:: PÁGINA DO FABIANO :: MANUAIS E SIMULADOS :: ARTIGOS E TUTORIAIS

Artigos

Introdução ao Forefront Security for Exchange Server

Autor: Fabiano de Santana

Certificações: MVP – MCSA 2000/2003 Security – MCSE 2000/2003 Security – ITIL Foundation
Data de criação: 06/12/2008

Introdução

Como já sabemos, os vírus podem comprometer uma infra-estrutura de TI. Esses vírus podem entrar em nossa empresa principalmente através de e-mails contaminados (corpo da mensagem ou anexo). O Forefront Security for Exchange consegue monitorar ou fazer scans em databases do Exchange Server, evitando que esses virus entrem em nossa empresa.

É importante salientar que o Forefront Security for Exchange foi desenvolvido especificamente para o Exchange Server 2007. Este produto utiliza o Exchange Vírus Scanning Application Programming Interface (VSAPI) para se integrar com o Exchange.

O Forefront Security for Exchange consegue fazer scans em servidores Exchange Hub ou Edge, se integrando totalmente com o Exchange Server 2007, oferecendo uma proteção em tempo real e utilizando até 9 engines diferentes. O scan também pode ser realizado em servidores que armazenam as mailbox e public folders. Com isso podemos balancear o scan entre os diversos servidores Exchange, não prejudicando a performance dos servidores.

O Forefront Security for Exchange possui um mecanismo que não realiza o scan em mensagens nas quais os scan já foi executado. Esse recurso pode ser desabilitado. Quando o scan é executado nas mensagens, um marcador é adicionado na mensagem informando que esta já foi verificada. Para que esse marcador seja adicionado os seguintes eventos deverão ocorrer:

O scan deve ter sido realizado na mensagem com pelo menos uma engine.

Caso a mensagem esteja contaminada, o vírus deverá ser removido.

Caso a mensagem tenha sido atualizada, o Forefront deverá verificar a mensagem novamente no Exchange.

Como os engines que compõem o Forefront Security for Exchange são de vários fornecedores, a taxa de detecção dos vírus e a confiabilidade é muito alta. O gerenciamento das diferentes engines do Forefront Security for Exchange é realizada pelo MEM (Forefront Security Multiple Engine Manager). O MEM nos permite monitorar o status de todas as engines que estão sendo utilizadas, configurar diferentes scans e definir as ações que serão tomadas se uma engine precisar ser atualizada ou parar de funcionar.

Os engines disponíveis no Forefront Security for Exchange são:

AhnLab, Authentium, CA Vet, CA InnoculateIT, Kaspersky Labs, Norman Data Defense, Microsoft Antimalware, Sophos e VirusBuster.

O Forefront Security for Exchange Server está disponível em 11 linguagens, incluindo:

Inglês, Alemão, Francês, Japonês, Italiano, Espanhol, Coreano, Chinês (Simplificado), Chinês (Tradicional), Português (Brasil) e Russo.

Podemos definir também quais engines serão utilizadas nos scans, balanceando a performance e o nível de proteção.

Durante a instalação do Forefront Security for Exchange temos a opção de instalar o produto remotamente em outros servidores, facilitando o dia-a-dia dos administradores. Após a instalação do Forefront Security for Exchange em vários servidores, podemos administrar esses servidores através de um único console.

Algumas funcionalidades do Forefront Security for Exchange Server

Seguem abaixo algumas funcionalidades interessantes do Forefront Security for Exchange:

Suporta SO 64 bits e cobre todas as features do Exchange 2007.

Pode-se rodar 9 engines de fabricantes diferentes no mesmo servidor, dependendo do modo de licenciamento do produto.

O engine que tiver a atualização mais recente é executado primeiro.

O scan nos arquivos é executado enquanto está na memória, e não no disco.

Arquivos compactados são descompactados, mesmo tendo outros arquivos .zip (por exemplo) dentro de um arquivo. Até 10 arquivos são descompactados, depois do décimo, ou o arquivo é deletado ou movido para quarentena.

Caso um arquivo zipado tenha vários arquivos .txt e um arquivo .exe, apenas o arquivo .exe é removido. Um arquivo .txt é adicionado no lugar do arquivo .exe, informando que esse arquivo foi removido.

Arquivos com extensões trocadas também são identificados (o hash do arquivo é comparado com seu conteúdo).

O BIAS settings define quantos engines trabalharão simultaneamente.

A quarentena pode ser configurada em um disco ou partição diferente.

Possui filtros por palavras, mesmo em estruturas .xml.

Pode ser instalado em Cluster.

Scan em várias camadas no Forefront Security for Exchange

Como o Forefront Security for Exchange trabalha em várias camadas, os scans podem ocorrer em momentos diferentes. Seguem abaixo as camadas nas quais o Forefront Security for Exchange trabalha:

Antes da mensagem chegar no servidor Exchange – Nessa camada o scan nas mensagens é feito antes mesmo da mensagem chegar na mailbox. Esse scan podem ser realizado no servidor Edge ou no servidor no qual o serviço de e-mail está hospedado, como por exemplo o Microsoft Exchange Hosted Filtering.

Mensagem em trânsito – Nessa camada de proteção, o Forefront Security for Exchange realiza o scan quando a mensagem está em transito dentro da rede corporativa. Esse tipo de scan protege apenas mensagens que se originaram externamente, não verificando mensagens internas. Mensagens que se originaram de conexões VPN’s também não são verificadas nessa camada.

Mensagem na mailbox – Esse tipo de scan é realizado quando a mensagem já está na mailbox do usuário. Isso nos oferece um nível ainda maior de proteção. Caso um usuário interno anexe um arquivo contaminado em uma mensagem e apenas salve essa mensagem, como rascunho por exemplo, o Forefront Security for Exchange consegue acessar essa mensagem e remover o arquivo contaminado.

Outro detalhe importante é que os e-mails externos (inbound) serão filtrados no servidor Exchange Edge. Os e-mails que saírem da sua empresa para a internet (outbound) serão filtrados no Exchange Hub. Quando a mensagem tem origem e destino interno, o scan é realizado no Exchange Hub. O scan de e-mails que já estão na mailbox também pode ser realizado. Esse scan pode ser realizado pelo Realtime Scan Job, pelo Background Scanning e pelo Manual Scan Job. Esse recurso é desabilitado por padrão.

Requisitos de instalação

Seguem abaixo os requisitos mínimos para a instalação do Forefront Security for Exchange Server:

Tabela 1 – Requisitos mínimos

Requisitos mínimos
Processador	32-bit Trial X86 architecture-based computer 64-bit Trial x64 architecture-based computer with: • Intel Xeon or Intel Pentium Family processor that supports Intel Extended Memory 64 Technology (Intel EM64T) or • AMD Opteron or AMD Athlon 64 processor that supports AMD64 platform
Sistema Operacional	Microsoft Windows Server 2003
Memória	512MB of available memory (1GB recomendado)
Espaço em disco	300MB de espaço em disco disponível
Microsoft Exchange	Microsoft Exchange Server 2007

Seguem abaixo os requisitos mínimos para a instalação do Forefront Security for Exchange Server SP1 BETA 2:

Tabela 2 – Requisitos mínimos

Requisitos mínimos
Processador	32-bit Trial X86 architecture-based computer 64-bit Trial x64 architecture-based computer with: • Intel Xeon or Intel Pentium Family processor that supports Intel Extended Memory 64 Technology (Intel EM64T) or • AMD Opteron or AMD Athlon 64 processor that supports AMD64 platform
Sistema Operacional	Microsoft Windows Server 2003 ou Windows Server 2008
Memória	1GB de memória disponível (2GB recomendado)
Espaço em disco	550MB de espaço em disco disponível
Microsoft Exchange	Microsoft Exchange Server 2007