externen Empfänger stammt, wird z. B. auf dem Edge-Transport-Server gescannt, bevor Sie dem Empfänger zugestellt wird.

Nachrichten von internen Absendern oder vom Unified Messaging-Server werden auf dem ersten Hub-Transport-Server im Zustellpfad gescannt. Benutzerpostfächer und Öffentliche Ordner können entweder proaktiv oder reaktiv auf Informationsspeicherebene auf dem Postfachserver gescannt werden.

Installieren von Forefront Security für Exchange

Die Systemmindestanforderungen für eine Serverinstallation von Forefront für Exchange sind folgendermaßen:

• Computer mit x64-Architektur mit Prozessoren, die die Intel EM64T- oder AMD64-Plattform unterstützen

• Windows Server 2003

• Microsoft Exchange

• 1 GB RAM empfohlen (mehr Arbeitsspeicher für weitere lizenzierte Scanmodule)

• 300 MB verfügbarer Speicherplatz auf dem Datenträger

FrontPage für Exchange kann auf dem lokalen Computer installiert werden, auf dem Setup ausgeführt wird. Sie können das Programm auch auf Remotecomputern installieren, um eine effiziente Bereitstellung zu ermöglichen. Außerdem besteht die Option, eine Installation des Typs "Client – Nur Verwaltungskonsole" auszuführen, damit Administratoren die ForefrontVerwaltungskonsole auf ihren Arbeitsstationen installieren können.

Auf dem Bildschirm Module auswählen wählt Setup immer das Microsoft-Antimalwaremodul aus. Setup wählt außerdem vier weitere Module zufällig aus, die Sie auf diesem Bildschirm ändern können. Sie können maximal fünf Module auswählen. Dies schließt das Microsoft-Antimalwaremodul ein.

Forefront für Exchange erkennt aktive oder passive Windows Server 2003-Cluster. In einem Cluster muss Forefront für Exchange auf jedem Knoten installiert werden. Alle Konfigurationsdaten (Scanaufträge, Benachrichtigungen usw.) und Signaturdateien sind dem CMS-Objekt (Clustered Mailbox Server, Postfachclusterserver) zugeordnet. Auf diesem Grund werden die Daten auf jedem Knoten konfiguriert und auf jeden Knoten repliziert. Wenn Sie Exchange Service Packs und Hotfixes anwenden, wird empfohlen, Forefront von Exchange zu "entkoppeln". Dies geschieht mithilfe des Tools FSCUtility. Dieses Tool ist im Forefront -Installationsordner verfügbar. Verwenden Sie die folgende Syntax:

FSCUtility /disable

Nachdem die Installation abgeschlossen ist, kann Forefront mithilfe der folgenden Syntax erneut aktiviert werden:

FSCUtility /enable

Forefront Security für Exchange-Funktionen

Virenscanner: Forefront kann Nachrichten mithilfe verschiedener Typen von Antivirusmodulen und Scantypen (bei Zugriff, manuell, Hintergrund usw.) scannen. Sie können den Korrekturgrad beim Scannen und die auszuführende Aktion bei einer gefundenen Infektion (überspringen, bereinigen oder löschen) angeben. Forefront kann geschachtelte Anlagen und komprimierte Dateien scannen.

Dateifilter: Forefront kann basierend auf Dateinamen oder Dateitypen filtern, z. B. EXE oder MP3. Gefilterte Dateien können in Quarantäne verschoben werden. Sie können benutzerdefinierten Löschtext für Benachrichtigungen des Absenders und des Empfängers angeben.

Inhaltsfilter: Forefront kann Inhalte basierend auf Absenderdomänen, Betreffzeilen, MIME-Kopfzeilen usw. für eingehende Nachrichten filtern. Forefront kann außerdem benutzerdefinierte Filterlisten erstellen und importieren und diese Listen für die Inhaltsfilterung verwenden. Nachrichten können auch basierend auf Schlüsselwörtern im Nachrichtentext gefiltert werden.

Scantypen

Transportscans: Dieser Scantyp wurde auf dem ersten Edge-Transport- oder Hub-Transport-Server im Nachrichtenpfad ausgeführt. Nachdem eine Nachricht gescannt wurde, wird sie mit einer sicheren Antiviruskopfzeile gestempelt. Spätere Scanvorgänge auf dem nächsten Hub-Transport- oder Postfachserver überprüfen das Vorhandensein dieser Kopfzeile. Ist die Kopfzeile vorhanden, wird die Nachricht nicht erneut gescannt. Wenn die Nachricht an den Informationsspeicher übermittelt wird, werden diese Kopfzeileninformationen als MAPI-Eigenschaft hinzugefügt, und die Kopfzeile wird entfernt.

Informationsspeicherscans: Forefront enthält zwei Kategorien von Informationsspeicherscans: Automatische Scans (keine Benutzerplanung oder -eingriffe erforderlich) und Scans bei Bedarf.

Jede dieser Kategorien unterstützt die folgenden Scanmehrfachtypen.

Automatische Scans

Proaktive Scans: Nachrichten werden bei ihrer Übermittlung an den Informationsspeicher sofort gescannt. In einer Standardkonfiguration sind proaktive Scans deaktiviert.

Legen Sie den folgenden Registrierungsschlüssel fest, um proaktive Scans zu aktivieren:

HKEY_Local_Machine\System\CurrentControlSet\Services\MSExchangeIS\VirusScan\

Legen Sie in diesem Unterschlüssel den Wert des DWORD-Eintrags ProactiveScanning auf 1 fest.

Proaktive Scans eigenen sich zum Schützen von Nachrichten in Gesendete Elemente, Postausgang, Entwürfe und in Öffentlichen Ordnern, die während des Transports nicht gescannt werden.

Scans bei Zugriff: Nachrichten werden gescannt, wenn ein Benutzer oder eine Anwendung darauf zugreift. Nachrichten werden beispielsweise gescannt, wenn ein Benutzer eine Vorschau in Outlook anzeigt oder auf sie über ein mobiles Gerät oder bei der Inhaltsindizierung zugreift. In einer Standardkonfiguration sind Scans bei Zugriff deaktiviert.

Nachrichten, die bereits durch Transportscans gescannt wurden, werden bei Scans bei Zugriff (basierend auf der Antiviruskopfzeile) nicht erneut gescannt. Scans bei Zugriff dienst als Sicherheitsmaßnahme für Nachrichten, die normalerweise während des Transports nicht gescannt werden, z. B. der Inhalt von Gesendete Elemente, Postausgang, Entwürfe und Öffentlicher Ordner.

Standardmäßig sind Scans bei Zugriff auf Nachrichten eingeschränkt, die innerhalb des letzten Tages empfangen wurden. Durch diese Einschränkung wird das Anwachsen von Scananforderungen vermieden, wenn Postfächer in Exchange 2007 migriert werden oder wenn Forefront neu auf dem Server installiert wird. Nachdem sich die Scananforderungen stabilisiert haben, wird empfohlen, diesen Wert auf 3 - 7 Tage zu vergrößern.

Scans bei Bedarf

Hintergrundscans: Hintergrundscans übernehmen eine Bereinigungsfunktion, indem sie Nachrichten in Ordnern wie z. B. Gesendete Elemente, Postausgang, Entwürfe und Öffentlichen Ordnern scannen und bereinigen, deren Inhalt niemals Transportscans unterzogen wurde. Hintergrundscans können für die folgende Aufgaben konfiguriert werden:

• Scannen aller Elemente im Postfach

• Scannen nur der Elemente, die während der letzten n Tage zugestellt wurden

• Scannen nur von Nachrichten mit Anlagen

• Scannen zuvor nicht gescannter Nachrichten

In der Standardkonfiguration werden Hintergrundscans ein Mal täglich ausgeführt. Der Hintergrundscan ignoriert alle vorherigen Virenscanstempel auf Nachrichten und scannt sie erneut.

Manuelle Scans: Manuelle Scans können nach Erfordernis (täglich, wöchentlich usw.) oder nach Bedarf über die Konsole geplant werden. Dieser Prozess scannt alle Nachrichten in jedem Ordner in den ausgewählten Postfächern. Aus diesem Grund führt ein manueller Scan zu einem großen Mehraufwand. Er wird meistens zum Durchsuchen von Postfächern nach einer bestimmten Anlage verwendet. Er wird nicht notwendigerweise zum Suchen nach einem Virus verwendet. Normalerweise wird er zum Auffinden eines vertraulichen Dokuments verwendet, das gesendet wurde.

Schnellscan: Schnellscans können bei Bedarf über die Konsole ausgeführt werden. Ein Schnellscan wird meistens nur zum Scannen bestimmter Postfächer oder Öffentlicher Ordner auf Viren verwendet (keine Datei- oder Inhaltsscans). Dieser Prozess ermöglicht die Auswahl bestimmter Module, die zum Scannen des Postfachs oder Öffentlichen Ordners verwendet werden sollen.

Erhöhen der Informationsspeicherscans bei einem Virenausbruch

In Szenarien wie z. B. einem verbreiteten Virusinfekt oder einem Virusverdacht müssen Administratoren ggf. die Scans im Informationsspeicher erhöhen. In Forefront kann dies auf die folgende Weise geschehen.

Scan bei Scannerupdate (Ausbruchsmodus): Dieser Modus aktiviert automatisch proaktive Scans. Bei jeder Aktualisierung einer Scanmodulsignatur wird die Versionsnummer des Virenmoduls inkrementiert. Da die Versionsnummer des Transportscan-Virenmoduls immer 1 (eins) ist, ist die Nachrichten-Antiviruskopfzeile immer veraltet, wenn sie den Informationsspeicher erreicht. Die Kopfzeile bewirkt daher einen erneuten Scan der Nachricht bei ihrer Übermittlung. Nachrichten werden beim Zugriff erneut gescannt, wenn eines der Module in der Zwischenzeit aktualisiert wurde. Dieses Scanmodus wirkt sich erheblich auf die Serverleistung aus und sollte nur nach sorgfältiger Abwägung aktiviert werden.

Um dieses Feature zu aktivieren, klicken Sie in der Forefront-Verwaltungskonsole auf Einstellungen und dann auf Optionen.

DisableAVStamping: Dieser Modus deaktiviert die Erstellung einer Antivirus-Scankopfzeile während des Transportscans. Sie können den DisableAVStamping-Modus aktivieren, indem Sie den folgenden Registrierungsunterschlüssel ändern:

HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server

Legen Sie in diesem Unterschlüssel den Wert des DWORD-Eintrags DisableAVStamping auf 1 fest.

Dieser Wert muss auf jedem Hub- und Edge-Transport-Server festgelegt werden. Nachrichten werden beim Transport gescannt, sie werden jedoch nicht gestempelt. Nachrichten erreichen den Informationsspeicher mit der Markierung "ungescannt". Beim ersten Zugriff auf sie werden sie dann gescannt. Die Transport- und Informationsspeicherscans können so konfiguriert werden, dass sie verschiedene Scanmodule verwenden, um besseren Schutz zu erzielen.

Hintergrundscan mit "Scan bei Scannerupdate" (Ultimate-Sicherheitsmodus): Dieser Modus stellt die höchste Sicherheitsstufe der verfügbaren Modi zur Verfügung. Hintergrundscans werden bei jeder Aktualisierung eines Scanmoduls gestartet. Postfächer werden weiterhin sequenziell gescannt, wenn die Scanmodule aktualisiert werden. Auf diese Weise wird das Problem vermieden, dass ein Scan einen anfänglichen Postfachdurchlauf abschließt, bevor eine Modulaktualisierung eintritt. Die Aktualisierung startet den Scan neu, und der Prozess kehrt zum ersten Postfach zurück und scannt alle Postfächer des ersten Durchlaufs erneut. Diese Postfächer werden dann wiederholt gescannt, und die verbleibenden Postfächer werden niemals gescannt. Außerdem werden Nachrichten bei der Übermittlung an den Informationsspeicher gescannt. Anschließend werden sie bei Zugriff erneut gescannt, wenn eine Modulaktualisierung nach dem Übermittlungsscan eintritt. Der Ultimate-Sicherheitsmodus ist der ressourcenintensivste aller Scanmodi.

Der Ultimate-Sicherheitsmodus wird über die Forefront-Verwaltungskonsole aktiviert. Aktivieren Sie zu diesem Zweck den Modus Scan bei Scannerupdate, und wählen Sie dann Hintergrundscan aktivieren, wenn 'Scan bei Scannerupdate' aktiviert ist aus.

Scans: Leistung im Vergleich zu Sicherheit

Forefront für Exchange stellt einen Parameter namens Bias zur Verfügung, mit dem Sie das gewünschte Verhältnis zwischen Scanleistung und Sicherheit bewahren können. Die Verwendung dieses Parameters besitzt die folgenden Vorteile:

• Maximale Leistung: Ein Scan jedes Elements mithilfe nur eines der ausgewählten Module, um die bestmögliche Leistung und die geringste Gewissheit zu erzielen.

• Leistungsgewichtung: Ein Scan jedes Elements, der eine beliebige Anzahl zufällig ausgewählter Scanmodule zwischen einem Modul und der Hälfte der ausgewählten Module verwendet.

• Neutral: Ein Scan jedes Elements, bei dem mindestens die Hälfte der ausgewählten Module verwendet wird.

• Gewissheitsgewichtung: Ein Scan jedes Elements, der eine beliebige Anzahl zufällig ausgewählter Scanmodule zwischen einem Modul und der Hälfte der ausgewählten Module verwendet.

• Maximale Gewissheit: Ein Scan jedes Elements mithilfe aller ausgewählten Module, um die schlechtestmögliche Leistung und die höchste Gewissheit zu erzielen.

Scanprozess in verschiedenen Sicherheitsmodi

Weitere Informationen

Weitere Informationen zu mehreren Scanmodulen finden Sie im Whitepaper Multiple Scan Engine Advantage and Best Practices for Optimal Security and Performance (englischsprachig).

Weitere Informationen zum Verwenden von Forefront Security für Exchange Server finden Sie unter den folgenden Themen:

Forefront Security for Exchange Server Best Practices Guide (englischsprachig)

Benutzerhandbuch für Forefront Security für Exchange Server