Forefront Security pour Exchange Server 2007

  • Article

 

Dernière rubrique modifiée : 2011-01-13

Microsoft Forefront est une suite de produits de sécurité complets et intégrés, qui offre aux professionnels une sécurité de bout en bout. La suite de produits Forefront comprend les composants suivants.

EMPLACEMENT

PRODUIT

Client

Microsoft Forefront Client Security

Serveur

Microsoft Forefront Security pour Exchange Server

Microsoft Forefront Security pour SharePoint

Microsoft FrontPage Security pour Office Communications Server

Edge

Microsoft Internet Security and Acceleration (ISA) Server 2006

Intelligent Application Gateway (IAG) 2007

Cette rubrique a trait à Forefront Security pour Microsoft Exchange. Ce produit a été développé pour succéder à la suite Microsoft Antigen pour Microsoft Exchange 2000 Server et Microsoft Exchange Server 2003. Il fournit plusieurs moteurs d'analyse qui offrent une protection en couche pour les messages stockés ou en cours de transport.

Nouvelles fonctionnalités de Forefront Security pour Exchange Server

La licence standard de Forefront pour Exchange inclut les moteurs d'analyse de virus suivants :

  • Kaspersky Labs

  • InoculateIT et Vet (de CA)

  • Sophos

  • Authentium

  • Ahn Labs

  • VirusBuster

  • Moteur du logiciel anti-programme malveillant de Microsoft

Vous pouvez configurer jusqu'à cinq moteurs d'analyse qui s'exécutent simultanément et dans différentes combinaisons au sein du système. Cette diversité de moteurs d'analyse et de signatures offre une protection supplémentaire et augmente la probabilité de détection des programmes malveillants.

Forefront inclut également les fonctionnalités suivantes :

  • Protection en couche de l'infrastructure de messagerie et des points de contrôle pour le trafic des messages au niveau des rôles serveur de transport Edge (le cas échéant), serveur de transport Hub et serveur de boîtes aux lettres

  • Tampon d'en-tête antivirus sécurisé apposé sur chaque message, puis analysé pour la première fois au niveau du transport Edge ou Hub

    Notes

    Pour augmenter l'efficacité de l'analyse des messages, les analyses ultérieures au niveau du Hub ou de la banque contrôlent le tampon. Ce processus permet d'éviter de nouvelles analyses, à moins qu'un administrateur demande explicitement une analyse ou une mise à jour de signature.

  • Prise en charge des configurations SCC et CCR de Microsoft Exchange Server 2007 pour s'assurer que les deux nœuds ont mis à jour la configuration et les signatures

    Notes

    Le basculement du cluster Exchange n'affecte pas la sécurité du trafic de messages. En outre, la défaillance d'un moteur d'analyse n'affectent pas les autres.

  • Fonctionnalités heuristiques qui détectent le code malveillant sur la base de caractéristiques de comportement (filtrage de fichiers/pièces jointes par nom de fichier, par extension, etc.)

  • Activation de la CAL Entreprise pour offrir des fonctionnalités de blocage du courrier indésirable de niveau supérieur, telles qu'un filtre de réputation d'IP Exchange Server 2007, des mises à jour quotidiennes automatisées du filtrage du contenu et des données de signature de courrier indésirable ciblées plusieurs fois par jour

  • Capacités de génération de rapports et d'analyse étendues (notifications personnalisables pour l'expéditeur et le destinataire du message)

  • Console unique offrant une centralisation du déploiement, de la configuration et des capacités de mise à jour dans des environnements de très grande taille

    Notes

    La localisation est disponible dans 11 langues. Cela permet aux administrateurs de gérer la sécurité de ma messagerie dans leur propre langue.

Configuration typique de Forefront pour Exchange

L'analyse Forefront peut être activée sur les serveurs de transport Edge, de transport Hub et de boîtes aux lettres. Tous les messages reçus pas des utilisateurs dans cette topologie sont analysés au niveau du transport Edge ou du transport Hub, en fonction de leur origine. Par exemple, un message en provenance d'un expéditeur externe est analysé sur le serveur de transport Edge avant sa remise au destinataire.

Les messages en provenance d'expéditeurs internes ou du serveur de messagerie unifiée sont analysés sur le premier serveur de transport Hub figurant dans le chemin de remise. Les boîtes aux lettres d'utilisateur et les dossiers publics peuvent également être analysés de façon proactive ou réactive au niveau du magasin d'informations sur le serveur de boîtes aux lettres.

Installation de Forefront Security pour Exchange Server

La configuration minimale requise pour l'installation d'un serveur de Forefront pour Exchange est la suivante :

  • Ordinateur d'architecture X64 disposant de processeurs prenant en charge la plateforme Intel EM64T ou AMD64

  • Windows Server 2003

  • Microsoft Exchange

  • 1 gigaoctet (Go) de RAM recommandé (davantage de RAM pour les moteurs d'analyse sous licence supplémentaires)

  • 300 Mo d'espace disque disponible

Vous pouvez installer FrontPage pour Exchange sur l'ordinateur sur lequel vous exécutez l'installation. Vous pouvez également installer le programme sur des ordinateurs distants pour permettre un déploiement efficace. Vous avez également la possibilité d'effectuer une installation « Client - Console Administrateur uniquement » pour permettre aux administrateurs d'installer la console de gestion Forefront sur leurs stations de travail.

Dans l'écran Sélectionner les moteurs, le programme d'installation sélectionne le moteur du logiciel anti-programme malveillant de Microsoft. Il sélectionne également de façon aléatoire quatre autres moteurs que vous pouvez modifier sur cet écran. Vous ne pouvez pas sélectionner plus de cinq moteurs. Le moteur du logiciel anti-programme malveillant de Microsoft en fait partie.

Forefront pour Exchange reconnaît les clusters Windows Server 2003 actifs et passifs. Dans un cluster, Forefront pour Exchange doit être installé sur chaque nœud. L'ensemble des données de configuration (tâches d'analyse, notifications, etc.) et des fichiers de signature sont associés à l'objet serveur de boîtes aux lettres en cluster (CMS). C'est pourquoi les données sont configurées et répliquées sur chaque nœud. Lorsque vous appliquez des Service Packs et des correctifs Exchange, il est recommandé de « décrocher » Forefront d'Exchange. Pour ce faire, servez-vous de l'utilitaire FSCUtility. Cet outil est disponible dans le répertoire d'installation de Forefront. Utilisez la syntaxe suivante :

FSCUtility /disable

Une fois l'installation terminée, vous pouvez réactiver Forefront à l'aide de la syntaxe suivante :

FSCUtility /enable

Fonctionnalités Forefront Security pour Exchange

Analyse antivirus : Forefront peut analyser des messages à l'aide de divers types de moteurs antivirus en utilisant différentes sortes d'analyse (sur accès, manuelle, en arrière-plan, etc.). Vous pouvez spécifier le niveau de décalage pour l'analyse et l'action à exécuter en cas de détection d'infection (ignorer, nettoyer ou supprimer). Forefront peut analyser des pièces jointes imbriquées et des fichiers compressés.

Filtrage des fichiers : Forefront peut filtrer sur la base des noms de fichier ou de leur types, tels que .exe ou MP3. Il permet de mettre des fichiers en quarantaine. Vous pouvez spécifier une texte de suppression personnalisé pour les notifications adressées à l'expéditeur et au destinataire.

Filtrage du contenu : Forefront peut filtrer du contenu sur la base des domaines de l'expéditeur, des lignes d'objet, des en-têtes MIME, etc., pour les messages entrants. Forefront peut également créer et importer des listes de filtres personnalisés et utiliser les listes pour le filtrage du contenu. Il est également possible de filtrer les messages sur la base de mots clés contenus dans le corps de ces derniers.

Types d'analyse

Analyse du transport : Cette analyse est effectuée sur le premier serveur de transport Edge ou Hub figurant dans le chemin du message. Une fois un message analysé, un en-tête antivirus est tamponné dessus. Les analyses ultérieures sur le serveur de transport Hub ou le serveur de boîtes aux lettres vérifient la présence de cet en-tête. S'il est absent, le message n'est pas réanalysé. Lorsque le message est soumis à la banque, les informations de cet en-tête sont ajoutées comme propriété MAPI, puis l'en-tête est supprimé.

Analyse de la banque : Forefront permet d'effectuer deux catégories d'analyse de banque : les analyses automatiques (sans intervention ni planification de l'utilisateur) et les analyses à la demande.

Chacune de ces catégories prend en charge les types d'analyses suivants.

Analyse automatique

Analyse proactive : les messages sont analysés dès leur soumission à la banque. Dans une configuration par défaut, l'analyse proactive est désactivée.

Pour activer l'analyse proactive, définissez la clé de Registre suivante :

HKEY_Local_Machine\System\CurrentControlSet\Services\MSExchangeIS\VirusScan\

Dans cette sous-clé, définissez la valeur de DWORD ProactiveScanning sur 1.

Une analyse proactive est utile pour protéger les messages des dossiers Éléments envoyés, Boîte d'envoi et Brouillons, ainsi que des dossiers publics non analysés en cours de transport.

Analyse sur accès : Les messages sont analysés quand un utilisateur ou une application y accède. Par exemple, les messages sont analysés quand un utilisateur les affiche dans Outlook ou y accède à l'aide d'un appareil mobile, ou durant une indexation de contenu. Dans une configuration par défaut, l'analyse sur accès est activée.

Les messages déjà traités par l'analyse du transport ne sont pas réanalysés lors de l'accès (conformément à l'en-tête antivirus). L'analyse sur accès vise à sécuriser les messages qui ne sont généralement pas analysés en cours de transport, tels que le contenu des dossiers Éléments envoyés, Boîte d'envoi et Brouillons, ainsi que des dossiers publics.

Par défaut, l'analyse sur accès est limitée aux messages reçus au cours de la dernière journée. Cette limite permet d'éviter l'accumulation des demandes d'analyse lors de la migration de boîtes aux lettres vers Exchange 2007, ou en cas d'installation récente de Forefront sur le serveur. Une fois les demandes d'analyse stabilisées, il est recommandé de définir une valeur comprise entre 3 et 7 jours.

Analyse à la demande

Analyse en arrière-plan : L'analyse en arrière-plan intervient pour analyser et nettoyer les messages figurant dans des dossiers tels que Éléments envoyés, Boîte d'envoi et Brouillons, ainsi que des dossiers publics, dont le contenu ne fait jamais l'objet d'une analyse de transport. Vous pouvez configurer l'analyse en arrière-plan pour effectuer les opérations suivantes :

  • Analyser tous les éléments de la boîte aux lettres

  • Analyser uniquement les éléments remis au cours de n derniers jours

  • Analyser uniquement les messages contenant des pièces jointes

  • Analyser les messages non analysés précédemment

Dans la configuration par défaut, l'analyse en arrière-plan n'a lieu qu'une fois par jour. L'analyse en arrière-plan ignore tout tampon antérieur d'analyse antivirus sur les messages, et les réanalyse.

Analyse manuelle : Il est possible de planifier une analyse manuelle en fonction des besoins (quotidienne, hebdomadaire, etc.), ou à la demande à partir de la console. Ce processus analyse tous les messages de tous les dossiers des boîtes aux lettres sélectionnées. C'est pourquoi une analyse manuelle nécessite un temps système important. Elle sert le plus souvent à rechercher dans des boîtes aux lettres une pièce jointe spécifique. Elle n'est pas nécessairement utilisée pour rechercher un virus. Elle permet plus généralement de rechercher un document confidentiel envoyé.

Analyse rapide : Une analyse rapide peut être exécutée à la demande à partir de la console. Elle sert le plus souvent à rechercher des virus dans des boîtes aux lettres ou des dossier publics spécifiques (pas d'analyse de fichier ou de contenu). Ce processus permet de sélectionner des moteurs spécifiques pour l'analyse d'une boîte aux lettres ou d'un dossier public.

Augmentation de l’analyse de la banque en cas de propagation de virus

En cas d'infection très répandue ou de soupçon quant à la présence d'un virus, des administrateurs peuvent être amenés à analyser le contenu de la banque. Dans Forefront, ils peuvent le faire en procédant comme suit.

Analyser lors de la mise à jour de l’analyseur (mode propagation) : Ce mode active automatiquement l'analyse proactive. À chaque mise à jour d'une signature de moteur d'analyse, le numéro de version du moteur antivirus est incrémenté. Comme le numéro de version du moteur antivirus d'analyse du transport est toujours 1 (un), l'en-tête antivirus du message est toujours périmé quand il atteint la banque. C'est pourquoi l'en-tête déclenche une nouvelle analyse du message lors de la soumission de ce dernier. Les messages sont réanalysés lors de l'accès si l'un des moteurs a été mis à jour entre-temps. Ce mode d'analyse a un effet sensible sur les performances du serveur et ne doit être activé qu'après mûre réflexion.

Pour activer cette fonctionnalité, cliquez sur Paramètres, puis, dans la console de gestion Forefront, cliquez sur Options.

DisableAVStamping : Ce mode désactive la création d'un en-tête d'analyse antivirus durant l'analyse du transport. Vous pouvez activer le mode DisableAVStamping en modifiant la sous-clé de Registre suivante :

HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server

Dans cette sous-clé, définissez la valeur de DWORD DisableAVStamping sur 1.

Cette valeur doit être définie sur chaque serveur de transport Hub et Edge. Les messages seront analysés lors du transport, mais ne seront pas tamponnés. Les messages arrivant dans la banque sont marqués comme « non analysés ». Ensuite, ils sont analysés lors du premier accès. Vous pouvez configurer l'analyse du transport et de la banque de données de façon à utiliser plusieurs moteurs d'analyse pour une meilleure protection.

Analyse en arrière-plan avec l'option « Analyser lors de la mise à jour de l'analyseur » (mode sécurité ultime): Ce mode est celui qui offre le niveau de sécurité le plus élevé. L'analyse en arrière-plan démarre à chaque mise à jour d'un moteur d'analyse. L'analyse séquentielle des boîtes aux lettres continue au fur et à mesure des mises à jour des moteurs d'analyse. Cela évite qu'une analyse achève un traitement initial de boîtes aux lettres avant la mise à jour d'un moteur. La mise à jour relance l'analyse de sorte que le processus revient à la première boîte aux lettres et réanalyse toutes les boîtes aux lettres soumises au premier traitement. Ces boîtes aux lettres sont alors analysées à plusieurs reprises, tandis que les boîtes aux lettres restantes ne le sont jamais. En outre, les messages sont analysés lors de leur soumission à la banque. Ensuite, ils sont réanalysés lors de l'accès si une mise à jour du moteur a eu lieu après l'analyse effectuée lors la soumission. Le mode sécurité ultime est celui qui mobilise le plus de ressources.

Vous pouvez activer le mode sécurité ultime à partir de la console de gestion Forefront. Pour ce faire, activez le mode Analyser lors de la mise à jour de l'analyseur, puis sélectionnez Activer l'analyse en arrière-plan si l'option « Analyser lors de la mise à jour de l'analyseur » est activée.

Analyse : relation entre les performances et la sécurité

Forefront pour Exchange offre un paramètre nommé Décalage qui permet de définir l'équilibre souhaité entre les performances et la sécurité. L'utilisation de ce paramètre présente les avantages suivants :

  • Performances maximales : analyse de chaque élément à l'aide d'un seul des moteurs sélectionnés afin de bénéficier de performances optimales au détriment de la certitude

  • Privilégier les performances : analyse de chaque élément à l'aide d'un nombre aléatoire de moteurs sélectionnés, compris entre un moteur et la moitié des moteurs

  • Neutre : analyse de chaque élément à l'aide d'au moins la moitié des moteurs sélectionnés

  • Privilégier la certitude : analyse de chaque élément à l'aide d'un nombre aléatoire de moteurs sélectionnés, compris entre un moteur et la moitié des moteurs

  • Certitude max. : analyse de chaque élément à l'aide de tous les moteurs sélectionnés afin de bénéficier d'une certitude optimale au détriment des performances

Processus d'analyse des différents modes de sécurité

Mode

En cours de transport

Lors de la soumission à la banque

Lors du premier accès

Lors du prochain accès

Pendant l’analyse en arrière-plan

Mode de fonctionnement par défaut

Analysé

Non analysé

Non analysé si analysé précédemment

Non analysé

Une fois par jour

Mode propagation

Analysé

Analysé

Non analysé

Analysé si une mise à jour du moteur a eu lieu avant l'analyse précédente

Une fois par jour

Mode sécurité ultime

Analysé

Analysé

Analysé si une mise à jour du moteur a eu lieu avant l'analyse précédente

Analysé si une mise à jour du moteur a eu lieu avant l'analyse précédente

À chaque mise à jour d'un moteur

Plus d'informations

Pour plus d'informations sur les moteurs d'analyse, lisez le livre blanc, Multiple Scan Engine Advantage and Best Practices for Optimal Security and Performance (en anglais).

Pour plus d'informations sur l'utilisation de Forefront Security pour Exchange Server, consultez les rubriques suivantes :

Forefront Security for Exchange Server Best Practices Guide

Guide de l’utilisateur de Forefront Security pour Exchange Server