Microsoft Forefront

Im Laufe des Jahres 2006 hat Microsoft seine Aktivitäten im Bereich Sicherheit (und dazu zählen Virenschutz, Firewall, Spamschutz etc.) unter dem Produktnamen "Forefront" zusammen gefasst. Forefront deckt die folgenden Bereiche ab:

Vielleicht erinnern Sie sich noch, dass Microsoft vor einiger Zeit die Firma "Sybari" aufgekauft hat, die einen leistungsfähigen Virenscanner für Exchange entwickelt hatte, der schon Exchange 5.5 in Echtzeit scannen konnte, ehe Microsoft die AVAPI-Schnittstelle ( Siehe auch Virenschutz) bereit gestellt hat.

Wenn Sie nun Exchange 2007 installieren, dann finden Sie auf dem Setup auch gleich die Installation von Forefront für Exchange. Es handelt sich dabei  um eine Lösung zum automatischen Filtern von Mails nach bestimmten Regeln oder Virenmustern. Forefront ist aber nicht Bestandteil von Exchange und muss daher getrennt lizenziert werden. Dennoch ist davon auszugehen, dass viele Firmen einfach bei Forefront bleiben und nicht erst lange Wettbewerber evaluieren.

Sie können Forefront problemlos bei Microsoft auch als 120 Tage Evaluierungsversion herunter laden und danach "Aktivieren"
http://www.microsoft.com/forefront/downloads.mspx

Forefront SP2
Download Forefront Security for Exchange Server with Service Pack 2
http://technet.microsoft.com/en-us/bb738109.aspx

Download Forefront Security for SharePoint with Service Pack 3
http://technet.microsoft.com/en-us/bb738112.aspx

Download Antigen for Exchange with Antigen Spam Manager 9.0 with Service Pack 2
http://technet.microsoft.com/en-us/bb738101.aspx

http://blogs.technet.com/fss/archive/2010/02/17/rollup-1-now-available-for-both-forefront-security-for-exchange-sp2-and-forefront-security-for-sharepoint-sp3.aspx
978300 Hotfix Rollup 1 for Service Pack 3 for Forefront Security for SharePoint
978297 Hotfix Rollup 1 for Service Pack 2 for Forefront Security for Exchange

Achtung:
Nach der Installation von Windows 2003 SP2 mit Forefront kann es sein,  dass die Exchange 2007 Dienste nicht mehr automatisch starten. Ein manueller Start funktioniert weiter. Ein Hotfix für Forefront löst das Problem:
936541 Exchange services do not start after you install Windows Server 2003 Service Pack 2

Die Anzahl der Scanengines wird sich zum 1.12.2009 stark reduzieren.
AhnLab Antivirus Scan Engine has been deprecated as of 01.07.2009 and will be available only until 01.12.2009. Updates for this engine will stop after 01.12.2009. For more information, see http://go.microsoft.com/fwlink/? LinkId=152864.
 
CA Vet has been deprecated as of 01.07.2009 and will be available only until 01.12.2009. Updates for this engine will stop after 01.12.2009. For more information, see http://go.microsoft.com/fwlink/?LinkId=152864.
 
Sophos Virus Detection Engine has been deprecated as of 01.07.2009 and will be available only until 01.12.2009. Updates for this engine will stop after 01.12.2009. For more information, see http://go.microsoft.com/fwlink/?LinkId=152864.

Installation

Ich beschreibe hier die kurze Installation der 120-Tage Testversion, welche sich aber nicht von der Vollversion unterscheiden dürfte. Zuerst gibt es natürlich die allgemeinen Willkommensbilder und Lizenzabfragen.

Ungewohnt für Administratoren ist sicher die Abfrage, ob das Produkt lokal oder remote installiert werden soll.

Im nächsten Fenster können Sie dann entscheiden, ob sie eine komplette Installation wünschen oder auf einem AdminPC nur die Management Konsole installiert werden soll.

Die nächste Einstellung muss etwas erläutert werden. Forefront kennt eine Quarantäne, in der Mails abgelegt werden. Wird solche eine Mail nun durch einen Administrator aus der Quarantäne an den Benutzer weiter geleitet (weil diese irrtümlich in der Quarantäne gelandet ist), dann bedeutet der "Secure Mode", dass dennoch die aktuellen Filter erneut angewendet werden.

Es könnte also sein, dass Sie z.B. mit einer eigenen Filterregel eingestellt haben, dass ausführbare Anlagen nicht zugestellt sondern in einer Quarantäne landen. Leiden Sie diese dann weiter, dann sollte natürlich trotzdem der Virenscanner mit den aktuellen Patterndateien die Mail prüfen.

Interessant ist die Auswahl der verschiedenen Scanengines. Die hier angekreuzten Engines sind die Standardeinstellung

Natürlich ist ein Virenscanner nur so leistungsfähig, wie die Mustererkennung über aktuelle Daten verfügt. Daher versucht Forefront die Patterns regelmäßig zu aktualisieren. Das passiert stündlich, sofern die entsprechende Engine lizenziert ist.

Natürlich müssen Sie auch einen Zielpfad zur Installation der Software angeben

Und auch das Startmenü können Sie abweichend einstellen. Das Bild zeigt den Standard

Vor der Installation zeigt der Assistent noch eine Zusammenfassung der Einstellungen an. Es bietet sich an, diese einfach in die Zwischenablage zu kopieren und in das interne Dokumentationssystem zu übernehmen.

Bei der Installation werden Sie gefragt, ob der Microsoft Exchange Transport Service neu gestartet werden darf. Dies ist für die Funktion erforderlich. Sie können diesen Schritt auch übergehen aber dann ist der Virusscan erst beim nächsten Start aktiv.

Ein Druck auf "Next" sorgt dafür, dass der Dienst durchgestartet wird. Da der Exchange Informationsspeicher davon unberührt ist, dürften die Anwender davon nichts merken. Der Mailfluss wird nur kurz unterbrochen. Die Abschlussmeldung bestätig ihnen die Installation.

Damit ist Forefront für Exchange installiert. Sie können das auch an den Diensten erkennen:

Damit ist aber erst die Hälfte der Wegstrecke erreicht.

Konfiguration

Im Startmenü finden Sie dann unter "Programme - Microsoft Forefront Server Security - Exchange Server - Forefront Server Security Administrator" den neuen Eintrag für Forefront. Starten Sie die MMC und geben Sie den Server an, auf dem Forefront installiert wurde. Solange Sie die Evaluierungsversion einsetzen, sehen Sie beim Start den folgenden Dialog, Ein Klick auf "Activate Now" erfordert dann die Eingabe einer Lizenznummer:

Die eigentliche Konfiguration ist "überschaubar". Im Bereich "Scan Job" sind per Default schon der Transport Scan und Realtime Scan aktiv. Der manuelle Scan durch alle Postfächer ist nicht aktiv.

Im Bereich "Antivirus" sehen Sie auch die Jobs. Aber im unteren Bereich können Sie einstellen, welche Engines genutzt werden sollen. Beachten Sie, dass mehrere Engines natürlich mehr Last erzeugen und mehr Patternfiles herunter laden.

Im Bereich "Scanner updates" sollten Sich sicherstellen, dass ihre aktiven Scanner natürlich auch regelmäßig ein Update beziehen. Normalerweise aktualisiert Exchange die Patternfiles jede Stunde.

Ob das Update einer Engine funktioniert sehen Sie sowohl hier rechts auf dem Bild als auch im Eventlog:

Event Type: Information
Event Source: GetEngineFiles
Event Category: General 
Event ID: 2012
User: N/A
Computer: NAWSV002

    Description:
Microsoft Forefront Server Security performed a successful scan engine update.
Scan Engine: Sophos
Update Path: http://forefrontdl.microsoft.com/server/scanengineupdate/x86/Sophos

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Gerade der Eintrag im Eventlog erlaubt es natürlich z.B. mittels MOM2005 die Update zu überwachen.

Unter den "General  Options" können Sie einen Proxy-Server eintragen,  damit die Update auch aus dem internen Netzwerk über einen HTTP-Proxy mit Anmeldung funktionieren.

In der Einstellung "Report - Notifications" sollten Sie zumindest bei den aktiven Einstellungen auch einen Empfänger eintragen. Interessant ist, dass Forefront Exchange hier keine Auswahl aus der GAL ermöglicht, sondern Sie quasi die Adresse "Blind" tippen müssen und es auch keinen "Testmail senden"-Button gibt.

Die "incidents" zeigen ihnen die Vorfälle, die Forefront schon alle behandelt hat. Sie sehen hier z.B.: meine Testmail mit dem Eicarsender.

Die Daten kann man übrigens auch per Performance Counter auslesen

So können Sie mit anderen Werkzeugen ebenfalls Statistiken erzeugen und die Funktion überwachen.

Forefront Überwachung

Forefront hinterlässt sich als ordentliches Windows Produkt sowohl in den Performance Countern als auch im Eventlog. Es ist daher nicht schwer, die Funktion und Betriebsparameter mit einer passenden Lösung überwachen. Es gibt sogar ein Management Pack für MOM/System Center:

Forefront Protection 2010 for Exchange Server Management Pack for System Center Operations Manager 2007
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=74ba19df-0fc2-4dd3-86cc-07cb086a47c8#tm

Sonstiges

Forefront ist ein eigenständiges Produkt und nicht Bestandteil von Exchange. Allerdings gibt es beim Exchange Setup natürlich einen deutlich sichtbaren Link auf die Forefront Installation. Dennoch taucht Forefront NICHT in der Exchange 2007 Management Konsole auf.

Aus Sicherheitsaspekten ist es zu begrüßen, dass die Programme nur als "NetworkService" laufen, wie der Taskmanager schön anzeigt.

Allerdings ist hier auch gut zu sehen, das der Virenscanner nicht gerade sparsam mit dem Speicher umgeht. Acht Threads a 85 MByte brauchen schon mal 680 Megabyte Speicher.

Die andere Besonderheit fällt ihnen auf, wenn Sie mal in den Windows Taskplaner schauen. Die Update der Virenpattern wird über eine Kommandozeile gemacht und da Forefront dazu die Funktion "NetScheduleJobAdd" verwendet, muss er für jedes Patternfile für stündliche Update entsprechend 24 Einträge mit einem Aufruf ähnlich dem folgenden machen

AT 99 Each M T W Th F S Su 14:44 PM "C:\PROGRA~2\Microsoft Forefront Security\Exchange Server\FSCStarter.exe" u5 http://forefrontdl.microsoft.com/server/scanengineupdate SyncWithAT

Das kann den Taskplaner schon etwas unübersichtlich werden lassen.

Mit der Version für Exchange 2010 hat Microsoft dieses "Problem" beseitigt.

Eine weitere Fall ist die Funktion der "Archivierung"

Auf meinem Server war die Archivierung scheinbar per Default aktiv, was den Server nach einiger Zeit schnell aufgefüllt hat.

Forefront und Cluster

Natürlich ist Forefront auch "Clustertauglich" und unterstützt CCR. Dabei muss man Forefront aber auf beiden Knoten installieren. Als Besonderheit muss man dabei beachten, dass sich nur der aktive Knoten direkt aktualisiert.

Die Aktualisierung des passiven Knotens übernimmt dann der aktive Knoten über einen Replikationsmechanismus (Dienst: "Redistribution Server"). Auf dem passiven Knoten läuft daher nur der Dienst "FSECCRservice".

Wenn Sie sich mit der Konsole mit dem passiven Knoten verbinden, dann werden dort auch die anderen Forefront Dienste gestartet. Als Folge hierdurch schlägt die Replikation der Updates dann natürlich schief, weil die Forefront Dienste eine Sperre einrichten. Normalweise werden die Dienste nach dem Stop der Konsole auch wieder beendet.

Bleiben also "Fehler" im Eventlog, dann prüfen Sie bitte, ob wirklich nur die erforderlichen Dienste gestartet sind.

Weitere Links

Keywords: Produkte Forefront Antivirus