Forefront Security for Sharepoint Emanuele Bianchi Security Technology Specialist Agenda Forefront Server Security Protezione dei sistemi di collaborazione Sistemi di protezione Antimalware Content Filtering Integrazione con Sharepoint Gestione Risorse Forefront Server Security Protezione completa Office Communication Server SharePoint Server TMGServer COLLABORATION Exchnage EdgeServer Internet Exchange Server EDGE Virus Worm Spam Utenti Virus Worm Contenuto Inappropriato MESSAGING Protezione avanzata Singola soluzione con molteplici tecnologie di protezione Eliminazione Single Point of Failure Tecnologia consolidata A B C Server di messaggistica e collaborazione D E Protezione dei sistemi di collaborazione Problemi legati a Sharepoint Diffusione malware Documento caricato infetto Mapping di librerie, sistema utente infetto, diffusione Contenuti non consentiti o riservati Antivirus sui client o sui server non risolvono il problema AV sui server Sharepoint Corruzione DB di Sharepoint AV sui client Non risolvono l’origine del problema Problemi librerie pubbliche Sistemi supportati Antigen, Forefront Secuirty per Sharepoint e Forefront Protection 2010 for Sharepoint Differiscono per la versione di Sharepoint che proteggono Versione Sharepoint Server Versione Antigen/Forefront Sharepoint 2003 Antigen 9 SP3 Sharepoint Server 2007 Forefront Security for Sharepoint Sharepoint Services 3.0 Forefront Security for Sharepoint Sharepoint Server 2010* Forefront Protection 2010 for Sharepoint* * Beta 2 Protezione con Forefront SQL Document Library Document SharePoint Server Document Protezione antimalware Content filtering Policy enforcement Sistemi di protezione Protezione Antimalware Forefront Security per Sharepoint integra e viene licenziato con 5 motori antivirus per la miglior protezione possibile Riduzione finestra di esposizione Protezione 24/7 Rimozione di worm e spyware Confronto aggiornamento signature1 = Meno di 5 ore = Da 5 a 24 ore = Più di 24 ore 1 Source: AV-Test.org 2008 (www.av-test.org) * Include signature beta ** 0.00 identificazione proattiva euristica WildList Number Malware Name 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 07/08 08/08 08/08 08/08 08/08 08/08 08/08 08/08 08/08 09/08 09/08 09/08 09/08 autorun_itw412.ex_ autorun_itw416.ex_ ircbot_itw456.ex_ magania_itw2.ex_ magania_itw4.ex_ onlinegames_itw512.ex onlinegames_itw521.ex onlinegames_itw522.ex onlinegames_itw527.ex onlinegames_itw536.ex rbot_itw2662.ex_ vaklik_itw11.ex_ vaklik_itw27.ex_ vaklik_itw33.ex_ agent_itw66.ex_ autorun_itw433.ex_ ircbot_itw459.ex_ pushbot_itw8.ex_ slenfbot_itw19.ex_ slenping_itw2.ex_ vaklik_itw55.ex_ zbot_itw16.ex_ agent_itw67.ex_ autorun_itw444.ex_ sdbot_itw2682.ex_ 0908_zbot_itw17.ex_ Forefront Vendor A* Vendor B* Vendor C* Set **0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 40.97 0.00 0.00 40.97 0.00 0.00 0.00 0.00 18.90 0.00 0.00 456.65 368.03 1332.42 229.73 251.25 386.68 229.73 480.68 480.68 0.00 94.03 154.47 480.68 306.43 461.47 973.45 0.00 0.00 635.90 357.65 0.00 159.43 15.92 48.82 0.00 1256.22 339.38 234.05 24.93 34.77 380.70 470.62 34.77 532.13 532.13 346.25 0.00 142.62 327.42 0.00 117.23 691.68 0.00 0.00 687.45 22.58 0.00 99.07 1137.60 0.00 0.00 0.00 458.95 812.20 1270.70 846.53 0.00 365.73 0.00 812.20 812.20 0.00 1039.22 846.53 812.20 0.00 44.05 858.02 995.18 921.23 279.87 37.78 18.23 102.02 65.45 56.92 1166.03 0.00 Tempi di risposta medi BIAS Setting A C DB D Max Certainty: utilizza tutti i motori AV (100%) Favor Certainty: utilizza tutti i motori AV disponibili Neutral: usa circa il 50% dei motori AV disponibili Favor Performance: usa 25% dei motori AV disponibili Max Performance: utilizza un solo motore per ogni scansione Multiple Engine Manager Responsabile della gestione dei motori di scansione Ogni motore viene valutato in base a: Performance Ultimo aggiornamento delle signature I motori più performanti e più aggiornati saranno utilizzati durante la scansione dei messaggi Protezione da crash e signature rollback Tipologie di scan job Forefront per Sharepoint offre due scan job Realtime Scan Job Analizza qualsiasi file che viene caricato o scaricato da Sharepoint offre protezione proattiva Manual scan job Scansiona tutte o parte delle document library a richiesta Scansioni schedulate Utilizzo di motori differenti dal realtime job Filtraggio dei documenti Tipologia di filtro Azioni • In base alla reale tipologia del file • Al nome o estensione • Alla dimensione • Combinazioni • Supporto per wildcards, es. “*curriculum*.doc” • Skip detect Traccia l’evento ma non ferma il file • Delete Rimuove il documento e lo sostituisce con una nota • Block Rimuove ildocumento Gestione archivi Forefront analizza i file ZIP e le altre tipologie di archivi ed elimina solo i file corrotti all’interno dell’archivio Testo di notifica EXE DOC BMP JPG Archivio prima della scansione Regola di filteraggio: Delete *.exe Quarantine EXE Quarantena TXT DOC BMP JPG Archivio dopo la scansione Filtraggio dei contenuti Possibilità di definire regole di filtraggio sul contenuto dei file Supporto per doc, ppt, html, etc. Supportato sia in scansioni realtime che manuali Possibilità di utilizzare operatori logici per la definizio delle regole Utilizzo di regole case sensitive o case insensitive Integrazione con Sharepoint Performance Forefront Security per SharePoint utilizza le API antivirus di SharePoint ottimizzate per SQL server Possono essere utilizzati fino a 10 processi di scansione per massimizzare le performance Scansione intelligente dei documenti File già analizzati e non modificati non vengono rianalizzati (a meno di aggiornamento motore AV) Integrazione con Sharepoint Controllo documenti protetti con RMS IRM agisce solitamente come primo processo durante l’upload e come ultimo durante il download Durante l’analisi realtime i file vengono decifrati da VSAPI e poi analizzati da Forefront Forefront Security per SharePoint Notification Web Parts Notifications Summary Notifications Detailed Gestione FSSMC caratteristiche Forefront Server Security Management Console Dashboard per monitoring dei sistemi gestiti Console centralizzata per amministrare tutti i sistemi di protezione per Sharepoint Traffico gestito Statistiche Virus, Spam, Policy Filtering…. Ottimizzazione Infrastruttura Semplificazione attività di gestione e monitoring Unico sistema che genera traffico di update sui link esterni Sistemi di messaggistica e collaborazione scaricati da overhead aggiuntivo Aggiornamenti up to date FSSMC Reportistica Virus individuati, keyword filter o file filter Azioni intraprese da Forefront a seguito di virus identificati o violazione di policy Statistiche sul traffico Versioni motori Antivirus Risorse Risorse Forefront Security for Sharepoint http://www.microsoft.com/forefront/serversecurity/sharepoint/en/us/default.aspx Versione di valutazione http://technet.microsoft.com/en-us/bb738112.aspx Risorse tecniche http://technet.microsoft.com/en-us/library/bb914032.aspx Blog del Product Team http://blogs.technet.com/FSS/ Forefront Protection 2010 for Sharepoint http://www.microsoft.com/forefront/serversecurity/sharepoint/en/us/next-generation.aspx © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.