Sollte es mal wieder sein, dass man das Symbol für "Hardware sicher entfernen" in der Taskleiste nicht sieht (wie beispielsweise in einer RDP-Sitzung) - man kann den Dialog auch direkt über Start, Ausführen aufrufen:

rundll32 shell32.dll,Control_RunDLL hotplug.dll

Der Befehl funktioniert sowohl mit Windows XP als auch Windows Vista.

Neu im Download-Center das Microsoft Forefront and System Center Demonstration Toolkit. Eine VM-Demo-Umgebung, mit der Sie folgende Funktionalitäten von Microsoft Forefront und System Center zeigen können:

1. System Center Configuration Manager pushing Forefront Client Security signatures to keep a client machine updated
2. Forefront Security for Exchange Server blocking viruses in emails received in Outlook 2007
3. System Center Operations Manager monitoring the health of servers and clients in the environment
4. Intelligent Application Gateway adapting user access to SharePoint 2007 based on end-point policy detection
5. Forefront Client Security performing Real-time Protection against malware.

Mit dem Demo-Kit wird wider eine Start-Demo.hta mitgeliefert, die das Szenario erklärt und ein komfortables Umschalten zwischen den virtuellen Maschinen erlaubt.

Wenn Sie den ISA Server 2006- oder ISA Server 2004-Firewallclient auf einem Computer installiert haben und vor dort aus versuchen, eine ausgehende Point-to-Point Tunneling Protocol (PPTP)-basierte Virtual Private Network (VPN)-Verbindung zu öffnen, kommt die Verbindung nicht zustande. Als Ergebnis erhalten Sie eine Fehlermeldung mit folgendem ähnlichen Inhalt:

Connecting to 192.168.0.10
Error 769: The specified destination is not reachable.

Die einfache Erklärung für diesen Fehler ist, dass der ISA-Firewallclient keine PPTP-Verbindungen unterstützt. Für eine PTTP-Verbindung wird neben dem TCP-Protokoll (IP Protokoll 17) auch das GRE-Protokoll (Generic Routing Encapsulation Protocol, IP Protokoll 47) verwendet. Der Firewallclient unterstützt jedoch nur TCP- und UDP-Verbindungen, die über Winsock hergestellt werden. Die Lösung: Konfigurieren Sie den Client als SecureNAT-Client. Weitere Informationen dazu liefert auch der KB-Artikel 887006.

Um ein mehrfaches Scanning von Nachrichten zu vermeiden, kann Forefront for Exchange Server in gescannte Nachrichten einen sogenannten AV Stamp einfügen, der von den nachfolgenden Servern mit Forefront berücksichtigt wird. Wenn beispielsweise eine eingehende Nachricht bereits auf der auf dem Hub- oder Edge Transport-Server gescannt wurde, muss sie nicht zwangsweise nochmals auf dem Mailbox-Server auf Viren untersucht werden.

Damit der AV Transport Agent einen AV stamp in eine Nachricht einfügt, müssen drei Bedingungen erfüllt sein:

• Die Nachricht muss von mindestens einer Virenengine gescannt worden sein.
• Entweder es wurde kein Virus gefunden oder wenn ein Virus gefunden wurde, konnte er entfernt oder gelöscht werden.
• Wenn die Nachricht aktualisiert wurde, konnte Sie von Forefront erfolgreich an Exchange zurückgeschrieben werden.

Anmerkungen: Beim Modus "Skip:detect" wird kein AV Stamp geschrieben. Ebenso, wenn nur das File filtering in Forfront aktiviert ist. Solange die Nachricht noch nicht den Store erreicht hat, wird der AV Stamp als X-Header in der Nachricht mitgeführt und danach als Custom MAPI-Property zur Nachricht hinterlegt.

Um sich den AV Stamp anzusehen, ist der einfachste Weg, im Forefront Server Security Administrator unter General Options im Abschnitt Diagnostics in der Option Archive Transport Mail die Einstellung Archive After Scan auszuwählen. Forefront archiviert damit jede Nachricht im Ordner %PROGRAMFILES%\Microsoft Forefront Security\Exchange Server\Data\Archive als .EML-Datei. Der Dateiname wird dabei im Format Jahr, Monat, Tag und einer zufälligen Zahlenfolge gebildet. Öffnet man die .EML-Datei im Editor kann man in den X-Headern den AV Stamp einsehen:

X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;Info
MSFTFF: Name des AV-Herstellers  (AV Vendor Name, 8 characters); MSFTFF = Microsoft
1: AV-Version  (Vendor version, 32-bit unsigned integer); 1 = Microsoft
0: AV-Status (Virus status, 32-bit unsigned integer); 0 = VIRSCAN_NO_VIRUS
Info: Optionale Informationen (Optional Virus info, 128 byte string)

Anmerkungen: Forefront setzt als Vendor version immer den Wert 1. Um ein Spoofing des AV Stamps zu verhindern, entfernt der Hub- oder Edge Transport-Server bei allen eingehenden Nachrichten einen eventuell vorhandenen AV Stamp.

Standardmässig finden sich in den General Settings von Forefront Server Security Administrator einige Optionen für die Behandlung von Archiven (Zip, Rar, etc.) während des Scan-Vorgangs. Alle Einstellungen werden als DWORD-Werte (Angaben sind dezimal) in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server abgelegt. Die entsprechenden Begriffe im Adminstrator sind in Klammern dargestellt:

• MaxCompressedSize (Max Container File Size (bytes))
  Max. Dateigröße von Archiven, die gescannt werden. Ist das Archiv größer, wird es gelöscht und als LargeCompressedInfectedFile reportet (Standardwert: 26214400; entspricht 26 MB)
• MaxContainerFileInfections (Max Container File Infections)
  Max. Anzahl der infizierten Dateien die in einem Archiv infiziert sein drüfen. Enthält das Archiv mehr Dateien, die infiziert sind, wird es gelöscht (Standardwert: 5; 0 entspricht "unbegrenzte Anzahl")
• MaxNestedCompressedFile (Max Nested Compressed Files)
  Max. Anzahl der ineinander verschachtelten Archive. Enthält ein Archiv mehr verschachtelte Srchive, wird es gelöscht (Standardwert: 5)

Darüber hinaus können noch weitere interessante Einstellungen per Registry vorgenommen werden:

• MaxCompressedArchivedFileSize
  Max. Größe von Dateien in Archiven. Ist eine komprimierte Datei im Archiv größer wird das gesamte Archiv gelöscht und als LargeCompressedFileSize reportet ("Virus name: 'Exceedingly compressed size'" in der Textdatei, die anstelle des Archivs in die Message eingefügt wird). Standardmässig ist der Key nicht vorhanden und muss daher erstellt werden (Standardwert: 20971520; entspricht 20 MB).
• MaxUnCompressedFileSize
  Max. unkomprimierte Größe von Dateien in Archiven. Ist eine Datei im Archiv in unkomprimierter Form größer wird das gesamte Archiv gelöscht und als LargeUncompressedFileSize reportet ("Virus name: 'Large uncompressed size'" in der Textdatei, die anstelle des Archivs in die Message eingefügt wird). Standardmässig ist der Key nicht vorhanden und muss daher erstellt werden (Standardwert: 104857600; entspricht 100 MB).

Alle Werte sind DWORDs (Angaben sind dezimal). Nach der Änderung von Registry-Werten müssen die Dienste von Forefront Server Security neu gestartet werden.

Um die E-Mail-Adresse zu ändern, die als Absender bei den Notifications in Forefront Security for Exchange Server verwendet werden, einfach den Registry-Editor öffnen und im Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server den Wert ServerProfile anpassen. Im Anschluss müssen die Dienste von Forefront Server Security neu gestartet werden.

Notifications werden übrigens von Forefront Security for Exchange Server direkt in den SMTP Pickup-Folder gelegt und nicht über einen klassischen SMTP-Versand in Exchange übergeben.

Bereits seit ISA Server Version 2004 ist es nicht mehr zwingend erforderlich, dass der ISA Server Mitglied der Domäne sein muss, um den Zugriff in Firewallrichtlinien anhand von Benutzerkonten aus dem Active Directory zu regeln. Mit ISA Server 2006 wurde nun eine weitere Möglichkeit hinzugefügt, die es erlaubt, Benutzer per LDAP in Active Directory zu authentifizieren.

Chrisitan Gröbner zeigt in einer Schritt-für-Schritt-Anleitung auf MS ISA FAQ, wie Sie den ISA Server 2006 konfigurieren müssen, um beispielsweise bei einer Veröffentlichung von Outlook Web Access (OWA) die Authentifizierung per LDAP vornehmen können.

Wer sich bei Forefront Security for Exchange schon einmal die Frage gestellt hat, wo man eigentlich die Mail-Vorlage ändern kann, die verwendet wird, wenn ein Element in die Quarantäne verschoben wird: Es gibt derzeit keine bekannte Möglichkeit, diese Vorlage im UI zu ändern.

Vorschläge bitte einfach an uns!

Zu Troubleshooting- oder Diagnose-Zwecke oder für das Einspielen eines Service Packs (siehe auch How to install a service pack or a software update on an Exchange Server computer that is running Forefront Security) können die Forefront Server Security Dienste von Exchange Server oder SharePoint Server temporär abgehängt werden, ohne dass dabei Forefront Server Security (FSS) deinstalliert werden muss. Administratoren können dazu das Tool Fscutility.exe verwenden, welches bei der Installation von (FSS) im Programmverzeichnis mit abgelegt wird.

Fscutility unterstützt folgende Parameter:

• /status - Zeigt den Status von Forefront Server Security und Exchange Server bzw. SharePoint Server.
• /enable - Aktiviert Forefront Server Security (Exchange Server bzw. SharePoint Server Dienste müssen gestoppt sein).
• /disable - Deaktiviert Forefront Server Security (Exchange Server bzw. SharePoint Server Dienste müssen gestoppt sein).
• /remove - Entfernt Forefront Server Security Registry-Einstellungen.
• /regmon - Registriert den FSCMonitor. 
• /unregmon - Entfernt die Registrierung von FSCMonitor.

Um Forefront Server Security von Exchange Server oder SharePoint Server abzuhängen, führen Sie folgende Schritte aus:

1. Beenden Sie die folgenden Dienste in der entsprechenden Reihenfolge.
   Exchange Server: 1. FSCController, 2. Microsoft Exchange Transport Service, 3. System Attendant, 4. Information Store
   SharePoint Server: 1. FSCController, 2. IIS Admin Service 
    
2. Öffnen Sie die Eingabeaufforderung und wechseln Sie in das Programmverzeichnis der jeweiligen Forefront Server Security Installation.
   Forefront Security for Exchange: Program Files (x86)\Microsoft Forefront Security\Exchange Server
   Forefront Security for SharePoint x86: Program Files\Microsoft Forefront Security\SharePoint
   Forefront Security for SharePoint x64 oder IA-64: Program Files (x86)\Microsoft Forefront Security\SharePoint
    
3. Geben Sie folgenden Befehl in der Eingabeaufforderung ein, um die Forefront Server Security Dienste abzuhängen:
   Fscutility.exe /disable
    
   Nach der Ausführung erhalten Sie folgende Bestätigung:
   Microsoft Forefront Server Security VSAPI hooking dll is disabled.
   Status: Microsoft Forefront Server Security NOT Integrated!
    
4. Geben Sie folgenden Befehl in der Eingabeaufforderung ein, um die Forefront Server Security Dienste wieder anzuhängen:
   Fscutility.exe /enable
    
   Nach der Ausführung erhalten Sie folgende Bestätigung:
   Microsoft Forefront Server Security VSAPI hooking dll is enabled.
   Status: Microsoft Forefront Server Security successfully integrated! 
    
5. Um sicherzustellen, dass Forefront Server Security korrekt von Exchange Server bzw. SharePoint Server abgehängt oder wieder angehängt wurden, geben Sie in der Eingabeaufforderung folgenden Befehl ein:
   Fscutility.exe /status
    
6. Starten Sie die Exchange Server bzw. SharePoint Dienste.

Nachdem die Exchange Server bzw. SharePoint Dienste gestartet wurden, sollten Sie sicherstellen, dass die Forefront Server Security Dienste neugestartet wurden. Die Forefront Server Security Dienste sollten automatisch neustarten, wenn Sie die Exchange Server bzw. SharePoint Dienste starten.

Bitte beachten Sie: Wenn Sie die Forefront Server Security Dienste von Exchange Server bzw. SharePoint abhängen, ist Ihr Netzwerk nicht mehr vor Viren, Würmern und ähnlichen Bedrohungen geschützt!

Am 16. Januar 2007 gab Computer Associates bekannt, dass die Antivirus-Engines Vet und InoculateIT (iRiS) in eine einzelne Engine zusammengeführt werden, um einen einen zentralen Ansatz für die Bekämpfung von Malware und Spyware zu bieten. Entsprechend betrifft dies alle, die Microsoft, Forefront Security for Exchange Server, Forefront Security for SharePoint und Antigen einsetzen und die InoculateIT und/oder Vet Antivirus-Engine verwenden. Diese Kunden sollten daher die InoculateIT-Engine deaktivieren und stattdessen die Vet-Eingine aktivieren (entspricht der Auswahl der zukünftigen Engine). Updates für die InoculateIT-Engine werden bis 30. Juni 2007 bereitgestellt.

Mehr Informationen hierzu und eine ausführliche FAQ liefert der KB-Artikel Key points and frequently asked questions about the Computer Associates antivirus engine consolidation.