Forefront Security pour Exchange Server 2007
Dernière rubrique modifiée : 2011-01-13
Microsoft Forefront est une suite de produits de sécurité complets et intégrés, qui offre aux professionnels une sécurité de bout en bout. La suite de produits Forefront comprend les composants suivants.
EMPLACEMENT |
PRODUIT |
Client |
Microsoft Forefront Client Security |
Serveur |
Microsoft Forefront Security pour Exchange Server Microsoft Forefront Security pour SharePoint Microsoft FrontPage Security pour Office Communications Server |
Edge |
Microsoft Internet Security and Acceleration (ISA) Server 2006 Intelligent Application Gateway (IAG) 2007 |
Cette rubrique a trait à Forefront Security pour Microsoft Exchange. Ce produit a été développé pour succéder à la suite Microsoft Antigen pour Microsoft Exchange 2000 Server et Microsoft Exchange Server 2003. Il fournit plusieurs moteurs d'analyse qui offrent une protection en couche pour les messages stockés ou en cours de transport.
Nouvelles fonctionnalités de Forefront Security pour Exchange Server
La licence standard de Forefront pour Exchange inclut les moteurs d'analyse de virus suivants :
Kaspersky Labs
InoculateIT et Vet (de CA)
Sophos
Authentium
Ahn Labs
VirusBuster
Moteur du logiciel anti-programme malveillant de Microsoft
Vous pouvez configurer jusqu'à cinq moteurs d'analyse qui s'exécutent simultanément et dans différentes combinaisons au sein du système. Cette diversité de moteurs d'analyse et de signatures offre une protection supplémentaire et augmente la probabilité de détection des programmes malveillants.
Forefront inclut également les fonctionnalités suivantes :
Protection en couche de l'infrastructure de messagerie et des points de contrôle pour le trafic des messages au niveau des rôles serveur de transport Edge (le cas échéant), serveur de transport Hub et serveur de boîtes aux lettres
Tampon d'en-tête antivirus sécurisé apposé sur chaque message, puis analysé pour la première fois au niveau du transport Edge ou Hub
Notes
Pour augmenter l'efficacité de l'analyse des messages, les analyses ultérieures au niveau du Hub ou de la banque contrôlent le tampon. Ce processus permet d'éviter de nouvelles analyses, à moins qu'un administrateur demande explicitement une analyse ou une mise à jour de signature.
Prise en charge des configurations SCC et CCR de Microsoft Exchange Server 2007 pour s'assurer que les deux nœuds ont mis à jour la configuration et les signatures
Notes
Le basculement du cluster Exchange n'affecte pas la sécurité du trafic de messages. En outre, la défaillance d'un moteur d'analyse n'affectent pas les autres.
Fonctionnalités heuristiques qui détectent le code malveillant sur la base de caractéristiques de comportement (filtrage de fichiers/pièces jointes par nom de fichier, par extension, etc.)
Activation de la CAL Entreprise pour offrir des fonctionnalités de blocage du courrier indésirable de niveau supérieur, telles qu'un filtre de réputation d'IP Exchange Server 2007, des mises à jour quotidiennes automatisées du filtrage du contenu et des données de signature de courrier indésirable ciblées plusieurs fois par jour
Capacités de génération de rapports et d'analyse étendues (notifications personnalisables pour l'expéditeur et le destinataire du message)
Console unique offrant une centralisation du déploiement, de la configuration et des capacités de mise à jour dans des environnements de très grande taille
Notes
La localisation est disponible dans 11 langues. Cela permet aux administrateurs de gérer la sécurité de ma messagerie dans leur propre langue.
Configuration typique de Forefront pour Exchange
L'analyse Forefront peut être activée sur les serveurs de transport Edge, de transport Hub et de boîtes aux lettres. Tous les messages reçus pas des utilisateurs dans cette topologie sont analysés au niveau du transport Edge ou du transport Hub, en fonction de leur origine. Par exemple, un message en provenance d'un expéditeur externe est analysé sur le serveur de transport Edge avant sa remise au destinataire.
Les messages en provenance d'expéditeurs internes ou du serveur de messagerie unifiée sont analysés sur le premier serveur de transport Hub figurant dans le chemin de remise. Les boîtes aux lettres d'utilisateur et les dossiers publics peuvent également être analysés de façon proactive ou réactive au niveau du magasin d'informations sur le serveur de boîtes aux lettres.
Installation de Forefront Security pour Exchange Server
La configuration minimale requise pour l'installation d'un serveur de Forefront pour Exchange est la suivante :
Ordinateur d'architecture X64 disposant de processeurs prenant en charge la plateforme Intel EM64T ou AMD64
Windows Server 2003
Microsoft Exchange
1 gigaoctet (Go) de RAM recommandé (davantage de RAM pour les moteurs d'analyse sous licence supplémentaires)
300 Mo d'espace disque disponible
Vous pouvez installer FrontPage pour Exchange sur l'ordinateur sur lequel vous exécutez l'installation. Vous pouvez également installer le programme sur des ordinateurs distants pour permettre un déploiement efficace. Vous avez également la possibilité d'effectuer une installation « Client - Console Administrateur uniquement » pour permettre aux administrateurs d'installer la console de gestion Forefront sur leurs stations de travail.
Dans l'écran Sélectionner les moteurs, le programme d'installation sélectionne le moteur du logiciel anti-programme malveillant de Microsoft. Il sélectionne également de façon aléatoire quatre autres moteurs que vous pouvez modifier sur cet écran. Vous ne pouvez pas sélectionner plus de cinq moteurs. Le moteur du logiciel anti-programme malveillant de Microsoft en fait partie.
Forefront pour Exchange reconnaît les clusters Windows Server 2003 actifs et passifs. Dans un cluster, Forefront pour Exchange doit être installé sur chaque nœud. L'ensemble des données de configuration (tâches d'analyse, notifications, etc.) et des fichiers de signature sont associés à l'objet serveur de boîtes aux lettres en cluster (CMS). C'est pourquoi les données sont configurées et répliquées sur chaque nœud. Lorsque vous appliquez des Service Packs et des correctifs Exchange, il est recommandé de « décrocher » Forefront d'Exchange. Pour ce faire, servez-vous de l'utilitaire FSCUtility. Cet outil est disponible dans le répertoire d'installation de Forefront. Utilisez la syntaxe suivante :
FSCUtility /disable
Une fois l'installation terminée, vous pouvez réactiver Forefront à l'aide de la syntaxe suivante :
FSCUtility /enable
Fonctionnalités Forefront Security pour Exchange
Analyse antivirus : Forefront peut analyser des messages à l'aide de divers types de moteurs antivirus en utilisant différentes sortes d'analyse (sur accès, manuelle, en arrière-plan, etc.). Vous pouvez spécifier le niveau de décalage pour l'analyse et l'action à exécuter en cas de détection d'infection (ignorer, nettoyer ou supprimer). Forefront peut analyser des pièces jointes imbriquées et des fichiers compressés.
Filtrage des fichiers : Forefront peut filtrer sur la base des noms de fichier ou de leur types, tels que .exe ou MP3. Il permet de mettre des fichiers en quarantaine. Vous pouvez spécifier une texte de suppression personnalisé pour les notifications adressées à l'expéditeur et au destinataire.
Filtrage du contenu : Forefront peut filtrer du contenu sur la base des domaines de l'expéditeur, des lignes d'objet, des en-têtes MIME, etc., pour les messages entrants. Forefront peut également créer et importer des listes de filtres personnalisés et utiliser les listes pour le filtrage du contenu. Il est également possible de filtrer les messages sur la base de mots clés contenus dans le corps de ces derniers.
Types d'analyse
Analyse du transport : Cette analyse est effectuée sur le premier serveur de transport Edge ou Hub figurant dans le chemin du message. Une fois un message analysé, un en-tête antivirus est tamponné dessus. Les analyses ultérieures sur le serveur de transport Hub ou le serveur de boîtes aux lettres vérifient la présence de cet en-tête. S'il est absent, le message n'est pas réanalysé. Lorsque le message est soumis à la banque, les informations de cet en-tête sont ajoutées comme propriété MAPI, puis l'en-tête est supprimé.
Analyse de la banque : Forefront permet d'effectuer deux catégories d'analyse de banque : les analyses automatiques (sans intervention ni planification de l'utilisateur) et les analyses à la demande.
Chacune de ces catégories prend en charge les types d'analyses suivants.
Analyse automatique
Analyse proactive : les messages sont analysés dès leur soumission à la banque. Dans une configuration par défaut, l'analyse proactive est désactivée.
Pour activer l'analyse proactive, définissez la clé de Registre suivante :
HKEY_Local_Machine\System\CurrentControlSet\Services\MSExchangeIS\VirusScan\
Dans cette sous-clé, définissez la valeur de DWORD ProactiveScanning sur 1.
Une analyse proactive est utile pour protéger les messages des dossiers Éléments envoyés, Boîte d'envoi et Brouillons, ainsi que des dossiers publics non analysés en cours de transport.
Analyse sur accès : Les messages sont analysés quand un utilisateur ou une application y accède. Par exemple, les messages sont analysés quand un utilisateur les affiche dans Outlook ou y accède à l'aide d'un appareil mobile, ou durant une indexation de contenu. Dans une configuration par défaut, l'analyse sur accès est activée.
Les messages déjà traités par l'analyse du transport ne sont pas réanalysés lors de l'accès (conformément à l'en-tête antivirus). L'analyse sur accès vise à sécuriser les messages qui ne sont généralement pas analysés en cours de transport, tels que le contenu des dossiers Éléments envoyés, Boîte d'envoi et Brouillons, ainsi que des dossiers publics.
Par défaut, l'analyse sur accès est limitée aux messages reçus au cours de la dernière journée. Cette limite permet d'éviter l'accumulation des demandes d'analyse lors de la migration de boîtes aux lettres vers Exchange 2007, ou en cas d'installation récente de Forefront sur le serveur. Une fois les demandes d'analyse stabilisées, il est recommandé de définir une valeur comprise entre 3 et 7 jours.
Analyse à la demande
Analyse en arrière-plan : L'analyse en arrière-plan intervient pour analyser et nettoyer les messages figurant dans des dossiers tels que Éléments envoyés, Boîte d'envoi et Brouillons, ainsi que des dossiers publics, dont le contenu ne fait jamais l'objet d'une analyse de transport. Vous pouvez configurer l'analyse en arrière-plan pour effectuer les opérations suivantes :
Analyser tous les éléments de la boîte aux lettres
Analyser uniquement les éléments remis au cours de n derniers jours
Analyser uniquement les messages contenant des pièces jointes
Analyser les messages non analysés précédemment
Dans la configuration par défaut, l'analyse en arrière-plan n'a lieu qu'une fois par jour. L'analyse en arrière-plan ignore tout tampon antérieur d'analyse antivirus sur les messages, et les réanalyse.
Analyse manuelle : Il est possible de planifier une analyse manuelle en fonction des besoins (quotidienne, hebdomadaire, etc.), ou à la demande à partir de la console. Ce processus analyse tous les messages de tous les dossiers des boîtes aux lettres sélectionnées. C'est pourquoi une analyse manuelle nécessite un temps système important. Elle sert le plus souvent à rechercher dans des boîtes aux lettres une pièce jointe spécifique. Elle n'est pas nécessairement utilisée pour rechercher un virus. Elle permet plus généralement de rechercher un document confidentiel envoyé.
Analyse rapide : Une analyse rapide peut être exécutée à la demande à partir de la console. Elle sert le plus souvent à rechercher des virus dans des boîtes aux lettres ou des dossier publics spécifiques (pas d'analyse de fichier ou de contenu). Ce processus permet de sélectionner des moteurs spécifiques pour l'analyse d'une boîte aux lettres ou d'un dossier public.
Augmentation de l’analyse de la banque en cas de propagation de virus
En cas d'infection très répandue ou de soupçon quant à la présence d'un virus, des administrateurs peuvent être amenés à analyser le contenu de la banque. Dans Forefront, ils peuvent le faire en procédant comme suit.
Analyser lors de la mise à jour de l’analyseur (mode propagation) : Ce mode active automatiquement l'analyse proactive. À chaque mise à jour d'une signature de moteur d'analyse, le numéro de version du moteur antivirus est incrémenté. Comme le numéro de version du moteur antivirus d'analyse du transport est toujours 1 (un), l'en-tête antivirus du message est toujours périmé quand il atteint la banque. C'est pourquoi l'en-tête déclenche une nouvelle analyse du message lors de la soumission de ce dernier. Les messages sont réanalysés lors de l'accès si l'un des moteurs a été mis à jour entre-temps. Ce mode d'analyse a un effet sensible sur les performances du serveur et ne doit être activé qu'après mûre réflexion.
Pour activer cette fonctionnalité, cliquez sur Paramètres, puis, dans la console de gestion Forefront, cliquez sur Options.
DisableAVStamping : Ce mode désactive la création d'un en-tête d'analyse antivirus durant l'analyse du transport. Vous pouvez activer le mode DisableAVStamping en modifiant la sous-clé de Registre suivante :
HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server
Dans cette sous-clé, définissez la valeur de DWORD DisableAVStamping sur 1.
Cette valeur doit être définie sur chaque serveur de transport Hub et Edge. Les messages seront analysés lors du transport, mais ne seront pas tamponnés. Les messages arrivant dans la banque sont marqués comme « non analysés ». Ensuite, ils sont analysés lors du premier accès. Vous pouvez configurer l'analyse du transport et de la banque de données de façon à utiliser plusieurs moteurs d'analyse pour une meilleure protection.
Analyse en arrière-plan avec l'option « Analyser lors de la mise à jour de l'analyseur » (mode sécurité ultime): Ce mode est celui qui offre le niveau de sécurité le plus élevé. L'analyse en arrière-plan démarre à chaque mise à jour d'un moteur d'analyse. L'analyse séquentielle des boîtes aux lettres continue au fur et à mesure des mises à jour des moteurs d'analyse. Cela évite qu'une analyse achève un traitement initial de boîtes aux lettres avant la mise à jour d'un moteur. La mise à jour relance l'analyse de sorte que le processus revient à la première boîte aux lettres et réanalyse toutes les boîtes aux lettres soumises au premier traitement. Ces boîtes aux lettres sont alors analysées à plusieurs reprises, tandis que les boîtes aux lettres restantes ne le sont jamais. En outre, les messages sont analysés lors de leur soumission à la banque. Ensuite, ils sont réanalysés lors de l'accès si une mise à jour du moteur a eu lieu après l'analyse effectuée lors la soumission. Le mode sécurité ultime est celui qui mobilise le plus de ressources.
Vous pouvez activer le mode sécurité ultime à partir de la console de gestion Forefront. Pour ce faire, activez le mode Analyser lors de la mise à jour de l'analyseur, puis sélectionnez Activer l'analyse en arrière-plan si l'option « Analyser lors de la mise à jour de l'analyseur » est activée.
Analyse : relation entre les performances et la sécurité
Forefront pour Exchange offre un paramètre nommé Décalage qui permet de définir l'équilibre souhaité entre les performances et la sécurité. L'utilisation de ce paramètre présente les avantages suivants :
Performances maximales : analyse de chaque élément à l'aide d'un seul des moteurs sélectionnés afin de bénéficier de performances optimales au détriment de la certitude
Privilégier les performances : analyse de chaque élément à l'aide d'un nombre aléatoire de moteurs sélectionnés, compris entre un moteur et la moitié des moteurs
Neutre : analyse de chaque élément à l'aide d'au moins la moitié des moteurs sélectionnés
Privilégier la certitude : analyse de chaque élément à l'aide d'un nombre aléatoire de moteurs sélectionnés, compris entre un moteur et la moitié des moteurs
Certitude max. : analyse de chaque élément à l'aide de tous les moteurs sélectionnés afin de bénéficier d'une certitude optimale au détriment des performances
Processus d'analyse des différents modes de sécurité
Mode |
En cours de transport |
Lors de la soumission à la banque |
Lors du premier accès |
Lors du prochain accès |
Pendant l’analyse en arrière-plan |
Mode de fonctionnement par défaut |
Analysé |
Non analysé |
Non analysé si analysé précédemment |
Non analysé |
Une fois par jour |
Mode propagation |
Analysé |
Analysé |
Non analysé |
Analysé si une mise à jour du moteur a eu lieu avant l'analyse précédente |
Une fois par jour |
Mode sécurité ultime |
Analysé |
Analysé |
Analysé si une mise à jour du moteur a eu lieu avant l'analyse précédente |
Analysé si une mise à jour du moteur a eu lieu avant l'analyse précédente |
À chaque mise à jour d'un moteur |
Plus d'informations
Pour plus d'informations sur les moteurs d'analyse, lisez le livre blanc, Multiple Scan Engine Advantage and Best Practices for Optimal Security and Performance (en anglais).
Pour plus d'informations sur l'utilisation de Forefront Security pour Exchange Server, consultez les rubriques suivantes :
Forefront Security for Exchange Server Best Practices Guide
Guide de l’utilisateur de Forefront Security pour Exchange Server