Microsoft Forefront Server Security

  • Article

Autor článku: Petr Šetka, MVP, architekt řešení IT, Mainstream Technologies, s.r.o.

Oblast Forefront zahrnuje několik oblastí a řešení, z nichž právě Forefront Server Security je v tuto chvíli mezi správci ta nejvíce známá, neboť je součástí oblasti Forefront služebně nejdéle. Patří do ní produkty Microsoft Forefront Security for Exchange Server a Microsoft Forefront Security for SharePoint.

Microsoft se na trhu produktů proti škodlivému softwaru nepohybuje tak dlouho, jako jiné společnosti, které zatím zvládly z trhu ukrojit značné porce; o to razantnější byl nástup Microsoftu a s ním i velmi zajímavá řešení. Microsoft totiž přináší do této oblasti to, co většině správců dosud chybělo, a tím je současně jistota maximální ochrany dat spolu s minimálními nároky na správce.

Jediný antivirový stroj nestačí

Celá řada správců vybírá řešení ochrany proti škodlivému softwaru podle kvality antivirového nástroje. Na základě různých pramenů se dříve či později pro některé rozhodnou a nasadí je, v podobném duchu se však dříve či později musejí smířit s tím, že takové řešení jednoho dne některý škodlivý software do infrastruktury vpustí. To je výsledek statistického pozorování a tak to jednoduše je. Nic nikdy není stoprocentní.

Microsoft přináší ve formě produktů Forefront for Servers řešení, které sestává z více antivirových strojů renomovaných výrobců, přičemž náklady na jeho správu zůstávají na úrovni řešení obsahující jediný stroj. Co to přesně znamená?

Určitě budete souhlasit, že dojde-li k napadení sítě i přes funkční antivirové řešení jednoho výrobce, začnete přemýšlet o doplnění takové infrastruktury dalším řešením (na servery řešení od výrobce XXX, na klienty řešení od výrobce YYY atd.). Náklady na správu takového prostředí pak jsou ale velmi vysoké a zároveň se do ní vnáší více lidského faktoru, což v oblasti zabezpečení také není optimální. Na druhou stranu se zvyšuje jistota, že průnik škodlivého softwaru se v budoucnu nebude hned tak opakovat.

Forefront Security for Exchange Server

Toto řešení je určeno pro Exchange Server 2007. Kromě antivirového řešení obsahuje také rozšíření antispamových možností samotného serveru Exchange. Přináší standardně devět antivirových strojů od renomovaných výrobců, jako například CA, AhnLab, Authentium, Kaspersky, Norman, VirusBuster či Sophos (od aktualizace SP 1 je počet strojů 8, neboť dva stroje od společnosti CA byly sloučeny), přičemž si pro danou úlohu skenování zpráv můžete vybrat libovolných pět strojů a dalším nastavením rozhodnout, kolik z nich se bude na skenování jednotlivých zpráv podílet.

Ochrana proti virům je navíc na serveru Exchange 2007 vrstvená, neboť jiné stroje můžete vybrat pro skenování příchozích zpráv na serveru SMTP (Edge Transport), jiné stroje pro skenování zpráv na interních serverech SMTP (Hub Transport) a jiné stroje pro skenování zpráv v databázích (Mailbox server). Je-li navíc například zpráva skenována již na vstupním serveru SMTP (Edge Transport), získá do hlavičky informaci, že ke skenování došlo, a nebude tak skenována znovu na dalších serverech SMTP nebo v databázích. Řešení Forefront je tak nesmírně produktivní spolu s minimálním zatížením serverů.

report

Obrázek 1 Výběr antivirových strojů pro danou úlohu a nastavení položky Bias

Skenování s více stroji

Z nabízeného počtu antivirových strojů lze vybrat maximálně 5 a nastavením položky BIAS určit, kolik z nich se pro skenování objektu (e-mailová zpráva, soubor na portálu SharePoint) využije. Připravených hodnot pro položku BIAS je 5, od upřednostnění max. výkonu (tedy využití jediného AV stroje) po maximální jistotu (Max Certainty), tedy využití všech strojů, což samozřejmě představuje vyšší zatížení serveru.

Dorazí-li e-mailová zpráva s přílohou EXE, vyberou se ke skenování ty stroje, které mají se skenováním souborů EXE nejlepší výsledky (historicky v dané instalaci). Nelze-li na základě tohoto algoritmu rozhodnout, vyberou se stroje náhodně.

Aktualizace strojů

Aktualizace všech strojů se odehrává v nastavených intervalech z jediného místa, kterým je webový server společnosti Microsoft (https://forefrontdl.microsoft.com/server/scanengineupdate). Správce může definovat sekundární místo (například sdílenou složku ve vlastní síti), které bude využito v případě nedostupnosti místa primárního, je ale možné upravit i primární.

V praxi je postup následující: výrobce vydá aktualizaci a tu zašle Microsoftu. Microsoft ji ověří v testovacím prostředí, a je-li vše v pořádku, digitálně ji podepíše a poskytuje zákazníkům vystavením na distribuční místo.

Forefront Security for SharePoint

Tento produkt je určen pro servery Office SharePoint 2007 a Windows SharePoint Services 3.0 a prakticky kopíruje možnosti řešení pro Exchange. Zůstává tak více antivirových strojů, stejně jako jediný nástroj pro správu. A jediné místo stahování aktualizací.

Reporting

Nástroj pro správu řešení Forefront Security Administrator v sobě samozřejmě obsahuje také informace o fungování řešení Forefront, kterým je zejména přehled zachycených virů a statistiku.

exchange_vice_stroju

Obrázek 2 Přehled incidentů a statistika e-mailového provozu

Správa řešení Forefront v prostředích s více servery

V prostředích s více servery Exchange a SharePoint (i smíšených) nemá smysl provádět nastavení jednotlivých serverů lokálně. I správa takového prostředí by měla zůstat jednoduchá; jestliže se tedy správce například rozhodne nastavit na všech serverech položku Bias na hodnotu Max Certainty, měl by to nastavit na jediném místě.

Pro tento účel existuje doplňkový (a také samostatně licencovaný nástroj) nazvaný Forefront Server Security Management Console. Pomocí něj je možné spravovat nejen více serverů Exchange 2007, SharePoint Services 3.0 a SharePoint Server 2007, ale také řešení Microsoft pro předchozí verze Exchange 2000/2003 či SharePoint (nazvané Microsoft Antigen).

Odkazy

Microsoft Forefront Security for Exchange Server: https://www.microsoft.com/forefront/serversecurity/exchange/default.mspx

Microsoft Forefront Security for SharePoint: https://www.microsoft.com/forefront/sharepoint/en/us/default.aspx

Microsoft Forefront Server Security Management Console: https://www.microsoft.com/forefront/serversecurity/mgmt/default.mspx

Microsoft Antigen: https://www.microsoft.com/antigen/default.mspx