Настройка функциональности AntiMalware в Microsoft Forefront TMG

Опубликовано: 9 Апреля, 2023

Примечание:
 Имейте в виду, что информация в этой статье основана на бета-версии Microsoft Forefront TMG и может быть изменена.


Получите вашу копию «Microsoft ISA Server 2006 — Das Handbuch» на немецком языке.

Начнем…

Несколько месяцев назад Microsoft выпустила бета-версию 2 от Microsoft Forefront TMG (Threat Management Gateway), которая имеет множество новых функций.

Определение вредоносного ПО

Википедия определяет вредоносное ПО следующим образом: «Вредоносное ПО, составленное из слов «вредоносный» и «программное обеспечение», представляет собой программное обеспечение, предназначенное для проникновения в компьютерную систему или ее повреждения без информированного согласия владельца. Это выражение является общим термином, используемым компьютерными профессионалами для обозначения различных форм враждебного, навязчивого или раздражающего программного обеспечения или программного кода. включая настоящие вирусы. Программное обеспечение считается вредоносным ПО на основе предполагаемых намерений создателя, а не каких-либо конкретных функций. Вредоносное ПО включает в себя компьютерные вирусы, черви, троянские кони, большинство руткитов, шпионское ПО, недобросовестное рекламное ПО, криминальное ПО и другое вредоносное и нежелательное ПО».

Защита от вредоносных программ

С помощью Microsoft Forefront TMG можно защитить свою сеть от вредоносных программ до того, как вредоносное ПО попадет в вашу внутреннюю сеть, поскольку TMG сканирует весь соответствующий HTTP-трафик на наличие вредоносного содержимого.

Функция защиты от вредоносных программ в Microsoft Forefront TMG использует тот же механизм защиты от вредоносных программ, который также используется в Microsoft Forefront Client Security (FCS), Live One Care и Защитнике Windows.

Некоторые функции вредоносного ПО настраиваются глобально, но также можно настроить некоторые параметры на основе правил. Также можно включить или отключить функцию проверки на наличие вредоносных программ для каждого правила политики брандмауэра.

Общие настройки

Глобальные параметры вредоносных программ настраиваются в новом узле ISA TMG, который называется Web Access Policy.


Рисунок 1: узел политики веб-доступа

Нажмите «Настроить проверку на наличие вредоносных программ» на правой панели задач, чтобы настроить глобальные параметры. Настройки в первой карточке реестра позволяют включать и отключать фильтр проверки на наличие вредоносных программ. Вредоносное ПО также должно быть включено в правиле политики брандмауэра, если вы хотите использовать функцию вредоносного ПО.


Рисунок 2. Включение проверки на наличие вредоносных программ

Стандартные настройки блокируют весь сетевой трафик, когда активирована проверка на наличие вредоносных программ, но TMG не находит обновление модуля проверки на наличие вредоносных программ. Это поведение можно изменить, но это снижает общую безопасность.

Исключения назначения

Некоторые веб-сайты можно исключить из фильтрации вредоносных программ. Некоторые веб-сайты, например веб-сайты Microsoft, автоматически исключаются из проверки на наличие вредоносных программ. Список можно расширить собственными сайтами.


Рисунок 3: Исключения для адресата

Исключения источника

Как и исключения назначения, исключения источника исключают некоторых внутренних клиентов и серверов из сканирования вредоносных программ, когда они открывают веб-сайты.

Настройки проверки

Параметры проверки в функции защиты от вредоносных программ позволяют настраивать и настраивать несколько параметров. Можно настроить различные параметры блокировки, когда проверка на наличие вредоносных программ должна блокировать зараженные или подозрительные файлы или файлы, которые невозможно проверить. TMG по умолчанию блокирует зашифрованные файлы.


Рисунок 4: Настройки проверки

Также можно настроить проверку на наличие вредоносных программ для блокировки файлов, когда время сканирования превышает настроенный лимит или если загружаемые файлы больше указанного размера в мегабайтах и т. д.

Доставка контента

Вкладка «Доставка контента» позволяет администратору TMG настраивать взаимодействие с пользователем, в то время как проверка TMG на наличие вредоносных программ сканирует сетевой трафик. Поскольку загрузка больших файлов может занять относительно много времени, и пользователь, как правило, получает сообщение об отсутствии статуса загрузки, а загрузка может выполняться по тайм-ауту, можно настроить, как функция проверки на наличие вредоносных программ будет отображать уведомления о ходе выполнения для пользователей. Forefront TMG отправляет клиенту HTML-страницу. Эта HTML-страница информирует пользователей о том, что запрошенное содержимое проверяется, и отображает индикатор процесса загрузки и проверки на наличие вредоносных программ.


Рисунок 5: Настройки доставки контента

Стандартная передача используется для отправки запрошенного контента с низкой скоростью клиенту, который запросил контент. Контент будет кэшироваться на TMG во время проверки на наличие вредоносных программ. Быстрая передача используется для нахождения баланса между опытом конечного пользователя во время загрузки файлов и желанием администратора TMG уменьшить буферизацию файлов в TMG и увеличить количество сканирований. Если в файле, переданном пользователю, обнаружено заражение, Microsoft Forefront TMG сбрасывает соединение, и загрузка не доставляется клиенту.

Хранилище

Параметр «Хранилище» позволяет администратору TMG указать расположение локального временного хранилища, в которое механизм вредоносных программ временно помещает загруженный контент, который следует сканировать на наличие вредоносных программ. Если сервер TMG сильно загружен, вам следует указать другой каталог для временного хранилища вредоносных программ.


Рис. 6. Хранилище временных отсканированных файлов во время проверки на наличие вредоносных программ

Обновить конфигурацию

Функция проверки на наличие вредоносных программ в TMG эффективна только при наличии постоянных обновлений для этой функции для защиты от новых вредоносных программ. По умолчанию функция проверки вредоносных программ в TMG каждые 15 минут проверяет наличие обновлений для серверов Microsoft. Для использования этой функции требуется действующая подписка.


Рисунок 7: Обновление параметров конфигурации

Сведения о лицензии

Функция защиты от вредоносных программ лицензируется на определенный период времени. В этом окне конфигурации можно просмотреть сведения о лицензии.


Рисунок 8: Сведения о лицензии

Центр обновлений

Постоянное обновление определений фильтров проверки на наличие вредоносных программ абсолютно необходимо, если вы хотите защититься от новейших уловок производителей вредоносных программ. Центр обновлений позволяет настраивать обновления для нескольких компонентов в Microsoft Forefront TMG.

Изображение 23815
Рисунок 9: Центр обновлений

Проверка на наличие вредоносных программ настраивается глобально, но ее можно включить или отключить для каждого правила брандмауэра.

Изображение 23816
Рисунок 10: Включение или отключение настроек вредоносных программ

Также можно настроить конкретные параметры правила для проверки на наличие вредоносных программ.

Изображение 23817
Рисунок 11: Параметры проверки на наличие вредоносных программ для правил политики брандмауэра

Специфические настройки правил аналогичны глобальным настройкам.

Изображение 23818
Рисунок 12: Параметры проверки вредоносных программ для конкретного правила

Пользовательский опыт

Если проверка на наличие вредоносных программ обнаружит подозрительное содержимое и оно будет заблокировано, пользователь получит уведомление, как показано на следующем рисунке.

Изображение 23819
Рис. 13. Уведомление пользователя в случае обнаружения вредоносного ПО

Вывод

В этой статье я дал вам обзор функций защиты от вредоносных программ Microsoft Forefront Threat Management Gateway. Я также попытался показать вам конфигурацию функций защиты от вредоносных программ и то, как администраторы могут защитить свои сети. Функциональность защиты от вредоносных программ — отличное оружие для администраторов TMG в борьбе с вредоносными программами.

Ссылки по теме

  • Обзор проверки на наличие вредоносных программ
  • Шлюз управления угрозами Forefront, бета-версия 2
  • Выпущена бета-версия Forefront TMG 2
  • Security Watch Проверка вредоносного ПО по периметру
  • Что нового в Forefront TMG Beta 2 (часть 1)
  • Установка и настройка Microsoft Forefront TMG Beta 2
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023