Seguridad
Proteger el correo electrónico con Microsoft Forefront Security
Neetu Rajpal
En resumen:
- Instalar y configurar Microsoft Forefront Security para Exchange Server
- Varios de los motores de exploración y digitalización directivas
- Lucha correo no deseado con conexión y el filtrado de contenido
- Configurar y administrar FSE uso de Windows PowerShell
Contenido
Introducción A
Antimalware
Antispam
Me mostrar los resultados
Windows PowerShell
Ajustar hacia arriba
La próxima versión de generación de Microsoft Forefront Security para Exchange Server (de aquí en denomina FSE) es un producto de contra código malintencionado (correo no deseado, antivirus y contenido filtrado) premium para proteger el correo electrónico que fluye a través de entornos de servidor de Exchange. Está integrado con Exchange Server y pueden examinar todos los mensajes de correo electrónico que aparecen en tránsito (moviendo el en, fuera o dentro de la empresa), en uso (que se va a leer), o en reposo (almacenada en el buzón del usuario). El producto se incluye con una configuración predeterminada para permitir el uso inmediato después de la instalación, pero puede modificarse para satisfacer las necesidades exactas de la empresa.
Obtener más información, casos prácticos y una versión de evaluación del producto estará disponibles en el TechCenter de Microsoft Forefront Server Security una vez FSE es lanzado este año.
En este artículo, recorrerá mediante las características de FSE. Supondrá que está familiarizados con Exchange Server 2007 y mire sólo en la seguridad y las capacidades de FSE instalado en el servidor de Exchange local de filtrado de contenido. Explicará cómo puede proteger su empresa de correo no deseado no deseado y código dañino, como también como modo para restringir contenido en su correo electrónico de empresa utilizando varios tipos de filtrado. Para desplazarse por contenido técnico todo lo que, VOY a utilizar la nueva experiencia de administración simplificada para FSE, que está integrado con el servidor de administración (nombre en código "Stirling") de Microsoft Forefront próximo. No, no obstante, trataré Stirling o FSE integración con él.
Introducción A
Si ya tiene configurado para la organización de Exchange Server, instalar FSE es sencillo. Instalar el producto en el mismo equipo que el servidor de Exchange; FSE admite las funciones de servidor transporte perimetral de Exchange, concentrador de transporte de Exchange y buzones de Exchange. FSE perfectamente se conecta con el entorno de Exchange utilizando la arquitectura de agente de acceso público y antivirus API (VSAPI). Una vez instalado, la seguridad y directivas de filtrado pueden modificarse mediante la consola de Microsoft Forefront Server Security Administrator, que se muestra en la figura 1 . El panel de exploración de la izquierda le permite mover a un área concreto de la interfaz de usuario para ver o editar. El panel de detalles en el centro muestra la información de configuración, y el panel de acciones de la derecha se utiliza para ejecutar las acciones.
Figura 1 consola el Forefront Server Security Administrator
Echemos un vistazo a la configuración de antimalware (de la izquierda en la figura 1 ). En este ejemplo, el nodo de antimalware tiene tres subnodos que pueden utilizarse para configurar las opciones de seguridad para el correo electrónico en diferentes momentos:
tiempo real de buzón Estas opciones son para el correo electrónico en uso (como es lectura). En esta sección está deshabilitada cuando el servidor de Exchange local que FSE está instalado en no está la función de buzón. Ha sido una hipótesis de diseño de esta configuración que correo electrónico siempre se analizan al camino en el buzón, (en tránsito) mediante el transporte de concentradores o la configuración de digitalización de transporte perimetral. Pero el examen de tiempo real de buzón es útil cuando hay un gran retraso entre el momento que incluye el mensaje de correo electrónico en el sistema y la hora que se lee el mensaje de correo electrónico. Ya FSE busca código malintencionado con las firmas de AV y heurística integrado en los motores, actualización motores y actualiza las firmas pueden suponer una diferencia significativa en se detecta qué software malintencionado
servidor concentrador de transporte En esta sección se utiliza para configurar las opciones de correo electrónico en tránsito (entrante, saliente y interno). Verá esta sección sólo cuando el servidor de Exchange local subyacente tiene la función de concentrador de transporte implementada. Algunas empresas tomar una decisión para renunciar a la función de servidor perimetral e implementar sólo la función de servidor concentrador. A partir de Exchange 2007, todos los correo electrónico (entrante, saliente y interno) es enrutado a través un servidor de concentrador. Las empresas que implementan sólo un servidor de concentrador pueden establecer toda la configuración de seguridad de correo electrónico en tránsito en la sección concentrador de transporte de la consola del administrador. Las empresas que implementan servidores perimetrales y concentrador pueden optar por no volver a examinar correo electrónico cuando recibe en el servidor de concentrador después de pasar a través del servidor perimetral.
plan de buzón Son valores de seguridad de software malintencionado de correo electrónico en reposo (correo electrónico recibido anteriormente y almacenado en el buzón del usuario). En esta sección sólo es visible cuando el servidor de Exchange local se encuentra la función de buzón. Este análisis es útil para detectar cualquier malware que se ha retrasado mediante los análisis para el correo en tránsito, así como para medir la eficacia de las directivas de filtro de palabra clave propuesto. Por ejemplo, supongamos que la empresa ficticia contoso presenta una directiva nueva que prohíbe blasfemias en mensaje de correo electrónico. No está seguro, sin embargo, si realmente se necesita esta directiva o si será efectiva. Para medir la eficacia de la directiva, la empresa configura un filtro de palabra clave con FSE y ejecuta un análisis programados de buzón. A continuación, utilizar este análisis, el administrador de TI examina el correo electrónico en buzones de unos (o varios o todos) seleccionado los usuarios y genera un informe de todo el correo electrónico que habría sido infringe de esta directiva si se ha implementado. Con estos datos en la mano, Contoso puede tomar una decisión más fundamentada con respecto a la palabra clave filtrado de directivas para su organización.
Tenga en cuenta que no hay ningún nodo de transporte perimetral en la figura 1 . La sección de transporte perimetral, para configurar la contra código malintencionado para el correo electrónico en tránsito (entrante y saliente), sólo está disponible cuando el servidor de Exchange local subyacente es la función de transporte perimetral. En el ejemplo en la figura 1 , el servidor de Exchange subyacente es la función de transporte del concentrador y la función de buzón para la configuración de transporte perimetral no estén disponible. La función perimetral de Exchange es principalmente implementada en la zona DESMILITARIZADA utilizada para la protección de correo electrónico y se recomienda que la configuración de seguridad se establecerán en el máximo en esta función.
Antimalware
Forefront Security para Exchange utiliza varios motores de contra código malintencionado para buscar virus, gusanos y spyware. Algunos motores son en función de firma mientras otros usuarios tienen capacidades heurística. Una solicitud común de los clientes es para preceptivos sobre la selección de los motores de para ejecutarse por la mejor detección y el rendimiento. Con nuevas opciones predefinidos, FSE ahora simplifica el proceso de mucho manteniendo también toda la configuración avanzada disponible anteriormente de los clientes que desean un mayor nivel de control. Puede elegir uno de las directivas selección por el motor basadas en su y seguridad. las necesidades de rendimiento, y todas las demás motor de administración de configuraciones se decidieron automáticamente. la figura 2 describen los tipos diferentes de exploraciones que pone la sección selección inteligente de motor.
| Figura 2 las diferentes ofertas de directiva de digitalización |
| Directiva | Descripción |
| Siempre digitalizar con todos los motores seleccionados | Ésta es la configuración más segura. Cuando está seleccionada esta opción, FSE examinará todo el correo con todos los motores que forman parte del producto. En el caso es probable que está actualizando cualquiera de los motores o firmas de los motores, FSE se bloqueará todo el correo electrónico hasta que han terminado de las actualizaciones y FSE sea capaz de utilizar el nuevo motor o firma. |
| Examinar con el subconjunto de motores seleccionados que están disponibles | Esta configuración es ligeramente menos segura. Cuando se elige, FSE examinará todo el correo con todos los motores que se encuentran disponibles actualmente. Si todos los motores seleccionados están disponibles, el mensaje de correo electrónico se examinarán por todos ellos. Sin embargo, si uno de los motores de seleccionado se se actualiza, correo electrónico se explorarlos con los motores de restantes y permitido para pasar a través de si determina que esté libre de software malintencionado. |
| Digitalizar con un subconjunto de los motores de seleccionado dinámicamente elegido | Esta opción saldos entre rendimiento y seguridad. FSE se seleccionará un subconjunto de los motores para detectar el correo electrónico. Elija esta opción cuando desee algunos protección adicional y el valor de utilizar varios motores, pero debe tener el rendimiento en consideración. |
| Digitalizar con sólo uno de los motores de seleccionado | Esta opción se debe seleccionar sólo cuando rendimiento es crítico y el mensaje de correo electrónico se ha digitalizado anteriormente. Con esta opción, FSE dinámicamente seleccionará un motor para detectar el correo electrónico. |
Las empresas que necesita un control preciso sobre el que los motores se utilizan para detección pueden usar la configuración de Administración avanzada de motor de en la parte inferior de la página de la directiva.
Antispam
El correo electrónico no deseado sigue siendo uno de los impuestos de recursos más egregious para las empresas en términos de correo electrónico. Un número desproporcionadamente grande de correos electrónicos recibidos por la mayoría de las empresas son correo no deseado. FSE ofrece una nueva solución de protección contra correo electrónico no deseado de premium que toma un enfoque de dos pronged, filtrado basado en tanto la conexión como contenido.
filtrado de conexión Antes de correo electrónico a la empresa, FSE puede hacer una evaluación de reputación en función de la dirección IP del remitente. Si la dirección IP está marcada como un remitente de correo no deseado conocidos, se rechazó la conexión y el mensaje de correo electrónico no entra en la empresa. La evaluación en función de reputación es compatible con un servicio en línea que Microsoft mantiene. FSE también reconoce que la INFORMÁTICA y la necesidad de los administradores puedan sobrescribir las evaluaciones de reputación que hace FSE, por lo que proporciona una lista de IP permitidas y una lista de bloqueo IP de mensajería. Cualquier dirección IP en la lista de IP permitidas no se calcularán y realmente se se pasa directamente a la Bandeja de entrada del destinatario. Sin ningún análisis reputación se rechazarán las conexiones de correo electrónico de direcciones IP en la lista de IP bloqueadas. la figura 3 muestra la configuración de protección de filtrado correo no deseado FSE en función de la conexión.
La figura 3 ltering del archivo de conexión de protección contra correo electrónico no deseado
filtrado de contenido Después de que el mensaje de correo electrónico pasa por el filtrado de conexión FSE, obtiene una evaluación de segundo nivel correo no deseado basándose en el contenido del mensaje de correo electrónico. FSE se integra un motor de protección contra correo electrónico no deseado de otros fabricantes líderes del sector. Cuando está habilitado el filtrado de contenido, FSE asigna un nivel de confianza de correo electrónico no deseado a cada mensaje de correo electrónico que busca. Según el nivel de confianza de correo no deseado, las empresas pueden decidir eliminar el mensaje de correo electrónico, poner en cuarentena, o simplemente marcarlo y entregarlo a buzón del usuario se acaban hacia arriba en la carpeta correo no deseado.
Existen varios tipos de filtros de contenido que pueden especificarse mediante la consola administrativa FSE. la figura 4 muestra lo que vería si se especifica la directiva de filtro de archivo, que permite que las empresas correos electrónicos de bloque con un tipo de archivo específico. FSE detectará el tipo de archivo en función de inspección binario en lugar del nombre de archivo para evitar el riesgo si se ha cambiado una extensión de archivo. Por lo tanto, si la empresa establece una directiva para compartir no ejecutables a través del correo electrónico, FSE puede bloquear archivos ejecutables, incluso si el remitente intenta eludir la detección cambiando el nombre del archivo a algo como NotExecutable.txt. Junto con filtrado de tipo de archivo, FSE también pueden bloquear archivos basándose en el nombre de archivo o una combinación de ambos.
La figura 4 configuración del filtro de archivo
Me mostrar los resultados
Una vez que la configuración se configuran, FSE funcionará en segundo plano. La sección de supervisión del panel de exploración se puede utilizar para todo lo que va en con FSE ver. Las listas de panel ( figura 5 ) incidentes de todos los los incidentes de seguridad y coincidencias de directiva de filtrado. Hay también un panel de cuarentena que se muestra todo el correo electrónico en cuarentena FSE. Puede utilizar este panel no sólo para ver correo electrónico que se ha bloqueado, sino también para entregar correo electrónico que anteriormente se en cuarentena.
La figura 5 Mostrar los incidentes de seguridad
Windows PowerShell
FSE implementa una capa de Windows PowerShell nueva y amplio. Todos los valores de configuración, informes y otras opciones que tiene acceso a través de la interfaz de usuario también están accesibles a través de este nivel. El PowershellSnapIn FSE está disponible desde el Shell de administración de Microsoft Forefront. Puede ver los comandos disponibles para FSE escribiendo
Get-Help *FSE*
Uno de los aspectos más útiles de uso de Windows PowerShell es que los comandos es fácil establecer las opciones de configuración de FSE en un servidor y, a continuación, transferirlas a cualquier otro servidor. Después de configurar un servidor, puede exportar la configuración mediante el comando Export-FSESettings, a continuación, importar a otro servidor mediante el FSESettings de importar.
Ajustar hacia arriba
Este artículo presentan algunas de las capacidades de la generación siguiente Forefront Security para Exchange Server. Con varios motores de exploración y capacidades de filtrado, el producto protege el correo electrónico mientras permitiendo que realice el rendimiento en consideración. También puede controlar configuración y administración como lo prefiere, mediante la consola de administración o Windows PowerShell. Espero que este artículo anima a evaluar FSE para usted mismo.
Neetu Rajpal es director de programas de grupo del equipo de Forefront Server Security basado en Hauppauge, NY. Ha un profesional de más de 13 años de software y encanta la creación de software interesante. Empleado la primera parte de su carrera en todos los aspectos XML y se ahora funciona en software de seguridad basadas en servidor.