quinta-feira, abril 01, 2010
Paulo Ricardo
* Artigo do site iConnect.
Como já sabemos, os vírus podem comprometer uma infra-estrutura de TI. Esses vírus podem entrar em nossa empresa principalmente através de e-mails contaminados (corpo da mensagem ou anexo). O Forefront Security for Exchange consegue monitorar ou fazer scans em databases do Exchange Server, evitando que esses vírus entrem em nossa empresa.
É importante salientar que o Forefront Security for Exchange foi desenvolvido especificamente para o Exchange Server 2007. Este produto utiliza o Exchange Virus Scanning Application Programming Interface (VSAPI) para se integrar com o Exchange.
O Forefront Security for Exchange consegue fazer scans em servidores Exchange Hub ou Edge, se integrando totalmente com o Exchange Server 2007, oferecendo uma proteção em tempo real e utilizando até 9 engines diferentes. O scan também pode ser realizado em servidores que armazenam as mailbox e public folders. Com isso podemos balancear o scan entre os diversos servidores Exchange, não prejudicando a performance dos servidores.
O Forefront Security for Exchange possui um mecanismo que não realiza o scan em mensagens nas quais os scan já foi executado. Esse recurso pode ser desabilitado. Quando o scan é executado nas mensagens, um marcador é adicionado na mensagem informando que esta já foi verificada. Para que esse marcador seja adicionado, os seguintes eventos deverão ocorrer:
- O scan deve ter sido realizado na mensagem com pelo menos uma engine.
- Caso a mensagem esteja contaminada, o vírus deverá ser removido.
- Caso a mensagem tenha sido atualizada, o Forefront deverá verificar a mensagem novamente no Exchange.
Como os engines que compõem o Forefront Security for Exchange são de vários fornecedores, a taxa de detecção dos vírus e a confiabilidade é muito alta. O gerenciamento das diferentes engines do Forefront Security for Exchange é realizada pelo MEM (Forefront Security Multiple Engine Manager). O MEM nos permite monitorar o status de todas as engines que estão sendo utilizadas, configurar diferentes scans e definir as ações que serão tomadas se uma engine precisar ser atualizada ou parar de funcionar.
Os engines disponíveis no Forefront Security for Exchange são:
- AhnLab, Authentium, CA Vet, CA InnoculateIT, Kaspersky Labs, Norman Data Defense, Microsoft Antimalware, Sophos e VirusBuster.
O Forefront Security for Exchange Server está disponível em 11 linguagens, incluindo:
- Inglês, Alemão, Francês, Japonês, Italiano, Espanhol, Coreano, Chinês (Simplificado), Chinês (Tradicional), Português (Brasil) e Russo.
Podemos definir também quais engines serão utilizadas nos scans, balanceando a performance e o nível de proteção.
Durante a instalação do Forefront Security for Exchange, temos a opção de instalar o produto remotamente em outros servidores, facilitando o dia-a-dia dos administradores. Após a instalação do Forefront Security for Exchange em vários servidores, podemos administrar esses servidores através de um único console.
Algumas funcionalidades do Forefront Security for Exchange Server
Seguem abaixo algumas funcionalidades interessantes do Forefront Security for Exchange:
- Suporta SO 64 bits e cobre todas as features do Exchange 2007.
- Pode-se rodar 9 engines de fabricantes diferentes no mesmo servidor, dependendo do modo de licenciamento do produto.
- O engine que tiver a atualização mais recente é executado primeiro.
- O scan nos arquivos é executado enquanto está na memória, e não no disco.
- Arquivos compactados são descompactados, mesmo tendo outros arquivos .zip (por exemplo) dentro de um arquivo. Até 10 arquivos são descompactados, depois do décimo, ou o arquivo é deletado ou movido para quarentena.
- Caso um arquivo zipado tenha vários arquivos .txt e um arquivo .exe, apenas o arquivo .exe é removido. Um arquivo .txt é adicionado no lugar do arquivo .exe, informando que esse arquivo foi removido.
- Arquivos com extensões trocadas também são identificados (o hash do arquivo é comparado com seu conteúdo).
- O BIAS settings define quantos engines trabalharão simultaneamente.
- A quarentena pode ser configurada em um disco ou partição diferente.
- Possui filtros por palavras, mesmo em estruturas .xml.
- Pode ser instalado em Cluster.
Scan em várias camadas no Forefront Security for Exchange
Como o Forefront Security for Exchange trabalha em várias camadas, os scans podem ocorrer em momentos diferentes. Seguem abaixo as camadas nas quais o Forefront Security for Exchange trabalha:
- Antes de a mensagem chegar no servidor Exchange. Nessa camada o scan nas mensagens é feito antes mesmo de a mensagem chegar na mailbox. Esse scan podem ser realizado no servidor Edge ou no servidor no qual o serviço de e-mail está hospedado, como por exemplo o Microsoft Exchange Hosted Filtering.
- Mensagem em trânsito. Nessa camada de proteção, o Forefront Security for Exchange realiza o scan quando a mensagem está em transito dentro da rede corporativa. Esse tipo de scan protege apenas mensagens que se originaram externamente, não verificando mensagens internas. Mensagens que se originaram de conexões VPN’s também não são verificadas nessa camada.
- Mensagem na mailbox. Esse tipo de scan é realizado quando a mensagem já está na mailbox do usuário. Isso nos oferece um nível ainda maior de proteção. Caso um usuário interno anexe um arquivo contaminado em uma mensagem e apenas salve essa mensagem, como rascunho por exemplo, o Forefront Security for Exchange consegue acessar essa mensagem e remover o arquivo contaminado.
Outro detalhe importante é que os e-mails externos (inbound) serão filtrados no servidor Exchange Edge. Os e-mails que saírem da sua empresa para a internet (outbound) serão filtrados no Exchange Hub. Quando a mensagem tem origem e destino interno, o scan é realizado no Exchange Hub. O scan de e-mails que já estão na mailbox também pode ser realizado. Esse scan pode ser realizado pelo Realtime Scan Job, pelo Background Scanning e pelo Manual Scan Job. Esse recurso é desabilitado por padrão.
Requisitos de instalação
Seguem abaixo os requisitos mínimos para a instalação do Forefront Security for Exchange Server:
| Requisitos mínimos | |
| Processador | 32-bit Trial X86 architecture-based computer 64-bit Trial x64 architecture-based computer with: Intel Xeon or Intel Pentium Family processor that supports Intel Extended Memory 64 Technology (Intel EM64T) or AMD Opteron or AMD Athlon 64 processor that supports AMD64 platform |
| Sistema Operacional | Microsoft Windows Server 2003 |
| Memória | 512MB of available memory (1GB recomendado) |
| Espaço em disco | 300MB de espaço em disco disponível |
| Microsoft Exchange | Microsoft Exchange Server 2007 |
Seguem abaixo os requisitos mínimos para a instalação do Forefront Security for Exchange Server SP1 BETA 2:
| Requisitos mínimos | |
| Processador | 32-bit Trial X86 architecture-based computer 64-bit Trial x64 architecture-based computer with: Intel Xeon or Intel Pentium Family processor that supports Intel Extended Memory 64 Technology (Intel EM64T) or AMD Opteron or AMD Athlon 64 processor that supports AMD64 platform |
| Sistema Operacional | Microsoft Windows Server 2003 ou Windows Server 2008 |
| Memória | 1GB de memória disponível (2GB recomendado) |
| Espaço em disco | 550MB de espaço em disco disponível |
| Microsoft Exchange | Microsoft Exchange Server 2007 |
Serviços
Após a instalação do Forefront Security for Exchange, alguns serviços são criados no servidor. Quando instalamos apenas o console de administração, esses serviços não são criados.
- FSCController. Esse serviço funciona como um agente no servidor no qual o Forefront Server Security Administrator se conecta. Esse serviço coordena todas as atividades dos scans realtime, manual e transport. É configurado como manual e é executado com a conta Local System. Ele depende dos serviços FSCMonitor, Net Logon, RPC e Task Scheduler. Os seguintes serviços dependem do FSCController: FSEIMC e Microsoft Exchange Information Store. Quando o serviço Microsoft Exchange Information Store for parado ou iniciado, o mesmo ocorrerá com o serviço FSCController. Caso os serviços FSCController e FSCMonitor sejam parados, todas as atividades de scan de mensagens serão interrompidas, porém o fluxo das mensagens continuará.
- FSCMonitor. Esse serviço é responsável por monitorar o Information Store, o Transport stack e os processos do Forefront Security, garantindo a proteção contínua.
- FSEStore. Esse serviço é responsável por garantir que o Forefront Security seja inicializado corretamente com a Information Store.
- FSEIMC. Esse serviço é responsável por registrar o agente FSE, garantindo que as mensagens serão escaneadas pelo processo FSCTransportScanner.
- FSCRealtimeScanner. Esse serviço é responsável por prover o scan imediato de mensagens que são enviadas e recebidas pelas mailbox e public folders existentes no servidor Exchange.
- FSCTransportScanner. Esse serviço é responsável por garantir que todas as mensagens que passarem pelo Transport stack serão escaneadas antes de serem enviadas.
- FSCStaticService. Esse serviço é responsável por armazenar as estatísticas de scans de todos os tipos de jobs. Essas informações são disponíveis para consultas posteriormente através do Microsoft Forefront Security Enterprise Manager.
O Forefront Security for Exchange Service utiliza o componente DCOM para autenticar as conexões. Com isso, podemos definir quais usuários poderão se conectar no FSCController utilizando o Forefront Server Security Administrator. Para definir os usuários que poderão administrar o Forefront Security for Exchange, siga os procedimentos abaixo:
- Abra o prompt de comando e digite DCOMCNFG e tecle Enter.
- Expanda a opção Computers, My Computer, DCOM Config, clique com o botão direito em FSCController e clique em Properties.
- Na tela abaixo, clique em Security.
- Em Access Permissions, clique em Edit e faça as configurações desejadas. Clique em OK.
Links relacionados
- http://www.microsoft.com/brasil/servidores/forefront/default.mspx
- http://www.microsoft.com/forefront/serversecurity/exchange/sysreqs.mspx
- http://www.microsoft.com/technet/forefront/serversecurity/exchange/qsg/default.mspx?mfr=true
- http://www.microsoft.com/technet/forefront/serversecurity/exchange/userguide/default.mspx?mfr=true
- http://www.microsoft.com/technet/forefront/serversecurity/exchange/Best_Practices/default.mspx?mfr=true
É isso, pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos assuntos, envie um email ou deixe nos comentários. Até a próxima!
Fonte: iMasters
Posted in: 
0 comentários:
Postar um comentário