Die Forefront Protection Server Management Console 2010 (FPSMC) ist seit Dezember 2010 zum kostenfreien Download für das zentrale Management von Forefront Protection 2010 for Exchange Server (FPE) und Forefront Protection 2010 for SharePoint (FPSP) erhältlich.
Biser nur in englisch, gibt es die FPSMC 2010 nun auch in weiteren zehn Sprachen u.a. natürlich auch in einer deutschen Version. Für Freunde der Kommandozeile hier nochmals der Hinweis, dass es auch ein kostenfreies Forefront Protection Server Script Kit (FPSSK) gibt, mit dem administrative Aufgaben bis hin zum einfachen Reporting auch per PowerShell erledigt werden können.
Neben dem üblichen Sammelsurium an aufgelaufenen Patches bringt das Hotfix Rollup 2 for Forefront Protection for Exchange (FPE) auch einige interessante neue Funktionen für FPE mit, wie z.B.:
- Anpassbare Texte für "EncryptedCompressedFile" und "CorruptedCompressedFile".
- Unterstützung für ZIP-Archive, die mit Enhanced Deflate komprimiert wurden.
Das Rollup hilft übrigens auch bei Ärger mit der Datumseingabe bei der Lizenz, bei Problemen mit Dateien vom Typ RAR, ZIP, JPEG und COD, sowie bei der Filterung von Dateien in TNEF oder WINMAIL.DAT.
Bei Wikipedia gibt es nun auch Artikel über einige Forefront-Produkte:
Wie üblich, ist natürlich gewünscht, diese Artikel zu kommentieren oder zu verbessern. 
Als Nachfolgder der Forefront Security Management Console (FSSMC) wird die Forefront Protection Server Management Console 2010 (FPSMC) ab 17.12.2010 als kostenloser Download zur Verfügung stehen.
Die webbasierte Konsole ermöglicht die zentrale Verwaltung von Forefront Protection 2010 for Exchange Server und Forefront Protection 2010 for SharePoint. Mehr Informationen zur Console und ihrer Funktionalitäten im Microsoft Forefront Server Protection Blog.
Speziell für die Veröffentlichung von Exchange Server 2010 mit Forefront Threat Management Gateway 2010 (TMG 2010) und Forefront Unified Access Gateway 2010 (UAG 2010) gibt es ein eigenes Whitepaper.
Es zeigt sowohl die erforderlichen Schritte der Bereitstellung, als auch die Unterschiede bei der Verwendung von TMG und UAG.
Das Update 1 für Threat Management Gateway 2010 (TMG) SP1 ist zum Download verfügbar. Die Neuerungen sind:
- SafeSearch Enforcement
Forefront TMG can enforce blocking adult text, images and videos from search results by popular search engines. SafeSearch can be enforced on specific groups or to the entire organization.
- Including non-primary URL filtering categorizations
Forefront TMG uses an algorithm to select a URL’s “primary” category from among up to four categorizations provided by Microsoft Reputation Services (MRS). In Update 1 you can control access to sites that match any of the non-primary categorizations provided by MRS. For example, a URL with a primary categorization of News can now match a rule by any of its non-primary categorizations (such as Web Mail).
- Support for Exchange 2010 SP1
- Bug fixes and various other improvements (http://go.microsoft.com/fwlink/?LinkId=201151)
Mehr Informationen zum Update 1 für TMG 2010 SP1: http://go.microsoft.com/fwlink/?LinkId=201154
Multi-Server-Management von der Kommandozeile: Das Forefront Protection Server Script Kit (FPSSK) ist als Solution Accelerator zum Download verfügbar.
Mithilfe des FPSSK können bestehende Installationen mit Forefront Protection 2010 for Exchange Server (FPE) und Forefront Protection 2010 for SharePoint bequem per PowerShell verwaltet werden (Server Discovery, Configuration, Deployment) und stellt auch einfache Reporting-Funktionen bereit.
Wer sich einen Überblick über die Cloud-basierten Messaging-Security Services Forefront Online Protection for Exchange (FOPE) zum Schutz vor Viren und Spam verschaffen möchte, kann sich mittels neuer Silverlight Demos in aller Kürze informieren.
Ansonsten gibt es natürlich immer noch die Möglichkeit, sich für eine bis zu 60 Tage-Trial der Dienste zu registrieren, um die Funktionen im gesamten Umfang live zu testen.
Auch für Forefront Protection 2010 for Exchange Server (FPE 2010) und Forefront Protection 2010 for SharePoint (FPSP 2010) gibt es nun die Best Practices Analyzer (BPA).
FPE 2010 BPA und FPSP 2010 BPA überprüfen die System- und Produktkonfiguration und zeigen dem Administrator etwaige Unstimmigkeiten in einem konsolidierten Bericht. Eine zugehörige Dokumentation erläutert die Best Practices und liefert auch enstprechende Informationen, warum die eine oder andere Konfiguration besser zu wählen ist.
Die virtuelle Demoumgebung zur Microsoft Business Ready Security-Strategie gibt es nun aktualisiert als Version 3.0b zum Download.
Mithilfe von 13 virtuellen Maschinen können in verschiedenen Szenarien die Funktionen rund um Produkte, wie Microsoft Forefront oder Active Directory Rights Management Services selbst getestet werden:
Secure Messaging - Enable more secure business communication from virtually any location or device, while preventing unauthorized use of confidential information
- Seamless, secure access through Forefront Unified Access Gateway (UAG)
- Automatically control confidential e-mail with built-in information protection using Active Directory Rights Management Services (AD RMS)
- Protect Exchange with multiple best-in-class anti-malware engines using Forefront Protection 2010 for Exchange Server
- Outlook Web Access 2010 integration with AD RMS
- Outlook 2010 automatic protection using AD RMS
Secure Collaboration - Secure business collaboration from virtually anywhere and on any device, while preventing unauthorized use of confidential information
- Secure collaboration by using Active Directory Federation Services 2.0 (AD FS) and AD RMS (for Partner employees)
- Secure collaboration by using Forefront UAG (for Internal employees)
- Secure collaboration by using UAG (for Internal employees)
Secure Endpoint - Protect client and server operating systems from emerging threats and information loss, while enabling secure access from virtually anywhere and on any device
- Advanced threat protection with Forefront Threat Management Gaetway 2010 (TMG)
- Malware protection when not connecting to the company network
- Malware protection when using USB drives
- DirectAccess with Forefront UAG
Information Protection - Discover, protect, and control information contained in data in motion, data at rest, and data in use for organizations
- Protecting data-in-motion with Exchange 2010 and AD RMS
- Protecting data-at-rest with SharePoint 2007, AD FS and AD RMS
- Protection data-at-rest with File Classification Infrastructure (FCI) and AD RMS
Identity and Access Management - Simplify identity and access management for secure, compliant access to applications on-premises and in the cloud from any location or device
- Secure Remote Access
- Group management with Forefront Identity Manager 2010 (FIM) and Outlook
- Self-service password reset with FIM 2010
- Claims-based authentication with AD FS 2.0
Wie schon für Forefront Security for Exchange Server gibt es jetzt auch für Forefront Protection 2010 for Exchange Server (FPE 2010) ein Capacity Planning Tool.
Das Capacity Planning Tool hilft bei der Bestimmung der Hardwarevoraussetzungen für die Implementierung von FPE 2010 auf Basis der gewünschten Sicherheitsmerkmale. Mit der "Standard Reference Architecture" und "Enterprise Reference Architecture" kann dabei zwischen Klein- und Mittelständischen bzw. großen Unternehmensnetzwerken unterschieden werden und auch die physikalische oder virtuelle Umsetzung berücksichtigt werden.
 Nach relativ kurzer Release Candidate-Phase wurde am letzten Freitag für Forefront Protection 2010 for Exchange Server das Release to Manufacturing (RTM) bekannt gegeben.
Der Nachfolger von Forefront Security for Exchange (FSE) wird zeitgleich mit dem Launch von Windows 7, Windows Server 2008 R2 und Exchange Server 2010 auf der TechEd EMEA in Berlin als Release to Web (RTW) am 09.11.2009 bereitgestellt.
Highlights sind die aus FSE bekannten fünf Antimalware-Engines (Microsoft, Kaspersky, Norman, Authentium und VirusBuster), die Antisam-Engine von Cloudmark, Backscatter-Filtering und die neue Konfigurationsoberfläche mit dem darin enthaltenen Management für die Cloud-Services Forefront Online Protection for Exchange (FOPE).
Der Nachfolger von Forefront Security for Exchange (FSE), Forefront Protection 2010 for Exchange Server (FPE) steht nun als Release Candidate zum Download bereit.
Nicht wundern, der Download wird noch nach dem bisherigen Benennung mit "Forefront Security 2010 for Exchange Server Release Candidate" gelistet. Wie in der Beta 2 unterstützt der Release Candidate die Installation auf Exchange Server 2007 SP1 und Exchange Server 2010. Außerdem steht die Integration für die Cloud-Services von Forefront Online Protection for Exchange (FOPE), bisher Forefront Online Security for Exchange (FOSE) auf der Downloadseite zur Verfügung, mit der eine entsprechende Hybrid Protection durch die Kombination mit den On-premise-Schutz von FSE abgebildet werden kann.
 Seit der Weltweiten Partnerkonferenz von Microsoft in New Orleans (WPC09) stehen nun die endgültigen Namen der neuen Forefront-Produkte fest, die bisher unter dem Codenamen Forefront „Stirling“ (aktuell als Beta 2) entwickelt wurden.
Forefront Protection Suite - Nachfolger der Forefront Security Suite:
- Forefront Protection Manager 2010 - bisher die Forefront „Stirling“ Console
- Forefront Protection 2010 for Exchange - Nachfolger von Forefront Security for Exchange
- Forefront Protection 2010 for SharePoint - Nachfolger von Forefront Security for SharePoint
- Forefront Endpoint Protection 2010 – Nachfolger von Forefront Client Security
- Forefront Threat Management Gateway Web Security Service - Subscription zu Threat Management Gateway, wie z.B. Anti-Malware
- Und: Forefront Online Protection for Exchange – Nachfolger von Forefront Online Security for Exchange bzw. Exchange Hosted Filtering
Vermehrt taucht seit dem Erscheinen des Antigen 9 Service Pack 2 die Frage auf: Woher bekomme ich als lizenzierter Kunde den SP2? Denn im öffentlichen Download Center von Microsoft steht nur die Evaluierungsversion von Antigen 9 SP2 zum Download bereit.
Vorab, Antigen 9.0 SP2 ist ein vollständiges Produkt. Also kein inkrementelles Paket, welches ein vorhandenes Antigen 9.0 voraussetzen würde. Die lizenzierte Version gibt es im MVLS (Microsoft Volume Licensing Site) als Download und kann somit neu oder über eine vorhandene Version installiert werden.
Ein Update sollte übrigens auch mit Hilfe der Eval-Version möglich sein. Zuvor sollte man jedoch von der Lizenzdatei license.cfg in jedem Fall ein Backup erstellen.
Gleich vier Service Packs sind gestern für Forefront Server Security und Antigen veröffentlicht worden:
Neben dem Rollup der letzten Software Fixes ist die wohl wichtigste Neuerung, dass von bisher acht Antimalware-Engines drei "gestrichen" und zum 1.12.2009 abgekündigt wurden: CA, Sophos und AhnLab. Übrig geblieben sind: Microsoft, Kaspersky, Norman, Authentium, VirusBuster.
Im Gegenzug hält bei Antigen 9 schon ein kleiner Vorgeschmack auf die nächste Generation von Forefront Server Security Einzug: Im Bereich AntiSpam wurde MailFilters ebenfalls zum 1.12.2009 abgekündigt und dafür die Cloudmark-Engine mit aufgenommen.
Mehr Auskunft zu den neuen Service Packs, den Änderungen und Einsatz der Engines die TechNet-Seite Antimalware Engine Notifications and Developments. Ausserdem mehr Hintergrundinformationen im Forefront Server Security Blog. Die Verfügbarkeit von neuen Engines oder eine bevorstehende Ausmusterung vorhandener Engines werden übrigens in Forefront Server Security und Antigen mit diesen SPs ab sofort in den Ereignisprotokollen angezeigt.
Unterstützung für die Planung der Messaging-Infrastruktur, die mit Forefront Security for Exchange (FSE) ausgestattet werden soll, bietet das Forefront Security for Exchange Server SP1 Capacity Planning Tool.
Das Werkzeug in Form einer Excel-Tabelle ermöglicht die Kalkulation der Anforderungen für Hardware und Architektur für neue und bestehende Umgebungen auf Basis des gewünschten Sicherheitsgrades und der technischen Funktionseinstellungen von FSE. Die Berechnung erfolg in wenigen Schritten und kann sowohl für Standard- als auch Enterprise-Umgebungen durchgeführt werden.
Gestern wurde es nun endlich offiziell: Die Beta 2 von Forefront Codename "Stirling" steht bereit (PressPass).
Besonders interessant ist dabei die Ankündigung, dass zukünftig Partner eigene Lösungen entwickeln können, die die Funktionalität von Forefront "Stirling" erweitern werden. Die ersten Partner sind: Brocade, Guardium, Imperva, Juniper Networks, Kaspersky, Q1 Labs, StillSecure, Sourcefire Inc., Tipping Point und RSA
Und ganz nebenbei noch ein paar "Annährerungen": Der Identity Lifecycle Manager (ILM) heisst zukünftig Forefront Identity Manager (FIM) und die Exchange Hosted Services Filtering (EHS-F) nennen sich seit 1. April Forefront Online Security for Exchange (FOSE).
Auch das TechCenter zu Forefront "Stirling" wurde zeitgleich aktualisiert und bietet zahlreiche Informationen und Material:
*=Stand heute fehlen hier noch die Downloads für die "Stirling" Console und Forefront Client Security (FCS).
Beide Produkte sind jedoch im Beta 2 VHD-Download vorinstalliert enthalten.
Ein paar Punkte zu den Features und dem Funktionsumfang in Forefront "Stirling" Beta 2:
- Forefront Codename “Stirling“ Console
- Zentrales Richtlinien-Management für FCS, FSE, FOSE und FSSP
- Reporting Services und Portal mit SQL Reporting Server für TMG
- Enterprise Security Assessment und Remediation
- Security-Status in Echtzeit
- Investigation und Remediation für Sicherheitsvorfälle
- Gemeinsame Erkennung von Angriffen im gesamten Netzwerk
- Koordinierte Responses um die Angriffe zu adressieren
- Forefront Client Security (FCS)
- Nächste Generation der Microsoft Anti-Malware
- Zusätzlicher Schutz des Clients durch:
- Erkennung von Buffer Overruns die eingehend an den Client gerichtet sind
- Integration mit NAP durch einen integrierten System Health Agent (SHA)
- Forefront Security for Exchange (FSE)
- Premium On Premise Antispam-Schutz mit Cloudmark-Engine
- Premium Cloud Antispam-Schutz mit Forefront Security for Exchange (FOSE)
- Integration in Stirling
- Unterstützung für Exchange 2007 (E12) und Exchange 2010 (E14)
- Forefront Security for SharePoint (FSSP)
- Integration in Stirling
- Höhere Scanning Performance bei geplanten Scans
- Forefront Threat Management Gateway (TMG)
- Integration in Stirling
- Intrusion Prevention
- Email Protection “Preview”
Nach langer Pause gibt es wieder Neuigkeiten zur nächsten Generation der Forefront Produkte, die ja bekanntlich derzeit noch unter dem Codename "Stirling" geführt werden.
Gemäß dem Forefront Team Blog gilt folgender Zeitplan für das Erscheinen der Produkte von Forefront "Stirling":
- Forefront Security for Exchange (Version 11) und Forefront Threat Management Gateway (Nachfolger von ISA 2006) in Q4 2009
- Forefront Security for SharePoint (Version 11), Forefront Client Security (Version 2) und Forefront Stirling Management Console in H1 2010
Primäre Gründe für die leichte Verschiebung im Zeitplan sind neue Anforderungen, die über das Feedback von Kunden im Technology Adoption Program (TAP) in derzeitigen Beta-Phase gegeben wurden. Dazu gehört die Interoperabilität mit Produkten von Drittherstellern in Bezug auf das Security Assessment Sharing (SAS) und das Behavior Monitoring (BM), um das Netzwerk und den Endpoint noch besser vor so genannten Zero-Day-Attacken schützen zu können.
Vor dem Release von Forefront Stirling wird übrigens in Kürze noch eine Beta 2 und auch ein Release Candidate erwartet.
In Forefront Security for Exchange (FSE) ist es im Bereich Allgemeinen Einstellungen möglich, für den Scanauftrag bei der Option Transportnachrichten unter Quarantäne stellen die Einstellung Als einzelne EML-Datei unter Quarantäne stellen. Diese Einstellung ermöglicht es, dass die gesamte Nachricht in Quarantäne gestellt wird, wenn ein Inhalts- oder Dateifilter bei der Nachricht zutrifft. Im Umkehrschluß bedeutet dies übrigens, dass die Option nicht für erkannte Viren oder Nachrichten im Echtzeit-Scanauftrag gelten.
Erstellt man beispielsweise einen Dateifilter mit seinen Standardeinstellungen, um diese Option zu testen, wundert man sich, warum immer noch nur die gefilterte Anlage der Nachricht unter Quarantäne gestellt wird (siehe Bild 1).
Bild 1: Nur der gefilterte Anhang einer Nachricht wird in der Quarantäne abgelegt.
Der Grund findet sich in der Dokumentation: Ganze Nachrichten werden nur für Inhalts- und Dateifilter unter Quarantäne gestellt, die auf Entfernen festgelegt sind, wenn die Quarantäne aktiviert ist. Im Klartext bedeutet dies, dass im Inhalts- oder Dateifilter statt Löschen: Inhalt entfernen (Remove) die Aktion Entfernen: Nachricht eliminieren (Purge) gewählt werden muss (siehe Bild 2).
Bild 2: Um die gesamte Nachricht unter Quarantäne zu stellen, muss "Eliminieren" für den Filter gewählt werden.
Speichert man diese Einstellung wird jede Nachricht gelöscht (also nicht zusgestellt), aber als gesamtes in der Quarantäne abgelegt, wenn der Filter zutrifft. Die Nachricht kann dann auch aus der Quarantäne als EML-Datei gespeichert werden (siehe Bild 3).
Bild 3: Gesamte Nachricht in der Quarantäne, wenn Aktion "Eliminieren" für den Filter ausgewählt ist.
Ein Klassiker unter den häufigen Fragen: Welche Cluster-Rollen von Exchange werden durch Forefront for Exchange (FSE) unterstützt? Die entsprechende Antwort findet sich im Forefront Server Security TechCenter:
- Local Continuous Replication (LCR)
- Standby Continuous Replication (SCR)
- Cluster Continuous Replication (CCR)
- Single Copy Cluster (SCC)
Wie ist es bei der nächsten Generation Forefront "Stirling"? Aktuelle Antwort auch hier im Forefront Server Security TechCenter:
Beta Issues
This beta release does not support several features of FSE:
- Installation on clusters.
Das lange Warten hat ein Ende: Zusammen mit den beiden MVPs für Microsoft Forefront, Dieter Rauscher und Christian Gröbner, ist das Buch Sichere Messaging-Infrastruktur mit Microsoft Forefront entstanden und in Kürze auch Dank Microsoft Press im Buchhandel Ihrer Wahl verfügbar.
 |
|
Kurzbeschreibung:
Für Unternehmen ist heute ein reibungsloser E-Mail-Verkehr absolut unternehmenskritisch. Allerdings wird häufig sehr wenig Wert auf E-Mail-Sicherheit und die richtige Konfiguration der E-Mail-Systeme gelegt. Um Sie hierbei zu beraten und zu unterstützen, haben die Autoren dieses Praxisbuch geschrieben. Die Microsoft Forefront-Familie ermöglicht einen effektiven Schutz für und eine bessere Kontrolle über die Sicherheit Ihrer Messaging-Infrastruktur.
Um die Installations- und Konfigurations-Schritte praxisnah zu beschreiben, versetzen die Autoren Sie in die Rolle des IT-Administrators der fiktiven Firma Fabrikam Inc. und zeigen Ihnen, wie Sie den sich ständig verändernden Bedrohungen begegnen und den wachsenden Unternehmens-Anforderungen gerecht werden können.
- Absichern der Messaging-Infrastruktur mit Microsoft Forefront
- Praxisorientierter Leitfaden für Exchange- und SharePoint-Administratoren
|
|
Lesen Sie:
- Grundlagen der E-Mail-Kommunikation
- Das Problem der Flut von unerwünschten E-Mails
- Einführung in die Microsoft Forefront-Produktfamilie
- Antispam-Funktionen von Microsoft Exchange Server 2007´
- Bereitstellen, Konfigurieren und Administrieren von Forefront Security für Exchange Server
- Empfohlene Einstellungen und Best Practices
- Durchführen von Diagnose und Fehlerbehandlung
- Arbeiten mit Forefront Security für SharePoint Server
- Antigen 9 für Exchange Server und SMTP-Gateways
- Überblick über die Exchange Hosted Services
|
Wie eine Hosted Messaging and Collaboration (HMC) 4.5-Umgebung mit Forefront Security für Exchange (FSE) abgesichert werden kann, steht als Dokument Protecting HMC 4.5 Environments with Forefront Security for Exchange Server im Microsoft Download Center zur Verfügung. Darin wird beschrieben, wie am Besten FSE in den entsprechenden Zonen installiert und konfiguriert werden sollte und enthält außerdem Informationen zur Lizenzierung und den Preisen.
Mit Exchange Server 2007 kann nicht nur der Server als Standard oder Enterprise Edition lizenziert werden, sondern man kann auch unabhängig von der Server Edition für den Zugriff zwischen Standard und Enterprise CAL wählen (wobei die Enterprise CAL immer zusätzlich zur Exchange Standard CAL oder Core CAL Suite erworben werden muss).
Die Exchange Enterprise CAL bringt dann neben Exchange-spezifischen Features, wie Unified Messaging oder Managed E-Mail Folders auch Forefront Security for Exchange und Exchange Hosted Services Filtering. Außerdem enthält Forefront Security for Exchange Server auch die Premium Antispam-Services von Exchange 2007, darunter den Microsoft IP-Reputationsfilter, IMF- (Content Filter) Signaturen und Antispam-Signaturen mit automatischer Updateverwaltung mehrmals täglich.
Aber Vorsicht:
- Nur Exchange Enterprise CAL mit Software Assurance (SA) enthält Forefront Security for Exchange und Exchange Hosted Filtering. Die jährlichen Kosten der Exchange Enterprise CAL beinhalten sowohl die Updates der Lösungen als auch Software Assurance Services.
- In den Volumenlizenzprogrammen Open Value, Open Value Subscription, Select License, Enterprise Agreement und Enterprise Agreement Subscription ist jede Exchange Enterprise CAL automatisch mit Software Assurance ausgestattet.
- In Open License kann die Exchange Enterprise CAL ohne SA erworben werden - Forefront Security for Exchange und Exchange Hosted Filtering sind dann nicht enthalten.
Reine Information und keine Lizenzberatung! 
Zum Thema Sicherheit und auch speziell zu den Produkten der Microsoft Forefront-Familie gibt es inzwischen zahlreiche interessante Webcasts, die zwar bereits stattgefunden haben, aber man sich jederzeit "On demand" ansehen kann. Außerdem stehen für die nächsten Wochen weitere interessante Webcasts an, die vor allem tiefere Einblicke in die Forefront-Produkte ermöglichen (mit einem * gekennzeichnet).
Forefront Client Security:
Forefront Server Security:
Forefront Edge Security:
Forefront Stirling:
Sicherheit Allgemein:
Viel Spaß! 
Mit der Forefront Server Security Management Console (FSSMC) können sie bequem mehrere Installationen von Forefront Server Security für Exchange, Forefront Server Security für SharePoint oder Antigen für Exchange zentral konfigurieren und verwalten. Die dabei entstehenden Protokolle können dabei im Laufe der Zeit sehr umfangreich und so zum Problem werden, wenn beispielsweise SQL Server 2005 Express als Datenbanksystem eingesetzt wird (max. 4 GB Datenbankgröße).
Microsoft stellt deswegen das Log Purge Tool zum Download bereit, mit dem alte Protokolleinträge aus den Logs gelöscht und auf einen anderen Ort gesichert werden können.
Wer sich genauer mit dem Thema Anti-Spam und Anti-Virus bei Exchange Server 2007 auseinandersezten möchte, dem helfen viele interessante Artikel im Exchange Server TechCenter (Microsoft TechNet). Nachfolgend ein paar der wichtigsten Links:
Manchmal kann es passieren, dass Forefront Server Security (FSS) eine AV-Engine nicht aktualisieren kann. Eine entsptechende Fehlermeldung wird dazu im Anwendungs-Protokoll und auch in der FSS-Log-Datei Programlog.txt mit Error: The <EngineName> scan engine update timed out geschrieben.
Abhilfe schafft der KB-Artikel 939411, in dem beschrieben wird, wie der Time Out (Standardwert ist 30 Sekunden) für den Download der Engines erhöht werden kann: Dazu wird in der Registry unter
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server bei Forefront for Exchange (FSE) oder unter
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Sharepoint bei Forefront for SharePoint (FSSP)
(bzw. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Server Security\Sharepoint bei der 32-Bit-Version)
der ein neuer Wert EngineDownloadTimeout vom Typ DWORD mit dem Wert 600 (entspricht 600 Sekunden) erstellt. Die Dienste von FSS müssen nach dieser Änderung nicht neu gestartet werden.
Manchmal hilft es übrigens auch, einfach nur das entsprechende Engines-Verzeichnis in der FSS-Installation (z.B. bei FSE unterhalb von %ProgramFiles%\Microsoft Forefront Security\Exchange Server\Data\Engines\x86\ zu löschen.
Nachdem seit gestern das Service Pack 1 für Exchange Server 2007 zum Download verfügbar ist, an dieser Stelle ein wichtiger Hinweis für den Betrieb von Exchange mit Forefront Security for Exchange (FSE):
Nachdem das FSE RTM (Version 10.0) von Exchange 2007 SP1 als nicht unterstütze Version erkannt wird, muss zuerst das Forefront Security for Exchange Server with Service Pack 1 (Version 10.1) installiert werden, bevor die Exchange 2007-Installation auf SP1 aktualisiert werden kann. (Folglich ist FSE SP1 auf Exchange 2007 RTM ohne dessen SP1 funktionsfähig. )
Ein neues Management Pack für FSE SP1 und MOM 2007 bzw. OpsMgr 2007 steht derzeit noch aus, sollte aber in Kürze im System Center Pack Catalog verfügbar sein.
Der Multiple Scan Engine Manager (MEM) bei Forefront Server Security ist die essentielle Komponente, die einerseits die verschiedenen Scan Engines verwaltet und überwacht und andererseits dafür zuständig ist, welche Engine in Kombination mit der Bias-Setting und dem aktuellen Rating der Engines für einen Scan herangezogen wird.
Den besten Überblick zu MEM, Bias-Setting und Engine-Raking liefert das Whitepaper Sybari Antigen: A Case for Multiple Integrated Scan Engines. Obwohl das Dokument noch für Antigen geschrieben wurde, treffen die Features genauso auch für Forefront Server Security zu. Auszug:
The Role of Multiple Engine Manager
Antigen’s Multiple Scan Engine Manager (MEM) is a powerful component that manages the antivirus scan engines for each scanning layer within Antigen. MEM is responsible for balancing performance, scanning intensity and for providing uninterrupted scanning uptime, even during signature file updates. In addition, to ensure that all scan engines remain current and effective, engine and signature file updates for each and every integrated scan engine are downloaded, tested and brought online as soon as they are available. If the downloaded file is found to be corrupt or has other problems, MEM rolls back to the previous version, and alerts the administrator so the problem can be corrected prior to installation and use.
Bias Settings
Bias settings within MEM give administrators the ability to manage the performance and protection of the multiple scan engines. They allow companies to control how engines are used for a given scan job and define different settings for SMTP and e-mail scanning. In this way, administrators have complete control in how the balance is struck between performance and virus scanning. These settings include the following:
- Max Certainty: After the administrator has selected the scan engines at each layer, choosing Max Certainty will set MEM to use every scan engine to scan each message and attachment concurrently. Even if one of the scan engines determines a file is infected with a virus, the remaining engines will continue to scan. This thorough scanning is essential for historical data analysis.
- Favor Certainty: Favor Certainty uses 75 percent of the available scanning engines, and allows MEM to choose the right combination of each. In a four engine scan scenario, each message and attachment will be scanned by three scan engines, with the fourth invoked if further validation is required. The order of the first three engines depends on several factors, including which scan engine has the most recently updated signature files. (Anmerkung: Die aktuelle CPU-Auslastung ist hier auch ein wichtiger Faktor bei der Auswahl.)
- Neutral: Neutral mode ensures that all messages and attachments are scanned by at least half the available engines. For instance, in a four-engine scan scenario, every message will be scanned by two scan engines, with the third invoked if further validation is required. This bias setting provides the optimal balance between performance and protection. In addition, the order and combination of engines employed is based on Antigen’s engine ranking algorithms.
- Favor Performance: Using Favor Performance, MEM scans messages with 25 percent of the available engines. In a four scan engine scenario, every message will be scanned by one or two engines. This setting is recommended for the Exchange Information Store, where high performance is desired.
- Max Performance: With Max Performance, MEM is configured to use only one scan engine. To ensure maximum protection, the engine with the most recently updated signature files is always used.
The bias setting can be configured as needed. For instance, administrators can define one standard for back-end servers and another for front-end servers.
Engine Rankings
MEM uses engine rankings to determine the order in which different scan engines are used. Engine rankings depend on a number of criteria, such as the number of signature files, an appropriate mix of technologies, and the engine’s “age,” which is determined by the last time its signature files were updated.
Engine rankings also rely heavily on past performance. For example, every time a particular engine detects a virus successfully, it is assigned a greater credibility. Similarly, if one engine keeps detecting viruses that are not found by other engines, it is accorded less credibility in order to reduce false positives. Using an algorithm that takes all of these factors into consideration, MEM gives better-performing engines priority during the scanning process. When a virus has been successfully detected, it is cleaned by the first engine that detected the virus. If that particular engine is unable to clean the file, the next engine in line is used.
Besonders auf Public Folder-Servern und bei deaktiviertem AV-Stamping empfiehlt es sich, das proaktive Scanning bei Exchange Server 2007 mit Forefront Security for Exchange (FSE) zu aktivieren. Bei diesem Mechanismus wird jedes Element bereits bei der Bereitstellung in einem Ordner gescannt, ohne dass ein Zugriff durch den Client erforderlich wäre (On Access).
Proaktives Scanning wird von der VSAPI durch Exchange ermöglicht und kann durch eine Einstellung in der Registry zum Information Store von Exchange Server aktiviert werden. Navigieren Sie dazu mit dem Registrierungseditor nach HKLM\System\CurrentControlSet\Services\MSExchangeIS\VirusScan und ändern Sie den Wert von ProactiveScanning auf 1.
Hinweis: Viele hilfreiche Informationen zu den verschiedenen Store-Scanning-Optionen und vor allem das Verhalten von Exchange und FSE bei der Vielzahl an möglichen Kombinationen gibt es im Forefront Security for Exchange Server TechCenter im Abschnitt Forefront Security for Exchange Server Best Practices - Store Scanning.
Um die Scanning-Performance zu erhöhen und die Last auf Servern mit der Hub- und Mailbox-Rolle zu reduzieren, kann Forefront Security for Exchange (FSE) gescannte Nachrichten mit einem AV Stamp versehen, damit beispielsweise auf einen Edge-Transport nachfolgende Server im Transport die Nachricht nicht mehr scannen müssen (siehe auch Informationen zum AV Stamp bei Forefront Security for Exchange).
Damit ein AV-Stamp auf den Servern berücksichtigt wird, muss im Forefront Server Security Administrator in den General Settings die Einstellung Optimize for Performance by Not Rescanning Messages Already Virus Scanned – Transport für die FSE-Installation aktiviert sein. Man sollte jedoch wissen, dass wenn die Einstellung deaktiviert ist, FSE trotzdem einen AV Stamp nach dem Scan in die Nachricht einfügen wird!
Möchte man in keinem Fall einen AV Stamp nach einem Scan in der Nachricht, kann man dies per Registry festlegen: Navigieren Sie mit dem Registrierungseditor nach HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server (bei 64-Bit: HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server) und erstellen Sie einen neuen Eintrag DisableAVStamping vom Typ DWORD und setzten Sie den Wert auf 1.
Um bei der Behandlung von Spam durch Exchange 2007 die Wahrscheinlichkeit zu reduzieren, dass False-Positives (als Spam identifizierte Nachrichten, die jedoch kein Spam sind) verloren gehen, kann man einen Schwellwert für den zur Nachricht ermittelten Spam Confidence Level (SCL) festlegen, bei dem die (vermeintlichen) Spam-Nachrichten nicht gelöscht oder abgelehnt, sondern in eine Quarantäne verschoben werden. Der Vorteil dabei ist, dass die betroffenen Empfänger (Exchange-Benutzer) der Nachricht mit einem Non Delivery Report (NDR) benachrichtigt werden und mit diesem die Nachricht aus der Quarantäne wieder anfordern können.
Ausführliche Anleitungen hierzu gibt es im Exchange 2007 TechCenter unter Configuring and Managing Spam Quarantine und How to Recover Quarantined Messages from the Spam Quarantine Mailbox.
Der Release Candidate der Microsoft Forefront Server Security Management Console (FSSMC) steht in englischer Version zum Download bereit. Der RTM wird in den nächsten Wochen erwartet und soll dann, wie die Forefront Server Security-Produkte, in elf Sprachen verfügbar sein.
Mithilfe der FSSMC können Installationen von Forefront Security for Exchange Server, Forefront Security for SharePoint und Microsoft Antigen gemeinsam über eine web-basierte Oberfläche verwaltet und überwacht werden. Neben übergreifender Konfiguration aller Forefront-Installationen können auch die Updates der Scan-Engines zentral heruntergeladen und ausgerollt werden. Neue Exchange- und SharePoint-Server im Netzwerk erkannt und mit dem entsprechenden Server Security-Produkt von der Console aus remote installiert werden.
Auch Quarantäne und die Log-Dateien aller Server werden zentral gesammelt, was ein umfangreiches Reporting ermöglicht und Adminsitratoren die automatisierte Reaktion auf Outbreaks im gesamten Forefront-Netzwerk erleichtert. Natürlich lässt sich die FSSMC auch selbst über eine Primary-/Backup-Kombination vor Ausfällen absichern.
Informationen, erste Schritte und Hilfestellung zur Installation und den Betrieb der FSSMC bietet der aktualisierte User Guide.
Bei einer zu langsamen oder stark frequentierten Internet-Verbindung kann das Update der Scan-Engines von Forefront Security for Exchange (FSE) oder Forefront Security for SharePoint (FSSP) mit einem Timeout fehlschlagen. Dabei werden in der Log-Datei Programlog.txt und im Anwendungsprotokoll eine der folgenden Meldungen angezeigt.
- Error: The EngineName scan engine update timed out while downloading files.
- Error: The EngineName scan engine update timed out while disabling the scan engine.
Um dieses Problem zu beheben, kann man den standardmässigen Timeout von 300 Sekunden durch einen neuen Eintrag in der Registry ändern:
Navigieren Sie in der Registry je nach Plattform und Produkt zu einem der folgenden Keys:
- FSE 32-Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server
- FSE 64-Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server
- FSSP 32-Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Server Security\Sharepoint
- FSSP 64-Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Sharepoint
Erstellen Sie einen neuen Eintrag EngineDownloadTimeout vom Typ DWORD und legen Sie als Wert den neuen Timeout in Sekunden fest (z.B. 600 Sekunden). Die Forefront-Dienste müssen nicht neu gestartet werden. Die neue Einstellung wird sofort wirksam.
Viele per MAPI durchgeführte Management-Tasks in Exchange Server 2007, wie beispielsweise das Verschieben eines Postfachs, können den Scan durch ein Antiviren-Programm aktivieren und dadurch den Vorgang möglicherweise stark verlagsamen oder sogar unmöglich machen.
Wird Forefront Security for Exchange (FSE) eingesetzt, können die nachfolgenden Aufgaben ohne eine Deaktivierung von Forefront im laufenden Betrieb ausgeführt werden:
- Manuelle oder automatische Synchronisierung von Offline-Ordnern (.ost-Dateien)
- Importieren von persönlichen Ordnern (.pst-Dateien)
- Verschieben eines Postfachs in eine andere Storage Group
- Erstellen oder entfernen einer Storage Group
- Erstellen oder entfernen einer Postfach-Datenbank
- Backup und Restore von Exchange-Datenbanken
Wenn man sich auf der deutschen TechNet-Seite Downloads und Testversionen für Microsoft Forefront umsieht, findet man leider nur die Forefront Server Security Management Packs für MOM 2005. Es gibt jedoch schon seit Anfang August auch die konvetierten Management Packs für Operations Manager 2007. Zu finden im Management Pack Catalog:
Ein ebenfalls nach Operations Manager 2007 konvertiertes Management Pack für Antigen 9.0 soll in den nächsten Wochen folgen.
Im gesamten Stehen für das dritte Quartal 2007 folgende Management Packs an:
- Configuration Manager 2007
- Computer Cluster Server 2003
- Exchange Server 2007
- ISA Server 2004/2006
- Office Live Communications Server 2005 SP
- System Center Virtual Machine Manager 2007
- Virtual Server 2005
- Windows AD Federation Services 2003
- Windows DNS Server 2003/2000
- Windows Distributed File Systems Replication Service 2003
- Windows Distributed Transaction Coordinator 2000/2003
- Windows Internet Name Service 2000/2003
- Windows Rights Management Services 2003
- Windows Routing and Remote Access Service 2003
- Windows Server Clusters 2000/2003
Für das vierte Quartal 2007 diese Management Packs:
- Antigen 9.0 MOM Pack
- Commerce Server 2007
- Communicator Web Access 2005
- Host Integration Server 2006
- Office Project Server 2007
- Office SharePoint Server 2007
- System Center Data Protection Manager 2006
- Windows Key Management Services 2003
- Windows Password Change Notification Service 2003
- Windows Server Automated Deployment Services 2003
- Windows Server Performance Advisor 2003
- Windows SharePoint Services 3.0
- Windows System Resource Manager 2003
Forefront Server Security (FSS) kann zahlreiche Container nach Viren durchsuchen und nach Inhalten filtern. Als Container werden dabei nicht nur die gewöhnlichen Archivdateien (z.B. Zip) oder Dokumente im neuen OpenXML-Format (auch Zip-Archive), sondern beispielsweise auch MIME-Dateien bezeichnet.
Im Falle einer Infektion oder eines Treffers auf Basis eines Filters, wird die betrffende Datei im Container entfernt und durch eine Textdatei ersetzt. Der Container bleibt dabei intakt.
Ab Forefront Server Security for Exchange (FSE) mit Service Pack 1 werden folgende Container-Typen unterstützt:
- PKZip (.zip)
- GNU Zip (.gzip)
- Self-Extracting .zip archives
- Zip files (.zip)
- Java archive (.jar)
- TNEF (Winmail.dat)
- Structured storage (for example, .doc, .xls, or .ppt)
|
- Open XML (for example, .docx, .xlsx, or .pptx)
- MIME (.eml)
- SMIME (.eml)
- UUENCODE (.uue)
- Unix tape archive (.tar)
- RAR archive (.rar)
- MACBinary (.bin)
| Forefront Security for SharePoint (FSSP) sollte mit SP 1 ebenfalls diese Liste an Container-Typen unterstützen.
Wird Forefront Security for Exchange Server (FSE) beispielsweise zum Schutz sehr vieler Domains verwendet, stößt man eventuell bei der Angabe der Domains in den General Options bei der Einstellung Internal Address an seine Grenzen. Da man sich heute gerne sämtliche Schreibweisen eines Namens mit den unterschiedlichsten TLDs reserviert, kann eventuell maximale Feldlänge von 64K hier nicht ausreichend sein.
Abhilfe schafft das Service Pack 1 von Forefront Security for Exchange Server. Ist das SP1 installiert, erstellt man in der Registry unter HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server einen neuen DWORD-Eintrag mit dem Namen UseDomainsDat und dem Wert 1. Danach kann mann alle Domains (je eine Domain pro Zeile) in der Datei Domains.dat im Datenbankverzeichnis von Forefront hinterlegen. Diese Datei wird übrigens in einem CCR-Cluster automatisch repliziert.
Schon etwas überfällig: Seit 14.07.2007 ist Forefront Security for Exchange Server with Service Pack 1 Beta 2 (FSE Version 10.1) in der englischen Version auf den Download-Seiten von Microsoft verfügbar.
Neben der Unterstützung von Exchange Server 2007 SP1 (u.a. ist dies auch die Voraussetzung für FSE mit SP1) und Windows Server 2008 bringt das Release mit Service Pack folgende Neuerungen:
- Direkte Unterstützung von IPv6
- Verbesserte Inhaltsfilterung durch importierbarer Keyword-Listen. Vorgefertigte Listen liegen in den verfügbaren Sprachen vor
- Verbesserte Integration mit Microsoft System Center Operations Manager durch ein neues Management Pack (verfügbar Q4 2007), das Administratoren ein proaktives Monitoring des Schutzes von Exchange 2007 ermöglicht
- Verbesserte Flexibilität bei der Überprüfung und Blockierung von hochkomprimierten Zip- (Treat high compression ZIP files as corrupted compressed) und mehrteiligen RAR-Archiven (Treat multipart RAR archives as corrupted compressed)
Hinweis: Bei mehrteiligen RAR-Archiven gilt im Übrigen der Registry-Wert MaxUncompressedFileSize für die gesamte Größe der einzelnen Dateien im Archiv (splitted Files).
Auch wenn Forefront Security for Exchange (FSE) auf dem Exchange Server 2007 installiert ist, sollte auch das Betriebssystem des Servers vor Malware mit Forefront Client Security (FCS) geschützt werden. Leider genügt es nicht, einfach nur die Verzeichnisse von Exchange in einer FCS-Richtline auszuschliessen.
Der TechCenter Artikel File-Level Antivirus Scanning on Exchange 2007 liefert deshalb viele wertvolle Informationen, was alles bei der Nutzung eines Virenscanners, wie FCS, berücksichtigt werden muss, um nicht die Performance des Servers zu beeinträchtigen und vielen Problemen vorbeugen zu können. Allgemeinere Informationen liefert übrigens auch der KB-Artikel 328841 Exchange and antivirus software.
Sehr häufig kommt die Frage auf: Ist die Scan-Engine von Forefront Client Security (FCS) gleich der Engine mit dem Namen "Microsoft", die als eine der acht (bishr neun) Engines in Forefront Server Security for Exchange (FSE) oder SharePoint (FSSP) ausgewählt werden kann?
Kurz und bündige Antwort: Ja
Um ein mehrfaches Scanning von Nachrichten zu vermeiden, kann Forefront for Exchange Server in gescannte Nachrichten einen sogenannten AV Stamp einfügen, der von den nachfolgenden Servern mit Forefront berücksichtigt wird. Wenn beispielsweise eine eingehende Nachricht bereits auf der auf dem Hub- oder Edge Transport-Server gescannt wurde, muss sie nicht zwangsweise nochmals auf dem Mailbox-Server auf Viren untersucht werden.
Damit der AV Transport Agent einen AV stamp in eine Nachricht einfügt, müssen drei Bedingungen erfüllt sein:
- Die Nachricht muss von mindestens einer Virenengine gescannt worden sein.
- Entweder es wurde kein Virus gefunden oder wenn ein Virus gefunden wurde, konnte er entfernt oder gelöscht werden.
- Wenn die Nachricht aktualisiert wurde, konnte Sie von Forefront erfolgreich an Exchange zurückgeschrieben werden.
Anmerkungen: Beim Modus "Skip:detect" wird kein AV Stamp geschrieben. Ebenso, wenn nur das File filtering in Forfront aktiviert ist. Solange die Nachricht noch nicht den Store erreicht hat, wird der AV Stamp als X-Header in der Nachricht mitgeführt und danach als Custom MAPI-Property zur Nachricht hinterlegt.
Um sich den AV Stamp anzusehen, ist der einfachste Weg, im Forefront Server Security Administrator unter General Options im Abschnitt Diagnostics in der Option Archive Transport Mail die Einstellung Archive After Scan auszuwählen. Forefront archiviert damit jede Nachricht im Ordner %PROGRAMFILES%\Microsoft Forefront Security\Exchange Server\Data\Archive als .EML-Datei. Der Dateiname wird dabei im Format Jahr, Monat, Tag und einer zufälligen Zahlenfolge gebildet. Öffnet man die .EML-Datei im Editor kann man in den X-Headern den AV Stamp einsehen:
X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;Info
MSFTFF: Name des AV-Herstellers (AV Vendor Name, 8 characters); MSFTFF = Microsoft
1: AV-Version (Vendor version, 32-bit unsigned integer); 1 = Microsoft
0: AV-Status (Virus status, 32-bit unsigned integer); 0 = VIRSCAN_NO_VIRUS
Info: Optionale Informationen (Optional Virus info, 128 byte string)
Anmerkungen: Forefront setzt als Vendor version immer den Wert 1. Um ein Spoofing des AV Stamps zu verhindern, entfernt der Hub- oder Edge Transport-Server bei allen eingehenden Nachrichten einen eventuell vorhandenen AV Stamp.
Standardmässig finden sich in den General Settings von Forefront Server Security Administrator einige Optionen für die Behandlung von Archiven (Zip, Rar, etc.) während des Scan-Vorgangs. Alle Einstellungen werden als DWORD-Werte (Angaben sind dezimal) in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server abgelegt. Die entsprechenden Begriffe im Adminstrator sind in Klammern dargestellt:
- MaxCompressedSize (Max Container File Size (bytes))
Max. Dateigröße von Archiven, die gescannt werden. Ist das Archiv größer, wird es gelöscht und als LargeCompressedInfectedFile reportet (Standardwert: 26214400; entspricht 26 MB)
- MaxContainerFileInfections (Max Container File Infections)
Max. Anzahl der infizierten Dateien die in einem Archiv infiziert sein drüfen. Enthält das Archiv mehr Dateien, die infiziert sind, wird es gelöscht (Standardwert: 5; 0 entspricht "unbegrenzte Anzahl")
- MaxNestedCompressedFile (Max Nested Compressed Files)
Max. Anzahl der ineinander verschachtelten Archive. Enthält ein Archiv mehr verschachtelte Srchive, wird es gelöscht (Standardwert: 5)
Darüber hinaus können noch weitere interessante Einstellungen per Registry vorgenommen werden:
- MaxCompressedArchivedFileSize
Max. Größe von Dateien in Archiven. Ist eine komprimierte Datei im Archiv größer wird das gesamte Archiv gelöscht und als LargeCompressedFileSize reportet ("Virus name: 'Exceedingly compressed size'" in der Textdatei, die anstelle des Archivs in die Message eingefügt wird). Standardmässig ist der Key nicht vorhanden und muss daher erstellt werden (Standardwert: 20971520; entspricht 20 MB).
- MaxUnCompressedFileSize
Max. unkomprimierte Größe von Dateien in Archiven. Ist eine Datei im Archiv in unkomprimierter Form größer wird das gesamte Archiv gelöscht und als LargeUncompressedFileSize reportet ("Virus name: 'Large uncompressed size'" in der Textdatei, die anstelle des Archivs in die Message eingefügt wird). Standardmässig ist der Key nicht vorhanden und muss daher erstellt werden (Standardwert: 104857600; entspricht 100 MB).
Alle Werte sind DWORDs (Angaben sind dezimal). Nach der Änderung von Registry-Werten müssen die Dienste von Forefront Server Security neu gestartet werden.
Um die E-Mail-Adresse zu ändern, die als Absender bei den Notifications in Forefront Security for Exchange Server verwendet werden, einfach den Registry-Editor öffnen und im Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server den Wert ServerProfile anpassen. Im Anschluss müssen die Dienste von Forefront Server Security neu gestartet werden.
Notifications werden übrigens von Forefront Security for Exchange Server direkt in den SMTP Pickup-Folder gelegt und nicht über einen klassischen SMTP-Versand in Exchange übergeben.
Wer sich bei Forefront Security for Exchange schon einmal die Frage gestellt hat, wo man eigentlich die Mail-Vorlage ändern kann, die verwendet wird, wenn ein Element in die Quarantäne verschoben wird: Es gibt derzeit keine bekannte Möglichkeit, diese Vorlage im UI zu ändern.
Vorschläge bitte einfach an uns!
Zu Troubleshooting- oder Diagnose-Zwecke oder für das Einspielen eines Service Packs (siehe auch How to install a service pack or a software update on an Exchange Server computer that is running Forefront Security) können die Forefront Server Security Dienste von Exchange Server oder SharePoint Server temporär abgehängt werden, ohne dass dabei Forefront Server Security (FSS) deinstalliert werden muss. Administratoren können dazu das Tool Fscutility.exe verwenden, welches bei der Installation von (FSS) im Programmverzeichnis mit abgelegt wird.
Fscutility unterstützt folgende Parameter:
- /status - Zeigt den Status von Forefront Server Security und Exchange Server bzw. SharePoint Server.
- /enable - Aktiviert Forefront Server Security (Exchange Server bzw. SharePoint Server Dienste müssen gestoppt sein).
- /disable - Deaktiviert Forefront Server Security (Exchange Server bzw. SharePoint Server Dienste müssen gestoppt sein).
- /remove - Entfernt Forefront Server Security Registry-Einstellungen.
- /regmon - Registriert den FSCMonitor.
- /unregmon - Entfernt die Registrierung von FSCMonitor.
Um Forefront Server Security von Exchange Server oder SharePoint Server abzuhängen, führen Sie folgende Schritte aus:
- Beenden Sie die folgenden Dienste in der entsprechenden Reihenfolge.
Exchange Server: 1. FSCController, 2. Microsoft Exchange Transport Service, 3. System Attendant, 4. Information Store
SharePoint Server: 1. FSCController, 2. IIS Admin Service
- Öffnen Sie die Eingabeaufforderung und wechseln Sie in das Programmverzeichnis der jeweiligen Forefront Server Security Installation.
Forefront Security for Exchange: Program Files (x86)\Microsoft Forefront Security\Exchange Server
Forefront Security for SharePoint x86: Program Files\Microsoft Forefront Security\SharePoint
Forefront Security for SharePoint x64 oder IA-64: Program Files (x86)\Microsoft Forefront Security\SharePoint
- Geben Sie folgenden Befehl in der Eingabeaufforderung ein, um die Forefront Server Security Dienste abzuhängen:
Fscutility.exe /disable
Nach der Ausführung erhalten Sie folgende Bestätigung:
Microsoft Forefront Server Security VSAPI hooking dll is disabled.
Status: Microsoft Forefront Server Security NOT Integrated!
- Geben Sie folgenden Befehl in der Eingabeaufforderung ein, um die Forefront Server Security Dienste wieder anzuhängen:
Fscutility.exe /enable
Nach der Ausführung erhalten Sie folgende Bestätigung:
Microsoft Forefront Server Security VSAPI hooking dll is enabled.
Status: Microsoft Forefront Server Security successfully integrated!
- Um sicherzustellen, dass Forefront Server Security korrekt von Exchange Server bzw. SharePoint Server abgehängt oder wieder angehängt wurden, geben Sie in der Eingabeaufforderung folgenden Befehl ein:
Fscutility.exe /status
- Starten Sie die Exchange Server bzw. SharePoint Dienste.
Nachdem die Exchange Server bzw. SharePoint Dienste gestartet wurden, sollten Sie sicherstellen, dass die Forefront Server Security Dienste neugestartet wurden. Die Forefront Server Security Dienste sollten automatisch neustarten, wenn Sie die Exchange Server bzw. SharePoint Dienste starten.
Bitte beachten Sie: Wenn Sie die Forefront Server Security Dienste von Exchange Server bzw. SharePoint abhängen, ist Ihr Netzwerk nicht mehr vor Viren, Würmern und ähnlichen Bedrohungen geschützt!
Am 16. Januar 2007 gab Computer Associates bekannt, dass die Antivirus-Engines Vet und InoculateIT (iRiS) in eine einzelne Engine zusammengeführt werden, um einen einen zentralen Ansatz für die Bekämpfung von Malware und Spyware zu bieten. Entsprechend betrifft dies alle, die Microsoft, Forefront Security for Exchange Server, Forefront Security for SharePoint und Antigen einsetzen und die InoculateIT und/oder Vet Antivirus-Engine verwenden. Diese Kunden sollten daher die InoculateIT-Engine deaktivieren und stattdessen die Vet-Eingine aktivieren (entspricht der Auswahl der zukünftigen Engine). Updates für die InoculateIT-Engine werden bis 30. Juni 2007 bereitgestellt.
Mehr Informationen hierzu und eine ausführliche FAQ liefert der KB-Artikel Key points and frequently asked questions about the Computer Associates antivirus engine consolidation.
Bei Microsoft Exchange Server 2007 unterstützt Forefront Security for Exchange Server die gleichzeitige Ausführung mehrerer Scan-Prozesse für den Echtzeit- und Transport-Scan.
Standardmässig verwendet Forefront Security for Exchange Server (FSE) je vier Prozesse für das Echtzeit- und Transport-Scanning. Wenn Clients mit Microsoft Outlook nicht mehr reagieren oder Probleme beim Message-Queueing auftreten, kann die Erhöhung der Anzahl der Scan-Prozesse für den Echtzeit-Scan abhilfe schaffen. Um das unkontrollierte Auffüllen der Transport-Queues zu vermeiden, kann die Erhöhung der Anzahl der Scan-Prozesse für den Transport-Scan helfen.
Um die Anzahl der Prozesse zu ändern, wählen Sie im Forefront Server Security Administrator im Shuttle Navigator "Settings", "General Options" und erhöhen Sie im Abschnitt "Scanning" die Werte für Realtime Process Count (Maximum: 10) und/oder Transport Process Count (Maximum: 10). Starten Sie im Anschluss den Dienst FSCController neu.
Die Einstellung kann auch direkt in der Registrierung im Subkey HKEY_LOCAL_MACHINE\SOFTWARE\Wow643Node\Microsoft\Forefront Server Security\Exchange Server vorgenommen werden:
- RealtimeProcessCount - Anzahl der Prozesse für Echtzeit-Scanning (Maximum: 10).
- InternetProcessCount - Anzahl der Prozesse für Transport-Scanning (Maximum: 10).
Microsoft IT Showcase: How Microsoft does IT. In diesem Bereich des TechNet findet sich seit kurzem das Microsoft Exchange Server 2007 Edge Transport and Messaging Protection Technical White Paper. In diesem Dokument wird detailliert erklärt, wie die IT-Abteilung von Microsoft Schutz von Spam und Viren bereitstellt:
- Messaging Protection Prior to Exchange Server 2007
- Exchange Server 2007 Messaging Protection
- Exchange Hosted Filtering
- Edge Transport Server Deployment
- Best Practices
In jedem Fall ein lesenswertes Dokument!
Keine komplizierte Testumgebung, keine Installation, um die Microsoft Produkte und Technologien zu testen. Das sind die TechNet Virtual Labs. Einfach die Übungsunterlage herunterladen und in einem 90-minutügen Zeitfenster können Sie jedes der Module live testen und Microsoft Forefront in den TechNet Virtual Labs zu folgenden Bereichen erleben:
Forefront Client Security
- Microsoft Operations Manager 2005 Technical Overview with Forefront Client Security
- Deploying Forefront Client Security - Part 1
Forefront Server Security
- Forefront Security for Exchange Server
- Forefront Security for SharePoint
- Antigen Servers: Protecting SharePoint Servers and Instant Messaging
- Antigen Servers: Protecting Exchange Server against Viruses and Spam
Forefront Edge Security: ISA
- Forefront Edge Security and Access
- Publishing Exchange Server and SharePoint Server with ISA Server 2006
- Using ISA Server 2006 in Branch Offices and Deploying ISA Server 2006 for Edge Protection
- Publishing an Exchange Server with ISA Server 2004
- Configuring Outbound Access and Publishing Web Servers with ISA 2004
- VPN Scenarios with ISA Server 2004
- What's New in ISA Server 2004 – Monitoring
Secure Messaging and Collaboration
- Secure Messaging and Collaboration
Wenn die Infrastruktur eine Edge-Rolle mit Exchange 2007 nicht hergibt, können auch auf der Hub-Rolle die Anti-Spam Funktionen aktiviert werden. Da diese Funktionen nur in der Edge-Rolle direkt aktiviert sind, ist bei der Hub-Rolle ein wenig Vorarbeit notwendig.
Öffnen Sie die Exchange Management Shell und wechseln Sie in das Verzeichnis \Programme\Microsoft\Exchange Server\Scripts und führen Sie install-antispamagents aus, um die Agents zu installieren. Nachdem das Script ausgeführt wurde, starten Sie den Exchange Transport mit Restart-Service MSExchangeTransport neu.
Im Anschluss ist die Regsiterkarte "Anti-Spam" in "Hub-Transport" der Organisationskonfigration in der Exchange Management Console wieder verfügbar. Um noch die automatischen Updates zu aktvieren, in der Exchange Shell Enable-AntispamUpdates -Identity $servername -IPReputationUpdatesEnabled $True -UpdateMode Automatic -SpamSignatureUpdatesEnabled $True ausführen und mit Get-AntispamUpdates überprüfen.
Die Microsoft Forefront Server Security Management Console Beta 1 steht ab sofort als Trial-Version zu Download bereit. Die Forefront Server Security Management Console erlaubt Administratoren eine einfachere Verwaltung mehrerer Forefront Security for Exchange Server, Forefront Security for SharePoint und Microsoft Antigen Server mittels einer Web-basierten Oberfläche. Zentrale Administration und automatisierter Download und Verteilung neuer Signaturen, sowie umfangreiche Beruichte sind einige der Funktionen der neuen Management Console. Mehr Informationen hierzu derzeit nur auf den englischen Forefront-Sites...
Man muss nicht unbedingt einen ganzen Server bereitstellen, um Windows Server 2003 R2, Exchange Server 2007, SQL Server 2005 oder ISA 2006 zu testen. Microsoft stellt seit einiger Zeit im TechNet vorkonfigurierte Virtual Hard Disks (VHD) bereit, damit Sie die genannten Produkte und Technologien einfach und kostenlos evaluieren können.
Obwohl die Abbilder in komprimierter Form zur Verfügung stehen, sollten Sie ein wenig Zeit einplanen, da je nach Produkt ein paar Gigabyte heruntergeladen werden müssen. Danach einfach die virtuellen Maschinen in Virtual PC 2004 oder Virtual Server 2005 R2 hinzufügen und bis zu 30 Tage lang ausführlich testen (MSDN und TechNet Subscribers bis zu 365 Tage).
Im ersten deutschsprachigen TechNet Webcast seit der Übernahme der Sybari Antigen-Produktpalette durch Microsoft, zeigt Daniel Melanchthon einen technischen Überblick über die Funktionsweise von Forefront Security for Exchange (vormals Antigen for Exchange) zum Schutz vor Spam, Viren, Würmer und Trojanern.
|