Forefront Protection 2010 for Exchange – część 1
.png "Udostępnij na: Facebook")
Autor: Jacek Światowiak
Opublikowano: 2012-01-30
W artykule będą zawarte informacje na temat produktu z rodziny Forefront, który służy zabezpieczaniu przed szkodliwym oprogramowaniem i spamem serwerów Exchange 2007 oraz 2010. Omawiane zagadnienia są rozszerzeniem informacji dostępnych w witrynie Microsoft Technet pod adresem:
https://technet.microsoft.com/en-us/library/cc482977.aspx
Sam produkt Forefront Protection 2010 for Exchange (zwany dalej w skrócie FPE) jest następcą produktu Forefront Security for Exchange (FSE), a ten z kolei jest następcą rodziny Antigen.
Na rynku wydawniczym dostępne są trzy publikacje książkowe.
Deploying Microsoft Forefront Protection 2010 for Exchange Server wydawnictwa Microsoft Press.
.jpg "Okładka publikacji Deploying Microsoft Forefront Protection 2010 for Exchange wydawnictwa Microsoft")
Rys. 1. Okładka publikacji Deploying Microsoft Forefront Protection 2010 for Exchange wydawnictwa Microsoft.
Oraz dwie publikacje innych wydawnictw:
Microsoft Forefront Security Administration Guide wydawnictwa Syngress – z 2008 roku.
Microsoft Windows Server 2003/2008. Bezpieczeństwo środowiska z wykorzystaniem Forefront Security wydawnictwa Helion – z sierpnia 2010 roku.
Wymagania sprzętowe i systemowe są omówione w witrynie technet i nie będą ponownie omawiane. W skrócie – jeżeli dany serwer spełnił wymagania odnośnie instalacji serwera Exchange 2007/2010, to również spełnia wymagania odnośnie instalacji produktu FPE. Jednakże w zależności od konfiguracji produktu FPE, może być wymagane dodanie pamięci RAM lub zmiana zastosowanych procesorów na szybsze. Zagadnienia te zostaną w jednej z części dodatkowo omówione.
Proces instalacji i aktualizacji
Nośnik instalacyjny w wersji RTM zawiera dwa pliki. Są to: 181 MB plik instalacyjny FPE oraz 7 MB kreator konfiguracji usługi FPE_Online. Zawartość nośnika instalacyjnego pokazano na Rys. 2.
.jpg "Zawartość nośnika instalacyjnego produktu FPE 2010 wersja RTM")
Rys. 2. Zawartość nośnika instalacyjnego produktu FPE 2010 wersja RTM.
Uwaga
Wszystkie prezentowane zagadnienia pochodzą ze środowiska laboratoryjnego, które pracuje w trzech konfiguracjach:
- Serwer Exchange 2010 SP2 z zainstalowanymi rolami Mailbox, CAS, Hut transport na jednym serwerze oraz dodatkowego serwera Edge,
- Serwer Exchange 2010 SP2 z rozdzielonymi rolami Mailbox, CAS i Hub Transport,
- Serwer Exchange 2010 SP2, gdzie serwery Mailbox pracują w DAG, a serwery HUB Transport i CAS w trybie macierzy (CAS Array) dla zapewnienia wysokiej dostępności.
Środowiska te powinny pokazać całe spektrum działania produktu FPE.
Po uruchomieniu instalatora wyświetlone zostanie okno weryfikacji wymagań sprzętowych i systemowych.
.jpg "Okno weryfikacji wymagań sprzętowych i systemowych dla FPE 2010")
Rys. 3. Okno weryfikacji wymagań sprzętowych i systemowych dla FPE 2010.
W kolejnym kroku, w oknie Licencje Agreement, zaprezentowanym na Rys. 4., należy zatwierdzić umowę licencyjną.
.jpg "Zatwierdzanie umowy licencyjnej")
Rys. 4. Zatwierdzanie umowy licencyjnej.
Wygląd kolejnego okna zależy od tego, jakie role (funkcjonalności) środowiska Exchange są zainstalowane na danym serwerze. Okno zaprezentowane na Rys. 5. jest oknem informującym. Zawiera ono informację, iż wymagany będzie restart usługi Microsoft Exchange Transport. Okno Service Restart pojawia się, gdy instalujesz produkt FPE na serwerze, na którym zainstalowano roleEdge, Hub Transport lub wszystkie trzy role jednocześnie (Mailbox, Hub Transport i Client Access Server). Nie pojawia się przy instalacji na serwerze, który pełni rolę Mailbox i Client Access).
Uwaga
W przypadku aktualizacji produktu za pomocą HotfixRollup, proces aktualizacji wygląda praktycznie identycznie jak proces instalacji. I okno to również jest wyświetlane, lecz tym razem pojawi się również na serwerze, pełniącym rolę Mailbox – wymagany tam będzie restart usługi Microsoft Exchange Information Store. W przypadku serwera typu Full wymagany będzie restart obu usług.
.jpg "Okno informujące o konieczności restartu w trakcie instalacji usługi Microsoft Exchange Transport")
Rys. 5. Okno informujące o konieczności restartu w trakcie instalacji usługi Microsoft Exchange Transport.
W przypadku próby instalacji roli na serwerze, pełniącym rolę wyłącznie serwera Client Access Server, możesz spodziewać się komunikatu – System updates required – pokazanego na Rys. 6. Sam FPE 2010 nie musi być instalowany na serwerze CAS, gdyż nie wymagana jest tam ochrona (antywirusowa i antyspamowa).
.jpg "Okno dotyczące wymagań systemowych w zakresie instalacji produktu FPE, które nie zostały spełnione na serwerze pełniącym rolę serwera CAS")
Rys. 6. Okno dotyczące wymagań systemowych w zakresie instalacji produktu FPE, które nie zostały spełnione na serwerze pełniącym rolę serwera CAS.
Kolejne okno jest już wspólne dla wszystkich typów serwerów. W oknie Installation Folder, pokazanym na Rys. 7., możesz dokonać zmian domyślnych ścieżek instalacyjnych produktu FPE. Proszę zwrócić uwagę, iż cały czas produkt jest produktem 32-bitowym. Nieliczne jego komponenty są komponentami 64-bitowymi. Tego typu podejście jest również spowodowane możliwością instalacji produktu FPE na 32-bitowej trialowej wersji Exchange 2007 na systemie Windows Server 2008.
.jpg "Okno zmiany domyślnych folderów instalacyjnych produktu FPE 2010")
Rys. 7. Okno zmiany domyślnych folderów instalacyjnych produktu FPE 2010.
Produkt w trakcie pracy wymaga dostępu do serwera aktualizacyjnego lub serwera WSUS. W przypadku korzystania z serwera proxy, w oknie Proxy Information, pokazanym na Rys. 8., możesz określić parametry dostępowe serwera Proxy (nazwa lub adres IP, numer portu oraz poświadczenia w przypadku, gdy serwer wymaga uwierzytelnienia.
.jpg "Definiowanie parametrów serwera Proxy")
Rys. 8. Definiowanie parametrów serwera Proxy.
Kolejne okno Antispam Configuration, pokazane na Rys. 9., pojawia się również w zależności od typu serwera Exchange, na którym produkt FPE jest instalowany. Okno jest wyświetlane na serwerze pełniącym wszystkie trzy role jednocześnie (zwanym dalej Full). Pojawia się również na serwerze pełniącym wyłącznie rolę Hub Transport i Edge. uwagą zwróć jednak uwagę, iż na serwerze Edge ma domyślnie zaznaczoną opcję Enable Antispamnow. Okno nie pojawia się na serwerze Mailbox.
.jpg "Wygląd okna konfiguracyjnego opcje antyspamowe")
Rys. 9. Wygląd okna konfiguracyjnego opcje antyspamowe.
W kolejnym oknie, pokazanym na Rys. 10., możesz potwierdzić udział w programie poprawiania jakości produktu – Customer ExprerienceIm Provement Program. Opcja nie jest domyślnie zaznaczana.
.jpg "Okno potwierdzania udziału w programie poprawiania jakości produktu")
Rys. 10. Okno potwierdzania udziału w programie poprawiania jakości produktu.
W kolejnym oknie Confirm Settings potwierdź instalację Produktu FPE. Na Rys. 11 zaprezentowano wygląd okna na serwerach pełniących rolę Full, Hub Transport oraz Edge (lewa cześć rysunku) oraz na serwerze Full (prawa część rysunku), przy wykonywaniu aktualizacji za pomocą Hotfix Rollup.
.jpg "Okno potwierdzenia procesu instalacji na serwerach Full, Hub Transport oraz Edge")
.jpg)
Rys. 11. Okno potwierdzenia procesu instalacji na serwerach Full, Hub Transport oraz Edge.
Po kliknięciu na opcję Next nastąpi procedura instalacyjna, która będzie trwać około 3 minut. Okno wyświetlane w procesie instalacji zaprezentowano na Rys. 12.
.jpg)
Rys. 12. Okno wyświetlane w procesie instalacji.
Zakończenie procesu instalacyjnego jest wyświetlane w oknie Installation results pokazanym na Rys. 13.
.jpg "Okno informujące o zakończeniu procesu instalacyjnego")
Rys. 13. Okno informujące o zakończeniu procesu instalacyjnego.
Na każdym z serwerów, po ukończeniu procesu instalacyjnego, w menu Start zostanie utworzony folder Microsoft Forefront Server Protection z trzema wpisami, jak pokazano na Rys. 14. Główna konsola zarządzająca to Forefront Protection for Exchange Server Console, dodatkowo instalowany jest moduł do PowerShell, pozwalający na zarządzanie FPE z poziomu tego mechanizmu. Ostatni element w menu to bezpośredni link do witryny Technet, związany z dokumentacją produktu FPE.
.jpg "Instalowane elementy produktu FPE dostępne w menu Start")
Rys. 14. Instalowane elementy produktu FPE dostępne w menu Start.
Przy pierwszym uruchomieniu konsoli, automatycznie wyświetlane jest okno Licence Notice. Okno to prezentuje Rys. 15. Produkt domyślnie pracuje jako pełno-funkcjonalna wersja Trial – 120-dniowa. Po tym okresie czasu licencję należy aktywować. Dokonuje się tego w oknie, które jest dostępne po kliknięciu w przycisk Activate Now.
.jpg "Wygląd okna aktywacji licencji")
Rys. 16. Wygląd okna aktywacji licencji.
Konsola zarządzania
Na Rys. 18. przedstawiono wygląd ogólny konsoli serwer FPE na serwerze Exchange typu Full. Jak widać na rysunku, dostępnych jest pięć typów skanowania:
- Transport Spam Blocking – skanowanie antyspamowe na roli Hub Trnsport,
- Realtime Scanning – skanowanie antywirusowe na roli Mailbox,
- Schelude Scanning – skanowanie antywirusowe na roli Mailbox,
- Transport Scanning – skanowanie antywirusowe na roli Hub Transport,
- On-Demand Scanning –skanowanie antywirusowe na żądanie na roli Mailbox.
.jpg "Widok konsoli zarządzania na serwerze FPE, zainstalowanym na serwerze Exchange, pełniącym rolę serwera typu Full")
Rys. 18. Widok konsoli zarządzania na serwerze FPE, zainstalowanym na serwerze Exchange, pełniącym rolę serwera typu Full.
Na Rys. 19. przedstawiono wygląd ogólny konsoli serwera FPE na serwerze Exchange typu Mailbox. Jak widać z rysunku dostępne są tylko trzy typy skanowania:
- Schelude Scanning – skanowanie antywirusowe na roli Mailbox,
- Realtime Scanning – skanowanie antywirusowe na roli Mailbox,
- On-Demand Scanning – skanowanie antywirusowe na żądanie na roli Mailbox.
.jpg "Widok konsoli zarządzania na serwerze FPE, zainstalowanym na serwerze Exchange, pełniącym rolę serwera Mailbox")
Rys. 19. Widok konsoli zarządzania na serwerze FPE, zainstalowanym na serwerze Exchange, pełniącym rolę serwera Mailbox.
Na Rys. 20. przedstawiono wygląd ogólny konsoli serwer FPE na serwerze Exchange typu Hub Transport lub Edge. Jak widać z rysunku dostępne są tylko dwa typy skanowania:
- Transport Scanning – skanowanie antywirusowe na roli Hub Transport,
- Transport Spam Blocking – skanowanie antyspamowe na roli Hub Transport.
.jpg "Widok konsoli zarządzania na serwerze FPE, zainstalowanym na serwerze Exchange, pełniącym rolę serwera Hub Transport lub Edge")
Rys. 20. Widok konsoli zarządzania na serwerze FPE, zainstalowanym na serwerze Exchange, pełniącym rolę serwera Hub Transport lub Edge.
Konsola podzielona jest na trzy okna, zgodnie ze klasycznym układem wyglądu konsoli, mimo, że nie jest to konsola typu mmc. Jest to klasyczna aplikacja napisana z wykorzystaniem mechanizmów platformy .NET Framework 3.X.
Okno lewe zmienia się w zależności od wyboru trybu pracy [w dolnej części lewego okna] :
- Monitoring [monitorowanie],
- Tasks [zadanie – nie występuje na Hub Transport i Edge],
- Policy Management [zarządzanie polisami].
Dla trybu Monitoring dostępne są następujące elementy, podzielone na dwie kategorie: Server Security Views [widoki bezpieczeństwa] oraz Configuration [konfiguracja]:
Server Security Views:
- Dashboard [tablica sytuacyjna],
- MalwareDatails [szczegóły w zakresie ochrony przed szkodliwym oprogramowanie],
- Spam Details [szczegóły w zakresie ochrony przed spamem – nie występuje na serwerze Mailbox],
- FilteringDetails [szczegóły w zakresie filtrowania],
- Incidents [incydenty],
- Quarantine [kwarantanna].
Configuration:
- Notifications [powiadomienia],
- Incidents Options [opcje incydentów],
- Quarantine Options [opcje kwarantanny].
Po przełączeniu się na tryb pracy Policy Management, widok elementów konsoli jest również zależy od roli Exchange, na której produkt FPE jest zainstalowany i tak:
Serwer Edge
.jpg "Tryb Policy Management – serwer Edge")
Rys. 21. Tryb Policy Management – serwer Edge.
Serwer Hub Transport
.jpg "Tryb Policy Management – serwer Hub Transport")
Rys. 22. Tryb Policy Management – serwer Hub Transport.
Serwer Mailbox
.jpg "Tryb Policy Management – serwer Mailbox")
Rys. 23. Tryb Policy Management – serwer Mailbox.
Serwer Full
.jpg "Tryb Policy Management – serwer Full")
Rys. 24. Tryb Policy Management – serwer Full.
Jak pokazano na Rys. 21-24 dostępne są różne kategorie elementów konfiguracyjnych:
- Antimalware [ochrona przed szkodliwym oprogramowaniem],
- Antispam [antyspam – nie występuje na serwerze Mailbox],
- Filters [filtry],
- Online Protection [ochrona dla usługi Exchange Online – nie występuje na serwerze Mailbox],
- Global Settings [ustawienia].
W tabeli zebrano wszystkie elementy konfiguracyjne dostępne w trybie Policy Management.
| Kategoria | Element Konfiguracyjny | Przeznaczenie |
| Antimalware | Mailbox Realtime | Konfiguracja ochrony antywirusowej w trybie realtime. |
| Hub Transport | Konfiguracja ochrony antywirusowej dla ruchu SMTP [rola Hub Transport]. | |
| Mailbox Schedule | Konfiguracja ochrony antywirusowej [rola Mailbox] przy skanowaniu baz skrzynek pocztowych i folderów publicznych, określonych harmonogramem. | |
| Edge Transport | Konfiguracja ochrony antywirusowej dla ruchu SMTP [rola Edge]. | |
| Antispam | Configure | Konfiguracja mechanizmów antyspamowych. |
| Filters | Filter Lists | Konfiguracja list filtrów. |
| Filter Options | Konfiguracja opcji poszczególnych filtrów. | |
| Online Protection | Configure | Konfiguracja ochrony Exchange On-Line |
| Global Settings | Scan Options | Globalne opcje skanowania dla trybu Realtime, Trnsport oraz Scheduled. |
| Engine Options | Elementy konfiguracyjne dotyczące pobierania aktualizacji przez silniki antywirusowe. | |
| Advanced Options | Zaawansowane opcje konfiguracyjne mechanizmów skanowania. | |
W następnej części omówione zostaną zagadnienia dotyczące silników antywirusowych, aktualizacji silników, samych definicji antywirusowych. Przedstawione zostaną zagadnienia sposobu integracji produktu FPE z Exchange.