Microsoft Antigen
Soluzioni per la sicurezza della posta elettronica
Agenda
Panoramica delle soluzioni Antigen
Funzionalità Antivirus
Gestione dei motori Antivirus
Filtri su file, contenuti email, virus, worm
Funzionalità Anti-spam
SpamCure
Integrazione con Exchange e Outlook
Gesione dell’infrastruttura
Aggiornamenti centralizzati
Monitoring e Reporting
Soluzioni Antigen
IM e Documenti
Live Communications
Server
Virus
Worm
Spam
SharePoint Server
E-mail
ISA Server
Windows SMTP Server
Exchange Server
Difesa a
Ottimizzazione
Controllo
i
server
Exchange
5.5,
2000,
e
2003
dai
Virus
e
offre
Protegge
Live
Communications
Server
2005
con
un
sistema
antivirus
e
Riduce
lo
le
SPAM
document
su
ISA
libraries
Server,
di
Exchange
SharePoint
e
sui
da
servizi
virus
e
SMTP
da
contenuti
di Windows,
Ferma i virus fuori dalla rete, utilizzando ISA Server e il componente
per
più
livelli
funzionalità
content
filtering
risorse
la
scansione
dei
contenuti
deidelle
files eAdvanced
delle comunicazioni
non
utilizzando
autorizzati
ildicomponente
opzionale
Spam Manager
Gateway
SMTP
contenuti
Obiettivi di Antigen
Assicurare la protezione dai più recenti pericoli
Ridurre il carico di lavoro sui server Exchange
riducendo i tempi di attesa
Fornire una soluzione integrata con funzionalità
antivirus/anti-spam/content filtering
Fornire strumenti di alert e gestione per gli
amministratori
Approcci differenti al problema
Internet
Antivirus di più Vendor
Virus
Worm
Spam
• Tecnologie e motori di scansione
differenti sulle piattaforme client e
server
AV
AV
ISA Server
Windows SMTP Server
AV
AV
Exchange
AV
Exchange
• Alti costi di acquisto e
manutenzione
• Complessità nel filtrare i
contenuti delle email
Exchange
AV
Problema:
Gestione/Costi
AV
AV
Approcci differenti al problema
Internet
Antivirus di un unico Vendor
Virus
Worm
Spam
• Stesse
tecnologie, motore di scansione
e signature su tutte le piattaforme, client
e server
AV
AV
ISA Server
Windows SMTP Server
AV
AV
Exchange
AV
Exchange
Exchange
AV
• Si dipende da un unico laboratorio
per avere gli aggiornamenti
• Ritardi durante l’aggiornamento dei
server mission critical (ad es.
Exchange)
Problema:
Single Point of Failure
AV
AV
Gestione di Motori Antivirus multipli
Un solo vendor, ma con più tecnologie antivirus
AV
Internet
AV
AV
AV
Exchange Server/
Windows SMTP Server
Gestione
Centralizz.
Antivirus
Antispam
Policy
Motori AV Partner di Antigen
Inclusi in Antigen:
Opzionali a pagamento
(2)
Disponibile a breve: MS Antivirus
Gestione dei motori AntiVirus:
Antigen Bias Settings
Motore AV 2
Motore AV 3
Motore AV 1
* I motori antivirus utilizzati
non sono sempre gli stessi.
Sono scelti dinamicamente tra
quelli disponibili.
Motore AV 4
Max Certainty: utilizza tutti i motori AV (100%)
Favor Certainty: utilizza il 75% dei motori AV disponibili
Neutral: usa circa il 50% dei motori AV disponibili
Favor Performance: uses 25% dei motori AV disponibili
Max Performance: utilizza un solo motore per ogni scansione
Gestione dei motori AntiVirus:
Antigen Bias Settings
Motore AV 2
* I motori antivirus utilizzati
non sono sempre gli stessi.
Sono scelti dinamicamente tra
quelli disponibili.
Motore AV 4
Max Certainty: utilizza tutti i motori AV (100%)
Favor Certainty: utilizza il 75% dei motori AV disponibili
Neutral: usa circa il 50% dei motori AV disponibili
Favor Performance: uses 25% dei motori AV disponibili
Max Performance: utilizza un solo motore per ogni scansione
Scansione: Performance
Viene effettuata nello Stack SMTP e all’ingresso
dello Store Exchange
SMTP: Max Certainty bias per fornire la più alta
protezione possibile
Store Exchange: Neutral bias per bilanciare sicurezza e
performance > REALTIME
“In-memory scanning”
L’allocazione dinamica della memoria aumenta
l’efficenza del server
Elimina la necessità fare spooling su disco
È possibile aumentare il numero dei thread attivi
Scansione SMTP
Servizio SMTP Windows
Antigen Protocol
Event Sink:
Controllo connessioni autenticate
Antigen Transport
Event Sink:
Scansione contenuto email
Scansione Store Exchange
Uso delle VirusScanningAPI 2.5
Antigen Realtime Scan
Esegue la scansione delle email prima della
loro apertura
La scansione avviene all’arrivo dell’email,
oppure la prima volta che viene aperta
Queue dinamica a priorità
Sfrutta la VSAPI Proactive Scan
È possibile modificare il numero di thread
attivi contemporaneamente
Scansione Store Exchange
Uso delle VirusScanningAPI 2.5
Antigen Background Scanning
Disattivata di default
Permette di eseguire la scansione di
Singola Mailbox
Gruppi di Mailbox
Intero Storage Exchange
Opzioni possibili:
Scansione manuale
Scansione schedulata
Scansione ripetuta ad ogni update dei motori AV
Sfrutta le VSAPI per il Background Scan
Demo
Scan Options, AntiVirus Engines,
General Options
Rimozione dei Worm
Elimina i messaggi che contengono worm
Utilizza la Microsoft Worm List (wormprge.dat)
Nè destinatario nè mittente ricevono nulla
Inutile tenere in quarantena messaggi con worm
Niente di utile nel messaggio
Riduzione delle risorse necessarie a gestire i messaggi
Creazione lista worm personalizzata
Protezione proattiva
Uso di filtri sui files (dimensione, tipo, estensione, etc.)
Filtri su contenuto mail e files
Filtro sul contenuto delle email
Ricerca di parole chiave nel testo del messaggio
Filtro sugli allegati
Blocco sulle estensioni
Analisi del contenuto binario del file
I file ZIP vengono aperti e richiusi, solo i file
bloccati vengono eliminati
Creazione di liste di esclusione (whitelisting)
Filtri sui files
Configurazione dei filtri
Antigen blocca i files basandosi sull’estensione o sul
contenuto binario
Non è possibile bypassare il motore AV semplicemente
cambiando l’estensione del file
Filtri flessibili basati su estensione e/o contenuto
Blocco di tutti i files *.exe
Blocco di ogni file eseguibile,
qualsiasi sia l’estensione
Sequenza delle operazioni
Filtro
Antispam
• Verifica whitelist
• Scansione Spam
• Filtri RBL
Filtro sui
Contenuti
Scansione
Allegati
Scansione
Corpo mail
• Filtro
Mittenti/Domini
File normali:
• Scansione AntiWorm
• Filtro sul campo
Oggetto della mail
• Filtro su parole
chiave
• Filtro sui nomi dei file
• Scansione AntiVirus
• Scansione AntiVirus
Archivi/.zip Files:
• Filtro sui nomi dei file
• Esplorazione
dell’archivio
Demo
Content, Keyword e File Filtering,
Whitelisting
Filtro AntiSpam
Advanced Spam Manager è disponibile
come opzione separata
Utilizza il motore SpamCure di Mail-Filters
Basato su signature create ad-hoc da operatori
Lavora insieme all’Intelligent Message Filter
di Exchange
Basato su analisi euristiche
Scansione real-time
Metodi di rilevazione Spam
Motore SpamCure di Mail-Filters:
Strumento principale, molto efficace
Liste RBL
Liste multiple, appoggiate a servizi di terze parti
Filtri sul server Mail
Mittente, dominio, indirizzo IP
Liste personalizzate di allow/block
Parole chiave nella mail
utilizzate soprattutto per la gestione di regole, meno utili
per l’Antispam
Motore SpamCure
StarEngine – Spam Tricks Analysis and Response
Vengono neutralizzati i trucchi degli spammer
www.con<random-comments>
www.contoso.com
to <comments> so.com
Il messaggio reale è verificato con le signature antispam
Signature:
Basate su caratteristiche specifiche del messaggio
Identificano lo Spammer, non il singolo messaggio
Alta percentuale di messaggi identificati
Falsi positivi ridotti, l’approccio basato su signature
garantisce grande accuratezza
Antigen ASM e Exchange IMF
Sullo stesso server, IMF esegue la scansione prima di ASM
Entrambi applicano un rating SCL
Quello più alto vince, indica una confidenza maggiore
La mail che è rifiutata, cancellata o archiviata da IMF non
raggiunge ASM
Ad esempio, IMF archivia di default i rating SCL 7,8 e 9
IMF
Scan
ASM
Scan
ASM Spam:
9
Mail
Store
IMF SCL
0-6
SCL
7,8,9
Archive
Folder
Pickup
Folder
Se l’Admin sposta
il messaggio
Junk EMail
Inbox
Gestione SPAM
Cartella Junk Mail di ASM
È possibile creare un folder gestito da Antigen per
ciascun utente dove viene rediretto lo SPAM
Ogni utente ha strumenti di Block & Approve
Supporta Exchange 5.5, 2000 e 2003
Cartella Junk Mail di Exchange 2003/Outlook
Supporto per l’Intelligent Message Filter
Supporto per il rating SCL,
ASM applica solo due rating SCL:
Spam = 9
Non spam = Viene applicato il rating di Exchange
Demo
Anti Spam, MailHost Filtering, Quick Scan
Antigen Rapid Update
Sistema di aggiornamento rapido
automatizzato
Verifica il sito di ciascun Vendor alla ricerca di
signature/motori AV aggiornati
Scarica gli aggiornamenti
Estrae gli aggiornamenti dal package originale
Crea un nuovo package “Antigen Engine
Update”
Esegue test di verifica sul database dei Virus
Salva il nuovo package in un sito Microsoft
sicuro
Aggiornamento dei motori locali
Tutti gli aggiornamenti vengono scaricati direttamente
dal sito Microsoft, e non dai singoli Vendor
Antigen verifica se ci sono aggiornamenti disponibili
Intervallo di polling configurabile
E’ possibile forzare l’aggiornamento
Metodologia di aggiornamento unificata per tutti i motori
Antivirus/Antispam
Gli aggiornamenti vengono scaricati
Il package viene aperto e verificato
Il motore AV corrente viene disattivato
Il nuovo motore/l’aggiornamento viene installato
Il nuovo motore AV viene attivato
Aggiornamento via AEM
Antigen Enterprise Manager (AEM) permette di
scaricare e distribuire nella rete interna i package
di aggiornamento
Metodo consigliato nel caso esistano più server Antigen
La configurazione della frequenza di aggiornamento
avviene nel server AEM
Riduce il carico di lavoro sui server critici
Server Microsoft
HTTP or FTP
Agent AEM
Server Antigen
Server Antigen
Enterprise Manager
Server Antigen
Monitoring e Reporting
AEM analizza i trend sui virus trovati e
l’efficacia di Atigen nel combatterli
Dati memorizziati in un database SQL Server
o MSDE
Fornisce il monitoring centralizzato dei
server
Singolo server, gruppi di server, azienda
Configurazione Alert (SMTP/SNMP traps)
Mancato avvio dei motori AV
Livelli soglia su virus, spam e filtri
Monitoring e Reporting
I report includono:
I Top X Virus trovati
Report sugli aggiornameti dei motori AV e
sulla loro versione
Report di traffico
Report su spam,
virus, contenuti e
file filtrati
Integrazione con MOM
Antigen Management Pack per MOM 2005
Funzionalità principali:
Attivare gli aggiornamenti dei motori AV
Centralizzare le licenze e la loro distribuzione
Importare, esportare e applicare i parametri
chiave di configurazione
Pianificare e avviare le scansioni manuali
degli storage
Fermare/Avviare i servizi Antigen
Integrazione con MOM
Antigen Management Pack per MOM 2005
Più di 100 Eventi, Performance Counters e
Servizi monitorati
Analisi dello stato di Antigen e dei componenti
chiave
Polling di 5 servizi Antigen per monitorare la
funzionalità dei procesi critici
Raccolta dati statistici su scansioni, rilevazioni
e rimozioni di messaggi/allegati
Obiettivi di Antigen
Assicurare la protezione dai più recenti pericoli:
Virus, Worm, Spam
Più motori di scansione, aggiornamento automatico
Ridurre il carico di lavoro sui server Exchange
riducendo i tempi di attesa
Configurazione Bias, Scansione in memoria
Fornire una soluzione integrata con funzionalità
antivirus/anti-spam/content filtering
Integrazione Antigen/ASM/IMF
Fornire strumenti di alert e gestione per gli
amministratori
AEM and MOM
© 2006 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.