Controllo di protezione Controllo di malware nel perimetro

Yuri Diogenes, Mohit Saxena, and Jim Harrison

Contenuto

Funzionamento del controllo da malware
Configurazione di funzionalità di controllo da malware TMG
Impostazione dei criteri di Web Access
Area di aggiornamento
Test e monitoraggio
Conclusione

Il nuovo Microsoft Forefront rischio Gestione gateway Media Business Edition (TMG MBE), disponibile come parte di Essential Business Server e come prodotto autonomo, fornisce miglioramenti significativi per l'operazione del servizio firewall di Microsoft. Una delle funzionalità più importanti di questo nuovo firewall è la possibilità di controllare il traffico HTTP che interseca per il malware. Utilizzando questa nuova funzionalità, sarà in grado di:

• Consente di migliorare la possibilità di proteggere la rete interna dal malware provenienti da Internet.
• Mantenere il perimetro aggiornato con le firme di malware più recenti utilizzando TMG Update Center.
• Perdere di vista sospetto traffico tramite il monitoraggio in tempo reale delle voci del registro e ottenere le statistiche di malware relazione finale utilizzando il nuovo insieme di report.

Questo approccio consente di ridurre i potenziali rischi nel traffico HTTP attraverso il perimetro, aggiungere un nuovo livello di protezione della soluzione antimalware. Non viene eliminata la necessità di client e server antivirus, ma poiché il controllo viene eseguita prima che la workstation client riceve i dati, il rischio di malware notevolmente è ridotto a icona.

Ciò risulta particolarmente utile se nella rete, ad esempio computer guest sono presenti computer non gestito. TMG di Forefront verificare che se tali computer tenta di scaricare un file sospetto, il file verrà bloccato anche se il computer non gestito non è in esecuzione un software antivirus.

Funzionamento del controllo da malware

Quando un utente accede a un sito Web e tenta di scaricare un file, TMG verrà intercettare tale traffico e un controllo o meno la regola che consente a tale utente di accedere al sito di destinazione disponga della funzionalità di controllo di malware è attivata. Se in questo caso TMG inizierà l'ispezione. (Naturalmente, se questa funzionalità non è attivata, TMG verrà non scansione il traffico.) Nella figura 1 vengono riepilogati il flusso di base di controllo malware come il client è scaricare un file:

1. Client invia una richiesta HTTP al sito Web di destinazione per scaricare un file.
2. Forefront TMG riceve la richiesta, determina o meno qualsiasi regola corrisponde e, in se questa regola ha Ispezione malware attivata, analizza la richiesta di malware.
3. Se la richiesta è valida e pulita, Forefront TMG invia la richiesta al server di destinazione.
4. Il server di destinazione riceve la richiesta e risposta di conseguenza.
5. Forefront TMG riceve la risposta dal server di destinazione ed elabora innanzitutto tramite il modulo di gestione di proxy.
6. Se la regola specifica Ispezione di malware, il motore di proxy invia il corpo della richiesta HTTP al filtro di controllo da malware. Minore di 64 KB risposte vengono accumulate in memoria. (In base alle statistiche Internet, circa 98% di download minori di 64 KB ed è possibile analizzare senza operazioni di I/O del disco). Il filtro Ispezione malware accumula il contenuto, tempo di download e del controllo, quindi restituisce il controllo al motore di proxy.
7. Se il contenuto è consentito, il file originale TMG Forefront invia all'utente. Se il file è infetto e TMG Impossibile pulire il file, una pagina HTML TMG invia all'utente che informa che il contenuto è stato bloccato.

Figura 1 Ispezione malware di flusso

Durante l'accumulo (passaggio 6) TMG migliora l'esperienza utente utilizzando uno dei seguenti metodi di recapito di contenuti:

• Pagina HTML lo stato di avanzamento, che mostra l'indicazione dell'avanzamento dinamico e consente di scaricare il contenuto dal computer TMG quando si digitalizzano completa.
• Trickling standard, in cui Forefront TMG inizialmente invia il contenuto a una velocità molto lenta al client e quindi, quando l'analisi è completata, invia i dati alla velocità massima possibile.
• Veloce trickling, il in cui il parametro che è definire è un numero che indica il compromesso tra l'esperienza utente (meno buffer TMG Forefront e ulteriori analisi) e delle prestazioni (più buffer TMG Forefront e meno analisi). Questo in genere viene utilizzato per i file multimediali di giocatori in linea (non per flussi multimediali).

Per mantenere gli standard trovati nel altre soluzioni di protezione di Microsoft, la funzionalità di protezione di malware in TMG si avvale della stessa malware protezione motore (MPE) utilizzato in Forefront Client Security, Windows Defender e occupa una. Più avanti in questo articolo è verrà illustrato come mantenere aggiornate le definizioni utilizzando Update Center.

Configurazione di funzionalità di controllo da malware TMG

Per configurare Ispezione di malware, è necessario attivarlo prima a livello globale e quindi anche a livello di regola. Il primo passaggio consiste nel passare il nodo Criteri di accesso Web e fare clic su Configura controllo malware nel riquadro attività, come mostrato nella Figura 2 .

Nella figura 2 impostazioni di accesso Web

Quando si esegue questa, viene visualizzato una finestra di dialogo che consente di attivare a livello globale, come illustrato nella Figura 3 Ispezione di malware. Questa finestra di dialogo contiene anche altre impostazioni per Ispezione di malware che sono predefinite con le impostazioni predefinite. Alcune di queste impostazioni possono essere controllati a livello di regola di accesso mentre alcuni può solo essere impostato a livello globale.

Nella figura 3 Ispezione del malware di configurazione a livello globale

La scheda eccezioni nella Figura 4 consente di controllare quali siti saranno essere esonerati da malware ispezione. Questa operazione è possibile inoltre effettuata tramite le impostazioni dei criteri, ma configurazione utilizzando la finestra di dialogo esegue l'override qualsiasi regola di accesso: se il sito è elencato di seguito, esso verrà non da analizzare per il malware anche se definiti per la verifica a livello di regola. Tali impostazioni globali sono utili per siti Web ospitati dal sito di organizzazioni nelle ZONE per gli utenti interni o per qualsiasi altro attendibili, utilizzate di frequente.

Nella figura 4 eccezioni di sito

Scheda impostazioni di controllo illustrata nella Figura 5 consente di specificare il tipo di contenuto verrà bloccato. È possibile definire l'azione predefinita per questo tipo di contenuto, ad esempio se TMG Forefront deve tentare di pulitura che contengono un virus contenuto e quindi invialo all'utente finale o se il contenuto verrà essere completamente bloccato con alcun tentativo di correzione.

Nella figura 5 i parametri di controllo impostazione

È inoltre possibile bloccare file sospetti, danneggiati o crittografati o dei file non possono essere analizzati. Ed è possibile impostare i limiti di dimensione dei file per conservare la larghezza di banda e impedire agli utenti di download di file di grandi dimensioni o i file che richiedono troppo tempo per la verifica. Si noti che questi sono impostazioni globali e non è esposto nella regola.

Scheda recapito contenuto, illustrata nella Figura 6 consente di configurare l'esperienza degli utenti durante il download di file, specificando anche se un utente finale riceverà una risposta trickled o una pagina di notifica lo stato di avanzamento per richiedere più di 10 secondi (configurabile in COM) per il download e analizzare i file. Nessuna notifica si verifica se il processo richiede 10 secondi o meno.

Nella figura 6 Specifica la modalità di recapito contenuto

È inoltre possibile selezionare il tipo di contenuto riceverà una notifica di stato a differenza di una risposta trickled facendo clic su Seleziona tipi di contenuto e aggiungendo o rimuovendo i tipi di contenuto che nella finestra di dialogo. Questa è un'impostazione globale e non è esposto nella regola.

Scheda archivio definisce la cartella in cui i file verranno essere temporaneamente accumulati durante la fase analizzati e serviti per l'utente finale. La cartella predefinita è la percentuale di SystemRoot%\Temp, ma questa può essere modificata. Anche in questo caso, questa è un'impostazione globale e non è esposto nella regola.

Prestazioni di ispezione del malware TMG di Forefront per contenuto che deve essere accumulato per disco miglioreranno quando la cartella si trova su un asse diverso di unità utilizzata per lo spostamento del sistema operativo o registrazione TMG Forefront. È importante escludere la cartella dal scansione se è sul server TMG software antivirus in modo che i file non sono bloccati per la digitalizzazione dal software antivirus in uso per Forefront Server TMG. Per le procedure ottimali per le cartelle per escludere, consultare" Considerazioni sull'utilizzo di software antivirus su ISA Server."

Impostazione dei criteri di Web Access

L'amministratore di Forefront TMG può configurare le regole di controllo dell'accesso utente a Internet tramite criteri di accesso Web o i criteri firewall. Quando si utilizza il criterio di accesso Web, le regole consentono in modo esplicito solo i protocolli HTTP e HTTPS e consentono agli amministratori di consentire o negare utenti l'accesso a siti Web. È possibile ottenere anche tramite regola di accesso nei criteri del firewall, in cui è possibile consentire manualmente accesso HTTP e HTTPS, in base a origine, destinazione e l'utente. Si noti che in una regola di accesso è visibile solo se i protocolli selezionati includono i protocolli Web l'opzione di controllo da malware.

Per consentire l'ispezione di malware a livello di regola, è possibile selezionare la casella "Verificare il contenuto scaricato dal server Web per i client," cui si troverà nella finestra di dialogo delle proprietà di regola predefinito di Web Access. Tenere presente che questo controllo si applica solo a contenuto HTTP che viene scaricato dalla regola. Ispezione di malware è necessario attivare a livello globale prima prima che può essere applicata a livello di regola.

Area di aggiornamento

Forefront TMG mantiene le definizioni di virus noti, worm e altro malware. Per mantenere aggiornate tali definizioni importante, TMG Forefront è creato in un meccanismo centralizzato denominato Update Center che consente all'amministratore di configurare la frequenza di aggiornamento, nonché l'azione di aggiornamento automatico. Update Center sono accessibili dalla console TMG Forefront.

Il pannello di aggiornamenti di definizione Mostra lo stato di l'ultimo aggiornamento e l'ora quando il controllo Ultimo per nuovi aggiornamenti è stato eseguito. Il riquadro attività sul lato destro è dove è possibile configurare parametri di aggiornamento. Nella figura 7 viene illustrato le varie opzioni per gli aggiornamenti delle definizioni è possibile accedere facendo clic su Configura impostazioni di aggiornamento nel riquadro attività.

Nella figura 7 definizioni Aggiorna finestra

Per impostazione predefinita, Forefront TMG utilizza l'agente di aggiornamenti automatici per estrarre gli aggiornamenti da servizio di aggiornamento di Microsoft per aggiornare le definizioni delle definizioni antimalware. L'agente di aggiornamento utilizza selezione predefinito del computer del server di aggiornamento; pertanto, se il computer utilizza aggiornamenti da servizi Update server Windows (WSUS), l'agente verrà anche ottenere aggiornamenti da Windows Server Update Services, in caso contrario otterrà loro direttamente da Microsoft Update. Queste transazioni vengono registrate nel file %systemroot%\windowsupdate.log (come normali aggiornamenti di Windows).

Le impostazioni di frequenza nel centro di aggiornamento Forefront TMG non eseguono l'override le impostazioni di Windows Update. Queste impostazioni sono completamente separate; di conseguenza, Windows download degli aggiornamenti software durante TMG Forefront i download solo delle firme.

È possibile forzare TMG Forefront per cercare gli aggiornamenti facendo clic su Controlla aggiornamenti nel riquadro attività. Se nuovi aggiornamenti vengono rilevati e installati, un avviso informativo risulterà nella scheda avvisi, come illustrato nella Figura 8 . Come può notare, nella parte inferiore della finestra viene illustrato informazioni per l'aggiornamento, nonché versioni dei file che sono stati aggiornati.

Nella figura 8 avviso Filtro Ispezione malware

Test e monitoraggio

Dopo aver configurato le impostazioni di Update Center e controllo, il passaggio successivo consiste di verificare il funzionamento. Si che si presuppone una workstation client che accede a Internet tramite TMG Forefront e desidera scaricare un file da un sito Web. Il primo passaggio, prima dell'avvio il download del file, consiste nel configurare il monitoraggio di Forefront TMG filtrando l'indirizzo IP di workstation client che sta tentando di accedere alla risorsa esterna, come presentazione nella Figura 9 .

Nella Figura 9 monitoraggio la workstation client che sta tentando di scaricare un file

Per questo esempio, si supponga che il client invia HTTP GET a files.fabrikam.com/suspicious.exe. Forefront TMG valuta la richiesta e dopo rilevare che il file nella richiesta è sospetto, scrive un evento di tentativo di connessione non riuscita nel log (vedere la Figura 10 ).

Nella figura 10 rilevato file sospetti

Si noti che nella colonna risultato controllo malware questo file è stato categorizzato come sospetto, la colonna nome rischio indica il nome di malware, e il livello di rischio è grave. Il riquadro dei dettagli relativo all'errore vengono visualizzate informazioni perché il tentativo di connessione non è riuscito.

Inoltre, l'utente stava tentando di scaricare questo file si verifica questo errore ma riceve un messaggio più descrittivo e descrittivo illustra che " l'accesso ai file sospetti è bloccato a causa alle impostazioni dei criteri di protezione" (come illustrato nella Figura 11 ). Questo approccio consente di comprendere cosa sta succedendo e perché il file che sta tentando di accedere non è disponibile.

Nella figura 11 un messaggio di errore più descrittivo

Conclusione

L'obiettivo principale di questa colonna era di spiegare come viene funzionalità di controllo malware del TMG Forefront Microsoft, possa migliorare protezione bordo. Questa funzionalità offre una visualizzazione centralizzata di qualsiasi traffico sospetto che potenzialmente interseca il firewall e consente di eseguire azioni in base ai risultati del controllo. Mentre questo è un metodo importante verso un ambiente più protetto, vi sono sempre problematiche relative come questo potrebbe influire sull'esperienza degli utenti durante l'esplorazione Web.

Il TMG Forefront Microsoft inoltre risolve questi problemi in modo che il processo di analisi può essere più trasparente per l'utente finale. Per ulteriori informazioni, vedere il Documentazione TMG Forefront in TechCenter di protezione Microsoft Forefront Edge.

Diogenes Yuri (MCSE + S, MCTS, MCITP, protezione +, Network +, CCNP) lavora per Microsoft come supporto Engineer del team di ISA Server/IAG protezione. Ha scritto anche gli articoli per Blog del team di ISA Servere TechNet Magazine. Yuri è un coautore della pagina di community di Forefront denominata" Tales dal lato."

Saxena Mohit è il Technical Lead per team di supporto tecnico Microsoft ISA Server. Comporta un team di supporto ingegneri ed Escalation Engineer per fornire supporto clienti su problemi di correzione di interruzione, bug e progettazione richieste di modifica.

Jim Harrison unite il team di ISA Server alti Engineering in un tester QFE in gennaio 2003. Egli è ora un supporter del server ISA avid e implementatore di sistemi e coautore della pagina di community di Forefront chiamato" Tales dal lato."

Yuri, Mohit e Jim sta scrivendo il libro successivo di Microsoft Press su Microsoft Forefront rischio Gestione gateway (TMG), il libro sarà disponibile in 2009.