Forefront Server Security (FSS) kann zahlreiche Container nach Viren durchsuchen und nach Inhalten filtern. Als Container werden dabei nicht nur die gewöhnlichen Archivdateien (z.B. Zip) oder Dokumente im neuen OpenXML-Format (auch Zip-Archive), sondern beispielsweise auch MIME-Dateien bezeichnet.

Im Falle einer Infektion oder eines Treffers auf Basis eines Filters, wird die betrffende Datei im Container entfernt und durch eine Textdatei ersetzt. Der Container bleibt dabei intakt.

Ab Forefront Server Security for Exchange (FSE) mit Service Pack 1 werden folgende Container-Typen unterstützt:

Wird Forefront Security for Exchange Server (FSE) beispielsweise zum Schutz sehr vieler Domains verwendet, stößt man eventuell bei der Angabe der Domains in den General Options bei der Einstellung Internal Address an seine Grenzen. Da man sich heute gerne sämtliche Schreibweisen eines Namens mit den unterschiedlichsten TLDs reserviert, kann eventuell maximale Feldlänge von 64K hier nicht ausreichend sein.

Abhilfe schafft das Service Pack 1 von Forefront Security for Exchange Server. Ist das SP1 installiert, erstellt man in der Registry unter HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server einen neuen DWORD-Eintrag mit dem Namen UseDomainsDat und dem Wert 1. Danach kann mann alle Domains (je eine Domain pro Zeile) in der Datei Domains.dat im Datenbankverzeichnis von Forefront hinterlegen. Diese Datei wird übrigens in einem CCR-Cluster automatisch repliziert.

Auch schon ein paar Tage verfügbar: Forefront Security for SharePoint with Service Pack 1 (FSSP Version 10.1) ist seit 31.07.2007 in den üblichen Sprachen im Download-Center erhältlich.

Das Service Pack bring folgende Verbesserungen:

Schon etwas überfällig: Seit 14.07.2007 ist Forefront Security for Exchange Server with Service Pack 1 Beta 2 (FSE Version 10.1) in der englischen Version auf den Download-Seiten von Microsoft verfügbar.

Neben der Unterstützung von Exchange Server 2007 SP1 (u.a. ist dies auch die Voraussetzung für FSE mit SP1) und Windows Server 2008 bringt das Release mit Service Pack folgende Neuerungen:

• Direkte Unterstützung von IPv6
• Verbesserte Inhaltsfilterung durch importierbarer Keyword-Listen. Vorgefertigte Listen liegen in den verfügbaren Sprachen vor
• Verbesserte Integration mit Microsoft System Center Operations Manager durch ein neues Management Pack (verfügbar Q4 2007), das Administratoren ein proaktives Monitoring des Schutzes von Exchange 2007 ermöglicht
• Verbesserte Flexibilität bei der Überprüfung und Blockierung von hochkomprimierten Zip- (Treat high compression ZIP files as corrupted compressed) und mehrteiligen RAR-Archiven (Treat multipart RAR archives as corrupted compressed)

Hinweis: Bei mehrteiligen RAR-Archiven gilt im Übrigen der Registry-Wert MaxUncompressedFileSize für die gesamte Größe der einzelnen Dateien im Archiv (splitted Files).

Für die Überprüfung der Funktionsfähigkeit von Anti-Viren-Scannern wird häufig Eicar als Test-Virus verwendet (Download und Informationen: http://www.eicar.org). Inzwischen beschränkt sich die Bedrohungen und somit die Suche nicht mehr nur auf Viren, sondern auch Spyware, Rootkits und anderem Schad-Code. Im Gesamten als Malware bezeichnet.

Aus diesem Grund gibt es neben Eicar beispielsweise auch Spycar (Download und Informationen: http://www.spycar.org). Dieser imitiert Spyware und sollte von den heutigen Anti-Malware-Engines erkannt werden.

Wer noch weitere offizielle Test-Dateien für Anti-Malware-Engines kennt: Please leave a comment!

Richlinien bei Forefront Client Security (FCS) werden im Normalfall als Gruppenrichtlinien in Active Directory an die FCS-Clients ausgerollt. Neben der manuellen Variante, die Aktualisierung per gpupdate /force manuell auf dem Client zu erzwingen, aktuallisieren sich die Richlinen ab Windows 2000 im laufenden Betrieb automatisch etwa alle 90 Minuten bzw. alle 5 Minuten bei Domänen-Controllern.

Wem die Intervalle für die automatische Aktualisierung zu groß sind, kann diese Einstellung wiederum durch Gruppenrichtlinie verändern. Der KB-Artikel 203607 How to modify the default Group Policy refresh interval zeigt, wie es funktioniert.

Auch wenn Forefront Security for Exchange (FSE) auf dem Exchange Server 2007 installiert ist, sollte auch das Betriebssystem des Servers vor Malware mit Forefront Client Security (FCS) geschützt werden. Leider genügt es nicht, einfach nur die Verzeichnisse von Exchange in einer FCS-Richtline auszuschliessen.

Der TechCenter Artikel File-Level Antivirus Scanning on Exchange 2007 liefert deshalb viele wertvolle Informationen, was alles bei der Nutzung eines Virenscanners, wie FCS, berücksichtigt werden muss, um nicht die Performance des Servers zu beeinträchtigen und vielen Problemen vorbeugen zu können. Allgemeinere Informationen liefert übrigens auch der KB-Artikel 328841 Exchange and antivirus software.

Per Richtlinie lässt sich bei Forefront Client Security (FCS) konfigurieren, dass der Agent vor einem Scan beispielsweise bei WSUS auf die Verfügbarkeit von aktuellen Updates prüfen soll ("Check for Updates before starting a scan" auf der Registerkarte "Advance").

Wer einen FCS-Client ohne einen Quick, Full oder Custom Scan ausführen zu müssen auf den aktuellen Stand bringen möchte, muss nicht beim FCS-Agent, sondern den Windows Update-Agent klingeln: wuauclt.exe /detectnow

Möchte man bestimmte Prozesse bei Forefront Client Security (FCS) vom Scan durch die Anti-Malware-Engine ausschliessen, wird man in den möglichen Einstellungen einer Richtlinie in der Forefront Client Security Management Console nicht fündig. Dort gibt es nur leider die Möglichkeit Verzeichnispfade und Dateierweiterungen anzugeben. Auszuschliessende Prozesse kann man derzeit nur direkt in der Registry oder per GPO (ADM) hinterlegen.:

Für jeden Prozess wird dazu unter HKLM\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Exclusions\Processes ein neuer DWORD-Eintrag mit dem vollständigen Verzeichnisnamen des Prozesses (z.B. "C:\WINDOWS\system32\Dienstname.exe") angelegt. Der Wert dieser Einträge ist immer 0.

Wenn Forefront Client Security (FCS) Pro-User lizenziert wurde, darf der Client Agent beispielsweise auch auf den Home-PCs der Angestellten installiert werden.

Dazu wird auf diesen "unmanaged"-Clients das Installationsprogramm der FCS-CD mit der Option "/NOMOM" aufgerufen: clientsetup.exe /NOMOM
(Unter Windows Vista ggf. über eine als Administrator gestartete Eingabeaufforderung.)

Da diese unmanaged-Clients für gewöhnlich den WSUS des Unternehmens nicht erreichen, müssen die Updates für den FCS-Agent über Microsoft Update bezogen werden. Diese "Teilnahme" erfolgt durch einen manuellen Opt-In des Clients mit einem Besuch auf der Microsoft Update-Website.

Mehr Informationen zu dieser Prodzedur im TechCenter unter Protecting home computers.

Entgegen der Informationen Verifying your system requirements im TechCenter ist der Betrieb von Forefront Client Security nur mit SQL Server 2005 in der 32 Bit-Version (x86) möglich.

Ausserdem ist die Installation von FCS auf einem SQL-Cluster ebenfalls nicht möglich und in einer Virtual Server-Umgebung nicht unterstützt. Eine kleine, aber Wichtige "Fußnote" in obigem Artikel.

Gleich als Nachtrag zum heutigen Eintrag Forefront Client Security scannt Alternate Data Streams: Forefront Client Security (FCS) kann im On-Access-Modus auch EFS-verschlüsselte und NTFS-komprimierte Dateien scannen. 

Das Durchleuchten von NTFS-komprimierten Dateien erfolgt transparent, da der Schutz bei FCS durch einen im Betriebssystem verankerten Mini-Filter implementiert ist. Aus dem gleichen Grund ist somit auch der Scan von EFS-verschlüsselten Dateien bei der Realtime-Protection kein Problem, die notwendigen Zertifikatsinformationen durch den zugreifenden Benutzers vorhanden sind.

Eine Installation der Trial-Version von Forefront Client Security (FCS) lässt sich relativ einfach auf eine Retail-Version upgraden. Dies ist besonders hilfreich, wenn man beispielsweise nach Ablauf des Testzeitraums die Testinstallation produktiv einsetzen möchte, ohne die komplette Management-Infrastruktur neu installieren zu müssen.

Die erforderlichen Schritte findet man als Anleitung Upgrading from the evaluation version to the retail version TechCenter.
Das dazu gehörende Tool Microsoft Forefront Client Security Installation Tool für den Upgrade ist in Englisch verfügbar. Weitere Sprachversionen sollten in Kürze folgen.

Forefront Client Security (FCS) bietet umfassenden Schutz vor jeglichem Schadcode durch sogenannte On-Access und Real-Time Protection. Dabei werden Dateien in Echtzeit gescannt, bevor Sie geöffnet werden. Wurde Malware erkannt, wird der Zugriff auf die Datei gesperrt. Implementiert wird dies durch den Windows Filter Manager in Form eines sogenannten Mini-Filter, der im Kernel Mode ausgeführt wird.

Mehr Informationen hierzu liefert das Whitepaper Understanding Anti-Malware Technologies von Microsoft.

Sehr häufig kommt die Frage auf: Ist die Scan-Engine von Forefront Client Security (FCS) gleich der Engine mit dem Namen "Microsoft", die als eine der acht (bishr neun) Engines in Forefront Server Security for Exchange (FSE) oder SharePoint (FSSP) ausgewählt werden kann?

Kurz und bündige Antwort: Ja

Alternate Data Streams (ADS), sind eine spezielle Funktion des NTFS-Dateisystems, die ab Windows 2000 zur Verfügung steht. Mit ADS können Daten unsichtbar an eine Dateien und Ordner gebunden werden.

Windows verwendet ADS beispielsweise zur Speicherung von Vorschaubildern und zur Speicherung der in der Eigenschaftseite jeder Datei verfügbaren Metadaten. Seit Windows XP (ab Service Pack 2) wird außerdem ein sogenannter Zone Identifier gespeichert, der es jederzeit ermöglicht, aus dem Internet heruntergelade Dateien zu erkennen.

Da ADS in erster Linie unsichtbar sind, können noch nicht alle Antivirenprogramme ADS überprüfen. Forefront Client Security (FCS) kann ADS erkennen und nach Malware durchsuchen.