Forefront Security for Exchange Server 2007

 

上次修改主題的時間: 2011-01-13

Microsoft Forefront 是一套完整且整合的安全性產品,可為企業客戶提供端對端的安全性。Forefront 產品套件是由下列元件所組成。

 

位置

產品

用戶端

Microsoft Forefront Client Security

伺服器

Microsoft Forefront Security for Exchange Server

Microsoft Forefront Security for SharePoint

Microsoft FrontPage Security for Office Communications Server

Edge

Microsoft Internet Security and Acceleration (ISA) Server 2006

Intelligent Application Gateway (IAG) 2007

本主題著重於 Forefront Security for Microsoft Exchange。本產品是繼 Microsoft Antigen Suite for Microsoft Exchange 2000 Server 及 Microsoft Exchange Server 2003 之後所開發的產品。它提供多個掃描引擎,可以對儲存區及傳輸中的電子郵件提供分層保護。

標準的 Forefront for Exchange 授權包括下列病毒掃描引擎:

  • Kaspersky Labs

  • InoculateIT 與 Vet (兩者皆源自 CA)

  • Sophos

  • Authentium

  • Ahn Labs

  • VirusBuster

  • Microsoft Anti-Malware Engine

您最多可以設定同時執行五個掃描引擎,且可跨系統以不同組合方式執行。這種掃描引擎及簽章的多變性提供了額外的保護,並增加偵測到惡意程式碼的機率。

Forefront 還包括下列功能:

  • 郵件基礎結構中的分層保護,及作為 Edge (若有的話)、Hub 及 Mailbox 角色的郵件流量檢查點

  • 於邊際或集線傳輸時首次進行掃描而在每個郵件上寫入的安全防毒標頭戳記

    note附註:
    為了增加掃描郵件的效率,之後在集線或儲存區進行的掃描會檢查該戳記。除非系統管理員明確要求掃描或簽章有所更新,否則此處理程序不會再重新掃描。
  • 支援 Microsoft Exchange Server 2007 SCC 和 CCR 組態,確定兩種節點都有更新的組態和簽章

    note附註:
    Exchange 叢集的容錯移轉不會影響郵件流量的安全性。此外,一個掃描引擎失敗不會影響其他掃描引擎。
  • 基於行為式特性 (由檔案名稱或副檔名等來篩選檔案/附件)、會偵測惡意程式碼的啟發式功能

  • 可讓 Enterprise CAL 提供高階的反垃圾郵件功能,例如 Exchange Server 2007 IP 信譽篩選、每天自動執行內容篩選更新,以及每天數次鎖定垃圾郵件簽章資料

  • 大量報告及分析能力 (針對郵件寄件者或收件者的自訂通知)

  • 在大型環境中提供集中式部署、組態及更新功能的單一主控台

    note附註:
    提供 11 種語言的當地語系化版本。這可讓系統管理員以其當地語言來管理電子郵件安全性。

您可以在 Edge Transport、Hub Transport 及 Mailbox Server 上啟用 Forefront 掃描功能。使用者在此拓撲上接收到的郵件會在 Edge Transport 或 Hub Transport (取決於郵件來源) 上進行掃描。例如,來自外部收件者的郵件會在 Edge Transport Server 進行掃描,然後才傳遞給收件者。

來自內部寄件者或 Unified Messaging Server 的郵件,會在傳遞路徑中的第一個 Hub Transport Server 上進行掃描。使用者信箱及公用資料夾也可以在 Mailbox Server 上的儲存區層級主動或被動地進行掃描。

Forefront for Exchange 伺服器安裝的最低系統需求如下:

  • X64 架構電腦,具備支援 Intel EM64T 或 AMD64 平台的處理器

  • Windows Server 2003

  • Microsoft Exchange

  • 建議使用 1GB 的 RAM (若有額外的授權掃描引擎則需要更多 RAM)

  • 300MB 可用硬碟空間

您可以在執行安裝程式的本機電腦上安裝 FrontPage for Exchange。也可以在遠端電腦上安裝程式,進行有效率的部署。您還可以選擇執行「用戶端 – 僅管理主控台」的安裝,讓系統管理員在其工作站上安裝 Forefront 管理主控台。

安裝程式一律會在 [選取引擎] 畫面上選取 Microsoft Anti-Malware Engine。安裝程式也會隨機選取其他四個引擎,您可從此畫面上進行變更。最多可選取五個引擎。其中包括 Microsoft Anti-Malware Engine。

Forefront for Exchange 會辨識 Windows Server 2003 主動或被動叢集。Forefront for Exchange 必須安裝在叢集上的每一個節點。所有組態資料 (掃描工作、通知等) 和簽章檔案皆與叢集信箱伺服器 (CMS) 物件相關聯。因此,會設定資料並將資料複寫到每一個節點。當您套用 Exchange Service Pack 及 Hotfix 時,建議您在 Exchange 中停用 Forefront。您可以利用 FSCUtility 工具來完成此項作業。此工具位於 Forefront 安裝資料夾。使用下列語法:

FSCUtility /disable

完成安裝之後,可以使用下列語法來重新啟用 Forefront:

FSCUtility /enable

病毒掃描:Forefront 可以使用各種防毒引擎及掃描類型 (即時、手動及背景等)。您可以指定掃描的偏差層級及發現病毒感染時要採取的動作 (略過、清理或刪除)。Forefront 可以掃描巢狀附件及壓縮檔。

檔案篩選:Forefront 可以根據檔案名稱或類型來進行篩選,如 .exe 或 MP3。篩選出的檔案可加以隔離。您可以指定要給寄件者或收件者之通知的自訂刪除文字。

內容篩選:Forefront 可以根據寄件者網域、主旨行、MIME 標頭等項目對內送郵件篩選內容。Forefront 也可以建立並匯入自訂的篩選清單,並使用該清單進行內容篩選。還可以根據郵件內文中的關鍵字來篩選郵件。

傳輸掃描:在郵件路徑中的第一個 Edge Transport 或 Hub Transport Server 上會執行此掃描。郵件一經掃描,便會加上安全的防毒標頭戳記。之後在下一個 Hub Transport 或 Mailbox Server 進行掃描時會檢查此標頭。如果郵件有此標頭,就不會再重新進行掃描。當郵件提交至儲存區時,便會將標頭資訊新增作為 MAPI 內容並刪除標頭。

儲存區掃描: Forefront 包含兩種儲存區掃描:自動掃描 (不需要使用者排程或介入) 和點播掃描。

每一種類別皆支援下列多種掃描。

預先掃描:將郵件提交至儲存區時立即進行掃描。預設組態是停用預先掃描。

若要啟用預先掃描,請設定下列登錄機碼:

HKEY_Local_Machine\System\CurrentControlSet\Services\MSExchangeIS\VirusScan\

在此子機碼中,將 DWORD ProactiveScanning 的值設為 1

針對那些在寄件備份、寄件匣、草稿及公用資料夾中未於傳輸時進行掃描的郵件,預先掃描對於保護這些郵件非常有用。

即時掃描:使用者或應用程式存取郵件時會同時進行掃描。例如,使用者在 Outlook 中預覽郵件、在行動裝置存取郵件或在編制內容索引期間,會同時掃描這些郵件。預設組態是啟用即時掃描。

已經讓傳輸掃描所掃描過的郵件,即時掃描就不會對其重新進行掃描 (根據防毒標頭)。對於寄件備份、寄件匣、草稿及公用資料夾中那些經常未於傳輸時進行掃描的郵件而言,即時掃描可提供一層保護。

依預設,只會對最近一天內收到的郵件進行即時掃描。當信箱移轉至 Exchange 2007 或是剛在伺服器上安裝 Forefront 時,此限制可避免增加掃描要求。當掃描要求逐漸穩定之後,建議您將此值增加至 3-7 天。

背景掃描:背景掃描作為清除角色,會對寄件備份、寄件匣、草稿及公用資料夾等資料夾中其內容從未經過傳輸掃描的郵件,進行掃描及清理。背景掃描可以設定來執行下列作業:

  • 掃描信箱中的所有郵件

  • 僅掃描過去 n 天內傳遞的郵件

  • 僅掃描有附件的郵件

  • 掃描之前未掃描過的郵件

在預設組態背景中,每天會執行一次掃描。背景掃描會忽略郵件之前的病毒掃描戳記,然後加以重新掃描。

手動掃描:您可以視需要加以排程 (每日、每週等) 或從主控台點播手動掃描。此處理程序會掃描所選取信箱中每個資料夾的所有郵件。因此,手動掃描的系統負荷很高。此掃描作業最常用於搜尋信箱中的特定附件。並不一定是用來尋找病毒。手動掃描更常用於尋找已傳送的機密文件。

快速掃描:您可以從主控台要求執行快速掃描。快速掃描最常用於僅針對病毒掃描特定信箱或公用資料夾 (不掃描檔案或內容)。此處理程序可讓您選取用來掃描信箱或公用資料夾的特定引擎。

在爆發全面性病毒感染或出現可疑病毒等情況時,系統管理員可能需要增加儲存區中的掃描作業。在 Forefront 中,系統管理員可以下列方式執行此動作。

在掃描程式更新後掃描 (爆發模式):此模式會自動啟用預先掃描。每次更新掃描引擎簽章時,病毒引擎版本號碼就會遞增。傳輸掃描病毒引擎的版本號碼一律是 1 (一),所以當郵件抵達儲存區時,其防毒標頭總是過時。因此,標頭會導致郵件在提交時被重新掃描。如果在介入期間更新任何引擎,存取這些郵件時便會對其重新進行掃描。這種掃描模式對於伺服器效能會有顯著影響,所以請務必謹慎考慮再啟動此模式。

若要啟用此功能,請按一下 [設定],然後按一下 Forefront 管理主控台中的 [選項]。

DisableAVStamping:此模式會停用於傳輸掃描期間建立防毒掃描標頭。您可以透過變更下列登錄子機碼來啟用 DisableAVStamping 模式:

HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server

在此子機碼中,將 DWORD DisableAVStamping 的值設為 1

必須在每個 Hub 及 Edge Transport Server 上設定這個值。將在傳輸時掃描這些郵件,但是不會加上戳記。抵達儲存區的郵件會標示為「未掃描」。然後會在首次存取這些郵件時加以掃描。可以設定傳輸及儲存區掃描使用不同掃描引擎,進而提供更好的保護。

背景掃描搭配「在掃描程式更新後掃描」(最高安全模式):此模式提供的安全性是可用模式中的最高層級。背景掃描會在每次掃描引擎更新時啟動。在掃描引擎更新時,會持續循序掃描信箱。這會避免在引擎更新之前便完成信箱第一輪掃描的問題。引擎更新會重新啟動掃描,使得處理程序返回第一個信箱並重新掃描第一輪的所有信箱。這些信箱於是會不斷重複掃描,而剩下的信箱則從未掃描。此外,郵件一旦提交至儲存區,隨即會加以掃描。然後,若在提交時進行的掃描作業後更新引擎,則會在存取這些郵件時加以重新掃描。最高安全模式是所有掃描模式中最耗費資源的模式。

最高安全模式可透過 Forefront 管理主控台啟用。作法是啟用 [在掃描程式更新後掃描] 模式,然後選取 [如果已啟用 [在掃描程式更新後掃描] 則啟用背景掃描]。

Forefront for Exchange 提供名為 Bias 的參數,可讓您在掃描效能與安全性之間維護所需的平衡。使用此參數有下列好處:

  • 最大效能:只使用一個選取的引擎來對每個項目進行掃描,會提供最佳效能但確定度最低

  • 有利效能:使用任意數目隨機選取的掃描引擎 (從一個引擎至半數選取的引擎) 對每個項目進行掃描

  • 無偏差:至少使用半數選取的引擎對每個項目進行掃描

  • 有利確定度:使用任意數目隨機選取的掃描引擎 (從一個引擎至半數選取的引擎) 對每個項目進行掃描

  • 最大確定度:使用所有選取的引擎對每個項目進行掃描,會提供最低效能但確定度最大

 

模式

傳輸時

提交至儲存區時

首次存取時

後續存取時

背景掃描

預設作業模式

已掃描

不掃描

若先前掃描過則不掃描

不掃描

每天一次

爆發模式

已掃描

已掃描

不掃描

前次掃描後若有更新引擎則進行掃描

每天一次

最高安全模式

已掃描

已掃描

前次掃描後若有更新引擎則進行掃描

前次掃描後若有更新引擎則進行掃描

每次引擎更新時

如需多個掃描引擎的相關資訊,請參閱白皮書《多個掃描引擎的優點及最佳安全性及效能的最佳作法》。

如需如何使用 Forefront Security for Exchange Server 的相關資訊,請參閱下列主題:

Forefront Security for Exchange Server 最佳實務手冊

Forefront Security for Exchange Server 2007 使用者手冊

 
顯示: