Forefront Security for Sharepoint
Emanuele Bianchi
Security Technology Specialist
Agenda



Forefront Server Security
Protezione dei sistemi di collaborazione
Sistemi di protezione





Antimalware
Content Filtering
Integrazione con Sharepoint
Gestione
Risorse
Forefront Server Security
Protezione completa
Office
Communication
Server
SharePoint
Server
TMGServer
COLLABORATION
Exchnage
EdgeServer
Internet
Exchange
Server
EDGE
Virus
Worm
Spam
Utenti
Virus
Worm
Contenuto Inappropriato
MESSAGING
Protezione avanzata



Singola soluzione con molteplici tecnologie di protezione
Eliminazione Single Point of Failure
Tecnologia consolidata
A
B
C
Server di messaggistica e
collaborazione
D
E
Protezione dei sistemi di collaborazione
Problemi legati a Sharepoint

Diffusione malware




Documento caricato infetto
Mapping di librerie, sistema utente infetto, diffusione
Contenuti non consentiti o riservati
Antivirus sui client o sui server non risolvono il
problema

AV sui server Sharepoint


Corruzione DB di Sharepoint
AV sui client
Non risolvono l’origine del problema
 Problemi librerie pubbliche

Sistemi supportati


Antigen, Forefront Secuirty per Sharepoint e
Forefront Protection 2010 for Sharepoint
Differiscono per la versione di Sharepoint che
proteggono
Versione Sharepoint Server
Versione Antigen/Forefront
Sharepoint 2003
Antigen 9 SP3
Sharepoint Server 2007
Forefront Security for Sharepoint
Sharepoint Services 3.0
Forefront Security for Sharepoint
Sharepoint Server 2010*
Forefront Protection 2010 for Sharepoint*
* Beta 2
Protezione con Forefront
SQL
Document
Library
Document
SharePoint
Server
Document



Protezione antimalware
Content filtering
Policy enforcement
Sistemi di protezione
Protezione Antimalware




Forefront Security per
Sharepoint integra e viene
licenziato con 5 motori
antivirus per la miglior
protezione possibile
Riduzione finestra di
esposizione
Protezione 24/7
Rimozione di worm e spyware
Confronto aggiornamento signature1
= Meno di 5 ore
= Da 5 a 24 ore
= Più di 24 ore
1
Source: AV-Test.org 2008
(www.av-test.org)
* Include signature beta
** 0.00 identificazione proattiva euristica
WildList
Number
Malware
Name
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
07/08
08/08
08/08
08/08
08/08
08/08
08/08
08/08
08/08
09/08
09/08
09/08
09/08
autorun_itw412.ex_
autorun_itw416.ex_
ircbot_itw456.ex_
magania_itw2.ex_
magania_itw4.ex_
onlinegames_itw512.ex
onlinegames_itw521.ex
onlinegames_itw522.ex
onlinegames_itw527.ex
onlinegames_itw536.ex
rbot_itw2662.ex_
vaklik_itw11.ex_
vaklik_itw27.ex_
vaklik_itw33.ex_
agent_itw66.ex_
autorun_itw433.ex_
ircbot_itw459.ex_
pushbot_itw8.ex_
slenfbot_itw19.ex_
slenping_itw2.ex_
vaklik_itw55.ex_
zbot_itw16.ex_
agent_itw67.ex_
autorun_itw444.ex_
sdbot_itw2682.ex_
0908_zbot_itw17.ex_
Forefront
Vendor A* Vendor B* Vendor C*
Set
**0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
40.97
0.00
0.00
40.97
0.00
0.00
0.00
0.00
18.90
0.00
0.00
456.65
368.03
1332.42
229.73
251.25
386.68
229.73
480.68
480.68
0.00
94.03
154.47
480.68
306.43
461.47
973.45
0.00
0.00
635.90
357.65
0.00
159.43
15.92
48.82
0.00
1256.22
339.38
234.05
24.93
34.77
380.70
470.62
34.77
532.13
532.13
346.25
0.00
142.62
327.42
0.00
117.23
691.68
0.00
0.00
687.45
22.58
0.00
99.07
1137.60
0.00
0.00
0.00
458.95
812.20
1270.70
846.53
0.00
365.73
0.00
812.20
812.20
0.00
1039.22
846.53
812.20
0.00
44.05
858.02
995.18
921.23
279.87
37.78
18.23
102.02
65.45
56.92
1166.03
0.00
Tempi di risposta medi
BIAS Setting
A
C
DB
D
Max Certainty: utilizza tutti i motori AV (100%)
Favor Certainty: utilizza tutti i motori AV disponibili
Neutral: usa circa il 50% dei motori AV disponibili
Favor Performance: usa 25% dei motori AV disponibili
Max Performance: utilizza un solo motore per ogni scansione
Multiple Engine Manager


Responsabile della gestione dei motori di
scansione
Ogni motore viene valutato in base a:
Performance
 Ultimo aggiornamento delle signature



I motori più performanti e più aggiornati
saranno utilizzati durante la scansione dei
messaggi
Protezione da crash e signature rollback
Tipologie di scan job

Forefront per Sharepoint offre due scan job

Realtime Scan Job



Analizza qualsiasi file che viene caricato o scaricato da
Sharepoint
offre protezione proattiva
Manual scan job



Scansiona tutte o parte delle document library a
richiesta
Scansioni schedulate
Utilizzo di motori differenti dal realtime job
Filtraggio dei documenti
Tipologia di filtro
Azioni
• In base alla reale
tipologia del file
• Al nome o estensione
• Alla dimensione
• Combinazioni
• Supporto per wildcards,
es. “*curriculum*.doc”
• Skip detect
Traccia l’evento ma non
ferma il file
• Delete
Rimuove il documento e
lo sostituisce con una
nota
• Block
Rimuove ildocumento
Gestione archivi

Forefront analizza i file ZIP e le altre tipologie di archivi
ed elimina solo i file corrotti all’interno dell’archivio
Testo di notifica
EXE
DOC
BMP
JPG
Archivio prima della
scansione
Regola di
filteraggio:
Delete *.exe
Quarantine
EXE
Quarantena
TXT
DOC
BMP
JPG
Archivio dopo la
scansione
Filtraggio dei contenuti





Possibilità di definire regole di filtraggio sul
contenuto dei file
Supporto per doc, ppt, html, etc.
Supportato sia in scansioni realtime che
manuali
Possibilità di utilizzare operatori logici per la
definizio delle regole
Utilizzo di regole case sensitive o case
insensitive
Integrazione con Sharepoint
Performance



Forefront Security per SharePoint utilizza le
API antivirus di SharePoint ottimizzate per
SQL server
Possono essere utilizzati fino a 10 processi di
scansione per massimizzare le performance
Scansione intelligente dei documenti

File già analizzati e non modificati non vengono
rianalizzati (a meno di aggiornamento motore AV)
Integrazione con Sharepoint

Controllo documenti protetti con RMS



IRM agisce solitamente come primo processo durante
l’upload e come ultimo durante il download
Durante l’analisi realtime i file vengono decifrati da
VSAPI e poi analizzati da Forefront
Forefront Security per SharePoint Notification
Web Parts


Notifications Summary
Notifications Detailed
Gestione
FSSMC caratteristiche

Forefront Server Security Management Console


Dashboard per monitoring dei sistemi gestiti



Console centralizzata per amministrare tutti i sistemi di
protezione per Sharepoint
Traffico gestito
Statistiche Virus, Spam, Policy Filtering….
Ottimizzazione Infrastruttura




Semplificazione attività di gestione e monitoring
Unico sistema che genera traffico di update sui link esterni
Sistemi di messaggistica e collaborazione scaricati da
overhead aggiuntivo
Aggiornamenti up to date
FSSMC Reportistica




Virus individuati, keyword
filter o file filter
Azioni intraprese da
Forefront a seguito di
virus identificati o
violazione di policy
Statistiche sul traffico
Versioni motori Antivirus
Risorse
Risorse

Forefront Security for Sharepoint
http://www.microsoft.com/forefront/serversecurity/sharepoint/en/us/default.aspx

Versione di valutazione
http://technet.microsoft.com/en-us/bb738112.aspx

Risorse tecniche
http://technet.microsoft.com/en-us/library/bb914032.aspx

Blog del Product Team
http://blogs.technet.com/FSS/

Forefront Protection 2010 for Sharepoint
http://www.microsoft.com/forefront/serversecurity/sharepoint/en/us/next-generation.aspx
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.