Mit Revision 8.0 wird seit 17.10.2007 im KB-Artikel 897614 Windows Server System software not supported within a Microsoft Virtual Server environment wird jetzt auch Forefront Client Security (FCS) gelistet. FCS wird also derzeit nicht für den produktiven Einsatz in einer Virtual Server 2005 (RTM oder R2) unterstützt.

Zwar etwas Off Topic, aber es wird einfach zu oft gefragt : Welche und wie viele Lizenzen zu den einzelnen Forefront-Produkten erhalten Certified und Gold Certified Partner?

Die Antwort findet sich auf den Informationsseiten im Partner Programm-Portal unter Software Licensing for Certified and Gold Certified Partners. Speziell für den internen Gebrauch gelten derzeit:

Anmerkung am Rande: Ein Intelligent Application Gateway 2007 (IAG) ist bei den Internal-Use Lizenzen leider nicht enhalten...

Die Microsoft Forefront Server Security Management Console (FSSMC) steht nun als RTM-Version bereit und kann im Download Center als 120 Tage Trial-Version in englischer Sprache heruntergeladen werden. Informationen zur Lizenzierung der Console sind derzeit ebenfalls nur in englischer Sprache verfügbar.

Mithilfe der FSSMC können Installationen von Microsoft Forefront Server Security und Microsoft Antigen in einem Netzwerk zusammen über eine web-basierte Oberfläche zentral verwaltet und überwacht werden. Mehr dazu auch im Blog-Eintrag zur Release Candidate-Version der FSSMC.

In einer Richtline bei Forefront Client Security (FCS) kann der Grad des Alerting Levels über den MOM Server in fünf Stufen eingestellt werden. Alerts benachrichtigen über Bedrohungen oder Probleme und enthalten stets weitere Informationen, die Ihnen bei der Behebung des Problems helfen. Die nachfolgende Tabelle beschreibt die Alerts, die in den jeweiligen Levels abgesetzt werden.

Über den globalen Level werden sogenannte "Malware Outbreak" Alerts gemeldet. Ein Outbreak Alert wird durch einen Malware Alert verursacht, der bei vielen Computern im Netzwerk aufgetreten ist, unabhängig von den Richtlinien und den darin eingestellten Alert Levels. Beispiele für einen Outbreak Alert sind die explosionsartive Verbreitung einer Malware über das Internet oder eines Wurms innerhalb des Unternehmensnetzwerks.

Der Multiple Scan Engine Manager (MEM) bei Forefront Server Security ist die essentielle Komponente, die einerseits die verschiedenen Scan Engines verwaltet und überwacht und andererseits dafür zuständig ist, welche Engine in Kombination mit der Bias-Setting und dem aktuellen Rating der Engines für einen Scan herangezogen wird.

Den besten Überblick zu MEM, Bias-Setting und Engine-Raking liefert das Whitepaper Sybari Antigen: A Case for Multiple Integrated Scan Engines. Obwohl das Dokument noch für Antigen geschrieben wurde, treffen die Features genauso auch für Forefront Server Security zu. Auszug:

The Role of Multiple Engine Manager

Antigen’s Multiple Scan Engine Manager (MEM) is a powerful component that manages the antivirus scan engines for each scanning layer within Antigen. MEM is responsible for balancing performance, scanning intensity and for providing uninterrupted scanning uptime, even during signature file updates. In addition, to ensure that all scan engines remain current and effective, engine and signature file updates for each and every integrated scan engine are downloaded, tested and brought online as soon as they are available. If the downloaded file is found to be corrupt or has other problems, MEM rolls back to the previous version, and alerts the administrator so the problem can be corrected prior to installation and use.

Bias Settings

Bias settings within MEM give administrators the ability to manage the performance and protection of the multiple scan engines. They allow companies to control how engines are used for a given scan job and define different settings for SMTP and e-mail scanning. In this way, administrators have complete control in how the balance is struck between performance and virus scanning. These settings include the following:

• Max Certainty: After the administrator has selected the scan engines at each layer, choosing Max Certainty will set MEM to use every scan engine to scan each message and attachment concurrently. Even if one of the scan engines determines a file is infected with a virus, the remaining engines will continue to scan. This thorough scanning is essential for historical data analysis.
• Favor Certainty: Favor Certainty uses 75 percent of the available scanning engines, and allows MEM to choose the right combination of each. In a four engine scan scenario, each message and attachment will be scanned by three scan engines, with the fourth invoked if further validation is required. The order of the first three engines depends on several factors, including which scan engine has the most recently updated signature files. (Anmerkung: Die aktuelle CPU-Auslastung ist hier auch ein wichtiger Faktor bei der Auswahl.)
• Neutral: Neutral mode ensures that all messages and attachments are scanned by at least half the available engines. For instance, in a four-engine scan scenario, every message will be scanned by two scan engines, with the third invoked if further validation is required. This bias setting provides the optimal balance between performance and protection. In addition, the order and combination of engines employed is based on Antigen’s engine ranking algorithms.
• Favor Performance: Using Favor Performance, MEM scans messages with 25 percent of the available engines. In a four scan engine scenario, every message will be scanned by one or two engines. This setting is recommended for the Exchange Information Store, where high performance is desired.
• Max Performance: With Max Performance, MEM is configured to use only one scan engine. To ensure maximum protection, the engine with the most recently updated signature files is always used.

The bias setting can be configured as needed. For instance, administrators can define one standard for back-end servers and another for front-end servers.

Engine Rankings

MEM uses engine rankings to determine the order in which different scan engines are used. Engine rankings depend on a number of criteria, such as the number of signature files, an appropriate mix of technologies, and the engine’s “age,” which is determined by the last time its signature files were updated.

Engine rankings also rely heavily on past performance. For example, every time a particular engine detects a virus successfully, it is assigned a greater credibility. Similarly, if one engine keeps detecting viruses that are not found by other engines, it is accorded less credibility in order to reduce false positives. Using an algorithm that takes all of these factors into consideration, MEM gives better-performing engines priority during the scanning process. When a virus has been successfully detected, it is cleaned by the first engine that detected the virus. If that particular engine is unable to clean the file, the next engine in line is used.

Besonders auf Public Folder-Servern und bei deaktiviertem AV-Stamping empfiehlt es sich, das proaktive Scanning bei Exchange Server 2007 mit Forefront Security for Exchange (FSE) zu aktivieren. Bei diesem Mechanismus wird jedes Element bereits bei der Bereitstellung in einem Ordner gescannt, ohne dass ein Zugriff durch den Client erforderlich wäre (On Access).

Proaktives Scanning wird von der VSAPI durch Exchange ermöglicht und kann durch eine Einstellung in der Registry zum Information Store von Exchange Server aktiviert werden. Navigieren Sie dazu mit dem Registrierungseditor nach HKLM\System\CurrentControlSet\Services\MSExchangeIS\VirusScan und ändern Sie den Wert von ProactiveScanning auf 1.

Hinweis: Viele hilfreiche Informationen zu den verschiedenen Store-Scanning-Optionen und vor allem das Verhalten von Exchange und FSE bei der Vielzahl an möglichen Kombinationen gibt es im Forefront Security for Exchange Server TechCenter im Abschnitt Forefront Security for Exchange Server Best Practices - Store Scanning.

Um die Scanning-Performance zu erhöhen und die Last auf Servern mit der Hub- und Mailbox-Rolle zu reduzieren, kann Forefront Security for Exchange (FSE) gescannte Nachrichten mit einem AV Stamp versehen, damit beispielsweise auf einen Edge-Transport nachfolgende Server im Transport die Nachricht nicht mehr scannen müssen (siehe auch Informationen zum AV Stamp bei Forefront Security for Exchange).

Damit ein AV-Stamp auf den Servern berücksichtigt wird, muss im Forefront Server Security Administrator in den General Settings die Einstellung Optimize for Performance by Not Rescanning Messages Already Virus Scanned – Transport für die FSE-Installation aktiviert sein. Man sollte jedoch wissen, dass wenn die Einstellung deaktiviert ist, FSE trotzdem einen AV Stamp nach dem Scan in die Nachricht einfügen wird!

Möchte man in keinem Fall einen AV Stamp nach einem Scan in der Nachricht, kann man dies per Registry festlegen: Navigieren Sie mit dem Registrierungseditor nach HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server (bei 64-Bit: HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server) und erstellen Sie einen neuen Eintrag DisableAVStamping vom Typ DWORD und setzten Sie den Wert auf 1.

Ein schon etwas älterer, aber für Administratoren bestimmt interessanter Artikel aus dem Forefront Server Security Blog beschreibt, wie man mit Forefront Security for SharePoint (FSSP) alle Dateien blockiert und nur Office-Dokumente erlaubt. Dank der Dateifilter in FSSP lässt sich dies ganz einfach erledigen:

Dateifilter 1: Nur Office-Dokumente erlauben

1. Öffnen Sie den Forefront Server Security Administrator
2. Klicken Sie im Shuttle auf Filtering und dann File Filtering
3. Erstellen Sie einen neuen Filter durch Klicken auf Add
4. Geben Sie Feld File Name einen * ein, um alle Dateien unabhängig von ihrer Dateierweiterung zu berücksichtigen
5. Deaktivieren Sie die Einstellung All File Types, um die Dateitypen auswählen zu können
6. Aktivieren Sie folgende Dateitypen: TNEF, DOC, OPENXML, WINEXCEL1, WINWORD1&2
7. Wählen Sie die Scan-Aktion Skip: detect only
8. Deaktivieren Sie die Einstellung Quarantine Files
9. Klicken Sie auf Save

Dateifilter 2: Alle Dateien blockieren

1. Öffnen Sie den Forefront Server Security Administrator
2. Klicken Sie im Shuttle auf Filtering und dann File Filtering
3. Erstellen Sie einen neuen Filter durch Klicken auf Add
4. Geben Sie Feld File Name einen * ein, um alle Dateien unabhängig von ihrer Dateierweiterung zu berücksichtigen
5. Stellen Sie sicher, dass die Einstellung All File Types aktiviert ist, um alle Dateitypen zu erfassen
6. Wählen Sie als Scan-Aktion je nach Bedarf die Einstellung Block oder Purge
7. Wählen Sie eine entsprechende Einstellung für die Quarantäne und für die Benachrichtigung
8. Klicken Sie auf Save

Hinweis: Eine Liste der Dateitypen gibt es im Forefront Security for SharePoint TechCenter. Mithilfe der Sharepoint File Types List kann man beispielsweise auch entscheiden, ob man mit FSSP noch ältere Formate, wie WINEXCEL1 (Microsoft Excel 1.x File) und WINWORD1&2 (Microsoft Word 1.x und 2.x file) im Dateifilter 1, nicht mehr zulassen oder andere Formate hinzufügen möchte.

Mit dem Malware Removal Starter Kit, das jetzt auch in deutscher Sprache verfügbar ist, stellt Microsoft IT-Profis eine umfassende Sammlung von Informationen und Empfehlungen zur Verfügung, die sie bei der Erkennung und Beseitigung von Malware unterstützt. So können Sie schnell reagieren, wenn ein Rechner im Unternehmen von Schadsoftware befallen ist und für eine rasche Wiederherstellung sorgen.