Notas de segurança e configuração

 

Aplica-se a: Forefront Security for Exchange Server

Tópico modificado por último: 2012-05-14

O Forefront Security para Exchange Server inclui muitas atualizações de segurança e alterações de configuração de versões anteriores. Esta seção fornece informações detalhadas sobre segurança e configuração e será atualizada, conforme o necessário, para incorporar novas alterações do Forefront Security para Exchange Server.

As melhorias de segurança reduziram os privilégios na inicialização de processos e serviços do Forefront Security para Exchange Server. Isto ajuda a evitar dados defeituosos na exploração de problemas de segurança no código do Forefront Security para Exchange Server ou nos mecanismos de verificação de terceiros. Muitos serviços e processos são executados na conta Serviço de Rede; uns poucos são executados na conta Sistema Local. Quando os serviços do FSS são iniciados, o Forefront Security para Exchange Server remove todos os privilégios, exceto aqueles exigidos para que os serviços funcionem.

Os únicos privilégios habilitados são:

  • SeImpersonatePrivilege

  • SeChangeNotifyPrivilege

  • SeSecurityPrivilege

  • SeIncreaseQuota

  • SeTCB

  • SeAssignPrimaryToken

Agora há listas de controle de acesso restrito (ACLs) a recursos. A segurança para recursos do Forefront Security para Exchange Server foi aumentada para impedir o acesso não-autorizado. Com essa alteração, somente os usuários que fizerem parte do grupo Administradores terão acesso para administrar o Forefront Security para Exchange Server.

As ACLs aplicáveis aos recursos do Forefront Security para Exchange Server estão descritas na tabela a seguir.

 

Tipo de recurso Recurso ACL

Arquivo

<Caminho de instalação>

SISTEMA – Acesso completo

Grupo Administradores – Acesso completo

Serviço de Rede - Leitura

Arquivo

Pasta "Dados"

SISTEMA – Acesso completo

Grupo Administradores – Acesso completo

Serviço de Rede – Acesso completo

Registro

HKLM/Software/xxxxx/xxxxx

SISTEMA – Acesso completo

Grupo Administradores – Acesso completo

Serviço de Rede - Leitura

DCOM

FSEIMC

FSCMonitor

FSCController

FSCStatisticsService

SISTEMA – Acesso completo

Grupo Administradores – Acesso completo

Serviço de Rede - Leitura

O conteúdo a seguir descreve as alterações feitas na configuração Opções Gerais:

  • Ação de Erro do Mecanismo. A ação padrão da opção geral Ação de Erro do Mecanismo foi alterada de Ignorar para Excluir. A ação Excluir registrará o erro no log do programa, excluirá o arquivo que causou o erro e exibirá a entrada EngineError com o estado Removido no Forefront Server Security Administrator.

  • Ação de tempo limite da verificação de transporte. A ação padrão da opção geral TransportScanTimeoutAction foi alterada de Ignorar para Excluir.

  • Ação de tempo limite da verificação em tempo real. A ação padrão da opção geral RealtimeScanTimeoutAction foi alterada de Ignorar para Excluir.

  • Tempo limite de quarentena. O valor do Registro QuarantineTimeout foi adicionado para substituir a quarentena depois de decorrido o tempo limite do trabalho de verificação. O valor é um tipo DWORD. Se o valor do Registro não existir ou se existir e não for zero, mensagens que provocarem o encerramento por tempo limite do trabalho de verificação serão colocadas em quarentena. Se o valor do Registro existir e for zero, a mensagem não será colocada em quarentena.

  • Excluir arquivos compactados corrompidos. A ação padrão da opção geral DeleteCorruptedCompressedFiles foi alterada de Desativada para Ativada. Os arquivos identificados como corrompidos serão colocados em quarentena. Se não quiser que esses arquivos sejam colocados em quarentena, crie uma nova configuração de chave do Registro, denominada QuarantineCorruptedCompressedFiles para substituir a quarentena. A configuração DWORD deve ser criada e seu valor definido como 0.

  • Ação de cabeçalho MIME ilegal. A opção geral Ação de cabeçalho MIME ilegal foi adicionada. Quando esta opção for habilitada, o Forefront Security para Exchange Server excluirá as mensagens malformadas e os cabeçalhos múltiplos que provocarem interpretações ambíguas de mensagens. Alguns dos cabeçalhos verificados para detecção de cabeçalhos múltiplos e malformações incluem cabeçalhos conteúdo-tipo, conteúdo-disposição e conteúdo-transferência-codificação. Por padrão, essa opção está definida como Ativada.

O conteúdo a seguir descreve outras alterações e atualizações:

  • Configuração do Registro ScanAllAttachments. A configuração do Registro ScanAllAttachments define 1 como padrão para todas as novas instalações do Forefront Security para Exchange Server. Isto configura o Forefront Security para Exchange Server para verificar, por padrão, todos os anexos para fins de detecção de vírus. Para obter mais informações sobre essa configuração, consulte a seção "Verificando arquivos por tipo" nos capítulos do trabalho de verificação.

  • Verificação de Winmail.dat. O trabalho de verificação de transporte do Forefront Security para Exchange Server examina os arquivos Winmail.dat para fins de detecção de vírus. O Exchange usa os arquivos Winmail.dat com várias finalidades. Uma delas é enviar arquivos Winmail.dat entre servidores, para facilitar a replicação (mensagens de replicação IPM). Se o Forefront Security para Exchange Server modificar algum desses arquivos Winmail.dat, o processo de replicação de pasta pública falhará. Para evitar que isso aconteça, você pode configurar uma nova chave do Registro DWORD, denominada DoNotScanIPMReplicationMessages, como 1. Com isso, o trabalho de verificação de transporte não examinará as mensagens de replicação IPM.

    ObservaçãoObservação:
    Se um vírus for replicado via replicação de pasta pública, o trabalho de verificação em tempo real do Forefront Security para Exchange Server detectará o vírus, mesmo que essa chave esteja configurada.
  • Atualizações de mecanismo via FTP. As atualizações por meio de servidor FTP (File Transfer Protocol) não têm mais suporte. As atualizações devem ser feitas com HTTP ou localmente, usando um compartilhamento UNC.

 
Mostrar: