Microsoft Forefront Protection 2010 for Exchange Server. Эксплуатация.(Часть 1)

Yuriy O.

Общие сведения об операциях

В программе Forefront Protection 2010 for Exchange Server (FPE) несколько антивирусных ядер интегрировано в комплексное многоуровневое решение, позволяющее защитить среду обмена сообщений на базе сервера Microsoft Exchange Server от вредоносных программ, нежелательной почты и недопустимого содержимого. FPE предотвращает распространение вредоносного содержимого благодаря проверке всех сообщений в реальном времени, которая практически не влияет на производительность сервера Exchange Server и время доставки почты.

Программа FPE обладает рядом мощных возможностей, некоторые из которых перечислены ниже.

  • Тщательная проверка на вредоносные программы с использованием нескольких антивирусных ядер и нескольких заданий проверки.
  • Распределенная защита всех серверов Microsoft Exchange, обеспечивающих хранение и передачу данных, с различными ролями, включая пограничные транспортные серверы, транспортные серверы-концентраторы, серверы общих папок и почтовые серверы.
  • Широкие возможности фильтрации.
  • Эффективная защита от нежелательной почты с высоким уровнем перехвата нежелательных сообщений и малым количеством ложных срабатываний.
  • Интеграция с Forefront Online Protection for Exchange.
  • Встроенный список очистки от вирусов червей с возможностью создания собственного списка.
  • Автоматическое расписание обновлений модулей и определений для обеспечения наилучшей защиты и возможность просмотра сведений об обновлениях для каждого модуля.
  • Уведомления по электронной почте, предоставляющие администраторам и другим пользователям сведения о деятельности FPE.
  • Журнал происшествий, позволяющий администраторам просматривать и анализировать показатели производительности FPE.
  • Возможность помещения на карантин вредоносных файлов и элементов, соответствующих условиям фильтров с возможностью их последующего восстановления.
  • Статистические данные, позволяющие отслеживать работоспособность среды Exchange.

 

О консоли администратора

Консоль Консоль администрирования Forefront Protection 2010 for Exchange Server предназначена для выполнения трех основных функций: мониторинг в реальном времени событий, связанных с защитой сервера, настройка параметров политик сервера и предоставление необходимых средств для выполнения конкретных задач. Эти функции соответствуют типичному рабочему процессу администрирования: после первоначальной настройки FPE администратор большую часть времени отслеживает происшествия, о которых сообщает (и, возможно, помещает на карантин) FPE. Остальное время тратится на настройку параметров политик и выполнение конкретных задач.

Для переключения между тремя основными представлениями (Мониторинг, Управление политиками и Задачи) нажмите соответствующую кнопку в левом нижнем углу. Подразделы в каждом из трех представлений отображаются над кнопками в виде дерева (как в проводнике). В центральной области отображаются основные сведения, например параметры конфигурации. Слева от этой области находятся элементы навигации, а справа — средства для выполнения конкретных действий.

О представлении "Мониторинг"

В Консоль администрирования Forefront Protection 2010 for Exchange Server представление Мониторинг используется для вывода сведений об обнаруженных угрозах или срабатываниях фильтров (так называемых происшествиях), помещенных на карантин элементах, работоспособности системы, а также статистических данных. В этом представлении также можно настроить уведомления по электронной почте, чтобы держать администраторов и других пользователей в курсе дел о работе FPE.

Администраторы используют Консоль администрирования Forefront Protection 2010 for Exchange Server для просмотра текущих событий, связанных с защитой системы, и происшествий. При обнаружении вредоносных программ, например вирусов и программ-шпионов, а также при срабатывании фильтра сведения о происшествии записываются в журнал, где их можно впоследствии просмотреть. Происшествия можно отфильтровать таким образом, чтобы вывести, например, только происшествия определенного типа или происшествия за определенный промежуток времени.

В представлении Мониторинг также можно просмотреть список элементов, помещенных на карантин. Как и происшествия, помещенные на карантин элементы можно отфильтровать, отобразив только те из них, которые удовлетворяют заданным условиям. С помощью пользовательского интерфейса также можно снимать элементы с карантина и удалять их.

При наблюдении за средой FPE можно просматривать статистические отчеты и использовать мониторы работоспособности. Существуют мониторы работоспособности для заданий проверки, служб, модулей и лицензий. Также можно просматривать сводные и подробные отчеты о вредоносных программах, нежелательной почте и срабатываниях фильтров.

О представлении "Управление политиками"

В Консоль администрирования Forefront Protection 2010 for Exchange Server представление Управление политиками используется в основном для настройки системы. Исходные параметры можно изменить в соответствии с требованиями конкретной среды FPE; также можно создавать настраиваемые фильтры.

Параметры в представлении Управление политиками сгруппированы по технологии защиты: Защита от вредоносных программ, Защита от нежелательной почты, Фильтры и Защита в Интернете. В представлении Глобальные параметры выводятся параметры конфигурации, относящиеся ко всем технологиям защиты.

Защита от вредоносных программ включает в себя защиту от вирусов и программ-шпионов; параметры защиты от обоих типов угроз настраиваются в группе Защита от вредоносных программ. Фильтрация позволяет запретить или разрешить определенное содержимое на основе типа файла, имени файла, расширения файла, темы сообщения, а также других условий.

В зависимости от установленной роли сервера Exchange Server (пограничный транспортный сервер, транспортный сервер-концентратор, сервер почтовых ящиков или объединенный транспортный сервер-концентратор и сервер почтовых ящиков) в FPE в группах Защита от вредоносных программ и Фильтры отображаются различные подгруппы. Это позволяет администраторам, например, создавать различные параметры защиты от вредоносных программ и различные параметры фильтрации для транспортных серверов Exchange (пограничных транспортных серверов и транспортных серверов-концентраторов) и серверов почтовых ящиков Exchange. Обратите внимание, что некоторые технологии защиты доступны только для конкретных ролей сервера. Например, защита от нежелательной почты доступна только в том случае, если ПО FPE установлено на пограничном транспортном сервере, транспортном сервере-концентраторе или объединенном транспортном сервере-концентраторе и сервере почтовых ящиков Exchange, но недоступна для сервера почтовых ящиков Exchange.

После установки для защиты от вредоносных программ автоматически применяются предопределенные параметры. С помощью Консоль администрирования Forefront Protection 2010 for Exchange Server можно настроить значения по умолчанию, а также создать настраиваемые фильтры и включить их. Если на сервере доступна и включена защита от нежелательной почты, то также можно настроить белый и черный списки и изменить пороговые значения вероятности нежелательной почты для фильтрации содержимого.

Помимо непрерывной защиты, обеспечиваемой при проверке в реальном времени, FPE позволяет выполнять проверку данных по расписанию. Проверка по расписанию запускается только в указанное время, и ее можно настроить таким образом, чтобы она выполнялась регулярно. Параметры проверки по расписанию также могут отличаться от параметров проверки в реальном времени. Например, в представлении Фильтры каждый из фильтров можно независимо от других включить или отключить для различных типов проверки. В области Глобальные параметры — Параметры проверки можно указать, какие почтовые ящики и общие папки будут проверяться по расписанию, а какие — в реальном времени.

О представлении "Задачи"

В Консоль администрирования Forefront Protection 2010 for Exchange Server представление Задачи используется для запуска вручную одноразовых заданий, например проверки по требованию. Такую проверку лучше всего использовать при внезапном заражении, чтобы проверить несколько подозрительных почтовых ящиков или общих папок, атакованных вредоносной программой или содержащих запрещенные либо недопустимые данные или файлы.

 

Настройка проверки на программы-шпионы

Программы-шпионы — это программы, представляющие угрозу для безопасности и конфиденциальности пользователей компьютеров. Программы-шпионы обычно устанавливаются на компьютер без ведома пользователя. Это могут быть как всплывающие окна с нежелательной рекламой, так и программы, записывающие все нажатия клавиш, и даже программы, берущие компьютер под свой контроль. Программы-шпионы могут снижать производительность компьютера, изменять его конфигурацию и похищать персональные данные, например сведения о счетах и пароли. Forefront Protection 2010 for Exchange Server (FPE) защищает пользователей от программ-шпионов, проходящих через серверы Exchange Server.

Хотя большинство параметров конфигурации для защиты от программ-шпионов объединено с параметрами для защиты от вирусов, указанные ниже параметры являются специализированными и позволяют настроить FPE для более эффективной борьбы с программами-шпионами.

  • При включенной защите от программ-шпионов необходимо также включить обновления подсистемы защиты от вредоносных программ. Подсистема защиты от вредоносных программ Майкрософт является единственным модулем, который проверяет систему на наличие программ-шпионов, поэтому сам модуль и определения должны регулярно обновляться. Дополнительные сведения см. в разделе Настройка обновлений модулей и определений.
  • В зависимости от типа проверки необходимо включить проверку на наличие программ-шпионов для проверки передачи, проверки в реальном времени или проверки по расписанию. (Проверка по требованию для программ-шпионов не поддерживается.) Дополнительные сведения см. в разделах ‎Настройка проверки передачи, ‎Настройка проверки в реальном времени и Настройка проверки по расписанию.
  • Аналогичным образом, для каждого задания проверки необходимо указать действие, которое FPE будет выполнять при обнаружении программы-шпиона. Также можно указать действие, выполняемое при проверке на вирусы; в тех случаях, когда зараженный файл содержит одновременно и вирус, и программу-шпион, выполняется действие, указанное для защиты от вирусов. Дополнительные сведения о настройке действий см. в разделах ‎Настройка проверки передачи, ‎Настройка проверки в реальном времени и Настройка проверки по расписанию.

 

Использование фильтрации для защиты от нежелательной почты

В этом разделе рассказывается, как с помощью Forefront Protection 2010 for Exchange Server (FPE) предотвратить попадание нежелательной почты в среды обмена сообщениями Microsoft Exchange.

Технологию защиты от нежелательной почты FPE можно включить на пограничных транспортных серверах и транспортных серверах-концентраторах Exchange. Тем не менее, защиту от нежелательной почты рекомендуется включить на пограничном транспортном сервере, поскольку это позволяет программе FPE отклонять нежелательную почту на самых ранних этапах обработки, не создавая лишней нагрузки на сеть. Технология защиты от нежелательной почты включает ряд агентов, зарегистрированных на сервере Exchange Server и вызываемых на определенных этапах конвейера SMTP. FPE также можно интегрировать с Forefront Online Protection for Exchange (FOPE), чтобы обеспечить дополнительный уровень фильтрации в среде обмена сообщениями.

Если для фильтрации электронной почты используется FOPE, программу FPE можно настроить таким образом, чтобы она не проверяла сообщения, уже проверенные FOPE. Дополнительные сведения см. в разделе Пропуск проверки на вирусы и нежелательную почту для уже проверенных сообщений.

В FPE для выявления и устранения нежелательной почты используется несколько видов фильтрации.

  • Фильтрация подключений—FPE проверяется IP-адрес отправителя. В FPE используются настраиваемые пользователем черные и белые списки статических IP-адресов, а также черный список динамических DNS-имен, предоставляемый корпорацией Майкрософт, который позволяет отфильтровать до 90 % нежелательной почты. Дополнительные сведения см. в разделе Использование фильтрации подключений.
  • Фильтрация отправителей—FPE проверяются сведения об отправителе SMTP. Этот фильтр позволяет администраторам настроить списки разрешенных и заблокированных отправителей по доменам и адресам электронной почты. Дополнительные сведения см. в разделе Настройка фильтрации отправителей.
  • Фильтрация кодов отправителя—FPE проверяются коды отправителя, чтобы защититься от возможной подделки идентификатора отправителя. Дополнительные сведения см. в разделе Настройка фильтрации кодов отправителей.
  • Фильтрация получателей—FPE используется, чтобы разрешить или заблокировать отправку сообщений электронной почты определенным получателям в организации. Кроме того, FPE позволяет проверить наличие получателя в доменной службе Active Directory путем выполнения соответствующего запроса. Дополнительные сведения см. в разделе Настройка фильтрации получателей.
  • Фильтрация содержимого—FPE проверяется также содержимое самого сообщения, включая строку темы и тело сообщения. Для проверки всей электронной почты на наличие нежелательных сообщений FPE использует ядра защиты от нежелательной почты сторонних производителей. Дополнительные сведения см. в разделе Настройка фильтрации содержимого.
  • Фильтрация возвращаемых писем—FPE используется новая технология, позволяющая администраторам защитить среду от поддельных отчетов о недоставке с подложных адресов отправителей. Дополнительные сведения см. в разделе Настройка фильтрации возвращаемых писем.

На первых двух этапах конвейера защиты от нежелательной почты FPE может отклонить сообщение, если оно было отправлено с IP-адреса из черного списка или от заблокированного либо подложного отправителя. Программу FPE также можно настроить таким образом, чтобы она отклоняла сообщения, предназначенные заблокированным или недопустимым отправителям. На последнем этапе программа FPE определяет вероятность того, что сообщение является нежелательным. FPE позволяет задать пороговое значение вероятности, определяющее действие, которое будет выполнено FPE в процессе фильтрации содержимого. Сообщения, вероятность нежелательной почты для которых превышает пороговое значение, могут быть отклонены или удалены, остальные сообщения могут быть помещены на карантин или переданы в приложение Microsoft Office Outlook. Подозрительные сообщения, переданные в приложение Office Outlook, могут быть проверены еще раз в зависимости от настроек Outlook.

Если вам не удается задать параметры защиты от нежелательной почты с помощью Консоль администрирования FPE, проверьте, не истек ли срок действия пароля администратора сервера Exchange Server и не был ли пароль изменен.

При включенной фильтрации нежелательной почты необходимо также заполнить список внутренних SMTP-серверов в командной консоли Microsoft Exchange Server. Это особенно важно, если передача данных между Интернетом и сервером Exchange Server, защищенным FPE, на котором включены агенты защиты от нежелательной почты, осуществляется через агенты передачи сообщений. Сведения о настройке списка внутренних SMTP-серверов можно найти в указанных ниже разделах документации к Microsoft Exchange. Агенты защиты от нежелательной почты включены, но список внутренних SMTP-серверов пуст (http://go.microsoft.com/fwlink/?LinkId=156597) и Командлет Set-TransportConfig (http://go.microsoft.com/fwlink/?LinkId=156599).

 

Использование Forefront Online Protection for Exchange

 

Forefront Online Protection for Exchange (FOPE) — это служба фильтрации электронной почты, которую можно использовать совместно с Forefront Protection 2010 for Exchange Server (FPE). Программа FOPE защищает среду обмена сообщениями путем фильтрации входящей почты до ее поступления в почтовую систему. Служба FOPE получает все входящие сообщения, проверяет их на нежелательную почту и вирусы, применяет настраиваемые фильтры защиты от нежелательной почты и передает почту в среду обмена сообщениями для дальнейшей проверки и доставки. Ниже перечислены настраиваемые фильтры защиты от нежелательной почты.

  • Черный и белый списки IP-адресов
  • Черный и белый списки доменов отправителей
  • Черный и белый списки адресов отправителей
  • Черный и белый списки адресов получателей

Дополнительные сведения об этих фильтрах и их настройке см. в разделе Использование фильтрации для защиты от нежелательной почты.

Интеграция размещенной службы фильтрации со средой электронной почты

В типичной почтовой системе почта приходит из Интернета и поступает в среду обмена сообщениями через пограничный транспортный сервер, где она проверяется на вредоносные программы и нежелательную почту. После проверки почта передается на транспортный сервер-концентратор для дальнейшей маршрутизации на соответствующий сервер почтовых ящиков. При использовании службы FOPE между Интернетом и пограничным транспортным сервером добавляется дополнительный уровень фильтрации. Этот уровень состоит из серверов FOPE, объединенных в центр данных.

Серверы FOPE группируются в центры данных Майкрософт по всему миру. Эти серверы проверяют сообщения на вредоносные программы и нежелательную почту перед их передачей на пограничные транспортные серверы и транспортные серверы-концентраторы. Ниже перечислены преимущества использования FOPE.

  • Благодаря фильтрации нежелательной почты отсекается до 90% входящей почты. Это позволяет снизить нагрузку на внутренние почтовые серверы.
  • Вся почта, поступающая на пограничные транспортные серверы и транспортные серверы-концентраторы, уже проверена на вирусы.
  • Параметры защиты от нежелательной почты можно изменить локально, после чего они будут синхронизированы с параметрами защиты от нежелательной почты и фильтрации в FOPE.
  • Программа FOPE помечает все сообщения, которые были проверены на вирусы, нежелательную почту и соответствие условиям настраиваемых фильтров, путем добавления в сообщение заголовка со сведениями о состоянии сообщения. Этот заголовок может использоваться программой FPE, чтобы не выполнять повторную проверку сообщений на пограничных транспортных серверах.

Если сообщение определяется службой FOPE как нежелательное, возможны указанные ниже варианты действий.

  • Оставить сообщение в базе данных карантина FOPE. Это значение используется по умолчанию.
  • Передать сообщение на обработку программе FPE. Программа FPE либо заблокирует сообщение, либо поместит его на карантин, либо доставит его получателю в зависимости от конфигурации защиты от нежелательной почты в FPE и с учетом вероятности нежелательной почты, назначенной сообщению службой FOPE.
Написать комментарий