Como já sabemos, os virus podem comprometer uma infraestrutura de TI. Esses virus podem entrar em nossa empresa principalmente através de e-mails contaminados (corpo da mensagem ou anexo). O Forefront Security for Exchange consegue monitorar ou fazer scans em databases do Exchange Server, evitando que esses virus entrem em nossa empresa.
É importante salientar que o Forefront Security for Exchange foi desenvolvido especificamente para o Exchange Server 2007. Este produto utiliza o Exchange Virus Scanning Application Programming Interface (VSAPI) para se integrar com o Exchange.
O Forefront Security for Exchange consegue fazer scans em servidores Exchange Hub ou Edge, se integrando totalmente com o Exchange Server 2007, oferecendo uma proteção em tempo real e utilizando até 9 engines diferentes. O scan também pode ser realizado em servidores que armazenam as mailbox e public folders. Com isso podemos balancear o scan entre os diversos servidores Exchange, não prejudicando a performance dos servidores.
O Forefront Security for Exchange possui um mecanismo que não realiza o scan em mensagens nas quais os scan já foi executado. Esse recurso pode ser desabilitado. Quando o scan é executado nas mensagens, um marcador é adicionado na mensagem informando que esta já foi verificada. Para que esse marcador seja adicionado os seguintes eventos deverão ocorrer:
Como os engines que compoem o Forefront Security for Exchange são de vários fornecedores, a taxa de detecção dos vírus e a confiabilidade é muito alta. O gerenciamento das diferentes engines do Forefront Security for Exchange é realizada pelo MEM (Forefront Security Multiple Engine Manager). O MEM nos permite monitorar o status de todas as engines que estão sendo utilizadas, configurar diferentes scans e definir as ações que serão tomadas se uma engine precisar ser atualizada ou parar de funcionar.
Os engines disponíveis no Forefront Security for Exchange são:
-
AhnLab, Authentium, CA Vet, CA InnoculateIT, Kaspersky Labs, Norman Data Defense, Microsoft Antimalware, Sophos e VirusBuster.
O Forefront Security for Exchange Server está disponível em 11 linguagens, incluindo:
-
Inglês, Alemão, Francês, Japonês, Italiano, Espanhol, Coreano, Chinês (Simplificado), Chinês (Tradicional), Portugues (Brasil) e Russo.
Podemos definir também quais engines serão utilizadas nos scans, balanceando a performance e o nível de proteção.
Durante a instalação do Forefront Security for Exchange temos a opção de instalar o produto remotamente em outros servidores, facilitando o dia-a-dia dos administradores. Após a instalação do Forefront Security for Exchange em vários servidores, podemos administrar esses servidores através de um único console.
Algumas funcionalidades do Forefront Security for Exchange Server
Seguem abaixo algumas funcionalidades interessantes do Forefront Security for Exchange:
- Suporta SO 64 bits e cobre todas as features do Exchange 2007.
- Pode-se rodar 9 engines de fabricantes diferentes no mesmo servidor, dependendo do modo de licensiamento do produto.
- O engine que tiver a atualização mais recente é executado primeiro.
- O scan nos arquivos é executado enquanto está na memória, e não no disco.
- Arquivos compactados são descompactados, mesmo tendo outros arquivos .zip (por exemplo) dentro de um arquivo. Até 10 arquivos são descompactados, depois do décimo, ou o arquivo é deletado ou movido para quarentena.
- Caso um arquivo zipado tenha vários arquivos .txt e um arquivo .exe, apenas o arquivo .exe é removido. Um arquivo .txt é adicionado no lugar do arquivo .exe, informando que esse arquivo foi removido.
- Arquivos com extenções trocadas também são identificados (o hash do arquivo é comparado com seu conteúdo).
- O BIAS settings define quantos engines trabalharão simultaneamente.
- A quarentena pode ser configurada em um disco ou partição diferente.
- Possui filtros por palavras, mesmo em estruturas .xml.
- Pode ser instalado em Cluster.
Scan em várias camadas no Forefront Security for Exchange
Como o Forefront Security for Exchange trabalha em várias camadas, os scans podem ocorrer em momentos diferentes. Seguem abaixo as camadas nas quais o Forefront Security for Exchange trabalha:
Antes da mensagem chegar no servidor Exchange – Nessa camada o scan nas mensagens é feito antes mesmo da mensagem chegar na mailbox. Esse scan podem ser realizado no servidor Edge ou no servidor no qual o serviço de e-mail está hospedado, como por exemplo o Microsoft Exchange Hosted Filtering.
Mensagem em trânsito – Nessa camada de proteção, o Forefront Security for Exchange realiza o scan quando a mensagem está em transito dentro da rede corporativa. Esse tipo de scan protege apenas mensagens que se originaram externamente, não verificando mensagens internas. Mensagens que se originaram de conexões VPN’s também não são verificadas nessa camada.
Mensagem na mailbox – Esse tipo de scan é realizado quando a mensagem já está na mailbox do usuário. Isso nosoferece um nível ainda maior de proteção. Caso um usuário interno anexe um arquivo contaminado em uma mensagem e apenas salve essa mensagem, como rascunho por exemplo, o Forefront Security for Exchange consegue acessar essa mensagem e remover o arquivo contaminado.
Outro detalhe importante é que os e-mails externos (inbound) serão filtrados no servidor Exchange Edge. Os e-mails que sairem da sua empresa para a internet (outbound) serão filtrados no Exchange Hub. Quando a mensagem tem origem e destino interno, o scan é realizado no Exchange Hub. O scan de e-mails que já estão na mailbox também pode ser realizado. Esse scan pode ser realizado pelo Realtime Scan Job, pelo Background Scanning e pelo Manual Scan Job. Esse recurso é desabilitado por padrão.
Seguem abaixo os requisitos mínimos para a instalação do Forefront Security for Exchange Server:
Tabela 1 – Requisitos mínimos
|
Requisitos mínimos
|
|
Processador
|
32-bit Trial
X86 architecture-based computer
64-bit Trial
x64 architecture-based computer with:
• Intel Xeon or Intel Pentium Family processor that supports Intel Extended Memory 64 Technology (Intel EM64T) or
• AMD Opteron or AMD Athlon 64 processor that supports AMD64 platform
|
|
Sistema Operacional
|
Microsoft Windows Server 2003
|
|
Memória
|
512MB of available memory (1GB recomendado)
|
|
Espaço em disco
|
300MB de espaço em disco disponível
|
|
Microsoft Exchange
|
Microsoft Exchange Server 2007
|
Intel Itanium IA64 processors are not supported
Seguem abaixo os requisitos mínimos para a instalação do Forefront Security for Exchange Server SP1 BETA 2:
Tabela 2 – Requisitos mínimos
|
Requisitos mínimos
|
|
Processador
|
32-bit Trial
X86 architecture-based computer
64-bit Trial
x64 architecture-based computer with:
• Intel Xeon or Intel Pentium Family processor that supports Intel Extended Memory 64 Technology (Intel EM64T) or
• AMD Opteron or AMD Athlon 64 processor that supports AMD64 platform
|
|
Sistema Operacional
|
Microsoft Windows Server 2003 ou Windows Server 2008
|
|
Memória
|
1GB de memória disponível (2GB recomendado)
|
|
Espaço em disco
|
550MB de espaço em disco disponível
|
|
Microsoft Exchange
|
Microsoft Exchange Server 2007
|
Instalação do Forefront Security for Exchange
Seguem abaixo os procedimentos para instalação do Forefront Security for Exchange no servidor:
· Execute o arquivo de setup que está no CD de instalação. Na tela abaixo clique em Run the Setup Wizard.
· Na tela abaixo clique em Next.
· Na tela abaixo clique em Yes, concordando com os termos de licensa.
· Na tela abaixo digite o nome do usuário e organização e clique em Next.
· Na tela abaixo defina se a instalação será no servidor local ou em um servidor remoto. Selecione a opção Local Installation e clique em Next.
· Na tela abaixo defina se a instalação será completa (Full Installation) ou se apenas o console de administração (Client – Admin console only) será instalado. Selecione a opção Full Installation e clique em Next.
· Na tela abaixo defina se a instalação será realizada no modo Secure ou Compatibility. O modo Secure define que o scan nas mensagens e anexos que forem movidos para a quarentena será executado em busca de vírus, e utilizará os filtros de arquivos e conteúdo. O modo Compatibility define que as mensagens e anexos poderão ser movidos para a quarentena sem que o scan de filtros de arquivos e conteúdos seja executado. Nesse caso apenas o scan de vírus será utilizado. Selecione a opção Secure Mode e clique em Next.
· Na próxima tela defina os tipos de engines que serão utilizados inicialmente. As engines podem ser alteradas posteriormente. Note que somente 4 engines poderão ser selecionadas. A engine Microsoft Antimalware é selecionada por padrão. Selecione 4 engines e clique em Next.
· Caso o servidor no qual o Forefront Security for Exchange estiver sendo instalado tenha a função de Edge, será exibida uma tela perguntando se deseja habilitar o Anti-Spam Updates. Essa tela será exibida apenas se nenhuma alteração tiver sido feita nas configurações do Anti-Spam Updates no console de gerenciamento do Exchange.
· Na tela abaixo leia as informações sobre as atualizações das engines e clique em Next.
· O próximo passo será definir o diretório de instalação do Forefront Security for Exchange. Defina o diretório e clique em Next.
· Na tela abaixo defina o local no qual o Forefront Security for Exchange será instalado no menu Iniciar e clique em Next.
· Clique em Next novamente.
· A partir desse momento o Forefront Security for Exchange será instalado. Na próxima tela será solicitado que os serviços do Exchange sejam reiniciados. Clique em Next.
· A próxima tela informará que os serviços forem reiniciados com sucesso. Clique em Next.
· Pronto. O Forefront Security for Exchange foi instalado com sucesso. Na tela abaixo clique em Finish.
Instalação do Forefront Security for Exchange (apenas console)
Seguem abaixo os procedimentos para instalação do console do Forefront Security for Exchange em uma estação de trabalho:
· Na tela abaixo clique em Next.
· Na tela abaixo clique em Yes, concordando com os termos de licensa.
· Na tela abaixo digite o nome do usuário e organização e clique em Next.
· Na tela abaixo defina se a instalação será local ou remota. Selecione a opção Local Installation e clique em Next.
· Na tela abaixo defina se a instalação será completa (Full Installation) ou se apenas o console de administração (Client – Admin console only) será instalado. Selecione a opção Client – Admin console only e clique em Next.
· O próximo passo será definir o diretório de instalação do Forefront Security for Exchange. Defina o diretório e clique em Next.
· Na tela abaixo defina o local no qual o Forefront Security for Exchange será instalado no menu Iniciar e clique em Next.
· Clique em Next novamente.
· Pronto. O console de administração do Forefront Security for Exchange foi instalado com sucesso. Na tela abaixo clique em Finish.
Importante: Após a instalação do console do Forefront Security for Exchange em uma estação de trabalho, os procedimentos abaixo devem ser realizados na própria estação de trabalho para que o console consiga acessar o servidor corretamente:
· Clique em Start, Run, digitedcomcnfg e tecle Enter.
· Expanda a opção Component Services, Computers, clique com o botão direito em My Computer e clique em Properties.
· Clique na aba COM Security.
· Em Access Permissions clique em Edit Limits.
· Habilite a permissão Allow Remote Access para a conta de Anonymous Logon e clique em OK duas vezes.
· O próximo passo será adicionar o console administração do Forefront Server Security nas exceções do Windows Firewall. Para isso abra o Windows Firewall, clique em Exceptions, clique em Add, selecione o programa Forefront Server Security Administrator e clique em OK. Clique sobre Forefront Server Security Administrator, clique em Add Port, digite um nome para a porta, defina a porta como 135, protocolo TCP e clique em OK duas vezes.
Serviços do Forefront Security for Exchange
Após a instalação do Forefront Security for Exchange alguns serviços são criados no servidor. Quando instalamos apenas o console de administração, esses serviços não são criados.
· FSCController – Esse serviço funciona como um agente no servidor no qual o Forefront Server Security Administrator se conecta. Esse serviço coordena todas as atividades dos scans realtime, manual e transport. É configurado como manual e é executado com a conta Local System. Esse serviço depende dos serviços FSCMonitor, Net Logon, RPC e Task Scheduler. Os seguintes serviços dependem do FSCController: FSEIMC e Microsoft Exchange Information Store. Quando o serviço Microsoft Exchange Information Store for parado ou iniciado, o mesmo ocorrerá com o serviço FSCController. Caso os serviços FSCController e FSCMonitor sejam parados, todas as atividades de scan de mensagens serão interrompidas, porém o fluxo das mensagens continuará.
· FSCMonitor – Esse serviço é responsável por monitorar o Information Store, o Transport stack e os processos do Forefront Security, garantindo a proteção continua.
· FSEStore – Esse serviço é responsável por garantir que o Forefront Security seja inicializado corretamente com a Information Store.
· FSEIMC – Esse serviço é responsável por registrar o agente FSE, garantindo que as mensagens serão escaneadas pelo processo FSCTransportScanner.
· FSCRealtimeScanner – Esse serviço é responsável por provêr o scan imediato de mensagens que são enviadas e recebidas pelas mailbox e public folders existentes no servidor Exchange.
· FSCTransportScanner – Esse serviço é responsável por garantir que todas as mensagens que passarem pelo Transport stack serão escaneadas antes de serem enviadas.
· FSCStaticService – Esse serviço é responsável por armazenar as estatísticas de scans de todos os tipos de jobs. Essas informações são disponíveis para consultas posteriomente através do Microsoft Forefront Security Enterprise Manager.
O Forefront Security for Exchange Service utiliza o componente DCOM para autenticar as conexões. Com isso podemos definir quais usuários poderão se conectar no FSCController utilizando o Forefront Server Security Administrator. Para definir os usuários que poderão administrar o Forefront Security for Exchange siga os procedimentos abaixo:
- Abra o prompt de comando e digite DCOMCNFG e tecle Enter.
- Expanda a opção Computers, My Computer, DCOM Config, clique com o botão direito em FSCController e clique em Properties.
- Na tela abaixo clique em Security.
- Em Access Permissions clique em Edit e faça as configurações desejadas. Clique em OK.
Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através de e-mail: fabianodesantana@terra.com.br.
Nos próximos artigos veremos como configurar o Forefront Security for Exchange e as melhores práticas.
_______________________________________________________________________________________
Fabiano de Santana, trabalha com TI a mais de 7 anos. Bacharelado em Análise de Sistemas e cursando Pós Graduação em Segurança da Informação. Trabalha atualmente na IBM Brasil, membro do time de Intel Security. Realizou vários projetos, entre eles implementação do WSUS, migração de correio eletrônico, implementação do ISA Server 2004, implementação de políticas de segurança, implementação de Lotus Notes, entre outros. Possui as certificações MCP, MCDST, MCSA / MCSE 2000 Security, MCSA/MCSE 2003 Security, ITIL Foundation e IBM Certified System Administrator – Lotus Notes and Domino 7. Em janeiro de 2008 foi nomeado MVP.
Autor de ebooks e artigos em parceria com o Julio Battisti há mais de 2 anos, moderador do Fórum de Windows / Certificações do site www.juliobattisti.com.br e autor de artigos para o Technet. Atua também como professor e autor de cursos para o site iPED.