Microsoft Forefront

Diese Seite beschreibt eine alte Version von Forefront. Neuere Informationen zum Nachfolgeprodukt finden Sie auf Forefront2010.

  • Quelle:
    http://www.microsoft.com/forefront/
  • Betriebssystem:
    Windows Server und darauf aufsetzende Dienste (Windows Client, Server, Exchange, Sharepoint etc.)
  • Preise
    Bitte prüfen Sie ihre Microsoft Lizenzmodell. Forefront wird pro Server und Pro user/Device monatlich lizenziert. En Server könnte 10 Euro/Monat und eine userlizenz 0,50Cent/Monat kosten, so dass eine Installation mit einem Server und 200 user vielleicht 10+200*0,5 = 110€ pro Monat kosten kann. Diese Angaben erfolgen ohne Gewähr und stellen kein Angebot dar.

Im Laufe des Jahres 2006 hat Microsoft seine Aktivitäten im Bereich Sicherheit (und dazu zählen Virenschutz, Firewall, Spamschutz etc.) unter dem Produktnamen "Forefront" zusammen gefasst. Forefront deckt die folgenden Bereiche ab:

  • Desktop
    Hierunter wird vermutlich ab 2007 eine integrierte Lösung zum Schutz einzelner PCs als auch Netzwerkclients zu verstehen sein. Aktuell gibt es ja schon "Windows Defender" als Schutz gegen diverse Trojaner, Hintertüren etc., was aber noch kein echter Virenscanner ist.
    http://www.microsoft.com/forefront/clientsecurity/overview.mspx
  • Server (Exchange und Sharepoint)
    Schutz der Exchange Server, Sharepoint Server und Office Live Communication Server
  • "Edge"
    An dem Übergang zu anderen Netzwerken als auch zum Internet kommen Komponenten in Verbindung mit dem ISA 2006 zum Tragen, die hier Viren und Spam abhalten sollen. Verwechseln Sie dies nicht mit der E2K7:Edge-Rolle

Vielleicht erinnern Sie sich noch, dass Microsoft vor einiger Zeit die Firma "Sybari" aufgekauft hat, die einen leistungsfähigen Virenscanner für Exchange entwickelt hatte, der schon Exchange 5.5 in Echtzeit scannen konnte, ehe Microsoft die AVAPI-Schnittstelle ( Siehe auch Virenschutz) bereit gestellt hat.

Wenn Sie nun Exchange 2007 installieren, dann finden Sie auf dem Setup auch gleich die Installation von Forefront für Exchange. Es handelt sich dabei  um eine Lösung zum automatischen Filtern von Mails nach bestimmten Regeln oder Virenmustern. Forefront ist aber nicht Bestandteil von Exchange und muss daher getrennt lizenziert werden. Dennoch ist davon auszugehen, dass viele Firmen einfach bei Forefront bleiben und nicht erst lange Wettbewerber evaluieren.

Sie können Forefront problemlos bei Microsoft auch als 120 Tage Evaluierungsversion herunter laden und danach "Aktivieren"
http://www.microsoft.com/forefront/downloads.mspx

Forefront SP2
Download Forefront Security für Exchange Server with Service Pack 2
http://technet.microsoft.com/en-us/bb738109.aspx

Download Forefront Security für SharePoint with Service Pack 3
http://technet.microsoft.com/en-us/bb738112.aspx

Download Antigen für Exchange with Antigen Spam Manager 9.0 with Service Pack 2
http://technet.microsoft.com/en-us/bb738101.aspx

http://blogs.technet.com/fss/archive/2010/02/17/rollup-1-now-available-for-both-forefront-security-for-exchange-sp2-and-forefront-security-for-sharepoint-sp3.aspx
978300 Hotfix Rollup 1 für Service Pack 3 für Forefront Security für SharePoint
978297 Hotfix Rollup 1 für Service Pack 2 für Forefront Security für Exchange

Achtung:
Nach der Installation von Windows 2003 SP2 mit Forefront kann es sein,  dass die Exchange 2007 Dienste nicht mehr automatisch starten. Ein manueller Start funktioniert weiter. Ein Hotfix für Forefront löst das Problem:
936541 Exchange services do not start after you install Windows Server 2003 Service Pack 2

Die Anzahl der Scanengines wird sich zum 1.12.2009 stark reduzieren.
AhnLab Antivirus Scan Engine has been deprecated as of 01.07.2009 and will be available only until 01.12.2009. Updates für this engine will stop after 01.12.2009. für more information, see http://go.microsoft.com/fwlink/? LinkId=152864.
 
CA Vet has been deprecated as of 01.07.2009 and will be available only until 01.12.2009. Updates für this engine will stop after 01.12.2009. für more information, see http://go.microsoft.com/fwlink/?LinkId=152864.
 
Sophos Virus Detection Engine has been deprecated as of 01.07.2009 and will be available only until 01.12.2009. Updates für this engine will stop after 01.12.2009. für more information, see http://go.microsoft.com/fwlink/?LinkId=152864.

Installation

Ich beschreibe hier die kurze Installation der 120-Tage Testversion, welche sich aber nicht von der Vollversion unterscheiden dürfte. Zuerst gibt es natürlich die allgemeinen Willkommensbilder und Lizenzabfragen.

Ungewohnt für Administratoren ist sicher die Abfrage, ob das Produkt lokal oder remote installiert werden soll.

Im nächsten Fenster können Sie dann entscheiden, ob sie eine komplette Installation wünschen oder auf einem AdminPC nur die Management Konsole installiert werden soll.

Die nächste Einstellung muss etwas erläutert werden. Forefront kennt eine Quarantäne, in der Mails abgelegt werden. Wird solche eine Mail nun durch einen Administrator aus der Quarantäne an den Benutzer weiter geleitet (weil diese irrtümlich in der Quarantäne gelandet ist), dann bedeutet der "Secure Mode", dass dennoch die aktuellen Filter erneut angewendet werden.

Es könnte also sein, dass Sie z.B. mit einer eigenen Filterregel eingestellt haben, dass ausführbare Anlagen nicht zugestellt sondern in einer Quarantäne landen. Leiden Sie diese dann weiter, dann sollte natürlich trotzdem der Virenscanner mit den aktuellen Patterndateien die Mail prüfen.

Interessant ist die Auswahl der verschiedenen Scanengines. Die hier angekreuzten Engines sind die Standardeinstellung

Natürlich ist ein Virenscanner nur so leistungsfähig, wie die Mustererkennung über aktuelle Daten verfügt. Daher versucht Forefront die Patterns regelmäßig zu aktualisieren. Das passiert stündlich, sofern die entsprechende Engine lizenziert ist.

Natürlich müssen Sie auch einen Zielpfad zur Installation der Software angeben

Und auch das Startmenü können Sie abweichend einstellen. Das Bild zeigt den Standard

Vor der Installation zeigt der Assistent noch eine Zusammenfassung der Einstellungen an. Es bietet sich an, diese einfach in die Zwischenablage zu kopieren und in das interne Dokumentationssystem zu übernehmen.

Bei der Installation werden Sie gefragt, ob der Microsoft Exchange Transport Service neu gestartet werden darf. Dies ist für die Funktion erforderlich. Sie können diesen Schritt auch übergehen aber dann ist der Virusscan erst beim nächsten Start aktiv.

Ein Druck auf "Next" sorgt dafür, dass der Dienst durchgestartet wird. Da der Exchange Informationsspeicher davon unberührt ist, dürften die Anwender davon nichts merken. Der Mailfluss wird nur kurz unterbrochen. Die Abschlussmeldung bestätig ihnen die Installation.

Damit ist Forefront für Exchange installiert. Sie können das auch an den Diensten erkennen:

Damit ist aber erst die Hälfte der Wegstrecke erreicht.

Konfiguration

Im Startmenü finden Sie dann unter "Programme - Microsoft Forefront Server Security - Exchange Server - Forefront Server Security Administrator" den neuen Eintrag für Forefront. Starten Sie die MMC und geben Sie den Server an, auf dem Forefront installiert wurde. Solange Sie die Evaluierungsversion einsetzen, sehen Sie beim Start den folgenden Dialog, Ein Klick auf "Activate Now" erfordert dann die Eingabe einer Lizenznummer:

Die eigentliche Konfiguration ist "überschaubar". Im Bereich "Scan Job" sind per Default schon der Transport Scan und Realtime Scan aktiv. Der manuelle Scan durch alle Postfächer ist nicht aktiv.

Im Bereich "Antivirus" sehen Sie auch die Jobs. Aber im unteren Bereich können Sie einstellen, welche Engines genutzt werden sollen. Beachten Sie, dass mehrere Engines natürlich mehr Last erzeugen und mehr Patternfiles herunter laden.

Im Bereich "Scanner Updates" sollten Sich sicherstellen, dass ihre aktiven Scanner natürlich auch regelmäßig ein Update beziehen. Normalerweise aktualisiert Exchange die Patternfiles jede Stunde.

Ob das Update einer Engine funktioniert sehen Sie sowohl hier rechts auf dem Bild als auch im Eventlog:

Event Type: Information
Event Source: GetEngineFiles
Event Category: General
Event ID: 2012
User: N/A
Computer: NAWSV002
Description:
Microsoft Forefront Server Security performed a successful scan engine Update.
Scan Engine: Sophos
Update Path: http://forefrontdl.microsoft.com/server/scanengineupdate/x86/Sophos
für more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Gerade der Eintrag im Eventlog erlaubt es natürlich z.B. mittels MOM2005 die Update zu überwachen.

Unter den "General  Options" können Sie einen Proxy-Server eintragen,  damit die Update auch aus dem internen Netzwerk über einen HTTP-Proxy mit Anmeldung funktionieren.

In der Einstellung "Report - Notifications" sollten Sie zumindest bei den aktiven Einstellungen auch einen Empfänger eintragen. Interessant ist, dass Forefront Exchange hier keine Auswahl aus der GAL ermöglicht, sondern Sie quasi die Adresse "Blind" tippen müssen und es auch keinen "Testmail senden"-Button gibt.

Die "incidents" zeigen ihnen die Vorfälle, die Forefront schon alle behandelt hat. Sie sehen hier z.B.: meine Testmail mit dem Eicarsender.

Die Daten kann man übrigens auch per Performance Counter auslesen

So können Sie mit anderen Werkzeugen ebenfalls Statistiken erzeugen und die Funktion überwachen.

Forefront Überwachung

Forefront hinterlässt sich als ordentliches Windows Produkt sowohl in den Performance Countern als auch im Eventlog. Es ist daher nicht schwer, die Funktion und Betriebsparameter mit einer passenden Lösung überwachen. Es gibt sogar ein Management Pack für MOM/System Center:

Forefront Protection 2010 für Exchange Server Management Pack für System Center Operations Manager 2007
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=74ba19df-0fc2-4dd3-86cc-07cb086a47c8#tm

Sonstiges

Forefront ist ein eigenständiges Produkt und nicht Bestandteil von Exchange. Allerdings gibt es beim Exchange Setup natürlich einen deutlich sichtbaren Link auf die Forefront Installation. Dennoch taucht Forefront NICHT in der Exchange 2007 Management Konsole auf.

Aus Sicherheitsaspekten ist es zu begrüßen, dass die Programme nur als "NetworkService" laufen, wie der Taskmanager schön anzeigt.

Allerdings ist hier auch gut zu sehen, das der Virenscanner nicht gerade sparsam mit dem Speicher umgeht. Acht Threads a 85 MByte brauchen schon mal 680 Megabyte Speicher.

Die andere Besonderheit fällt ihnen auf, wenn Sie mal in den Windows Taskplaner schauen. Die Update der Virenpattern wird über eine Kommandozeile gemacht und da Forefront dazu die Funktion "NetScheduleJobAdd" verwendet, muss er für jedes Patternfile für stündliche Update entsprechend 24 Einträge mit einem Aufruf ähnlich dem folgenden machen

AT 99 Each M T W Th F S Su 14:44 PM "C:\PROGRA~2\Microsoft Forefront Security\Exchange Server\FSCStarter.exe" u5 http://forefrontdl.microsoft.com/server/scanengineupdate SyncWithAT

Das kann den Taskplaner schon etwas unübersichtlich werden lassen.

Mit der Version für Exchange 2010 hat Microsoft dieses "Problem" beseitigt.

Eine weitere Fall ist die Funktion der "Archivierung"

Auf meinem Server war die Archivierung scheinbar per Default aktiv, was den Server nach einiger Zeit schnell aufgefüllt hat.

Forefront und Cluster

Natürlich ist Forefront auch "Clustertauglich" und unterstützt CCR. Dabei muss man Forefront aber auf beiden Knoten installieren. Als Besonderheit muss man dabei beachten, dass sich nur der aktive Knoten direkt aktualisiert.

Die Aktualisierung des passiven Knotens übernimmt dann der aktive Knoten über einen Replikationsmechanismus (Dienst: "Redistribution Server"). Auf dem passiven Knoten läuft daher nur der Dienst "FSECCRservice".

Wenn Sie sich mit der Konsole mit dem passiven Knoten verbinden, dann werden dort auch die anderen Forefront Dienste gestartet. Als Folge hierdurch schlägt die Replikation der Updates dann natürlich schief, weil die Forefront Dienste eine Sperre einrichten. Normalweise werden die Dienste nach dem Stop der Konsole auch wieder beendet.

Bleiben also "Fehler" im Eventlog, dann prüfen Sie bitte, ob wirklich nur die erforderlichen Dienste gestartet sind.

Weitere Links