Microsoft Antigen 9.0:
Caratteristiche e Novità
Renato Francesco Giorgini
Evangelist IT Pro
[email protected]
Agenda
Panoramica dell’architettura Antigen
Novità della Versione 9.0
Gestione
Antigen per Exchange
Antigen per SharePoint
Antigen per Instant Messaging
[email protected]
Risorse
Webcast: Introduzione ad Antigen 9.0
Martedì 10 ottobre ore 10.00
Webcast: Antigen ed Exchange
Martedì 17 ottobre ore 10.00
Registrazioni TechNet Security Briefing
Presentazioni disponibili presto online 
http://www.microsoft.it/forefront
[email protected]
Obiettivi di Antigen
Protezione strumenti messaggistica e collaborazione
Difesa a più livelli
Controllo Contenuti
Ottimizzazione utilizzo risorse
Soluzione integrata
[email protected]
Prodotti della famiglia Antigen
Antivirus e content filtering per
Exchange 2003 e 2000
Antivirus e content filtering per
Exchange 2003 e 2000
Anti-spam e content filtering per
Windows SMTP e Exchange 2000 e 2003
Gestione Centralizzata
Antivirus e content filtering per
SharePoint
Antivirus e content filtering per IM
[email protected]
Soluzioni Antigen
Virus
Worm
Spam
E-mail
ISA Server
Windows SMTP Server
[email protected]
Exchange Server
Soluzioni Antigen
Virus
Worm
Spam
E-mail
ISA Server
Windows SMTP Server
[email protected]
Exchange Server
Soluzioni Antigen
IM e Documenti
Live Communications
Server
Virus
Worm
Spam
SharePoint Server
E-mail
ISA Server
Windows SMTP Server
[email protected]
Exchange Server
Approcci differenti al problema
Antivirus di un unico Vendor
Internet
• Stesso
motore di scansione e signature
su tutte le piattaforme, client e server
Viruses
Worms
Spam
• Si dipende da un unico laboratorio
per avere gli aggiornamenti
A
ISA Server
SMTP Server
A
A
A
Exchange
Exchange
Exchange
• Ritardi durante l’aggiornamento
dei server mission critical (ad es.
Exchange)
A
Single Point of Failure
A
A
[email protected]
Problema:
A
Approcci differenti al problema
Antivirus di più Vendor
Internet
• Tecnologie e motori di scansione
differenti sulle piattaforme client e
server
Viruses
Worms
Spam
• Alti costi di acquisto e
manutenzione
A
ISA Server
B
• Complessità nel filtrare i
contenuti delle email
SMTP Servers
C
E
D
Exchange
Exchange
Exchange
Gestione/Costi
C
A
[email protected]
Problema:
E
Gestione di Motori Antivirus multipli
Un solo vendor, ma con più tecnologie antivirus
A
B
C
Internet
D
E
Exchange Server/
Windows-based SMTP Server
Gestione
Centralizz.
[email protected]
Antivirus
Antispam
Policy
Motori Antivirus di Antigen
Pacchetto “Standard”
New!
Microsoft Antivirus
Sophos
CA VET
CA InoculateIT
Norman
Pacchetto “Premium”
Motori standard, più:
Kaspersky Lab
AhnLab
Authentium
VirusBuster
Disponibili in seguito la nuova versione di Antigen per
SharePoint e Instant Messaging.
[email protected]
Gestione dei motori AntiVirus:
Antigen Bias Settings
* I motori antivirus utilizzati non
sono sempre gli stessi. Sono
scelti dinamicamente tra quelli
disponibili.
A
C
DB
D
Max Certainty: utilizza tutti i motori AV (100%)
Favor Certainty: utilizza il 75% dei motori AV disponibili
Neutral: usa circa il 50% dei motori AV disponibili
Favor Performance: uses 25% dei motori AV disponibili
Max Performance: utilizza un solo motore per ogni scansione
[email protected]
Gestione dei motori AntiVirus:
Antigen Bias Settings
* I motori antivirus utilizzati non
sono sempre gli stessi. Sono
scelti dinamicamente tra quelli
disponibili.
A
B
Max Certainty: utilizza tutti i motori AV (100%)
Favor Certainty: utilizza il 75% dei motori AV disponibili
Neutral: usa circa il 50% dei motori AV disponibili
Favor Performance: uses 25% dei motori AV disponibili
Max Performance: utilizza un solo motore per ogni scansione
[email protected]
AntiVirus Engines
Bias Settings
[email protected]
...Non solo Antivirus
Protezione dallo spam
Protezione sui contenuti
[email protected]
Controllo contenuti: Filtri su file e allegati
Blocco sulle estensioni
Analisi del contenuto binario del file
Filtri in Ingresso/Uscita
Filtri sulla dimensione dei file
I filtri sono tra loro combinabili:
<in>*.mp3>2mb
<out>*.mp3>5mb
<in>*.*>10mb
I file ZIP vengono aperti e richiusi, solo i file
bloccati/infetti vengono eliminati
[email protected]
Novità della versione 9.0
Microsoft AV Engine
Inserito come quinto motore AV
Utilizza lo stesso motore di
Windows OneCare
Microsoft Client Protection
I test interni hanno dimostrato ottime capacità di
riconoscimento virus
[email protected]icrosoft.com
Secure Development Lifecycle
I prodotti Antigen 9.0 hanno seguito il percorso di
testing e certificazione Security Development
Lifecycle
Applicate tecniche di threat modeling per l’analisi dei
rischi
Verifica del codice sorgente effettuata da un’azienda
specializzata
[email protected]
Servizi Antigen più sicuri
Privilegi ridotti per servizi e processi Antigen
I processi girano come Local Service
Rimossi privilegi non necessari
Parametri di default più sicuri
Scansione di tutti i file abilitata
[email protected]
Gestione
Aggiornamento delle Signature AV
www.microsoft.com
Internet
Internet
Engine Partner
Updates
Antigen
Engine
Adaptor
New
[email protected]
Gestione Centralizzata
Software Deployment
Deployment configurazione
Gestione quarantena
Recupero Log
SMTP
Servers
[email protected]
Exchange
Servers
Notifiche e Reportistica
[email protected]
Integrazione con Microsoft Operations
Manager
Funzionalità principali:
Attivazione aggiornamenti motori AV
Centralizzazione licenze e loro distribuzione
Gestione configurazione
Pianificazione/avvio scansioni store
Stop/Start servizi Antigen
Più di 100 Eventi, Performance Counters e Servizi
monitorati
[email protected]
Antigen per Exchange
Exchange: Sequenza delle operazioni
Filtro
Antispam
Filtro sui
Contenuti
[email protected]
Scansione
Allegati
Scansione
Corpo mail
Filtro AntiSpam
Advanced Spam Manager è disponibile come
opzione separata
Utilizza il motore SpamCure di Mail-Filters
Basato su signature create ad-hoc da operatori
Permette di sfruttare l’Intelligent Message Filter di
Exchange
Basato su analisi euristiche
Scansione real-time
[email protected]
Metodi di rilevazione Spam
Motore SpamCure di Mail-Filters
Liste RBL
Liste multiple, appoggiate a servizi di terze parti
Filtri sul server Mail:
Mittente, dominio, indirizzo IP
Liste personalizzate di allow/block
Parole chiave nella mail
utilizzate soprattutto per la gestione di regole, meno utili per
l’Antispam
[email protected]
Motore SpamCure
Neutralizza i trucchi degli spammer
www.con<random-comments>
www.contoso.com
to <comments> so.com
Il messaggio reale è verificato con le signature antispam
Signature:
Basate su caratteristiche specifiche del messaggio
Identificano lo Spammer, non il singolo messaggio
Alta percentuale di messaggi identificati
Falsi positivi ridotti
[email protected]
Gestione SPAM
Cartella Junk Mail di ASM
Creazione di un folder per utente con
Ogni utente ha strumenti di Block & Approve
Supporta Exchange 2000 e 2003
Cartella Junk Mail di Exchange 2003/Outlook
Supporto per l’Intelligent Message Filter
Supporto per il rating SCL,
ASM applica solo due rating SCL:
Spam = 9
Non spam = 0 > Viene applicato il rating di Exchange
[email protected]
Antigen ASM e Exchange IMF
Sullo stesso server, IMF esegue la scansione prima di ASM
Entrambi applicano un rating SCL
Quello più alto vince, indica una confidenza maggiore
La mail che è rifiutata, cancellata o archiviata da IMF non raggiunge ASM
IMF
Scan
ASM
Scan
ASM Spam:
9
Mail
Store
IMF SCL
0-6
SCL
7,8,9
Archive
Folder
Pickup
Folder
Se l’Admin sposta
il messaggio
[email protected]
Junk EMail
Inbox
Anti Spam,
MailHost Filtering
Quick Scan
[email protected]
Exchange: Sequenza delle operazioni
Filtro
Antispam
Filtro sui
Contenuti
[email protected]
Scansione
Allegati
Scansione
Corpo mail
Filtri su contenuto mail e files
Filtro sul contenuto delle email
Ricerca di parole chiave nel testo del messaggio
Filtro sugli allegati
Creazione di liste di esclusione (whitelisting)
[email protected]
Content, Keyword e File
Filtering
Whitelisting
[email protected]
Exchange: Sequenza delle operazioni
Filtro
Antispam
Filtro sui
Contenuti
RenatoFrancesco.Giorgini[email protected]
Scansione
Allegati
Scansione
Corpo mail
Tipi di Scansione
Nel server SMTP
In Realtime all’ingresso nello Store Exchange
Schedulata
Attivata manualmente
Eseguita in automatico dopo l’aggiornamento dei
motori AV
[email protected]
Architettura
IM e Documenti
Live Communications
Server
Virus
Worm
Spam
SharePoint Server
E-mail
ISA Server
Windows SMTP Server
[email protected]
Exchange Server
Scansione: Gestione Performance
Viene effettuata nello Stack SMTP e all’ingresso dello
Store Exchange
“Bias Setting”
“In-memory scanning”
È possibile aumentare il numero dei thread attivi
[email protected]
Scansione SMTP
Servizio SMTP Windows
Antigen Protocol
Event Sink:
Controllo connessioni autenticate
[email protected]
Antigen Transport
Event Sink:
Scansione contenuto email
Illegal MIME Header
Nuova opzione per l’eliminazione di email con
Header MIME non validi
Sono email che possono contenere allegati potenzialmente
pericolosi
[email protected]
Scansione Store Exchange
Uso delle VirusScanningAPI 2.5
Antigen Realtime Scan
Esegue la scansione di tutte le mail
All’arrivo oppure alla prima apertura
Antigen Background Scan
Disattivata di default
Permette di eseguire la scansione di
Singola Mailbox, Gruppi di Mailbox Intero Store
Opzioni possibili:
Scansione manuale, schedulata, ad ogni update
[email protected]
Scan Options
General Options
[email protected]
Rimozione dei Worm
È inutile tenere in quarantena messaggi con worm…
… quindi li eliminiamo 
Microsoft Worm List (wormprge.dat)
Creazione lista worm personalizzata
Protezione proattiva
[email protected]
Supporto migliorato al Clustering
Nodo Attivo
Nodo Passivo
Registry key
checkpointing
Antigen DBs
Engines
Exchange Virtual Server (EVS)
Shared drive space
File critici, informazioni registry e database sincronizzati
tra i nodi del cluster usando EVS e replica delle chiavi
Supporto per configurazioni Attivo/passivo
[email protected]
Notifiche
Notifiche più granulari:
Administrator
Mitt/Dest
Interne/Esterne
Filtri Keyword
Filtri Contenuti
Filtri Antispam
Gli utenti ricevono notifiche dettagliate sulle regole
violate
Messaggi differenziati per utenti interni/esterni
[email protected]
Antigen per SharePoint
Antigen per SharePoint
SQL
Document
Library
Protezione dai Virus per le Document
Libraries e i documenti contenuti
Scansione Real-time dei documenti
durante l’upload e il download
Scansione manuale e schedulata
Supporto per Windows SharePoint Services
and SharePoint Portal Server
Policy sui documenti
Documento
Antigen
for
SharePoint
SharePoint
Server
Documento
Utenti
[email protected]
Policy sui documenti
Filtro sul contenuto dei documenti, per parole chiave
o frasi inappropriate
Filtri basati sul nome del file, sulle estensioni o sul
contenuto binario
Si interfaccia con il sitema di versioning di SharePoint
Contenuto Documenti
[email protected]
Nome, Estensione
Versioning
Notifiche integrate in SharePoint
[email protected]
Antigen per SharePoint
[email protected]
Antigen per Instant Messaging
Antigen per Instant Messaging
Trova e rimuove virus nelle
conversazioni IM e nei
trasferimenti file
Blocca il trasferimento file non
consentiti/infetti
Esegue la scansione del flusso IM
per eliminare parole chiave, frasi
non consentite
Permette la creazione di allow-list
e l’invio di notifiche
Outside IM
Clients
Firewall
Antigen
for Instant
Messaging
Microsoft Office
Communicator
[email protected]
LCS
Windows
Messenger Clients
Protezione AntiVirus per IM
La scansione è integrata con il Session Initiation
Protocol (SIP) per fornire scansione realtime
Agli utenti arrivano le notifiche attraverso un “bot”
Antigen IM
Supporta Live Communications Server 2005
Pooling, Public Instant Messaging Connectivity, e le
conversazioni cifrate
[email protected]
Protezione dei contenuti
Antigen
for Instant
Messaging
Filtro sulle URL
Filtro documenti basato su nome, estensione, tipo
Filtri sulle keyword contenute nei documenti e nelle
comunicazioni IM configurabili
È possible creare allow-list
[email protected]
Antigen per Instant
Messaging
[email protected]
Obiettivi di Antigen
Assicurare la protezione dai più recenti pericoli: Virus,
Worm, Spam
Più motori di scansione, aggiornamento automatico
Ridurre il carico di lavoro sui server riducendo i tempi di
attesa
Configurazione Bias, Scansione in memoria
Fornire una soluzione integrata con funzionalità
antivirus/anti-spam/content filtering
Integrazione Antigen/ASM/IMF
Fornire strumenti di alert e gestione per gli amministratori
Antigen Enterprise Manager e Microsoft Operations Manager
[email protected]
[email protected]
http://blogs.technet.com/italy
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Scarica

Microsoft Antigen 9.0