Die Forefront-Produkte werden in drei Gruppen eingeteilt. Die Edge-Security dient dem Schutz der Netze an der Grenze zwischen dem Internet und dem LAN. Sie wird durch das Threat Management Gateway und das Unified Access Gateway gebildet. Eine zweite Gruppe ist der Schutz der Endgeräte durch Produkt wie Firewalls oder Virenscanner. Die dritte Gruppe wird durch die hier betrachteten Server-Schutzwerkzeuge gebildet.
In der Forefront Server Protection bündelt Microsoft die Tools zum Schutze des Exchange Server, des SharePoint Servers und des Office Communication Server. Der Schutz hilft gegen Angreifer wie Viren, Würmer und ähnliche Malware, die mit Dokumenten oder E-Mails eingeschleust werden.
Gebündelte Sicherheit in Forefront Server Protection
Forefront Server Protection ist mehr als ein Scanner für Angreifer, der nach Viren oder Spyware in Mails oder Dokumenten forscht. Das Tool stellt vielmehr eine Ausführumgebung für eingebettete Scan-Engines dar. Diese Scan-Engines sind es letztendlich, die die Arbeit verrichten. Bei der Bereitstellung dieser Engines ist Microsoft nicht kleinlich und packt nicht weniger als fünf unterschiedliche Scanner in die Protection Suite.
Derzeit handelt es sich dabei um die Produkte der Firmen Norman, Authentioum, VirusBuster und Kaspersky sowie um Microsofts eigene Anti-Virus-Engine. Die Engines kommen damit bis auf eine alle von Drittanbietern. Das Ziel von Microsoft liegt dabei in einer bestmöglichen Erkennungsrate. Das ist sicherlich auch zutreffend, denn zwei unterschiedliche Engines werden, so sie ihren Zweck prinzipiell erfüllen, auch eine höhere Erkennungsrate haben als der Scanner eines einzigen Herstellers. Dafür spricht allein schon die statistische Wahrscheinlichkeit.
Fünf parallele Scanner erhöhen die Sicherheit
Seit der Version Exchange 2007 kann die Exchange-Funktion auf mehrere Rollen verteilt werden. Die Scan-Engines wiederum sind dann auf diesen jeweiligen Servern einzusetzen. Welche von den fünf angebotenen Engines der Anwender dabei einsetzen möchte, bleibt diesem überlassen. Die Engines können dabei parallel zum Einsatz kommen. Beim Durchlauf einer Mail durch die Scan-Engines werden diese mit den gesammelten Informationen versorgt, bespielsweise, ob die Mails bereits gescannt wurden und welche Ergebnisse dabei zutage getreten sind. Meist wird es nicht sinnvoll sein, eine Mail zweimal nacheinander durch den gleichen Scanner zu untersuchen, denn das Ergebnis bleibt in der Regel dann immer gleich.
Dies kann beispielsweise bedeuten, dass auf den ersten beiden Servern, dem Edge Transport und Hub Transport, jeweils zwei unterschiedliche Engines angewandt werden und auf dem Server mit der Rolle der Mailbox die verbleibende fünfte Scan-Engine. In der Regel wird man sich aber mit weniger Scan-Durchläufen begnügen. Denn letztendlich hängt diese Frage auch von der Frage der Serverleistung beziehungsweise der Verzögerung ab, die man beim Mail-Austausch hinnehmen müsste.
Größte Sicherheit versus Effizienz bei Abwehr der Angreifer
Die Einstellungen der Engines und der damit erzielten Trefferrate sind weitgehend konfigurierbar. Microsoft erlaubt eine Abstimmung zwischen beiden Aspekten: der größtmöglichen Sicherheit und einer vertretbaren Scan-Laufzeit. Optimale Sicherheit wird dann erreicht, wenn jede der fünf Engines eine Mail auf Angreifer untersucht. Optimale Laufzeit hingegen wird erzielt, wenn nur eine Engine die Mail auf Angriffscode scannen muss. Dazwischen sind drei weitere Abstufungen einstellbar.
Jede Scan-Engine lässt sich separat konfigurieren und einstellen. Die Scan-Engines kommen, wie bereits erwähnt, direkt von den jeweiligen Herstellern. Forefront Server Protection integriert diese lediglich in einem Verbund. Bei allen Scannern handelt es sich um Varianten, die anhand der Signaturen die Angreifer erkennen sollen. Hierfür werden ihnen Signaturdateien zur Seite gestellt. Diese Virensignaturen müssen regelmäßig nachgeführt werden. Das erfolgt direkt und automatisch durch Forefront. Dabei lädt Forefront Server Protection diese Signaturen von der Microsoft-Website. Microsoft wiederum bezieht diese von den Herstellern der jeweiligen Scanner und stellt sie nach einer Prüfung zum Download bereit.
Online- oder Offline-Untersuchung der Dokumente
Die Untersuchung der Daten beim Austausch kann entweder online oder offline erfolgen. Bei der Online-Untersuchung wird beispielsweise ein Dokument, wenn es auf dem Server abgelegt oder abgeholt wird, direkt auf Angreifer analysiert, während bei der Offline-Suche nach potenziellen Angreifern die Verzeichnisse oder Postfächer periodisch gescannt werden. Zum Umfang der Mail-Untersuchung gehören alle Elemente der E-Mail, wie etwa Header, Betreff, Absender, Dateiinhalt und auch der Datenweg der Mail.
Ziel und Zweck des Sicherheitssystems ist das Erkennen und Entfernen von Angreifern in E-Mails oder den Dokumenten, die zwischen dem Nutzer und dem Exchange- oder SharePoint-Server ausgetauscht werden. Was dabei genau passieren soll, kann der Anwender im Vorfeld einstellen. Dies kann beispielsweise die Entfernung des Angreifers oder die Ablage einer Nachricht in eine Quarantäne sein.
Das chronologisch letzte Modul von Forefront betrifft das Reporting. Hierbei berichtet das System über Menge und Häufung der Angreifer, über die durchgeführten Aktionen oder sonstige Maßnahmen.
Spyware und Spam-Abwehr durch Forefront Server Protection
Zu den Neuerungen der aktuellen Version der Forefront Server Protection gehören unter anderem Funktionen zur Bekämpfung von Spyware und Spam-Funktion samt Filter für Backscatter. Dies schließt auch den Support von Exchange 2010 ein. Ferner bestehen nun Anbindungen an die PowerShell zur skriptgesteuerte Abwicklung von Aufgaben.
Des Weiteren hat Microsoft dem Sicherheitssystem ein neues Benutzer-Interface verpasst. Die gesamte Verwaltung von Forefront erfolgt nun in einem Dashboard. Hierin kann sich der Anwender einen schnellen Überblick zur Sicherheitslage machen. Durch die Integration mit dem System Center Operations Manager lassen sich dort auch Statusinformationen austauschen. Zur Installation der Module unterstützt die neue Version nun auch die Techniken des MSI-Installer.
Fazit
Forefront Server Protection schützt die Kommunikationsserver von Microsoft, also Exchange Server, Sharepoint Server und Office Communication Server. Geschützt wird vor Angreifern, die sich in Viren, Würmern oder ähnlichem Angriffscode verstecken. Ferner filtert diese Sicherheitssoftware auch Spam und Spyware aus. Ergänzt durch Online-Dienste, wie etwa Forefront Online Protection for Exchange, wird damit die Kommunikation sicherer. Um aber Rundumschutz zu erreichen, wird man um weitere Bausteine, wie jene der Forefront Edge-Security, nicht herumkommen. (hal)