將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2016/6/6

開源付費防毒雙管齊下 防範勒索軟體及APT攻擊

配置Exchange第三方防毒 整合管理抵禦惡意程式

顧武雄
Exchange Server是全球最多企業IT的共同選擇,但同時它也成為了駭客攻擊的最愛,因此在享有全新Exchange Server 2016所帶來的IT效益之時,需要為它裝配最牢固的安全配備,以因應各種突如其來的侵擾。本文將以實戰講解的方式,示範如何善用商用付費的ScanMail以及開放原始碼的ClamWin套件,一次解決從檔案系統安全到訊息流的防毒需求。
在ScanMail管理網站的上方連結中,有一個名為「Real-time monitor」的超連結,若加以點選,則會開啟如圖19所示的頁面,其目的是方便管理人員可以隨時即時查看最新掃描狀態中的各項統計數據,以及已掃描的完整訊息紀錄。 這裡還可以隨時重置統計結果,只須按下〔Reset Count〕按鈕。若想要清除現有的掃描紀錄,則按下〔Clear Content〕按鈕。


▲圖19 查看即時監視資訊。


雖然,ScanMail服務在正常情況下已能夠即時保護所有信箱資料庫的安全,但還是建議在安排的Exchange Server健診中最好能夠手動執行掃描作業,以確保所有資料庫安全無虞。

操作方方法很簡單,只要如圖20所示先點選至「Manual Scan」節點頁面,然後挑選所要掃描的資料庫、公用資料夾,並選擇掃描的類型、訊息的日期範圍。必要時,還可控制CPU的使用率,以避免影響到運作中的系統效能,最後按下〔Scan Now〕按鈕。


▲圖20 手動掃描。


如果使用者所寄送的E-mail中,其附件有夾帶惡意程式碼,在ScanMail系統預設狀態之下,便會使用一個預設文字檔來取代原有的附件檔案。在如圖21所示的範例中,可以看到已取代的預設文字檔附件。


▲圖21 顯示病毒郵件攔截通知。


開啟此文字檔後,就可以看到如圖22所示般的訊息內容,從中可以得知原來的附件檔案是因為被偵測到含有惡意程式碼才遭到移除處置。必須注意的是,如果附件有設定加密,則ScanMail無法診斷是否有夾帶惡意程式碼。


▲圖22 檢視取代附件內容。


根據ScanMail系統的政策設定,可以將某些特徵的E-mail訊息進行隔離處理而不是直接刪除。而這些被隔離的E-mail,都可以到「Quarantine」→「Query」節點頁面中依據指定的條件進行查詢,如圖23所示。


▲圖23 進行隔離查詢操作。


對於查詢的結果,在逐一勾選之後,若有需要的話,還可以選擇寄送給原收件者,或建立成一封新E-mail,或者執行徹底刪除動作。

不定期檢閱系統中的各種報告,是任何與資訊安全相關的系統在平日維護時的重要動作之一,因為可以從中了解病毒在企業網路內的發展趨勢,以及哪一類型的惡意程式碼是使用者經常遭遇到的,藉此來規劃整體資安的管理辦法。

如圖24所示,可以在「Reports」節點下選擇產生即時性的分析報告,或是特定定期的排程報告,而報告的內容可根據報告的屬性設定來決定。


▲圖24 進行報告管理。


圖25所示是一份綜合的統計報告,這裡顯示了包含前幾名的病毒與惡意程式清單,以及最常發生中毒事件的寄件者名單,並且也列出所偵測到的各種惡意程式碼、系統所自動執行的處理動作排序等資訊。


▲圖25 檢視即時報告內容。


整合檔案型防毒軟體之注意事項

在講解開源防毒軟體於Exchange Server主機上的使用之前,必須先注意一些檔案型的防毒軟體,在排程定時的掃描作業中,有可能會造成Exchange Server資料庫或紀錄檔遭到鎖住或隔離的問題,因而產生編號為1018的事件,進而造成用戶端使用者存取失敗的問題。

由此可見,將檔案型的防毒軟體安裝在Exchange Server 2016主機時,記得做某些特定資料夾路徑的排除設定,如此才能夠讓Exchange Server的運行得以順暢。

這篇文章讓你覺得滿意不滿意
送出
相關文章
Wi-Fi控制器多功化 落實軟體定義分支機構
資安邁入認知安全時代 依情資持續推理學習
共享威脅情資 建立安全洞察力
園區網路AI化 預警調優一條龍
安裝輕量級EGroupware 建置企業協作網站(下)
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章