Обзор Microsoft Forefront Protection 2010 для Microsoft Exchange



В этом обзоре мы рассмотрим многоядерный антивирусный продукт Microsoft Forefront Protection 2010 для защиты почтовых серверов Microsoft Exchange 2007 и 2010, а также «облачный» сервис Forefront Online Protection в качестве его дополнения.

Сертификат AM Test Lab

Номер сертификата: 71

Дата выдачи: 25.08.2010

Срок действия: 25.08.2015

Реестр сертифицированных продуктов »

 

 

1. Вступление

2. Системные требования

3. Установка Microsoft Forefront Protection 2010 for Exchange Server

4. Функционал Microsoft Forefront Protection 2010 for Exchange Server

5. Сервис Forefront Online Protection for Exchange

6. Выводы

 

Вступление

Microsoft Forefront Protection 2010 для Exchange Server предназначен для защиты почтовых корпоративных серверов Microsoft Exchange Server версий 2007 SP1 и выше, а также новой версии 2010, которую мы рассматривали в предыдущем обзоре.

Приобретая его, вы получаете в комплекте лицензии на использование старой версии Microsoft Antigen 9.0 для защиты почтовых серверов Exchange 2003 и 2000 версии, если таковые еще имеются в организации.

Microsoft Forefront Protection 2010 для Exchange Server пока еще не полностью 64-битный. Возможна его установка в 32-битной тестовой среде, хотя такая конфигурация не поддерживается. По предварительным данным, начиная с SP1 будет обеспечен режим работы «native 64-bit».

В отличие от предшественника, продукт стал заметно тяжелее. Дистрибутив занимает около 180 Мб. Для работы системы в полную силу потребуется 2 Гб оперативки и 2 ГБ свободного места на диске в дополнение к тому, что используют операционная система и Exchange. Да и процессорных ресурсов требуется немало: рекомендуется 4 ядра (2.0GHz+).

Есть дистрибутив на русском языке – мелочь, а приятно. Вместе с выпуском продукта сразу стал доступен и комплект документации к нему, тоже на русском, это очень важно.

Совершенно новым сервисом, доступным начиная с этой версии, является возможность работы почтового антивируса и антиспама в режиме онлайн: Forefront Online Protection for Exchange . Причем, можно использовать локальную и онлайн-версии одновременно. Подробнее об этом сервиса мы расскажем ниже.

Microsoft Forefront Protection 2010 для Exchange Server поддерживает пять антивирусных ядер - одно свое собственное и еще четыре лицензированных ядра от других вендоров (Norman, Authentium, VirusBuster и «Лаборатории Касперского»). В отличие от предыдущих версий больше не поддерживаются антивирусные ядра от Sophos, CA и AhnLab.

По утверждению Microsoft, проводившей тестирование под нагрузкой на всех пяти работающих ядрах, общая производительность продукта относительно прошлой версии улучшилась. Продукт производит обработку от 25 до 40 сообщений в секунду, на 15% сокращено использование процессорных ресурсов.

Для Microsoft Forefront Protection 2010 для Exchange Server имеется отдельный набор командлетов PowerShell, так что управлять им можно и с командной строки. Также продукта поддерживает работу в виртуальной среде.

Microsoft Forefront Protection 2010 для Exchange Server поддерживает RBAC. Соответственно, для запуска консоли Microsoft Forefront Protection 2010 для Exchange Server необходимы права ролевой группы Hygiene Management (управление санацией), а инсталляцию Microsoft Forefront Protection 2010 для Exchange Server должен проводить аккаунт с правом Exchange Organization Management. Для Exchange 2007 достаточно прав локального администратора почтового сервера.

Устанавливать Microsoft Forefront Protection 2010 для Exchange Server следует на серверы пограничных транспортных концентраторов (Edge), и на серверы почтовых ящиков (Mailbox, MBX). В том числе, и на кластерные конфигурации (CCR, SCR, LCR, SCC, DAG) – на каждом узле. Можно также установить Microsoft Forefront Protection 2010 для Exchange Server на внутренние транспортные концентраторы.

 

Рисунок 1: Структура установки Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

Системные требования

Системные требования

  • Поддерживаемые операционные системы: Windows Server 2003; Windows Server 2008; Windows Server 2008 R2

Системные требования для Forefront Protection 2010 for Exchange Server

  • На основе архитектуры x64:
    • Процессор Intel Xeon или процессор семейства Intel Pentium с поддержкой технологии Intel EM64T (Intel Extended Memory 64) или
    • процессор AMD Opteron или AMD Athlon 64 с поддержкой платформы AMD64.
  • Программное обеспечение сервера
    • Microsoft Windows Server 2003 с пакетом обновления 2 (SP2), Microsoft Windows Server 2008 или Microsoft Windows Server 2008 R2.
    • Microsoft Exchange Server 2007 с пакетом обновления 1 (SP1) или Microsoft Exchange Server 2010.
  • 2 ГБ ОЗУ, помимо памяти, необходимой для запуска сервера Microsoft Exchange. Дополнительные сведения о требованиях к памяти для запуска сервера Microsoft Exchange см. в обзоре этого продукта или в документации.
  • 2 ГБ свободного места на диске, в дополнение к месту на диске, необходимому для сервера Exchange. Для использования сервера для распространения обновлений требуется дополнительное место на диске.
  • Рекомендуется четырехъядерный сервер с процессорами с тактовой частотой 2,0 ГГц или выше. Серверы с более низкой производительностью также поддерживаются, но пропускная способность снижается.
  • Службы ядра Microsoft XML (MSXML) 6.0 с пакетом обновления 1 (SP1).
  • Microsoft .NET Framework 3.0 SP 1 Windows Communication Foundation или Microsoft .NET Framework 3.5 (устанавливается автоматически вместе с Exchange Server 2010). Для установки шлюза Microsoft Forefront Online Protection for Exchange необходимо наличие .NET Framework 3.5.
  • Элементы управления Microsoft Chart для Microsoft .NET Framework 3.5. Если эти элементы управления еще не установлены, их можно установить в процессе установки Microsoft Forefront Protection 2010 для Exchange Server.
  • Windows PowerShell 1.0.
  • Сервер клиентского доступа. Требуется только при проведении проверки по требованию с помощью Microsoft Exchange Server 2010

Установка Microsoft Forefront Protection 2010

Начнем обзор Microsoft Forefront Protection 2010 для Exchange Server (далее для простоты просто Microsoft Forefront Protection)  с процесса инсталляции и первоначальной настройки продукта.

После принятия лицензионного соглашения и указания каталога, куда будет установлен продукт, появляется окно для указания параметров прокси-сервера, необходимых для загрузки регулярных обновлений антивирусных и антиспамовых баз данных.

 

Рисунок 2: Настройки прокси-сервера

Обзор Microsoft Forefront Protection 2010

 

Следующий этап установки  - это активация службы защиты от нежелательной почты (антиспама). Сделать это можно немедленно, сразу же загрузив все обновления, или отложить этот процесс на потом.

 

Рисунок 3: Запуск антиспама при установке в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

После того как мы выбрали необходимый нам пункт, необходимо выбрать источник обновлений.

 

Рисунок 4:  Выбор источника обновления

Обзор Microsoft Forefront Protection 2010

 

Мы выбрали рекомендуемый вариант, и в дальнейшем Центр обновления Майкрософт будет использоваться при проверке обновлений Microsoft Forefront Protection.

И на последнем этапе установки традиционно для всех новых продуктов Microsoft предлагается принять участие в программе по улучшению качества продукта, с чем мы соглашаемся.

 

Рисунок 5: Участие в программе

Обзор Microsoft Forefront Protection 2010

 

Нажимаем «Далее» и подтверждаем установку продукта, после данных действий начнется непосредственно  процесс установки Microsoft Forefront Protection 2010 для Exchange Server.

Установку проходит довольно быстро, по ее окончанию нам будет показано следующее окно:

 

Рисунок 6: Завершение установки Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

В завершении инсталляции предлагается сразу настроить сервис ForeFront Online Protection for Exchange Gateway, что мы и делаем.

 

Функционал Microsoft Forefront Protection 2010

С помощью консоли администратора Microsoft Forefront Protection 2010 для Exchange Server можно осуществлять мониторинг работы инсталляций продукта в режиме реального времени, настраивать параметры настройки сервера, определять и запускать задачи сканирования.

 

Рисунок 7: Общий вид консоли администрирования Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

Такой интерфейс консоли администрирования в MMC уже стал де-факто стандартом для новых версий ПО от Microsoft - очень простой и интуитивно понятный, напоминающий консоль управления самого Microsoft Exchange. Окно разбито на три части:

  • узел настройки;
  • подробная информация по узлу;
  • действия.

Как видно на рисунке 7 в первом узле «Панель» выводятся основные данные работоспособности Microsoft Forefront Protection. Там приводится краткая информация о состоянии защиты, установленным обновлениям, статистика по работе служб (антивируса и антиспама) и информация о ключевых событиях. Данный узел является своеобразным монитором общего состояния защиты сервера.

Далее перейдем к рассмотрению следующего узла, который называется «Сведения о вредоносных программах», здесь отображается статистика работы антивирусной защиты нашего сервера.

 

Рисунок 8: Сведения о вредоносных программах в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

Статистика разбита на четыре подраздела:

  • проверка транспорта;
  • проверка в реальном времени;
  • проверка по расписанию;
  • проверка по требованию.

По каждому из подразделов отображается детальная информация о произошедшем событии, за которое отвечает данные компонент. Если в сообщениях были обнаружены вредоносные программы, то в данном узле это будет отображено.

Теперь мы перейдем к рассмотрению узла «Сведения о нежелательной почте».

 

Рисунок 9: Сведения о нежелательной почте в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

По аналогии с предыдущим этот узел разбит на четыре части:

  • фильтрация подключений;
  • SMTP-фильтрация;
  • фильтрация содержимого;
  • фильтрация возвращаемых писем.

Microsoft Forefront Protection 2010 для Exchange Server дополняет работу антиспам-фильтров, встроенных в Microsoft Exchange 2010, дополнительным функционалом.

В таблице ниже собраны функции, улучшающие работу штатных средств Microsoft Exchange.

 

Рисунок 10: Функции фильтрации Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

В числе самых главных достоинств – модуль защиты Cloudmark, свой DNSBL, механизм Backscutter. Несколько слов о принципе функционирования Backscutter. Фильтрация возвращаемых писем в Microsoft Forefront Protection предназначена для предотвращения возврата почты и отправки уведомлений о доставке для писем, которые не были отправлены с принадлежащих организации адресов. Microsoft Forefront Protection 2010 для Exchange Server предотвращает возврат писем путем снабжения всех исходящих сообщений маркером "Проверка тега обратного адреса" (BATV).

При использовании агента BATV все сообщения отправляются с обратным адресом, включающим зашифрованный маркер, который невозможно подделать. Возвращенные сообщения, в которых отсутствует допустимая подпись BATV, отклоняются.

Фильтр возвращаемых писем использует для создания маркеров ключи. Ключи создаются группами по десять штук и действуют до создания следующего набора ключей. Основная сложность в работе с Backscutter, если в инфраструктуре развернуто несколько Microsoft Forefront Protection 2010 для Exchange Server, состоит в необходимости поддерживать одни и те же ключи для всех серверов. Ключи сохраняются в файл configuration.xml, который находится в папке данных. Их можно вручную экспортировать и импортировать.

Получение обновлений антивирусных и антиспам-сигнатур можно настроить с HTTP-сервера Майкрософт или с другого сервера Exchange, на котором установлена Microsoft Forefront Protection 2010 для Exchange Server (по UNC-пути к общей папке с обновлениями). Этот «другой» сервер называется «сервером перераспределения» (redistribution server).

Данную роль ему нужно включить явно через панель настроек, и предоставить папку Engines в общий доступ. А на принимающих серверах Microsoft Forefront Protection 2010 для Exchange Server – включить возможность скачивать обновления через UNC и для каждого движка указать UNC-путь к общей папке на сервере перераспределения.

Далее мы рассмотрим узел «Сведения о фильтрации». Узел разбит на четыре подраздела:

  • проверка транспорта;
  • проверка в реальном времени;
  • проверка по расписанию;
  • проверка по требованию.

Здесь отображаются сведения о проверенных объектах. В каждом подразделе можно посмотреть статистику по действиям, которые были совершены.

 

Рисунок 11: Статистика о фильтрации сообщений в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

В узле «Происшествия» представлены сведения о произошедших происшествиях на сервере. Позволяет оперативно изучать полученную информацию.

 

Рисунок 12: Происшествия

Обзор Microsoft Forefront Protection 2010

 

Для сортировки и максимально удобного восприятия есть возможность использовать фильтры.  Каждое событие можно фильтровать по ряду признаков, их отображение задается в правой колонке «Действия». Выглядит это следующим образом:

 

Рисунок 13: Фильтры для вывода статистики фильтрации

 

Как мы видим, все предельно просто. Теперь перейдем к важному узлу «Карантин».

Карантин — это безопасный способ хранения вредоносных и подозрительных сообщений. По умолчанию в Microsoft Forefront Protection 2010 создает копию каждого обнаруженного сообщения в исходном виде (т. е. до выполнения каких-либо действий). При помещении файла на карантин он шифруется таким образом, чтобы его нельзя было случайно выполнить или открыть.

В случае ложного срабатывания помещенное в карантин сообщение можно восстановить, сохранив его на диск или отправив получателям по почте (по умолчанию доставленные сообщения не проверяются повторно на соответствие условиям фильтров).

 

Рисунок 14: Карантин в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

По каждому объекту, помещенному в карантин, есть вся необходимая информация для детального анализа инцидента. Это информация о времени обнаружения, имени отправителя/получателя, сработавшему на нем службе и т.д. Различные действия над элементами в карантине можно совершать из правой панели действий.

Настройки Microsoft Forefront Protection 2010 для Exchange Server можно экспортировать в файл и импортировать из файла. Это позволяет гибко настраивать программу на нескольких серверах. Доступны также средства архивирования и восстановления сервиса.

 

Сервис Forefront Online Protection for Exchange

Как было обещано выше, расскажем немного про сервис Forefront Online Protection for Exchange (FOPE). Этот сервис может осуществлять частичную онлайн-фильтрацию входящей почты до ее поступления в почтовую систему организации.

ForeFront Online Protection for Exchange использует следующие технологии фильтрации:

  • черный и белый списки IP-адресов;
  • черный и белый списки доменов отправителей;
  • черный и белый списки адресов отправителей;
  • черный и белый списки адресов получателей.

Также, ForeFront Online Protection for Exchange может иметь свой Карантин.

Удаленные серверы сервиса группируются в центры данных Microsoft по всему миру. Они помогают уменьшить нагрузку на почтовые серверы компаний, и могут работать как отдельный сервис, или как дополнение к установленному локально Microsoft Forefront Protection.

Можно управлять настройками сервиса с локальных серверов Microsoft Forefront Protection через специальный шлюз (программу-дополнение). Установка этого дополнения выполняется независимо от установки Microsoft Forefront Protection.

Если компонент Microsoft Forefront Protection установлен на несколько серверов, то шлюз ForeFront Online Protection for Exchange необходимо установить на каждый из них. Перед началом работы с FOPE нужно приобрести лицензию на его использование, зарегистрироваться на сайте и завести учетную запись.

Итак, мы рассмотрели все разделы Microsoft Forefront Protection 2010 для Exchange Server, которые отвечают за мониторинг состояния сервера, все разделы эти разделы находятся в пункте «Наблюдение» в левой нижней части окна.

Сейчас же переходим к рассмотрению раздела «Задачи». В этом разделе можно настроить опции проверки по требованию, например, указать, что делать с обнаруженным объектом, и с каким набором модулей проводить сканирование. Также можно изменить текст уведомления для пользователей при обнаружении вредоносного объекта.

 

Рисунок 15: Задачи в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

Теперь перейдем к разделу «Управление политиками». Этот раздел представляет собой всевозможные настройки Microsoft Forefront Protection. Именно здесь задаются параметры сканирования и модули, с помощью которых оно проводится.

Раздел делится на пять узлов:

  • модули защиты от вредоносных программ;
  • защита от нежелательной почты;
  • фильтры;
  • защита в интернете;
  • глобальные параметры.

В узле «Модули защиты от вредоносных программ» осуществляется настройка антивирусного компонента Microsoft Forefront Protection. Как видно на рисунке 16, продукт предоставляет довольно гибкую настройку антивирусного сканера, что позволяет максимально эффективно управлять защитой.

 

Рисунок 16: Настройки защиты от вредоносных программ в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

Для каждого типа вредоносный программы можно выбрать отдельное действие, которое будет принято при обнаружении, в зависимости от того, программа-шпион это или же вирус.

Так же можно задать дополнительные параметры проверки, например «проверять DOC-файлы как контейнеры» и задать максимальное время, которое выделяется на обработку одного контейнера.

Узел «Модули защиты от вредоносных программ» делятся на группы:

  • почтовый ящик, проверка в реальном времени;
  • транспортный сервер-концентратор;
  • почтовый ящик, запланированная проверка.

Настройки первый двух групп мы разобрали выше. Настройка же последнего раздела отличается от них, лишь тем, что в ней задается время  сканирования по расписанию, принципиально настройки одинаковые.

Перейдем к рассмотрению раздела «Защита от нежелательной почты», в котором настраиваются фильтры подключений,  отправителей, получателей, содержимого писем и возвращаемых писем.

Каждый компонент  можно настроить на свой вкус или же вообще отключить. Есть возможность вручную составлять белые и черные списки. Так же можно задать значение SCL, по которому письмо считается нежелательным.

 

Рисунок 17: Фильтр нежелательной почты в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

В узле «Фильтры» можно настроить собственные фильтры. В мастере создания фильтра нужно выбрать его тип, указываются сведения о нем и его цель.

 

Рисунок 18: Мастер создания фильтра в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

Посмотреть списков ранее созданных фильтров можно в подразделе «Списки фильтров»

 

Рисунок 19: Списки фильтров в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

Настройки фильтрации задаются в специальном подузле «Параметры фильтрации» и делятся на следующие категории:

  • параметры фильтрации в реальном времени;
  • параметры фильтрации по расписанию;
  • параметры фильтрации по требованию;
  • параметры фильтрации транспортного протокола.

Для каждой категории существует гибкая настройка, в зависимости от наших нужд.

 

Рисунок 20: Параметры фильтрации в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

Теперь перейдем к рассмотрению узла «Защита в интернете». В этом узле можно настроить управление шлюзом и учетные данные сервиса Forefront Online Protection for Exchange, прокси-сервер, карантин и IP-адреса центра данных.

 

Рисунок 21: Настройки Fоrefront Online Protection for Exchange

Обзор Microsoft Forefront Protection 2010

 

Последний узел, который мы рассмотрим, называется «Глобальные параметры». В нем осуществляется детальная настройка параметров проверки, какие почтовые ящики нужно проверять, какие объекты необходимо сканировать по расписанию или в реальном времени и т.д.

 

Рисунок 22: Глобальные настройки проверки в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

Рисунок 23: Настройки обновления в Microsoft Forefront Protection 2010 для Exchange Server

Обзор Microsoft Forefront Protection 2010

 

В правом столбце вручную можно запустить обновления всех модулей или настроить обновление выбранного антивирусного ядра.

В «Дополнительных параметрах» указывается действие, которое будет произведено при ошибке модуля, настраиваются критерии удаления и пороги размера файлов в контейнере для проверки. Управление модулем по умолчанию установлено в автоматическом режиме, но есть возможность переключить на ручное управление. Это позволяет гибко настраивать необходимые нам ядра для сканирования, а так же указывать расписание их обновлений.

На этом разделе мы заканчиваем рассмотрение Microsoft Forefront Protection 2010 для Exchange Server, и нам остается сделать итоговые выводы по продукту.

 

Выводы

Microsoft Forefront Protection 2010 для Exchange Server является функциональным и технологичным решением для защиты почтового сервера. Продукт позволяет просто и в тоже время гибко настраивать защиту от вредоносных программ и спама под нужды конкретного клиента.

Интерфейс продукта предельно прост и по своей логике схож с другими корпоративными продуктами Microsoft.  Такой подход позволяет баз какой-либо подготовки быстро развернуть и настроить продукт на сервере.

Важным технологическим отличием Microsoft Forefront Protection 2010 для Exchange Server от конкурентов является его многоядерность. В дополнение к собственному антивирусному ядру Microsoft вы можете одновременно использовать ядра от Norman, Authentium, VirusBuster или «Лаборатории Касперского».

Очень интересной выглядит возможность интеграции продукта c внешним онлайн-сервисов ForeFront Online Protection for Exchange. Это позволяет клиенту существенно экономить на входящем трафике, срезая часть спама при помощи «грубых фильтров» еще до непосредственного попадания на внутренние сервера Microsoft Exchange.

 

Автора обзора:

Григорий Смирнов

Реестр сертифицированных продуктов »

Записаться на демонстрацию

...

Запросить пробную версию

...

Запросить цены

...

Задать вопрос

...

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.