Soluzioni per la sicurezza della posta elettronica Microsoft Antigen

Agenda Panoramica delle soluzioni Antigen Funzionalità Antivirus Gestione dei motori Antivirus Filtri su file, contenuti , virus, worm Funzionalità Anti-spam SpamCure Integrazione con Exchange e Outlook Gesione dellinfrastruttura Aggiornamenti centralizzati Monitoring e Reporting

Soluzioni Antigen Live Communications Server SharePoint Server Exchange Server ISA Server Windows SMTP Server VirusWormSpam Ferma i virus fuori dalla rete, utilizzando ISA Server e il componente per Gateway SMTP Protegge i server Exchange 5.5, 2000, e 2003 dai Virus e offre funzionalità di content filtering Riduce lo SPAM su ISA Server, Exchange e sui servizi SMTP di Windows, utilizzando il componente opzionale Advanced Spam Manager Protegge Live Communications Server 2005 con un sistema antivirus e la scansione dei contenuti dei files e delle comunicazioni Protegge le document libraries di SharePoint da virus e da contenuti non autorizzati IM e Documenti Difesa a più livelli Ottimizzazione delle risorse Controllocontenuti

Obiettivi di Antigen Assicurare la protezione dai più recenti pericoli Ridurre il carico di lavoro sui server Exchange riducendo i tempi di attesa Fornire una soluzione integrata con funzionalità antivirus/anti-spam/content filtering Fornire strumenti di alert e gestione per gli amministratori

ExchangeExchange Exchange VirusWormSpam Approcci differenti al problema ISA Server Windows SMTP Server Internet AV AV AV AVAVAV AV AV Antivirus di più Vendor Tecnologie e motori di scansione differenti sulle piattaforme client e server Tecnologie e motori di scansione differenti sulle piattaforme client e server Alti costi di acquisto e manutenzione Alti costi di acquisto e manutenzione Complessità nel filtrare i contenuti delle Complessità nel filtrare i contenuti delle Problema: Gestione/Costi

ExchangeExchange Exchange VirusWormSpam Approcci differenti al problema ISA Server Windows SMTP Server Internet AV AV AV AVAVAV AV AV Antivirus di un unico Vendor Stesse tecnologie, motore di scansione e signature su tutte le piattaforme, client e server Stesse tecnologie, motore di scansione e signature su tutte le piattaforme, client e server Si dipende da un unico laboratorio per avere gli aggiornamenti Si dipende da un unico laboratorio per avere gli aggiornamenti Ritardi durante laggiornamento dei server mission critical (ad es. Exchange) Ritardi durante laggiornamento dei server mission critical (ad es. Exchange) Problema: Single Point of Failure

Gestione di Motori Antivirus multipli Internet Exchange Server/ Windows SMTP Server AV AV AV AV Antivirus Antispam Policy Gestione Centralizz. Un solo vendor, ma con più tecnologie antivirus

Motori AV Partner di Antigen Inclusi in Antigen: Opzionali a pagamento (2) Disponibile a breve: MS Antivirus

Gestione dei motori AntiVirus: Antigen Bias Settings Motore AV 1 Motore AV 4 Motore AV 2 Motore AV 3 Max Certainty: utilizza tutti i motori AV (100%) Favor Certainty: utilizza il 75% dei motori AV disponibili Neutral: usa circa il 50% dei motori AV disponibili Favor Performance: uses 25% dei motori AV disponibili Max Performance: utilizza un solo motore per ogni scansione * I motori antivirus utilizzati non sono sempre gli stessi. Sono scelti dinamicamente tra quelli disponibili.

Motore AV 4 Motore AV 2 Gestione dei motori AntiVirus: Antigen Bias Settings * I motori antivirus utilizzati non sono sempre gli stessi. Sono scelti dinamicamente tra quelli disponibili. Max Certainty: utilizza tutti i motori AV (100%) Favor Certainty: utilizza il 75% dei motori AV disponibili Neutral: usa circa il 50% dei motori AV disponibili Favor Performance: uses 25% dei motori AV disponibili Max Performance: utilizza un solo motore per ogni scansione

Scansione: Performance Viene effettuata nello Stack SMTP e allingresso dello Store Exchange SMTP: Max Certainty bias per fornire la più alta protezione possibile Store Exchange: Neutral bias per bilanciare sicurezza e performance > REALTIME In-memory scanning Lallocazione dinamica della memoria aumenta lefficenza del server Elimina la necessità fare spooling su disco È possibile aumentare il numero dei thread attivi

Scansione SMTP Servizio SMTP Windows Antigen Transport Event Sink: Scansione contenuto Antigen Protocol Event Sink: Controllo connessioni autenticate

Scansione Store Exchange Uso delle VirusScanningAPI 2.5 Antigen Realtime Scan Esegue la scansione delle prima della loro apertura La scansione avviene allarrivo dell , oppure la prima volta che viene aperta Queue dinamica a priorità Sfrutta la VSAPI Proactive Scan È possibile modificare il numero di thread attivi contemporaneamente

Scansione Store Exchange Uso delle VirusScanningAPI 2.5 Antigen Background Scanning Disattivata di default Permette di eseguire la scansione di Singola Mailbox Gruppi di Mailbox Intero Storage Exchange Opzioni possibili: Scansione manuale Scansione schedulata Scansione ripetuta ad ogni update dei motori AV Sfrutta le VSAPI per il Background Scan

Demo Scan Options, AntiVirus Engines, General Options

Rimozione dei Worm Elimina i messaggi che contengono worm Utilizza la Microsoft Worm List (wormprge.dat) Nè destinatario nè mittente ricevono nulla Inutile tenere in quarantena messaggi con worm Niente di utile nel messaggio Riduzione delle risorse necessarie a gestire i messaggi Creazione lista worm personalizzata Protezione proattiva Uso di filtri sui files (dimensione, tipo, estensione, etc.)

Filtri su contenuto mail e files Filtro sul contenuto delle Ricerca di parole chiave nel testo del messaggio Filtro sugli allegati Blocco sulle estensioni Analisi del contenuto binario del file I file ZIP vengono aperti e richiusi, solo i file bloccati vengono eliminati Creazione di liste di esclusione (whitelisting)

Antigen blocca i files basandosi sullestensione o sul contenuto binario Non è possibile bypassare il motore AV semplicemente cambiando lestensione del file Filtri flessibili basati su estensione e/o contenuto Blocco di ogni file eseguibile, qualsiasi sia lestensione Blocco di tutti i files *.exe Filtri sui files Configurazione dei filtri

Sequenza delle operazioni Filtro Antispam Filtro sui Contenuti Scansione Allegati Scansione Corpo mail Verifica whitelist Scansione Spam Filtri RBL Filtro Mittenti/Domini Filtro sul campo Oggetto della mail File normali: Scansione AntiWorm Filtro sui nomi dei file Scansione AntiVirus Archivi/.zip Files: Filtro sui nomi dei file Esplorazione dellarchivio Filtro su parole chiave Scansione AntiVirus

Demo Content, Keyword e File Filtering, Whitelisting

Filtro AntiSpam Advanced Spam Manager è disponibile come opzione separata Utilizza il motore SpamCure di Mail-Filters Basato su signature create ad-hoc da operatori Lavora insieme allIntelligent Message Filter di Exchange Basato su analisi euristiche Scansione real-time

Metodi di rilevazione Spam Motore SpamCure di Mail-Filters: Strumento principale, molto efficace Liste RBL Liste multiple, appoggiate a servizi di terze parti Filtri sul server Mail Mittente, dominio, indirizzo IP Liste personalizzate di allow/block Parole chiave nella mail utilizzate soprattutto per la gestione di regole, meno utili per lAntispam

Motore SpamCure StarEngine – Spam Tricks Analysis and Response Vengono neutralizzati i trucchi degli spammer Il messaggio reale è verificato con le signature antispam Signature: Basate su caratteristiche specifiche del messaggio Identificano lo Spammer, non il singolo messaggio Alta percentuale di messaggi identificati Falsi positivi ridotti, lapproccio basato su signature garantisce grande accuratezza to so.com

Antigen ASM e Exchange IMF Sullo stesso server, IMF esegue la scansione prima di ASM Entrambi applicano un rating SCL Quello più alto vince, indica una confidenza maggiore La mail che è rifiutata, cancellata o archiviata da IMF non raggiunge ASM Ad esempio, IMF archivia di default i rating SCL 7,8 e 9 ASM Spam: 9 IMF SCL 0-6 IMF Scan ASM Scan Archive Folder Pickup Folder Se lAdmin sposta il messaggio SCL 7,8,9 InboxJunk E- Mail Mail Store

Gestione SPAM Cartella Junk Mail di ASM È possibile creare un folder gestito da Antigen per ciascun utente dove viene rediretto lo SPAM Ogni utente ha strumenti di Block & Approve Supporta Exchange 5.5, 2000 e 2003 Cartella Junk Mail di Exchange 2003/Outlook Supporto per lIntelligent Message Filter Supporto per il rating SCL, ASM applica solo due rating SCL: Spam = 9 Non spam = Viene applicato il rating di Exchange

Demo Anti Spam, MailHost Filtering, Quick Scan

Antigen Rapid Update Sistema di aggiornamento rapido automatizzato Verifica il sito di ciascun Vendor alla ricerca di signature/motori AV aggiornati Scarica gli aggiornamenti Estrae gli aggiornamenti dal package originale Crea un nuovo package Antigen Engine Update Esegue test di verifica sul database dei Virus Salva il nuovo package in un sito Microsoft sicuro

Aggiornamento dei motori locali Tutti gli aggiornamenti vengono scaricati direttamente dal sito Microsoft, e non dai singoli Vendor Antigen verifica se ci sono aggiornamenti disponibili Intervallo di polling configurabile E possibile forzare laggiornamento Metodologia di aggiornamento unificata per tutti i motori Antivirus/Antispam Gli aggiornamenti vengono scaricati Il package viene aperto e verificato Il motore AV corrente viene disattivato Il nuovo motore/laggiornamento viene installato Il nuovo motore AV viene attivato

Aggiornamento via AEM Antigen Enterprise Manager (AEM) permette di scaricare e distribuire nella rete interna i package di aggiornamento Metodo consigliato nel caso esistano più server Antigen La configurazione della frequenza di aggiornamento avviene nel server AEM Riduce il carico di lavoro sui server critici Server Antigen Enterprise Manager Server Microsoft Server Antigen Agent AEM HTTP or FTP

Monitoring e Reporting AEM analizza i trend sui virus trovati e lefficacia di Atigen nel combatterli Dati memorizziati in un database SQL Server o MSDE Fornisce il monitoring centralizzato dei server Singolo server, gruppi di server, azienda Configurazione Alert (SMTP/SNMP traps) Mancato avvio dei motori AV Livelli soglia su virus, spam e filtri

Monitoring e Reporting I report includono: I Top X Virus trovati Report sugli aggiornameti dei motori AV e sulla loro versione Report di traffico Report su spam, virus, contenuti e file filtrati

Integrazione con MOM Antigen Management Pack per MOM 2005 Funzionalità principali: Attivare gli aggiornamenti dei motori AV Centralizzare le licenze e la loro distribuzione Importare, esportare e applicare i parametri chiave di configurazione Pianificare e avviare le scansioni manuali degli storage Fermare/Avviare i servizi Antigen

Integrazione con MOM Antigen Management Pack per MOM 2005 Più di 100 Eventi, Performance Counters e Servizi monitorati Analisi dello stato di Antigen e dei componenti chiave Polling di 5 servizi Antigen per monitorare la funzionalità dei procesi critici Raccolta dati statistici su scansioni, rilevazioni e rimozioni di messaggi/allegati

Obiettivi di Antigen Assicurare la protezione dai più recenti pericoli: Virus, Worm, Spam Più motori di scansione, aggiornamento automatico Ridurre il carico di lavoro sui server Exchange riducendo i tempi di attesa Configurazione Bias, Scansione in memoria Fornire una soluzione integrata con funzionalità antivirus/anti-spam/content filtering Integrazione Antigen/ASM/IMF Fornire strumenti di alert e gestione per gli amministratori AEM and MOM

© 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.