• 项目

安全观察 在外围的恶意软件检查

Yuri Diogenes, Mohit Saxena, and Jim Harrison

内容

恶意软件检查的工作原理
配置 TMG 恶意软件检测功能
为 Web Access 设置策略
更新中心
测试和监视
结论

新的 Microsoft Forefront 威胁管理网关媒体 Business Edition (TMG MBE) 作为基本业务服务器的一部分,以及作为独立的产品提供了 Microsoft 防火墙服务操作的重大改进。 此新的最重要功能之一是防火墙的能够检查与相交于恶意软件的 HTTP 通信。 通过此新功能,将能够:

  • 提高保护内部网络对来自 Internet 的恶意软件的能力。
  • 使通过 TMG 更新中心更新与最新的恶意软件签名外围设备。
  • 监控通过实时监控的日志条目的可疑通信,并获取总结恶意软件使用报告的新组的统计信息。

这种方法可以缓解跨越添加到反恶意软件解决方案的安全性的新图层的在外围的 HTTP 通信中的潜在威胁。 消除不了需要客户端和服务器防病毒,但因为客户端工作站接收数据之前执行了此检查,恶意软件威胁最极大小化。

这非常有用如果 (如来宾计算机和您的网络上有非托管的计算机。 使用 Forefront TMG,可以确保如果这些计算机会尝试下载可疑文件,文件将被阻止即使在非托管的计算机不在运行防病毒软件。

恶意软件检查的工作原理

当用户访问 Web 站点,并尝试下载文件时,TMG 将截获该通信和检查允许该用户访问目标站点的规则恶意软件检查启用了功能上。 如果存在,TMG 将开始检查。 (显然,如果未启用此功能则 TMG 将不扫描通信)。 图 1 总结了恶意软件检查的基本流程,如客户端正在下载文件:

  1. 客户端将 HTTP 请求发送到目标网站下载文件中。
  2. Forefront TMG 接收请求,确定任何规则匹配并,如果此规则了恶意软件检查启用,扫描恶意软件的请求。
  3. 如果请求是有效的和简洁,Forefront TMG 然后将请求发送到目标服务器。
  4. 目标服务器接收请求并相应地响应。
  5. Forefront TMG 从目标服务器中接收响应,并通过代理服务器引擎首先处理。
  6. 如果该规则指定恶意软件检查,代理服务器引擎会将 HTTP 请求的正文发送到该恶意软件检查筛选器。 小于 64KB 的响应将累计在内存中。 (基于 Internet 统计信息,大约 98%的下载小于 64KB 并没有磁盘 I / O 中扫描)。 恶意软件检查筛选器累计将的内容然后计时下载和检查,返回控件给代理服务器引擎。
  7. 如果允许内容,则 Forefront TMG 将原始文件发送给用户。 如果该文件已感染,并且 TMG 无法清除文件 TMG 会将 HTML 页发送给用户说内容被阻止。

fig01.gif

图 1 流的恶意软件检查

期间累积 (步骤 6) TMG 改进了用户体验使用下面的内容传递方法之一:

  • HTML 进度页显示动态进度指示,并允许用户从 TMG 计算机下载内容,扫描时完成。
  • 标准 trickling,在 Forefront TMG 最初内容速度非常慢向客户端发送的然后,扫描何时完成,最高可能种速率发送数据。
  • 快速 trickling,在其中定义的参数是一个数字,表示用户体验 (减少缓冲 Forefront TMG 和多个扫描) 和性能 (更多缓冲 Forefront TMG 上,且小于扫描) 之间平衡。 这通常用于播放联机的玩家 (不用于流式媒体) 的媒体文件。

若要保持在其他 Microsoft 安全解决方案中找到的标准,恶意软件保护功能在 TMG 利用在同一 Malware Protection Engine (MPE) Forefront Client Security、 Windows Defender 和一个注意中使用的。 在本专栏的后面部分,我们将演示如何保持在定义最新使用更新中心。

配置 TMG 恶意软件检测功能

若要配置恶意软件检查,您需要首先在全局级别启用它,然后还在规则级别。 第一步是转到 Web 访问策略节点,如 图 2 所示,单击任务窗格上配置恶意软件检查。

fig02.gif

图 2 Web 访问权限设置

执行时, 一个对话框,使您如 图 3 所示全局启用恶意软件检查。 此对话框还包含其他设置恶意软件检查预先填充使用默认设置的。 其中的某些设置可一些可以仅能设置全局控制在访问规则级别。

fig03.gif

图 3 在全局级配置恶意软件检查

图 4 在例外选项卡可以控制哪些站点将会免除恶意软件检查。 您还可以通过策略设置做这又使用此对话框配置将覆盖任何访问规则: 如果该网站此处列出的它将不检查恶意软件即使定义在规则级别的检查。 这些全局设置可用于使用由组织为其内部的用户或任何其他可信,其 DMZ 中常用网站的 Web 站点。

fig04.gif

图 4 站点异常

检查设置选项卡 图 5 所示,可以指定将被阻止的内容类型。 您可以定义默认操作为此类型的内容,如 Forefront TMG 应尝试清理受感染的内容,并将其发送到结束用户或是否内容将被完全阻止与尝试清除它。

fig05.gif

图 5 设置检查参数

您可以选择阻止可疑,损坏,或加密的文件或无法被扫描的文件。 并且您可以设置文件大小限制保留的带宽,并防止用户下载大文件或检查而言太长的文件。 请注意这些全局设置并不在规则中公开。

内容传递选项卡, 图 6 中, 所示,可以配置文件下载,包括指定最终用户是否将收到 trickled 的响应或进度通知页文件的时间超过 10 秒 (配置 COM) 下载和执行扫描过程中的用户体验。 (无通知发生如果该过程需要 10 秒钟或更少)。

fig06.gif

图 6 指定如何传递内容

还可以选择的内容类型将通过单击选择的内容类型,添加或删除该对话框的内容类型将收到相对于 trickled 响应进行通知。 这是一个全局设置,,该规则中未公开。

存储选项卡定义的文件夹的文件将被暂时累计正在扫描和最终用户提供服务时。 默认文件夹是 %SystemRoot%\Temp,但这可以更改。 再次,这是一个全局设置,该规则中未公开。

Forefront TMG 恶意软件检查性能内容必须将累计到此文件夹位于不同的心轴比用于操作系统分页或 Forefront TMG 日志驱动器上时,将提高磁盘。 值得从如果以便由 Forefront TMG 服务器,在使用防病毒软件扫描未锁定文件,TMG 服务器上有防病毒软件正在扫描中排除该文件夹。 若要排除哪些文件夹上最佳请参阅" ISA Server 上使用防病毒软件时的注意事项."

为 Web Access 设置策略

Forefront TMG 管理员还可以配置控制通过 Web 访问策略或防火墙策略 Internet 用户访问的规则。 使用 Web 访问策略时, 规则明确允许仅 HTTP 和 HTTPS 协议,并在让管理员允许或拒绝用户访问网站。 这还可以实现通过,您可以手动允许 HTTP 和 HTTPS 访问基于源、 目标和用户防火墙策略的访问规则。 请注意一个访问规则中恶意软件检查选项是可见,仅当所选的协议包括 Web 协议。

若要在规则级别的恶意软件检查可以检查"检查内容从 Web 服务器下载到客户端,"将找到 Web 访问默认规则属性对话框上。 应注意此检查只适用于由该规则下载的 HTTP 内容。 恶意软件检查需要全局启用第一个可以将应用在规则级别之前。

更新中心

Forefront TMG 维护已知的病毒、 蠕虫和其他恶意软件的攻击的定义。 若要使这些重要定义保持最新,Forefront TMG 已建立一种称为更新允许管理员配置更新频率,以及自动更新操作的中心的集中式机制。 更新中心可以访问从 Forefront TMG 控制台。

定义更新面板显示在上一次更新以及执行新的更新上次检查时间状态。 在右侧任务窗格,您可以在此配置更新参数。 图 7 显示各种选项可以通过单击任务窗格中的配置更新设置进行访问的定义更新。

fig07.gif

图 7 定义更新窗口

默认情况下, Forefront TMG 使用自动更新代理以刷新反恶意软件定义请求来自 Microsoft Update 服务的更新。 更新代理使用计算机的默认更新服务器选择 ; 因此,如果计算机使用从 Windows Server Update Services (WSUS) 的更新,代理将也得到更新从 WSUS,否则它将得到它们直接从 Microsoft Update。 这些事务将记录 %systemroot%\windowsupdate.log 文件中,(如是常规的 Windows 更新)。

在 Forefront TMG 更新中心频率设置不会覆盖 Windows Update 设置。 这些设置是完全独立的 ; 因此,Forefront TMG 只下载签名时 Windows 下载软件更新。

您可以强制 Forefront TMG 以通过单击检查更新,在任务窗格上查找更新。 如果检测到并且安装了新的更新,信息警报中将显示通知选项卡如 图 8 中所示。 正如您所看到的窗口底部部分将显示有关此更新以及更新文件的版本的详细信息。

fig08.gif

图 8 恶意软件检查筛选器警报

测试和监视

后配置检查和更新中心设置下, 一步是测试功能。 让我们假定您有客户端工作站通过 Forefront TMG 访问 Internet,并希望从网站下载文件。 首先文件下载开始之前,是配置监视 Forefront TMG 中通过筛选正在尝试访问该外部的资源与 图 9 中的显示在客户端工作站的 IP 地址。

fig09.gif

图 9 监视客户端工作站的尝试下载文件

例如,假设客户端发送 HTTP GET 来 files.Fabrikam.com/suspicious.exe。 Forefront TMG 计算请求,然后检测到在请求中的该文件可疑之后, 它写入一个失败的连接尝试事件日志 (请参见 图 10 )。

fig10.gif

图 10 检测到的可疑文件

请注意恶意软件检查结果列中该文件被归类为可疑 ; 威胁名称列显示该恶意软件名称和威胁级别是严重。 错误的详细信息窗格显示有关连接尝试失败的原因的更多信息。

试图下载此文件的用户也会出现此错误,但收到更描述性且友好说明的"可疑文件的访问由于阻止安全策略设置"(如 图 11 所示)。 此方法允许用户了解所发生的情况,以及为什么他正试图访问的文件不可用。

fig11.gif

图 11 A 更加用户友好的错误消息

结论

本专栏中的我们主要目标是介绍了如何使用 Microsoft Forefront TMG 恶意软件检查功能提高边际安全。 此功能让您集中的任何的查看可疑的通信可能交叉于您的防火墙并允许执行操作根据检查的结果。 虽然这是实现更安全的环境的重要方法,始终会有担心如何,这可能会影响用户体验,浏览 Web 时。

Microsoft Forefront TMG 还可以解决这些问题方式扫描过程可能很多透明最终用户。 有关详细信息,查看在 Forefront TMG 文档 在 Microsoft Forefront 边缘安全技术中心。

Yuri Diogenes (MCSE + S,MCTS,MCITP,安全 + 网络 + CCNP) 适用于作为安全的 Microsoft 支持工程师 ISA 服务器 / IAG 团队。 他还写文章 ISA Server 团队博客TechNet Magazine。 Yuri 是 Forefront 社区页调用的 co-author" 在边缘的故事."

Mohit Saxena 是 Microsoft ISA Server 支持小组的技术主管。 他会导致一个团队的支持工程师的为符上的客户提供支持的升级工程师修复 Bug,问题,和设计更改请求。

Jim Harrison 加入 ISA 服务器在 1 月 2003 持续为 QFE 测试人员的工程团队。 他现在是一个贪婪的 ISA Server supporter 和系统实施者和调用 Forefront 社区页面的 co-author" 在边缘的故事."

Yuri、 Mohit 和 Jim 编写下一个 Microsoft Press 有关 Microsoft Forefront 威胁管理网关 (TMG) ; 有 2009 中可用。