完整的企業防毒系統解決方案
企業資安評估工具與Forefront整合管理秘訣

2009-04-03
Forefront是Microsoft針對企業網路安全防護的完整解決方案,而免費的MSAT工具(Microsoft Security Assessment Tool)則可以協助企業IT進行一個完整的資安環境現況分析以及最佳指導。
企業版Forefront Security是Microsoft所發行的防毒系統的完整解決方案,其中採用多重掃毒引擎,可以將病毒入侵的機會降到最低,因為它可以有效防範單一失敗點(Single Point of Fail)的問題,在單一掃毒引擎停擺或尚未取得最新更新之前,不讓最新的病毒有機可乘,並解決防毒空窗期所可能引發的安全問題。

例如當手動或排程進行病毒更新時,便可能遭致病毒或惡意程式大舉入侵,此刻如果安排不同的掃毒引擎在不同的時段進行自我更新,便可以有效防範這樣的問題發生。然而,根據以往的實務經驗,若將不同廠商的防毒系統安裝在相同的執行系統上,往往容易造成防毒系統相互衝突的問題。

何謂企業資安評估  

企業網路環境中的各種設備、電腦、伺服器、應用系統以及架構設計,經常會依照不同重要系統的導入,或人員與組織的變化而變動,因此往往在關鍵時刻,資訊安全的管理議題也將隨之進行調整。

只是若想要因應不同的IT架構變化來了解有哪些現有的風險,勢必要有一套標準化的準則來協助找出這些潛在的資安問題,畢竟安全性的問題絕對不是一個防火牆的設定、無線基地台或是安裝一個防毒軟體就可以徹底解決,因為它牽連到基礎架構的安全、應用程式、作業、人員以及環境管理的安全性。

MSAT工具的用途

Microsoft的MSAT(Microsoft Security Assessment Tool)免費工具,並非是針對微軟本身任一個安全性產品或技術的導入進行評估分析,而是一個滿足上述企業資訊安全風險評估的需求所設計的一個工具。 根據官方的建議,可以利用此工具來評估一個中型的企業IT環境(50至1500部用戶端電腦),因此它非常適合使用在台灣大多數的企業環境中。以下說明使用此工具的幾項關鍵效益:

●提供多國語言的簡易操作介面,以及一連串安全性問題的詢問方式,來察覺在每個不同區域中可能的安全性問題。
●提供一個縱深防禦與工業安全標準的比較分析。
●提供詳盡的分析報表,與企業的安全基準線進行比較和分析。
●對於完成分析後的結果,提供相對應的建議事項以及安排改善的相關措施優先順序,來協助企業IT逐一改善現有資安問題的指導方針。
●提供企業IT建構一個以Microsoft與工業標準的資訊安全指導方針。

MSAT的風險評估主要由企業風險概況(Business Risk Profile,BRP)和縱深防禦評估(Defense-in-Depth Index,DiDI)所組合而成。BRP用於分析資安風險發生的可能性和影響的層面,因此只有在組織基礎結構進行大幅度變動時,才需要重新執行此項目的分析作業。

至於DiDI則是用以檢查公司資訊安全政策的有效性、是否有良好的安全方案,並且藉由分析來提供從技術、組織到作業的分層安全防禦。而DiDI的執行,可以隨著目前各項資安工作的進展來進行多次的評估。

下載、安裝與使用MSAT工具

Q請問免費的MSAT工具要到哪裡下載呢?可否說明它的基本使用方法?

A開啟瀏覽器連結至官方網頁「http://www.microsoft.com/technet/security/tools/msat/default.mspx」,就可以取得免費的MSAT工具,以下介紹安裝系統需求與相關的使用說明。首先說明MSAT工具安全的系統需求:

●作業系統支援:Windows 2000 Professional、Windows XP Professional、Windows Vista
●必要元件:Internet Explorer 6.0(IE 6.0)以上版本、.NET Framework Version 2.0
●網際網路的連線:使用此工具時不需要與網際網路保持連線,但在檢查與下載更新的MSAT版本時則必須連線。

如下圖所示,確實回答MSAT工具所詢問的200個關鍵問題,便可以協助企業IT找出在現有環境中的全部資安風險,並且進一步針對各項風險項目的改善計畫與執行,來有效避免可能引發的資安災害。

▲MSAT安全性評估工具

在MSAT所詢問的200個問題中,涵蓋了基礎架構、應用程式、作業以及人員的安全性議題,而問題與建議的基礎則是架構在ISO 17799與NIST-800.x,其中的安全建議指引還包括Microsoft Trustworthy Computing Group以及其他外部的安全來源(例如CERT、Cisco)。

下列四個表格中列出了在整個MSAT工具操作中,針對安全風險評估的四大區域簡介:

縱深防禦評估(DiD)報告

回答200個問題之後,開始檢視各種資訊安全風險的報告、比較以及各項建議說明,如下圖所示,在縱深防禦評估的報告內容中,會詳細說明貴公司目前從基礎結構、應用程式、作業到人員的資訊安全狀況,並且提供在不同領域的相關建議以及最佳解決方案與優先解決程序。

▲MSAT資安風險分析

在報告的類型中分別提供了以下三種報告類型,並且皆可儲存成mht的檔案格式,以及提供相關的資源連結以供改善現階段資訊安全問題時的參考。

●摘要報告:提供各項資訊安全風險防禦分布檢視。
●完整報告:提供資訊安全性評估結果的完整檢視,包括執行摘要、評估細節、規定性的指導、優先行動清單。
●比較報告:包括將任何評估與相同公司中的其他評估比較、提供不同規模的公司做比較、須上載資料到安全的MSAT網站、匿名上載等功能。

使用Forefront Client Security資安分析報表功能

Q聽說Forefront Client Security提供了相當完整的各類資安分析報表,可否請簡單說明一下這些報表類型以及使用的方法?

AForefront Client Security整合SQL Server 2005 Reporting Services與MOM 2005的報表元件,讓管理人員可以直接從Forefront Client Security管理主控台上,分別點選檢視偵測到的惡意程式報告、弱點報告、逾期的管理原則報告、最新警示的統計報告、警示的總結報告、電腦的總結報告、部署狀態的總結報告、惡意程式的總結報告、安全狀態評估報告,以及整體安全總結報告等等。

除了管理主控台直接可用的各類報告之外,如果從MOM 2005的報表主控台來開啟,同樣可以檢視到更多Forefront Client Security內更細微的各類分析報告,例如用戶端電腦弱點的趨勢分析報告、電腦問題的趨勢報告、系統危害清單的趨勢報告、電腦警示的歷史紀錄等等。下圖所示便是針對最新24小時內的電腦問題分析報告、30天之內的安全警示分析,以及個別電腦在惡意程式、弱點、警示以及最新部署原則的套用統計等等。

▲各類報表統計分析

至於下圖則是一份詳細的安全狀態評估報告,從報告內容中可以看到各種安全層級警示在每一天的統計分析報告。

▲用戶端安全評估分析報告

將Forefront Security防毒系統部署在
Exchange Server 2007架構中

Q我想在公司現有的Exchange Server 2007架構中,全面部署Forefront Security for Exchange Server 2007防毒系統,可否講解一下有哪些地方需要注意,以及基本安裝的設定方法?

A防毒的規劃是Exchange Server 2007部署中相當重要的一個安全環節,如果已將Exchange Server拆成前後端的架構規劃,甚至已經在DMZ網路中規劃建置了邊際傳輸伺服器(Edge Transport Server),那麼在「邊際傳輸伺服器」(Edge Transport Server)、「集線傳輸伺服器」(Hub Transport Server)、「信箱伺服器」(Mailbox Server)這三個角色中都必須安裝Forefront Security for Exchange Server 2007防毒系統才行。

GLOBALFOUNDRIES 12吋晶圓廠產能規畫
進階學習 
避免安裝後要求重新開機<p>

若要避免Forefront Security完成安裝或解除安裝後要求重新開機,在安裝之前必須先關閉任何執行中的代理程式(例如MOM、SMS),並且確認任何命令提示字元和「檔案總管」 視窗中沒有開放Forefront安裝資料夾或任何子資料夾。

接著,說明整個安裝步驟與相關的注意事項。首先放入Forefront Security for Exchange Server 2007安裝光碟,而後開啟「安全模式」和「相容模式」設定選項。

前者會套用內容與檔案的篩選器規則設定到傳遞制隔離區的郵件,後者則不會套用到這一部分,不論選擇哪一個模式,所有傳入的郵件都會經過Forefront Security for Exchange Server傳輸掃描工作,進行掃描並篩選。請注意!手動掃描預設不會在轉寄至隔離的郵件上來執行檔案篩選。

如果目前服務管理員已開啟,則安裝或升級時可能會失敗,並出現「安裝程式於設定登錄檔時失敗」的錯誤訊息。

如下圖所示,在「引擎」設定頁面中可以自由選擇其他四個防毒引擎進行安全防護。這個選項設定在安裝後的Forefront Security管理介面中,仍然可以隨時進行修改。

▲設定預設啟用引擎

針對防毒引擎的自動線上自我檢查與更新部分,程式會自動為每個擁有授權的引擎,進行預設排程的每一小時掃描引擎的檢查更新,而每一次開始時間會在Forefront Security for SharePoint服務啟動的5分鐘之後開始進行。

在「啟用垃圾郵件防護更新」頁面中,建議勾選此設定選項,以確保Exchange Server 2007主機每次線上更新時,都能夠更新最新的垃圾郵件定義檔。

進入「選擇目的地位置」頁面後,可以依照實際需求按下〔瀏覽〕按鈕來變更程式的安裝路徑。但是,若打算在CCR的叢集架構上安裝Forefront Server Security for Exchange,則兩個節點的安裝路徑必須相同,才可以正常運作。

最後,系統會要求確認整個安裝的過程。按下〔下一步〕按鈕之後,就會重新啟動「Microsoft Exchange Transport Service」服務。

在前後端的架構規劃中,如果郵件傳送到傳輸伺服器上時,Forefront Security會在郵件伺服器上針對掃描過的郵件進行最佳化標記,以略過儲存庫中的重複掃描作業,不過這樣的架構規劃必須是雙方伺服器(傳輸伺服器與郵件伺服器)都已經安裝Forefront Security for Exchange防毒系統。

整合Proxy主機設定

完成Forefront Security for Exchange的基本安裝之後,如果企業內部網路中必須經由特定的Proxy主機(例如ISA Server)才能連接上網際網路的話,請在開啟「Forefront Server Security Administrator」管理介面之後,切換到「設定」窗格中的「一般選項」設定,然後找到有關Proxy設定的欄位,並分別設定伺服器的位址、通訊埠以及帳戶密碼等連線資訊,這樣才可以讓防毒引擎的更新機制正常運作。

Forefront Security for Exchange
防毒系統完成部署後的首要工作

Q一般來說,如果Exchange Server 2007一開始部署時就已經規劃了Forefront Security for Exchange,都會只依賴即時掃描與傳輸掃描的功能來自動偵測病毒,可是如果這個防毒軟體是在Exchange Server 2007使用一段時間之後才安裝,那麼會不會發生現有信箱中已經有病毒而沒被察覺的情況呢?

A在這種情境下,通常都會建議在完成安裝Forefront Security之後,立刻進行一次現有信箱資料庫(包含公用資料夾)的病毒檢驗。該執行的步驟如下所述。

先在Forefront管理介面中切換到「作業」窗格內的「快速掃描」選項,接著如下圖所示決定所要掃描的項目,包括公用資料夾和使用者的信箱(預設值為全選),最後在「檔案掃描程式」中勾選掃描時所要使用的掃毒引擎,以及決定萬一找到病毒時所要進行的處理動作,例如進行清除、通知以及隔離檔案等等。

▲快速掃描

當被掃描過的郵件偵測到病毒或符合內容過濾以及檔案過濾等等的條件時,在預設狀態下將會被挪到隔離區中,並且以單一封EML郵件的檔案格式來儲存。如果管理員希望被隔離的郵件能夠將本文與附件檔案分開儲存,到「一般選項」設定頁面內修改隔離郵件的欄位選項設定即可。

當系統運作中掃描到病毒時,立即通知IT人員

Q當我安裝好Forefront Security之後,往後如果偵測到病毒郵件或是使用者上傳含有病毒的檔案至SharePoint網站時,IT人員如何在第一時間內得知呢?

A有了Forefront Security防毒引擎幫忙監測Exchange Server進出的郵件和SharePoint網站之後,一旦發現某一封郵件夾帶病毒,或是發現符合內容過濾與檔案過濾的條件時,想必管理員和寄件者都應該立即被告知。

想要讓這樣的警示機制可以正常運作,先切換到「報告」窗格中的「通知」選項。在此可以設定不同管理員的E-mail位址,包括病毒管理員、檔案管理員、蠕蟲管理員、內容管理員以及關鍵字管理。

完成以上「通知」的設定之後,往後只要發現郵件病毒、蠕蟲等事件時,除了管理員可以在「報告」窗格的「事件」項目頁面內檢視之外,相關的管理員也會收到如下圖所示的E-mail警示通知。

▲警示通知

隔離附件執行檔的 傳送與接收

Q公司需要制定收發郵件的安全政策,其中嚴格規定所有使用者收發的電子郵件內容中的附件,都不可以帶有可執行的檔案,伺服端會自動加以隔離,並等待IT管理員檢驗沒有問題之後,才能寄送給原來的收件者,不知道這項需求在Exchange Server 2007內該如何來設定?

A先開啟「Forefront Server Security Administrator」介面,之後在導覽窗格中切換到「篩選」區域內,然後點選「檔案」項目,接下來便可以在檔案名稱的窗格中按下〔新增〕按鈕,來輸入所要過濾掉的E-mail附件檔名,可以使用萬用字元來輸入,例如*.、*.com、*.exe。

在「檔案類型」窗格中,先取消「所有類型」選項,然後勾選所要過濾掉的檔案類型。這種設定方法可以避免寄件者竄改附件附檔名進行蒙混。

當收件人收到被檔案篩選規則所過濾的郵件之後,附件檔案將會被一個文字檔案所取代,此刻如果將它開啟,將出現如下圖所示的敘述。

▲開啟附件內容

接下來,如果管理員在「Forefront Server Security Administrator」介面中切換到「報告」窗格中的「隔離」選項,便可以看到所有被隔離的檔案以及相關的寄件人與收件人E-mail。

如果有需要的話,此刻可以按下〔傳送〕按鈕,將附件檔傳送給原來的收件人。

Forefront Security for SharePoint安裝後的使用說明

Q目前我已經在SharePoint伺服器上安裝Forefront Security for SharePoint,接下來需要完成哪些設定,才可以讓整個網站的運作安全無虞呢?

A完成安裝Forefront Security for SharePoint之後,必須開啟SharePoint管理中心網站來設定相關的防毒組態配置。

如下圖所示,切換到「作業」頁面,然後點選「防毒」連結,在這個頁面中分別勾選「掃描上載的文件」、「掃描下載的文件」、「嘗試清除受到感染的文件」,必要的話,再修改「防毒逾時」的最長秒數以及「防毒執行緒」。

▲MOSS 2007防毒設定

除了即時診斷的病毒掃描之外,也可以開啟「Forefront Server Security Administrator」管理頁面,進行不定期的手動掃描。

在「作業」選單中的「快速掃描」頁面內,先勾選所要掃描的URL位置,然後選取要用來進行掃毒的防毒引擎,並在設定好處理的動作之後按下〔開始〕按鈕即可。

除了一般病毒檔案的掃描功能之外,針對使用者上傳的TXT、HTML、Word、Excel以及PowerPoint等文件內容中的關鍵字,管理員也可以依照企業本身的政策規範來篩選。在「篩選」選單區域中先設定好「篩選清單」,然後再設定「關鍵字」的處理動作。

在即時的病毒掃描部分,當使用者嘗試上傳或下載一個含有病毒的檔案時,在MOSS 2007網站上將會出現一個如下圖所示的「發現病毒」的警示訊息頁面。

▲即時病毒掃描

Forefront Security for SharePoint清除已存入文件庫的受感染檔案時,並不會變更其副檔名,但會移除該內容並以預設的替代文字取代。不過,如果清除的是壓縮檔案內的中毒檔案,則會將該檔案的副檔名變更為.txt。

Forefront Client Security
對於受保護電腦的安全組態控管

Q如果管理員想要一致化控管所有用戶端或特定部門用戶端電腦的組態設定,並且不希望這些電腦使用者擁有權限進行任何變更,該如何設定呢。此外,如果要讓某些電腦不受組態控管所約束,那麼本機的管理員可以在這些電腦的Forefront Client Security代理程式中變更哪些設定?

A就第一個問題來說,由於Forefront Client Security在原則的集中控管部分是結合Active Directory的群組原則來進行,因此可以透過本身的管理主控台針對特定的組織容器進行配置。配置的方法很簡單,只要在管理主控台的「Policy Management」頁面內新增即可。在設定原則頁面中,對於控管用戶端代理程式中的主控權,基本上可以在「Protection」頁面中設定針對防毒(Virus protection)或防垃圾郵件(Spyware protection),還可以指定掃描的時間、快速掃描的週期、弱點診斷的時間與週期等等。

進階頁面(Advanced)還可以設定病毒碼的更新時機、週期以及在企業的WSUS無法連線時,進行與Microsoft網站的連線更新檢查。此外,也可以設定對於封存檔案的掃描、隔離檔案的刪除期限等等。如果不希望掃描某些特定副檔名的格式檔案或檔案名稱,也可以設定排除清單。

在最下方的「Client options」區域的設定部分,可以進一步決定在用戶端電腦上對於一般使用者與管理員的組態配置權限,在預設的狀態下,不允許一般使用者與管理員在受管制的代理程式上進行任何設定變更,若有必要,不妨將「Allow access to administrators only」選項勾選。

▲用戶端管理介面

在上述的主控台原則配置中,如果管理員允許在受保護的電腦上,使用者或管理員登入後能夠修改代理程式的組態配置,便可以從桌面右下角的Forefront Client Security圖示來開啟如左下圖所示的用戶端管理介面。

點選「Settings」區域內的「Options」選項,即可設定所有組態的安全配置。內容中可以設定的細部組態項目相當多,例如自動掃描的時間配置、各種層級警示的處理動作、即時診斷與保護的系統項目、排除掃描的檔案或路徑設定、管理員的設定選項等等。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!