Forefront Server Security (FSS) kann zahlreiche Container nach Viren durchsuchen und nach Inhalten filtern. Als Container werden dabei nicht nur die gewöhnlichen Archivdateien (z.B. Zip) oder Dokumente im neuen OpenXML-Format (auch Zip-Archive), sondern beispielsweise auch MIME-Dateien bezeichnet.

Im Falle einer Infektion oder eines Treffers auf Basis eines Filters, wird die betrffende Datei im Container entfernt und durch eine Textdatei ersetzt. Der Container bleibt dabei intakt.

Ab Forefront Server Security for Exchange (FSE) mit Service Pack 1 werden folgende Container-Typen unterstützt:

Wird Forefront Security for Exchange Server (FSE) beispielsweise zum Schutz sehr vieler Domains verwendet, stößt man eventuell bei der Angabe der Domains in den General Options bei der Einstellung Internal Address an seine Grenzen. Da man sich heute gerne sämtliche Schreibweisen eines Namens mit den unterschiedlichsten TLDs reserviert, kann eventuell maximale Feldlänge von 64K hier nicht ausreichend sein.

Abhilfe schafft das Service Pack 1 von Forefront Security for Exchange Server. Ist das SP1 installiert, erstellt man in der Registry unter HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server einen neuen DWORD-Eintrag mit dem Namen UseDomainsDat und dem Wert 1. Danach kann mann alle Domains (je eine Domain pro Zeile) in der Datei Domains.dat im Datenbankverzeichnis von Forefront hinterlegen. Diese Datei wird übrigens in einem CCR-Cluster automatisch repliziert.

Auch schon ein paar Tage verfügbar: Forefront Security for SharePoint with Service Pack 1 (FSSP Version 10.1) ist seit 31.07.2007 in den üblichen Sprachen im Download-Center erhältlich.

Das Service Pack bring folgende Verbesserungen:

Schon etwas überfällig: Seit 14.07.2007 ist Forefront Security for Exchange Server with Service Pack 1 Beta 2 (FSE Version 10.1) in der englischen Version auf den Download-Seiten von Microsoft verfügbar.

Neben der Unterstützung von Exchange Server 2007 SP1 (u.a. ist dies auch die Voraussetzung für FSE mit SP1) und Windows Server 2008 bringt das Release mit Service Pack folgende Neuerungen:

• Direkte Unterstützung von IPv6
• Verbesserte Inhaltsfilterung durch importierbarer Keyword-Listen. Vorgefertigte Listen liegen in den verfügbaren Sprachen vor
• Verbesserte Integration mit Microsoft System Center Operations Manager durch ein neues Management Pack (verfügbar Q4 2007), das Administratoren ein proaktives Monitoring des Schutzes von Exchange 2007 ermöglicht
• Verbesserte Flexibilität bei der Überprüfung und Blockierung von hochkomprimierten Zip- (Treat high compression ZIP files as corrupted compressed) und mehrteiligen RAR-Archiven (Treat multipart RAR archives as corrupted compressed)

Hinweis: Bei mehrteiligen RAR-Archiven gilt im Übrigen der Registry-Wert MaxUncompressedFileSize für die gesamte Größe der einzelnen Dateien im Archiv (splitted Files).

Für die Überprüfung der Funktionsfähigkeit von Anti-Viren-Scannern wird häufig Eicar als Test-Virus verwendet (Download und Informationen: http://www.eicar.org). Inzwischen beschränkt sich die Bedrohungen und somit die Suche nicht mehr nur auf Viren, sondern auch Spyware, Rootkits und anderem Schad-Code. Im Gesamten als Malware bezeichnet.

Aus diesem Grund gibt es neben Eicar beispielsweise auch Spycar (Download und Informationen: http://www.spycar.org). Dieser imitiert Spyware und sollte von den heutigen Anti-Malware-Engines erkannt werden.

Wer noch weitere offizielle Test-Dateien für Anti-Malware-Engines kennt: Please leave a comment!

Richlinien bei Forefront Client Security (FCS) werden im Normalfall als Gruppenrichtlinien in Active Directory an die FCS-Clients ausgerollt. Neben der manuellen Variante, die Aktualisierung per gpupdate /force manuell auf dem Client zu erzwingen, aktuallisieren sich die Richlinen ab Windows 2000 im laufenden Betrieb automatisch etwa alle 90 Minuten bzw. alle 5 Minuten bei Domänen-Controllern.

Wem die Intervalle für die automatische Aktualisierung zu groß sind, kann diese Einstellung wiederum durch Gruppenrichtlinie verändern. Der KB-Artikel 203607 How to modify the default Group Policy refresh interval zeigt, wie es funktioniert.

Auch wenn Forefront Security for Exchange (FSE) auf dem Exchange Server 2007 installiert ist, sollte auch das Betriebssystem des Servers vor Malware mit Forefront Client Security (FCS) geschützt werden. Leider genügt es nicht, einfach nur die Verzeichnisse von Exchange in einer FCS-Richtline auszuschliessen.

Der TechCenter Artikel File-Level Antivirus Scanning on Exchange 2007 liefert deshalb viele wertvolle Informationen, was alles bei der Nutzung eines Virenscanners, wie FCS, berücksichtigt werden muss, um nicht die Performance des Servers zu beeinträchtigen und vielen Problemen vorbeugen zu können. Allgemeinere Informationen liefert übrigens auch der KB-Artikel 328841 Exchange and antivirus software.

Per Richtlinie lässt sich bei Forefront Client Security (FCS) konfigurieren, dass der Agent vor einem Scan beispielsweise bei WSUS auf die Verfügbarkeit von aktuellen Updates prüfen soll ("Check for Updates before starting a scan" auf der Registerkarte "Advance").

Wer einen FCS-Client ohne einen Quick, Full oder Custom Scan ausführen zu müssen auf den aktuellen Stand bringen möchte, muss nicht beim FCS-Agent, sondern den Windows Update-Agent klingeln: wuauclt.exe /detectnow

Möchte man bestimmte Prozesse bei Forefront Client Security (FCS) vom Scan durch die Anti-Malware-Engine ausschliessen, wird man in den möglichen Einstellungen einer Richtlinie in der Forefront Client Security Management Console nicht fündig. Dort gibt es nur leider die Möglichkeit Verzeichnispfade und Dateierweiterungen anzugeben. Auszuschliessende Prozesse kann man derzeit nur direkt in der Registry oder per GPO (ADM) hinterlegen.:

Für jeden Prozess wird dazu unter HKLM\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Exclusions\Processes ein neuer DWORD-Eintrag mit dem vollständigen Verzeichnisnamen des Prozesses (z.B. "C:\WINDOWS\system32\Dienstname.exe") angelegt. Der Wert dieser Einträge ist immer 0.

Wenn Forefront Client Security (FCS) Pro-User lizenziert wurde, darf der Client Agent beispielsweise auch auf den Home-PCs der Angestellten installiert werden.

Dazu wird auf diesen "unmanaged"-Clients das Installationsprogramm der FCS-CD mit der Option "/NOMOM" aufgerufen: clientsetup.exe /NOMOM
(Unter Windows Vista ggf. über eine als Administrator gestartete Eingabeaufforderung.)

Da diese unmanaged-Clients für gewöhnlich den WSUS des Unternehmens nicht erreichen, müssen die Updates für den FCS-Agent über Microsoft Update bezogen werden. Diese "Teilnahme" erfolgt durch einen manuellen Opt-In des Clients mit einem Besuch auf der Microsoft Update-Website.

Mehr Informationen zu dieser Prodzedur im TechCenter unter Protecting home computers.