Forefront Client Security (FCS) basiert nicht nur aus speziell entwickelten Modulen, sondern nutzt sehr viele Komponenten aus der Microsoft-Produktpalette, wie beispielsweise Active Directory für den Rollout der Richtlinien, WSUS für die Aktualisierungen der Client-Agenten oder MOM 2005 und SQL 2005 für das Management und Reporting.

Diese Vorgehensweise macht selbstverständlich Sinn, da nicht das Rad ständig neu erfunden werden muss: Bestehende IT-Investments können weiter genutzt werden, es müssen keine neuen Strukturen ausgerollt oder neue Produkte bzw. Technologien implementiert werden. Auf der anderen Seite sollte man diese Tatsache nicht nur bei der Evaluierung und Installation berücksichtigen, sondern auch die FCS-Infrastruktur in einen einen entsprechenden Desaster Recovery-Prozess einbinden, der alle diese Faktoren abgedeckt.

Das Forefront Client Security TechCenter enthält dazu im Abschnitt Operations einen eigene Sektion zu Desaster Recovery, die viele Tipps zu Fehlertoleranz, Verfügbarkeit und Strategien zur Sicherung der gesamten Installation und Wiederherstellung nach einem Problemfall zu FCS bereit hält:

• Backup und Restore des Client Security Management Pack for MOM
• Backup und Restore des SQL Server-Daten
• Backup und Restore der WSUS-Daten
• Backup und Restore der Gruppenrichtlinienobjekte (Group Policy Objects)

Um bei der Behandlung von Spam durch Exchange 2007 die Wahrscheinlichkeit zu reduzieren, dass False-Positives (als Spam identifizierte Nachrichten, die jedoch kein Spam sind) verloren gehen, kann man einen Schwellwert für den zur Nachricht ermittelten Spam Confidence Level (SCL) festlegen, bei dem die (vermeintlichen) Spam-Nachrichten nicht gelöscht oder abgelehnt, sondern in eine Quarantäne verschoben werden. Der Vorteil dabei ist, dass die betroffenen Empfänger (Exchange-Benutzer) der Nachricht mit einem Non Delivery Report (NDR) benachrichtigt werden und mit diesem die Nachricht aus der Quarantäne wieder anfordern können.

Ausführliche Anleitungen hierzu gibt es im Exchange 2007 TechCenter unter Configuring and Managing Spam Quarantine und How to Recover Quarantined Messages from the Spam Quarantine Mailbox.

Microsoft hat auf der hauseigenen Open Source Plattform Codeplex unter dem Titel Forefront Client Security Competitive Tools einige Sample-Scripts bereitgestellt, um die Installation von und die Migration auf Forefront Client Security (FCS) zu erleichtern.

Neben Scripts für die Installation von FCS selbst und die Bereitstellung des bei XPSP2-Hotfixes gibt es auch Removal-Scripts zum Entfernen vorhandener Anti-Spyware-Applikationen und folgender Anti-Virus-Produkte: eTrust, McAfee, Sophos, Symantec und Trend.

Forefront Security for SharePoint (FSSP) erhält als erstes Produkt die neue Enterprise Content Management Certification von ICSA Labs (www.icsalabs.com). Die ECM-Zertifizierung belegt, dass FSSP die Inhalte von SharePoint Server von der Infektion durch selbst-replizierenden Schadcode schützen kann. Die Zertifizierung setzt auch voraus, dass ein Schutz vor Viren On-Demmand und On-Access gewährleistet ist, keine False-Positives hat und alle aufgetretenen Threads festhält.

Neben FSSP erhielten bereits auch andere Produkte der Forefront-Familie die ICSA Labs Certification: Forefront Client Security, Forefront Security for Exchange Server und Internet Security and Acceleration Server.

Der Release Candidate der Microsoft Forefront Server Security Management Console (FSSMC) steht in englischer Version zum Download bereit. Der RTM wird in den nächsten Wochen erwartet und soll dann, wie die Forefront Server Security-Produkte, in elf Sprachen verfügbar sein.

Mithilfe der FSSMC können Installationen von Forefront Security for Exchange Server, Forefront Security for SharePoint und Microsoft Antigen gemeinsam über eine web-basierte Oberfläche verwaltet und überwacht werden. Neben übergreifender Konfiguration aller Forefront-Installationen können auch die Updates der Scan-Engines zentral heruntergeladen und ausgerollt werden. Neue Exchange- und SharePoint-Server im Netzwerk erkannt und mit dem entsprechenden Server Security-Produkt von der Console aus remote installiert werden.

Auch Quarantäne und die Log-Dateien aller Server werden zentral gesammelt, was ein umfangreiches Reporting ermöglicht und Adminsitratoren die automatisierte Reaktion auf Outbreaks im gesamten Forefront-Netzwerk erleichtert. Natürlich lässt sich die FSSMC auch selbst über eine Primary-/Backup-Kombination vor Ausfällen absichern.

Informationen, erste Schritte und Hilfestellung zur Installation und den Betrieb der FSSMC bietet der aktualisierte User Guide.

Es gibt immer noch ein wenig Verwirrung über die Windows Server Virtualization Technologie (Codename Viridian) im Zusammenhang mit Windows Server 2008.

Aus diesem Grund einmal die aktuellsten Termine im Überblick:

• Windows Server Virtualization Technology Preview: Verfügbar mit Erscheinen von Windows Server 2008 RC0 (naämlich heute )
• Windows Server Virtualization Beta: Verfügbar mit Erscheinen von Windows Server 2008 RTM
• Windows Server Virtualization RTM: Verfügbar innerhalb von 180 Tagen nach Windows Server 2008 RTM

Ein seht interessantes Video mit einer Demo zu Windows Server Virtualization gibt es im Übrigen als Stream unter: mms://wm.microsoft.com/ms/inetpub/keithcombs/ws2008/WSvTour.wmv (Alternativ: Download)

Bei der Definition einer Richtlinie in Forefront Client Security (FCS) gibt es auf der Registerkarte Advanced (Erweitert) die Einstellung Check for updates before starting a scan (Vor dem Starten eines Scans auf Updates prüfen). Diese Option bedeutet, dass der FCS-Agent vor einem geplanten Scan nach Aktualisierungen sucht.

Dies triff jedoch nicht zu, wenn der Benutzer einen manuellen Scan startet. Für einen manuellen Scan muss der Benutzer selbst im Client (sofern durch die Richtlinie zugelassen) nach Aktualisierungen suchen lassen oder sich auf die in der Richtline festgelegten Einstellung Check for updates at set interval (hours) (In festgelegtem Intervall auf Updates prüfen (Stunden)) stützen.

Führt der Administrator in der Management Console im Dashboard einen manuellen Scan über Scan now... (Jetzt scannen...) aus, prüft hier der Client vor dem Scan, ob Aktualisierungen vorliegen.

Eine oft gestellte Frage bei der Kapazitätsplanung von Forefront Client Security (FCS) ist: Wieviel Traffic erzeugt eigentlich dier MOM-Agent auf den mit FCS-geschützten Clients pro Tag? Die Antwort hängt dabei natürlich von vielen verschiedenen Faktoren ab: Wieviele Scans werden durchgeführt? Wie viele Malware-Threats wurden gefunden (Alerts)? Wieviele SSA-Checks werden gemacht? Etc...

Geht man im Durchschnitt von einem Anti-Malware-Scan und einem SSA-Check pro Tag aus, entsteht einschliesslich Heartbeat etwa ein ein Traffic von 50-100 KB.

Nachtrag: Die Größe eines Alerts ist etwa 8 KB. Pro Tag wird von etwa 20 Alerts ausgegangen.

Bei einer zu langsamen oder stark frequentierten Internet-Verbindung kann das Update der Scan-Engines von Forefront Security for Exchange (FSE) oder Forefront Security for SharePoint (FSSP) mit einem Timeout fehlschlagen. Dabei werden in der Log-Datei Programlog.txt und im Anwendungsprotokoll eine der folgenden Meldungen angezeigt.

• Error: The EngineName scan engine update timed out while downloading files.
• Error: The EngineName scan engine update timed out while disabling the scan engine.

Um dieses Problem zu beheben, kann man den standardmässigen Timeout von 300 Sekunden durch einen neuen Eintrag in der Registry ändern:

Navigieren Sie in der Registry je nach Plattform und Produkt zu einem der folgenden Keys:

• FSE 32-Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server
• FSE 64-Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server
• FSSP 32-Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Server Security\Sharepoint
• FSSP 64-Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Sharepoint

Erstellen Sie einen neuen Eintrag EngineDownloadTimeout vom Typ DWORD und legen Sie als Wert den neuen Timeout in Sekunden fest (z.B. 600 Sekunden). Die Forefront-Dienste müssen nicht neu gestartet werden. Die neue Einstellung wird sofort wirksam.

Viele per MAPI durchgeführte Management-Tasks in Exchange Server 2007, wie beispielsweise das Verschieben eines Postfachs, können den Scan durch ein Antiviren-Programm aktivieren und dadurch den Vorgang möglicherweise stark verlagsamen oder sogar unmöglich machen.

Wird Forefront Security for Exchange (FSE) eingesetzt, können die nachfolgenden Aufgaben ohne eine Deaktivierung von Forefront im laufenden Betrieb ausgeführt werden:

• Manuelle oder automatische Synchronisierung von Offline-Ordnern (.ost-Dateien)
• Importieren von persönlichen Ordnern (.pst-Dateien)
• Verschieben eines Postfachs in eine andere Storage Group 
• Erstellen oder entfernen einer Storage Group
• Erstellen oder entfernen einer Postfach-Datenbank
• Backup und Restore von Exchange-Datenbanken

Forefront Security for Exchange (FSE) unterstützt neben der Installation auf einem Exchange LCR- und CCR-Cluster (Local Continuous Replication Cluster bzw. Cluster Continuous Replication Cluster) auch die Installation auf Windows Server 2003 NLB-Clustern.

Microsoft stellt dazu einen kurze Anleitung im KB-Artikel 941272: How to install Forefront Security for Exchange Server on a Windows Server 2003 NLB cluster bereit.

Wird Forefront Security for Exchange Server (FSE) über die Exchange Enterprise CAL lizenziert, darf man zusätzlich die Premium Anti-Spam Features bei Exchange Server 2007 aktivieren (bzw. auch Blog-Eintrag: Anti-Spam Features auf der Hub-Rolle in Exchange 2007 aktivieren).

Die folgende Tabelle zeigt die unterschiedlichen Features und Aktualisierungsraten zwischen Exchange Standard CAL und Enterprise CAL:

Die von AV-Test in Magdeburg regelmässig durchgeführte Untersuchung der Erkennungsleistung von AV-Produkten verschiedenster Hersteller wurde dieses Mal mit 29 Virenscannern und 875.000 Schädlingen durchgeführt.

Mit dem Aktualisierungsstand 10. August 2008 konnte sich Microsoft bei diesem Testlauf mit seiner Engine (enthalten in Windows Live OneCare, Forefront Client Security und Forefront Server Security) von Rang 23 im Mai auf Rang 10 vorarbeiten.

Die standardmäßige Aufbewahrungsfrist der Daten bei Forefront Client Security (FCS) in der MOM-Datenbank für das Reporting beträgt 395 Tage (13 Monate). Ist dieser Zeitraum zu groß, kann er durch Stored Procedures, die durch den MOM Server der SQL-Datenbank hinzugefügt werden, heruntergesetzt werden. Eine entsprechende Anleitung liefert der KB-Artikel 887016: How to modify the number of days to retain data in the SystemCenterReporting database in Microsoft Operations Manager 2005.

Natürlich lässt sich der Zeitraum für die Aufbewahrung der Daten auch vergrößern. Allerdings sollte man dabei neben der möglichen Datenbankgröße vor allem die Ausführungsdauer des DTS-Jobs für die Übertragung der Daten aus der Collection- in die Reporting-Datenbank im Auge behalten. Weitere Hinweise, sowie Empfehlungen zu den Datenbank-Ressourcen und Informationen zum Tuning durch Aktivierung von Address Windowing Extensions (AWE), findet man im Forefront Client Security TechCenter.

Wenn man sich auf der deutschen TechNet-Seite Downloads und Testversionen für Microsoft Forefront umsieht, findet man leider nur die Forefront Server Security Management Packs für MOM 2005. Es gibt jedoch schon seit Anfang August auch die konvetierten Management Packs für Operations Manager 2007. Zu finden im Management Pack Catalog:

• Microsoft Forefront Server Security for Exchange 10.0 Management Pack for Operations Manager 2007
• Microsoft Forefront Server Security for SharePoint 10.x Management Pack for Operations Manager 2007

Ein ebenfalls nach Operations Manager 2007 konvertiertes Management Pack für Antigen 9.0 soll in den nächsten Wochen folgen.

Im gesamten Stehen für das dritte Quartal 2007 folgende Management Packs an:

• Configuration Manager 2007
• Computer Cluster Server 2003
• Exchange Server 2007
• ISA Server 2004/2006
• Office Live Communications Server 2005 SP
• System Center Virtual Machine Manager 2007
• Virtual Server 2005
• Windows AD Federation Services 2003
• Windows DNS Server 2003/2000
• Windows Distributed File Systems Replication Service 2003
• Windows Distributed Transaction Coordinator 2000/2003
• Windows Internet Name Service 2000/2003
• Windows Rights Management Services 2003
• Windows Routing and Remote Access Service 2003
• Windows Server Clusters 2000/2003

Für das vierte Quartal 2007 diese Management Packs:

• Antigen 9.0 MOM Pack
• Commerce Server 2007
• Communicator Web Access 2005
• Host Integration Server 2006
• Office Project Server 2007
• Office SharePoint Server 2007
• System Center Data Protection Manager 2006
• Windows Key Management Services 2003
• Windows Password Change Notification Service 2003
• Windows Server Automated Deployment Services 2003
• Windows Server Performance Advisor 2003
• Windows SharePoint Services 3.0
• Windows System Resource Manager 2003