Como já sabemos, os
vírus podem comprometer uma infra-estrutura de TI. Esses vírus podem
entrar em nossa empresa principalmente através de e-mails contaminados
(corpo da mensagem ou anexo). O Forefront Security for Exchange consegue
monitorar ou fazer scans em databases do Exchange Server, evitando que
esses vírus entrem em nossa empresa.
É importante
salientar que o Forefront Security for Exchange foi desenvolvido
especificamente para o Exchange Server 2007. Este produto utiliza o
Exchange Virus Scanning Application Programming Interface (VSAPI) para
se integrar com o Exchange.
O Forefront
Security for Exchange consegue fazer scans em servidores Exchange Hub ou
Edge, se integrando totalmente com o Exchange Server 2007, oferecendo
uma proteção em tempo real e utilizando até 9 engines diferentes. O scan
também pode ser realizado em servidores que armazenam as mailbox e
public folders. Com isso podemos balancear o scan entre os diversos
servidores Exchange, não prejudicando a performance dos servidores.
O Forefront
Security for Exchange possui um mecanismo que não realiza o scan em
mensagens nas quais os scan já foi executado. Esse recurso pode ser
desabilitado. Quando o scan é executado nas mensagens, um marcador é
adicionado na mensagem informando que esta já foi verificada. Para que
esse marcador seja adicionado, os seguintes eventos deverão ocorrer:
-
O scan deve ter sido realizado na mensagem com
pelo menos uma engine. -
Caso a mensagem esteja contaminada, o vírus deverá
ser removido. -
Caso a mensagem tenha sido atualizada, o Forefront
deverá verificar a mensagem novamente no Exchange.
Como os engines que
compõem o Forefront Security for Exchange são de vários fornecedores, a
taxa de detecção dos vírus e a confiabilidade é muito alta. O
gerenciamento das diferentes engines do Forefront Security for Exchange é
realizada pelo MEM (Forefront Security Multiple Engine Manager). O MEM
nos permite monitorar o status de todas as engines que estão sendo
utilizadas, configurar diferentes scans e definir as ações que serão
tomadas se uma engine precisar ser atualizada ou parar de funcionar.
Os engines
disponíveis no Forefront Security for Exchange são:
-
AhnLab, Authentium,
CA Vet, CA InnoculateIT, Kaspersky Labs, Norman Data Defense, Microsoft
Antimalware, Sophos e VirusBuster.
O Forefront
Security for Exchange Server está disponível em 11 linguagens,
incluindo:
-
Inglês, Alemão,
Francês, Japonês, Italiano, Espanhol, Coreano, Chinês (Simplificado),
Chinês (Tradicional), Português (Brasil) e Russo.
Podemos definir
também quais engines serão utilizadas nos scans, balanceando a
performance e o nível de proteção.
Durante a
instalação do Forefront Security for Exchange, temos a opção de instalar o
produto remotamente em outros servidores, facilitando o dia-a-dia dos
administradores. Após a instalação do Forefront Security for Exchange em vários servidores, podemos
administrar esses servidores através de um único console.
Algumas
funcionalidades do Forefront Security for Exchange Server
Seguem abaixo
algumas funcionalidades interessantes do Forefront Security for
Exchange:
-
Suporta SO 64 bits e
cobre todas as features do Exchange 2007. -
Pode-se rodar 9
engines de fabricantes diferentes no mesmo servidor, dependendo do modo
de licenciamento do produto. -
O engine que tiver a
atualização mais recente é executado primeiro. -
O scan nos arquivos
é executado enquanto está na memória, e não no disco. -
Arquivos
compactados são descompactados, mesmo tendo outros arquivos .zip (por
exemplo) dentro de um arquivo. Até 10 arquivos são descompactados,
depois do décimo, ou o arquivo é deletado ou movido para quarentena. -
Caso um arquivo
zipado tenha vários arquivos .txt e um arquivo .exe, apenas o arquivo
.exe é removido. Um arquivo .txt é adicionado no lugar do arquivo .exe,
informando que esse arquivo foi removido. -
Arquivos com
extensões trocadas também são identificados (o hash do arquivo é
comparado com seu conteúdo). -
O BIAS settings
define quantos engines trabalharão simultaneamente. -
A quarentena pode
ser configurada em um disco ou partição diferente. -
Possui filtros por
palavras, mesmo em estruturas .xml. -
Pode ser instalado
em Cluster.
Scan em
várias camadas no Forefront Security for Exchange
Como o Forefront
Security for Exchange trabalha em várias camadas, os scans podem ocorrer
em momentos diferentes. Seguem abaixo as camadas nas quais o Forefront
Security for Exchange trabalha:
-
Antes de a mensagem
chegar no servidor Exchange. Nessa camada o scan nas mensagens é feito
antes mesmo de a mensagem chegar na mailbox. Esse scan podem ser realizado
no servidor Edge ou no servidor no qual o serviço de e-mail está
hospedado, como por exemplo o Microsoft Exchange Hosted Filtering. -
Mensagem em
trânsito. Nessa camada de proteção, o Forefront Security for Exchange
realiza o scan quando a mensagem está em transito dentro da rede
corporativa. Esse tipo de scan protege apenas mensagens que se
originaram externamente, não verificando mensagens internas. Mensagens
que se originaram de conexões VPN’s também não são verificadas nessa
camada. -
Mensagem na mailbox.
Esse tipo de scan é realizado quando a mensagem já está na mailbox do
usuário. Isso nos oferece um nível ainda maior de proteção. Caso um
usuário interno anexe um arquivo contaminado em uma mensagem e apenas
salve essa mensagem, como rascunho por exemplo, o Forefront Security for
Exchange consegue acessar essa mensagem e remover o arquivo
contaminado.
Outro detalhe
importante é que os e-mails externos (inbound) serão filtrados no
servidor Exchange Edge. Os e-mails que saírem da sua empresa para a
internet (outbound) serão filtrados no Exchange Hub. Quando a mensagem
tem origem e destino interno, o scan é realizado no Exchange Hub. O scan
de e-mails que já estão na mailbox também pode ser realizado. Esse scan
pode ser realizado pelo Realtime Scan Job, pelo Background Scanning e
pelo Manual Scan Job. Esse recurso é desabilitado por padrão.
Requisitos
de instalação
Seguem abaixo os
requisitos mínimos para a instalação do Forefront Security for Exchange
Server:
Requisitos mínimos |
|
Processador |
32-bit X86 64-bit x64 Intel AMD |
Sistema Operacional |
Microsoft Windows Server 2003 |
Memória |
512MB of available memory (1GB recomendado) |
Espaço em disco |
300MB de espaço em disco disponível |
Microsoft Exchange |
Microsoft Exchange Server 2007 |
Seguem abaixo os requisitos mínimos para a
instalação do Forefront Security for Exchange Server SP1 BETA 2:
Requisitos mínimos |
|
Processador |
32-bit X86 64-bit x64 Intel AMD |
Sistema Operacional |
Microsoft Windows Server 2003 ou Windows Server 2008 |
Memória |
1GB de memória disponível (2GB recomendado) |
Espaço em disco |
550MB de espaço em disco disponível |
Microsoft Exchange |
Microsoft Exchange Server 2007 |
Serviços
Após a instalação do Forefront
Security for Exchange, alguns serviços são criados no servidor. Quando
instalamos apenas o console de administração, esses serviços não são
criados.
-
FSCController. Esse serviço
funciona como um agente no servidor no qual o Forefront Server Security
Administrator se conecta. Esse serviço coordena todas as atividades dos
scans realtime, manual e transport. É configurado como manual e é
executado com a conta Local System. Ele depende dos serviços
FSCMonitor, Net Logon, RPC e Task Scheduler. Os seguintes serviços
dependem do FSCController: FSEIMC e Microsoft Exchange Information
Store. Quando o serviço Microsoft Exchange Information Store for parado
ou iniciado, o mesmo ocorrerá com o serviço FSCController. Caso os
serviços FSCController e FSCMonitor sejam parados, todas as atividades
de scan de mensagens serão interrompidas, porém o fluxo das mensagens
continuará. -
FSCMonitor. Esse serviço é
responsável por monitorar o Information Store, o Transport stack e os
processos do Forefront Security, garantindo a proteção contínua. -
FSEStore. Esse serviço é
responsável por garantir que o Forefront Security seja inicializado
corretamente com a Information Store. -
FSEIMC. Esse serviço é responsável
por registrar o agente FSE, garantindo que as mensagens serão
escaneadas pelo processo FSCTransportScanner. -
FSCRealtimeScanner. Esse serviço é
responsável por prover o scan imediato de mensagens que são enviadas e
recebidas pelas mailbox e public folders existentes no servidor
Exchange. -
FSCTransportScanner. Esse serviço é
responsável por garantir que todas as mensagens que passarem pelo
Transport stack serão escaneadas antes de serem enviadas. -
FSCStaticService. Esse serviço é
responsável por armazenar as estatísticas de scans de todos os tipos de
jobs. Essas informações são disponíveis para consultas posteriormente
através do Microsoft Forefront Security Enterprise Manager.
O Forefront Security for Exchange
Service utiliza o componente DCOM para autenticar as conexões. Com isso,
podemos definir quais usuários poderão se conectar no FSCController
utilizando o Forefront Server Security Administrator. Para definir os
usuários que poderão administrar o Forefront Security for Exchange, siga
os procedimentos abaixo:
-
Abra o prompt de comando e digite
DCOMCNFG e tecle Enter. -
Expanda a opção Computers, My
Computer, DCOM Config, clique com o botão direito em FSCController e
clique em Properties. - Na tela abaixo, clique em Security.
- Em Access Permissions, clique em Edit e
faça as configurações desejadas. Clique em OK.
Links
relacionados
- http://www.microsoft.com/brasil/servidores/forefront/default.mspx
- http://www.microsoft.com/forefront/serversecurity/exchange/sysreqs.mspx
- http://www.microsoft.com/technet/forefront/serversecurity/exchange/qsg/default.mspx?mfr=true
- http://www.microsoft.com/technet/forefront/serversecurity/exchange/userguide/default.mspx?mfr=true
- http://www.microsoft.com/technet/forefront/serversecurity/exchange/Best_Practices/default.mspx?mfr=true
É isso, pessoal, espero que este artigo seja
útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou
para enviar sugestões sobre novos assuntos, envie um email ou deixe nos comentários. Até a próxima!