Sécurité
Protéger le courrier électronique avec Forefront Security
Neetu Rajpal
À une vue d'ensemble :
- Installation et configuration de Forefront Security pour Exchange Server
- Plusieurs moteurs d'analyse et des stratégies d'analyse
- Fighting du courrier indésirable avec connexion et de filtrage de contenu
- Configuration et gestion FSE utilisant Windows PowerShell
Contenu
Mise en route
Protection contre les logiciels malveillants
Antispam
M'afficher les résultats
Windows PowerShell
Conclusion
La génération prochaine version de Forefront Security pour Exchange Server (à partir d'ici sur appelé FSE) est un produit protection contre les logiciels malveillants (contenu, antivirus et antispam à filtrage) premium pour protéger les messages électroniques qui flux dans les environnements de serveur Exchange. Il est intégré avec Exchange Server et peut analyser les tous les messages électroniques en transit (transférée dans, arrière ou dans l'entreprise), en cours d'utilisation (en cours de lecture) ou au reste (stockées dans la boîte aux lettres de l'utilisateur). Le produit est livré avec une configuration par défaut pour autoriser l'utilisation immédiate après l'installation mais peut être modifié en fonction des besoins exacts de l'entreprise.
Plus d'informations, études de cas et une version d'évaluation du produit seront disponibles à partir de la TechCenter Microsoft Forefront Server Security Après le lancement FSE plus tard cette année.
Dans cet article, J'AI guide les fonctionnalités de FSE. Je suppose vous êtes familiarisé avec Exchange Server 2007 et observez seulement la sécurité et les capacités de FSE installé sur le serveur Exchange local de filtrage de contenu. J'aborderai comment vous pouvez protéger votre entreprise de spam indésirable et de logiciels malveillants, en tant que bien que la pour restreindre les contenus dans le votre courrier électronique Entreprise utilisant différents types de filtrage. Pour parcourir le contenu de toutes les technique, je vais utiliser la nouvelle expérience de gestion simplifiée pour FSE, qui est intégré avec le serveur d'administration Microsoft Forefront (nom de code « Stirling ») à venir. J'AI pas, toutefois, couvre Stirling ou FSE Intégration avec elle.
Mise en route
Si vous disposez déjà d'Exchange Server configuré pour votre organisation, l'installation FSE est simple. Vous installez le produit sur la même machine que le serveur Exchange ; FSE prend en charge les rôles de serveur de transport Edge Exchange, transport Hub Exchange et boîte aux lettres Exchange. FSE s'intègre parfaitement dans l'environnement Exchange à l'aide accessible publiquement agent architecture et antivirus API (VSAPI). Une fois installé, la sécurité et les stratégies de filtrage peuvent être modifiés via la console administrateur de sécurité de Forefront Server, illustrée figure 1 . Le volet de navigation de gauche vous permet de déplacer vers une zone particulière de l'interface utilisateur pour afficher ou modifier. Le volet de détails au milieu affiche les informations de configuration et le volet Actions sur la droite est utilisé pour exécuter des actions.
Figure 1 console l'administrateur de sécurité Forefront Server
Examinons les paramètres de protection contre les logiciels malveillants (sur la gauche dans la figure 1 ). Dans cet exemple, le nœud contre les logiciels malveillants comporte trois sous-nœuds qui peuvent servir à configurer les paramètres de sécurité pour le courrier électronique à différents stades :
boîte aux lettres en temps réel Ces paramètres sont pour la messagerie électronique en cours d'utilisation (tel qu'il est lu). Cette section est désactivée lorsque le serveur Exchange local qui FSE est installé sur n'est pas le rôle de boîte aux lettres. Il a été une hypothèse de conception de ces paramètres que courrier électronique est toujours analysé sur son de manière à la boîte aux lettres, (en transit) à l'aide le transport Hub ou les paramètres de numérisation transport Edge. Mais l'analyse en temps réel de boîte aux lettres est utile lorsqu'il existe un retard grand entre le moment que le message électronique est fourni dans le système et le temps que le message électronique est en lecture. Puisque FSE analyse les logiciels malveillants à l'aide de signatures une violation d'accès et heuristiques intégrée les moteurs, mis à jour les moteurs et mis à jour les signatures peuvent faire une différence importante dans les logiciels malveillants est intercepté
Transport Hub Cette section est utilisée pour configurer les paramètres de messagerie en transit (entrant, sortant et interne). Vous verrez cette section uniquement lorsque le serveur Exchange local sous-jacente a le rôle de transport Hub déployé. Certaines entreprises prendre une décision à sacrifier le rôle serveur Edge et à déployer le rôle de serveur Hub uniquement. À partir de Exchange 2007, tous les messages (entrant, sortant et interne) sont routé via un serveur Hub. Entreprises déploiement uniquement un serveur Hub peuvent définir tous les paramètres de sécurité de messagerie en transit dans la section de transport Hub de la console administrateur. Les entreprises qui déploiement des serveurs Edge et Hub peuvent choisir de ne réanalyser pas courrier électronique lorsqu'il obtient le serveur Hub après qui transite par le serveur de transport Edge.
boîte aux lettres planifiées Il s'agit des logiciels malveillants des paramètres de sécurité pour le courrier électronique au reste (électroniques déjà reçus et stockées dans la boîte aux lettres de l'utilisateur). Cette section est visible uniquement lorsque le serveur Exchange local est le rôle de boîte aux lettres. Cette analyse est utile pour interception tout logiciel malveillant a glissement via les analyses pour les messages en transit, ainsi que pour mesurer l'efficacité des stratégies filtre clé proposée. Par exemple, supposons que l'entreprise fictive Contoso introduit une nouvelle stratégie interdit blasphèmes dans un message électronique. Ne sont qu'ils pas bien sûr, cependant, si cette stratégie est vraiment nécessaire ou si elle sera effective. Pour mesurer l'efficacité de la stratégie, la société configure un filtre de mot clé avec FSE et exécute une analyse planifiée de boîte aux lettres. Ensuite, l'administrateur informatique à l'aide de cette analyse, analyse le message électronique dans boîtes aux lettres des quelques (ou plusieurs ou toutes) sélectionné utilisateurs et génère un rapport du tout courrier électronique aurait été en violation de cette stratégie si elle a été implémentée. Avec ces données dans main, Contoso peut prendre une décision plus informée concernant le mot clé filtrage stratégies pour son organisation.
Notez qu'il n'est aucun noeud de transport Edge dans la figure 1 . La section de transport Edge, pour configurer les paramètres de protection contre les logiciels malveillants de courrier électronique en transit (entrante et sortante), est disponible uniquement lorsque le serveur Exchange de local sous-jacent est le rôle de transport Edge. Dans l'exemple dans la figure 1 , le serveur Exchange sous-jacente est le rôle de transport Hub et le rôle de boîte aux lettres pour les paramètres de transport Edge ne soient pas disponibles. Le rôle Edge Exchange est principalement déployé dans la zone DÉMILITARISÉE et utilisé pour l'hygiène de messagerie. Il est recommandé de définir les paramètres de sécurité pour le maximum de ce rôle
Protection contre les logiciels malveillants
Forefront Security pour Exchange utilise plusieurs moteurs de logiciels anti-programmes malveillants pour rechercher les virus, vers et logiciels espions. Certains moteurs sont en fonction de signature tandis que d'autres utilisateurs possèdent des capacités heuristiques. Une demande courantes des clients est pour obtenir des instructions sur la sélection les moteurs pour exécuter pour la meilleure détection et les performances. De nouvelles options prédéfinies, FSE maintenant facilite le processus grandement tout en conservant également tous les paramètres d'avancés précédemment disponibles de clients qui veulent un niveau de contrôle plus élevé. Vous pouvez choisir une des stratégies de moteur de sélection en fonction de votre et de sécurité. besoins de performance, et tous les autres moteur Gestion des paramètres sont automatiquement décidés. la figure 2 décrit les types différents d'analyses disponibles de la section Sélection du moteur intelligent.
| Figure 2 les différentes offres stratégie analyse |
| Stratégie | Description |
| Toujours analyser avec tous les moteurs sélectionnés | Ceci est le paramètre plus sécurisé. Lorsque cette option est sélectionnée, FSE analyse tous les messages avec tous les moteurs qui font partie du produit. Dans le cas probablement les moteurs ou les signatures pour les moteurs mis à jour, FSE va bloquer tous les messages jusqu'à ce que les mises à jour avez FSE est capable d'utiliser le nouveau moteur ou la signature. |
| Analyse avec le sous-ensemble de moteurs sélectionnés qui sont disponibles | Ce paramètre est légèrement moins sécurisé. Lorsque cela est sélectionné, FSE analyse tous les messages avec tous les moteurs qui sont actuellement disponibles. Si tous les moteurs sélectionnés sont disponibles, le message électronique est analysé par l'ensemble d'eux. Toutefois, si parmi les moteurs sélectionnés est mises à jour, courrier électronique est analysé avec les moteurs d'autres et autorisé à passer Si déterminé à de logiciels malveillants. |
| Analyse avec un sous-ensemble dynamiquement choisi des moteurs sélectionnés | Ce paramètre de soldes entre performances et de sécurité. Un sous-ensemble des moteurs d'est activée par FSE pour analyser le courrier électronique. Choisissez ce paramètre lorsque vous souhaitez une protection supplémentaire et la valeur de l'utilisation de plusieurs moteurs, mais à suivre les performances en considération. |
| Analyse avec uniquement un des moteurs sélectionnés | Ce paramètre doit être prélevé que si performance est critique et le message a été analysé précédemment. Avec cette option, FSE dynamiquement sélectionne un moteur de rechercher les messages électroniques. |
Entreprises nécessitant le contrôle précis sur les moteurs sont utilisés pour l'analyse peuvent utiliser le paramètre gestion moteur avancée en bas de la page stratégie.
Antispam
Courrier indésirable continue à être une des taxes ressources plus egregious pour les entreprises en termes de messagerie. Un nombre sans respect des proportions grand d'e-mails reçus par la plupart des entreprises sont le courrier indésirable. FSE offre une solution antispam premium nouvelle qui utilise une approche pronged deux, filtrage selon les connexion et le contenu.
filtrage des connexions Avant de messagerie extrait dans l'entreprise, FSE peut vous une évaluation réputation en fonction de l'adresse IP de l'expéditeur. Si l'adresse IP est marquée comme un expéditeur de courrier indésirable connus, la connexion est refusée et le message électronique saisit jamais l'entreprise. L'évaluation en fonction de réputation est pris en charge par un service en ligne Microsoft gère. FSE reconnaît également que IT et les administrateurs besoin de pouvoir remplacer les les évaluations de réputation FSE effectue, il fournit une liste verte D'IP et une liste rouge IP de messagerie. Une adresse IP la liste verte D'IP n'est pas calculée et est réellement transmise directement à la boîte de réception du destinataire. Les connexions de messagerie d'adresses IP sur la liste rouge D'IP seront rejetées sans les analyse réputation. la figure 3 illustre les paramètres de protection pour filtrage antispam FSE en fonction de la connexion.
La figure 3 connexion antispam fi ltering
filtrage de contenu Une fois le message passe par le filtrage des connexions FSE, il obtient une évaluation de spam de deuxième niveau en fonction du contenu du message électronique. FSE intègre un moteur d'antispam tiers performants. Lorsque le filtrage de contenu est activé, FSE affecte un niveau de confiance du courrier indésirable à chaque message analysé. Selon le niveau de confiance de spam, les entreprises peuvent décider supprimer le message électronique, mettre en quarantaine, ou juste marquer et il transmettre à la boîte aux lettres de l'utilisateur dans lequel il finissent dans le dossier Courrier indésirable.
Il existe plusieurs types de filtres de contenu qui peuvent être spécifiées via la console d'administration FSE. la figure 4 illustre ce que vous voyez lorsque vous spécifiez la stratégie de filtre de fichier, qui permet aux entreprises bloc e-mails avec un type de fichier spécifique. FSE détecte le type de fichier en fonction de contrôle binaire plutôt que le nom de fichier pour éviter le risque si une extension de fichier a été modifiée. Par conséquent, si l'entreprise définit une stratégie pour le partage ne pas de fichiers exécutables par courrier électronique, FSE peut bloquer exécutables, même si l'expéditeur tente d'ignorer la détection en modifiant le nom du fichier à un élément comme NotExecutable.txt. En plus au fichier de filtrage de type, FSE pouvez aussi bloquer fichiers basés sur le nom du fichier ou une combinaison des deux.
La figure 4 le filtre de fichier de configuration
M'afficher les résultats
Une fois vos paramètres sont configurés, FSE fonctionnent en arrière-plan. La section contrôle du volet de navigation peut être utilisée pour afficher tout ce qui se passe dans avec FSE. Les listes de volet ( figure 5 ) incident de tous les incidents de sécurité et les correspondances de stratégie de filtrage. Il existe également un volet de contrôle qui affiche tous les les messages mis en quarantaine par FSE. Vous pouvez utiliser ce volet non seulement pour afficher le courrier électronique a été bloqué, mais également envoyer du courrier électronique qui a été précédemment mis en quarantaine.
La figure 5 incidents de sécurité Affichage
Windows PowerShell
FSE implémente une couche de Windows PowerShell nouveau et complète. Tous les paramètres de configuration, états et autres options accessibles via l'interface utilisateur sont également accessibles via cette couche. Le PowershellSnapIn FSE est disponible dans le Forefront Management Shell. Vous pouvez afficher les commandes disponibles pour FSE en tapant
Get-Help *FSE*
Un des plus utiles aspects de l'utilisation de Windows PowerShell elle que les commandes facilitent définir les paramètres de configuration pour FSE sur un serveur et les transfère ensuite vers n'importe quel autre serveur. Après avoir configuré un serveur, vous pouvez exporter les paramètres en utilisant la commande Export-FSESettings, puis importer vers un autre serveur en utilisant l'importation-FSESettings.
Conclusion
Cet article présente certaines des fonctionnalités de la génération prochaine Forefront Security pour Exchange Server. Avec plusieurs moteurs d'analyse et les fonctionnalités de filtrage, le produit protège électronique tout en autorisant vous permet de prendre les performances en considération. Vous pouvez également gérer configuration et de gestion que vous préférez, utilisant la console d'administration ou Windows PowerShell. J'espère que cet article encourage vous permet d'évaluer FSE pour vous-même.
Neetu Rajpal est responsable de programme de groupe de l'équipe Forefront Server Security basé dans hauppauge, NY. Elle est un logiciel professionnel depuis plus de 13 ans et loves création de logiciels intéressantes. Elle passé la partie au plus tôt de sa carrière sur tous les éléments XML et maintenant fonctionne sur le logiciel de sécurité basées sur le serveur.