Microsoft Antigen 9.0: Caratteristiche e Novità Renato Francesco Giorgini Evangelist IT Pro [email protected] Agenda Panoramica dell’architettura Antigen Novità della Versione 9.0 Gestione Antigen per Exchange Antigen per SharePoint Antigen per Instant Messaging [email protected] Risorse Webcast: Introduzione ad Antigen 9.0 Martedì 10 ottobre ore 10.00 Webcast: Antigen ed Exchange Martedì 17 ottobre ore 10.00 Registrazioni TechNet Security Briefing Presentazioni disponibili presto online http://www.microsoft.it/forefront [email protected] Obiettivi di Antigen Protezione strumenti messaggistica e collaborazione Difesa a più livelli Controllo Contenuti Ottimizzazione utilizzo risorse Soluzione integrata [email protected] Prodotti della famiglia Antigen Antivirus e content filtering per Exchange 2003 e 2000 Antivirus e content filtering per Exchange 2003 e 2000 Anti-spam e content filtering per Windows SMTP e Exchange 2000 e 2003 Gestione Centralizzata Antivirus e content filtering per SharePoint Antivirus e content filtering per IM [email protected] Soluzioni Antigen Virus Worm Spam E-mail ISA Server Windows SMTP Server [email protected] Exchange Server Soluzioni Antigen Virus Worm Spam E-mail ISA Server Windows SMTP Server [email protected] Exchange Server Soluzioni Antigen IM e Documenti Live Communications Server Virus Worm Spam SharePoint Server E-mail ISA Server Windows SMTP Server [email protected] Exchange Server Approcci differenti al problema Antivirus di un unico Vendor Internet • Stesso motore di scansione e signature su tutte le piattaforme, client e server Viruses Worms Spam • Si dipende da un unico laboratorio per avere gli aggiornamenti A ISA Server SMTP Server A A A Exchange Exchange Exchange • Ritardi durante l’aggiornamento dei server mission critical (ad es. Exchange) A Single Point of Failure A A [email protected] Problema: A Approcci differenti al problema Antivirus di più Vendor Internet • Tecnologie e motori di scansione differenti sulle piattaforme client e server Viruses Worms Spam • Alti costi di acquisto e manutenzione A ISA Server B • Complessità nel filtrare i contenuti delle email SMTP Servers C E D Exchange Exchange Exchange Gestione/Costi C A [email protected] Problema: E Gestione di Motori Antivirus multipli Un solo vendor, ma con più tecnologie antivirus A B C Internet D E Exchange Server/ Windows-based SMTP Server Gestione Centralizz. [email protected] Antivirus Antispam Policy Motori Antivirus di Antigen Pacchetto “Standard” New! Microsoft Antivirus Sophos CA VET CA InoculateIT Norman Pacchetto “Premium” Motori standard, più: Kaspersky Lab AhnLab Authentium VirusBuster Disponibili in seguito la nuova versione di Antigen per SharePoint e Instant Messaging. [email protected] Gestione dei motori AntiVirus: Antigen Bias Settings * I motori antivirus utilizzati non sono sempre gli stessi. Sono scelti dinamicamente tra quelli disponibili. A C DB D Max Certainty: utilizza tutti i motori AV (100%) Favor Certainty: utilizza il 75% dei motori AV disponibili Neutral: usa circa il 50% dei motori AV disponibili Favor Performance: uses 25% dei motori AV disponibili Max Performance: utilizza un solo motore per ogni scansione [email protected] Gestione dei motori AntiVirus: Antigen Bias Settings * I motori antivirus utilizzati non sono sempre gli stessi. Sono scelti dinamicamente tra quelli disponibili. A B Max Certainty: utilizza tutti i motori AV (100%) Favor Certainty: utilizza il 75% dei motori AV disponibili Neutral: usa circa il 50% dei motori AV disponibili Favor Performance: uses 25% dei motori AV disponibili Max Performance: utilizza un solo motore per ogni scansione [email protected] AntiVirus Engines Bias Settings [email protected] ...Non solo Antivirus Protezione dallo spam Protezione sui contenuti [email protected] Controllo contenuti: Filtri su file e allegati Blocco sulle estensioni Analisi del contenuto binario del file Filtri in Ingresso/Uscita Filtri sulla dimensione dei file I filtri sono tra loro combinabili: <in>*.mp3>2mb <out>*.mp3>5mb <in>*.*>10mb I file ZIP vengono aperti e richiusi, solo i file bloccati/infetti vengono eliminati [email protected] Novità della versione 9.0 Microsoft AV Engine Inserito come quinto motore AV Utilizza lo stesso motore di Windows OneCare Microsoft Client Protection I test interni hanno dimostrato ottime capacità di riconoscimento virus [email protected] Secure Development Lifecycle I prodotti Antigen 9.0 hanno seguito il percorso di testing e certificazione Security Development Lifecycle Applicate tecniche di threat modeling per l’analisi dei rischi Verifica del codice sorgente effettuata da un’azienda specializzata [email protected] Servizi Antigen più sicuri Privilegi ridotti per servizi e processi Antigen I processi girano come Local Service Rimossi privilegi non necessari Parametri di default più sicuri Scansione di tutti i file abilitata [email protected] Gestione Aggiornamento delle Signature AV www.microsoft.com Internet Internet Engine Partner Updates Antigen Engine Adaptor New [email protected] Gestione Centralizzata Software Deployment Deployment configurazione Gestione quarantena Recupero Log SMTP Servers [email protected] Exchange Servers Notifiche e Reportistica [email protected] Integrazione con Microsoft Operations Manager Funzionalità principali: Attivazione aggiornamenti motori AV Centralizzazione licenze e loro distribuzione Gestione configurazione Pianificazione/avvio scansioni store Stop/Start servizi Antigen Più di 100 Eventi, Performance Counters e Servizi monitorati [email protected] Antigen per Exchange Exchange: Sequenza delle operazioni Filtro Antispam Filtro sui Contenuti [email protected] Scansione Allegati Scansione Corpo mail Filtro AntiSpam Advanced Spam Manager è disponibile come opzione separata Utilizza il motore SpamCure di Mail-Filters Basato su signature create ad-hoc da operatori Permette di sfruttare l’Intelligent Message Filter di Exchange Basato su analisi euristiche Scansione real-time [email protected] Metodi di rilevazione Spam Motore SpamCure di Mail-Filters Liste RBL Liste multiple, appoggiate a servizi di terze parti Filtri sul server Mail: Mittente, dominio, indirizzo IP Liste personalizzate di allow/block Parole chiave nella mail utilizzate soprattutto per la gestione di regole, meno utili per l’Antispam [email protected] Motore SpamCure Neutralizza i trucchi degli spammer www.con<random-comments> www.contoso.com to <comments> so.com Il messaggio reale è verificato con le signature antispam Signature: Basate su caratteristiche specifiche del messaggio Identificano lo Spammer, non il singolo messaggio Alta percentuale di messaggi identificati Falsi positivi ridotti [email protected] Gestione SPAM Cartella Junk Mail di ASM Creazione di un folder per utente con Ogni utente ha strumenti di Block & Approve Supporta Exchange 2000 e 2003 Cartella Junk Mail di Exchange 2003/Outlook Supporto per l’Intelligent Message Filter Supporto per il rating SCL, ASM applica solo due rating SCL: Spam = 9 Non spam = 0 > Viene applicato il rating di Exchange [email protected] Antigen ASM e Exchange IMF Sullo stesso server, IMF esegue la scansione prima di ASM Entrambi applicano un rating SCL Quello più alto vince, indica una confidenza maggiore La mail che è rifiutata, cancellata o archiviata da IMF non raggiunge ASM IMF Scan ASM Scan ASM Spam: 9 Mail Store IMF SCL 0-6 SCL 7,8,9 Archive Folder Pickup Folder Se l’Admin sposta il messaggio [email protected] Junk EMail Inbox Anti Spam, MailHost Filtering Quick Scan [email protected] Exchange: Sequenza delle operazioni Filtro Antispam Filtro sui Contenuti [email protected] Scansione Allegati Scansione Corpo mail Filtri su contenuto mail e files Filtro sul contenuto delle email Ricerca di parole chiave nel testo del messaggio Filtro sugli allegati Creazione di liste di esclusione (whitelisting) [email protected] Content, Keyword e File Filtering Whitelisting [email protected] Exchange: Sequenza delle operazioni Filtro Antispam Filtro sui Contenuti [email protected] Scansione Allegati Scansione Corpo mail Tipi di Scansione Nel server SMTP In Realtime all’ingresso nello Store Exchange Schedulata Attivata manualmente Eseguita in automatico dopo l’aggiornamento dei motori AV [email protected] Architettura IM e Documenti Live Communications Server Virus Worm Spam SharePoint Server E-mail ISA Server Windows SMTP Server [email protected] Exchange Server Scansione: Gestione Performance Viene effettuata nello Stack SMTP e all’ingresso dello Store Exchange “Bias Setting” “In-memory scanning” È possibile aumentare il numero dei thread attivi [email protected] Scansione SMTP Servizio SMTP Windows Antigen Protocol Event Sink: Controllo connessioni autenticate [email protected] Antigen Transport Event Sink: Scansione contenuto email Illegal MIME Header Nuova opzione per l’eliminazione di email con Header MIME non validi Sono email che possono contenere allegati potenzialmente pericolosi [email protected] Scansione Store Exchange Uso delle VirusScanningAPI 2.5 Antigen Realtime Scan Esegue la scansione di tutte le mail All’arrivo oppure alla prima apertura Antigen Background Scan Disattivata di default Permette di eseguire la scansione di Singola Mailbox, Gruppi di Mailbox Intero Store Opzioni possibili: Scansione manuale, schedulata, ad ogni update [email protected] Scan Options General Options [email protected] Rimozione dei Worm È inutile tenere in quarantena messaggi con worm… … quindi li eliminiamo Microsoft Worm List (wormprge.dat) Creazione lista worm personalizzata Protezione proattiva [email protected] Supporto migliorato al Clustering Nodo Attivo Nodo Passivo Registry key checkpointing Antigen DBs Engines Exchange Virtual Server (EVS) Shared drive space File critici, informazioni registry e database sincronizzati tra i nodi del cluster usando EVS e replica delle chiavi Supporto per configurazioni Attivo/passivo [email protected] Notifiche Notifiche più granulari: Administrator Mitt/Dest Interne/Esterne Filtri Keyword Filtri Contenuti Filtri Antispam Gli utenti ricevono notifiche dettagliate sulle regole violate Messaggi differenziati per utenti interni/esterni [email protected] Antigen per SharePoint Antigen per SharePoint SQL Document Library Protezione dai Virus per le Document Libraries e i documenti contenuti Scansione Real-time dei documenti durante l’upload e il download Scansione manuale e schedulata Supporto per Windows SharePoint Services and SharePoint Portal Server Policy sui documenti Documento Antigen for SharePoint SharePoint Server Documento Utenti [email protected] Policy sui documenti Filtro sul contenuto dei documenti, per parole chiave o frasi inappropriate Filtri basati sul nome del file, sulle estensioni o sul contenuto binario Si interfaccia con il sitema di versioning di SharePoint Contenuto Documenti [email protected] Nome, Estensione Versioning Notifiche integrate in SharePoint [email protected] Antigen per SharePoint [email protected] Antigen per Instant Messaging Antigen per Instant Messaging Trova e rimuove virus nelle conversazioni IM e nei trasferimenti file Blocca il trasferimento file non consentiti/infetti Esegue la scansione del flusso IM per eliminare parole chiave, frasi non consentite Permette la creazione di allow-list e l’invio di notifiche Outside IM Clients Firewall Antigen for Instant Messaging Microsoft Office Communicator [email protected] LCS Windows Messenger Clients Protezione AntiVirus per IM La scansione è integrata con il Session Initiation Protocol (SIP) per fornire scansione realtime Agli utenti arrivano le notifiche attraverso un “bot” Antigen IM Supporta Live Communications Server 2005 Pooling, Public Instant Messaging Connectivity, e le conversazioni cifrate [email protected] Protezione dei contenuti Antigen for Instant Messaging Filtro sulle URL Filtro documenti basato su nome, estensione, tipo Filtri sulle keyword contenute nei documenti e nelle comunicazioni IM configurabili È possible creare allow-list [email protected] Antigen per Instant Messaging [email protected] Obiettivi di Antigen Assicurare la protezione dai più recenti pericoli: Virus, Worm, Spam Più motori di scansione, aggiornamento automatico Ridurre il carico di lavoro sui server riducendo i tempi di attesa Configurazione Bias, Scansione in memoria Fornire una soluzione integrata con funzionalità antivirus/anti-spam/content filtering Integrazione Antigen/ASM/IMF Fornire strumenti di alert e gestione per gli amministratori Antigen Enterprise Manager e Microsoft Operations Manager [email protected] [email protected] http://blogs.technet.com/italy © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.