https://twcert2024.informationsecurity.com.tw/

觀點

Antigen守護企業安全

2009 / 09 / 03
顧武雄
Antigen守護企業安全
一氣呵成地鞏固協同運作之間的安全防護。

 
 M icrosoft在企業e化運作管理的解決方案中,非常強調整體協同作業系統的整合應用,目標在讓每一位用戶端可以迅速獲取所需的資源與訊息,然而在執行的過程中往往夾帶著資安危機,以往我們必須藉由整合其它協力廠商的產品來完成安全防護設計的需求,如今已可更輕易的透過Microsoft Antigen一氣呵成地鞏固協同運作之間的安全防護。

  許多人可能多少耳聞Microsoft即將在全球上市第一套自家發行的防毒系統Antigen,而它的核心程式正是向Sybari公司所購買,值得注意的是原有的Sybari公司並沒有自行研發的掃毒引擎,而是直接採用全世界幾家知名的防毒系統引擎,因此無論你選擇的是Antigen中的哪一種防毒系統,這些系統預設中都內建了4種掃毒引擎,分別是CA InoculateIT、CA Vet、Norman Data Defens以及Sophos Anti-Virus,其它還有4個需要額外授權付費的外掛掃毒引擎,分別是Command、Kaspersky、VirusBuster以及Ahn Labs v3,此外在即將上市的最新9.0版本上,此產品也將另外新增一個微軟專屬的防毒掃描引擎Microsoft Antivirus,如果我們將所有的掃毒引擎全部皆安置與啟用的話,那麼在單一個防毒系統中將會同時擁有9個掃毒引擎把關整個系統的運作安全。

  採用這種多重引擎的優點在於可將病毒入侵機會降到最低,因為它可以有效防範單一失敗點(Single Point of Fail)的問題,也就是發生單一掃毒引擎停擺或尚未取得最新一次更新,以致於讓可能的最新病毒有機可乘,其次則是防毒的空窗期所引發的安全問題。舉例來說,當我們手動或排程進行病毒更新時,便可能成為病毒或惡意程式大舉入侵的時段,此刻如果讓不同的掃毒引擎安排在不同的時段進行自我更新,便可以有效防範這樣的問題。如果你選擇不同廠商的防毒系統,安裝在相同的執行系統上,根據以往的實務經驗,往往容易造成防毒系統相互衝突的問題。

  評估版下載網址:http://www.microsoft.com/antigen/downloads/trial-software.mspx

  以下說明Antigen針對所有支援的系統防護設計上的4大元件:

· Antigen Service:扮演在伺服端上組態設定以及監控代理程式,並且提供讓「Sybari Client」管理介面進行連線操作。

·  Antigen Administrative Client:這一項工具可以安裝在伺服器本機或遠端電腦上,主要讓管理員可以進行連線管理。

·  Antigen Central Manager:針對擁有多部相關支援系統的企業環境中,管理員可以輕易的透過此介面進行Antigen的安裝、更新以及移除作業。

·  Antigen Quarantine Manager:此工具提供了一個讓管理員可以去管理與分析一部或多部伺服器上的隔離資料庫內容。

Exchange Server安全防護

  Microsoft Exchange Server採用了一種半結構化的WSS(Web Storage System)資料庫儲存技術,因此許多病毒可透過郵件的附件、甚至是公用資料夾的交叉感染,讓一些毫無防範或是用錯防毒系統的Exchange Server服務中斷或系統損毀。可能讀者會問道:「什麼叫做用錯防毒系統呢?指的是防毒系統的廠商嗎?」,當然不是!這裡所指的是防毒系統類型的選擇問題,因為傳統我們對於伺服端所採用的防毒系統皆是所謂的檔案層級型的偵測防護設計,所以是無法監控或掃描到Exchange Server資料庫的內容以及傳送中的SMTP封包流量。

  現今資訊市場上針對Exchange Server病毒防護專屬設計的防毒系統廠商已經相當齊全,比較知名的有賽門鐵克、趨勢科技以及McAfee,現在又多了另一個新選擇。Microsoft Antigen除了提供病毒的偵測與防護外,對於郵件內容的安全過濾提供了以下幾點特色:

·  郵件訊息內容的關鍵字篩選,管理者可直接引用內建的詞庫或是自行建立類別清單。

·  整合RBL黑名單的寄件者主機篩選機制。

·  檔案和內容的篩選,包含管理者檔案篩選清單的建立,以協助大型協同作業群組的檔案篩選管理。

  Antigen for Exchange還可外掛一個需付費的進階垃圾郵件篩選器模組─「Antigen Spam Manager」,它主要提供了以下功能用途:

·  SpamCure垃圾郵件篩選引擎支援。

·  支援Exchange Server 2003垃圾郵件篩選器特色。

·  支援垃圾郵件訊息主旨的Suspected標籤功能,以協助識別與追蹤可疑的垃圾郵件。

·  針對Microsoft Outlook使用者提供了垃圾郵件資料夾功能,不過只針對Exchange Server 2000的系統所設計。

EIM安全防護

  所謂EIM(Enterprise Instant Message)顧名思義就將即時通訊伺服器建置在企業網路中,大多數的業主會有這樣的需求無非都是希望能夠達到員工在e化協同運作上的便利與安全,事實上當我們完成了這一項IM佈署專案後,基本的訊息傳遞安全也已經達成了,而唯一缺乏的部份就是針對訊息內容的篩選,以及病毒檔案的過濾尚待解決。

  目前的Antigen for IM版本支援整合Microsoft Live Communications Server 2003、2005以及IM Logic IM Manager。

EIP安裝防護

  無論你企業目前使用的是Windows SharePoint Services 2.0或是SharePoint Portal Server 2003的EIP平台,使用者檔案上傳與下載時,Antigen皆可進行病毒過濾機制,此外也可過濾文件內容中的關鍵字,以及各種特定的檔案類型,可有效的制止任何不相干的資訊置放在知識入口網站中。

  而在元件架構技術部份,AntigenSP2Service服務是SharePoint整合Antigen專屬的服務元件,它主要負責與SharePoint後端SQL Server資料庫之間的通訊,它在系統本身的「SharePoint Administration」服務之下,執行以啟動該服務的帳戶必須指定為擁有本機管理員群組的權限才可以正常運作。

Antigen Central Manager

  所示,Antigen中央管理員(ACM, ntigen C e n t r a l Manager)元件,它主要負責有關於許多Antigen伺服器上的作業管理,透過它可以讓管理員建立立即與排程所要執行的工作在指定的伺服器上,這一些工作包含了下列項目:

·  安裝或移除Antigen在本機或遠端電腦上。

·  更新本機或遠端電腦的掃描引擎。

·  執行一個手動掃描工作同時在多部伺服器上。

·  同時檢查在多部伺服器上的Antigen掃描引擎、病毒定義檔。

·  佈署Antigen樣本檔、一般選項設定、篩選清單以及License檔案。

·  同時從多部伺服器上取得病毒記錄檔、事件資訊、隔離檔案以及程式記錄檔。

·  產生指定的HTML格式報表,例如:系統事件、隔離報告、版本資訊等。

  所安排過的工作設定清單可另存成專屬的組態檔案,以下說明在命令提示列下執行工作檔案的方法:

·  AntigenCM.exe C:\JobFileFolder\install.job

·  AntigenCM.exe C:\JobFileFolder\install.job silent加上silent參數表示執行在寂靜模式下。

  針對Antigen服務的執行與狀態檢視,除了可以透過Windows Server本身服務管理員外,也可以使用由Antigen提供的命令工具antutil.exe來完成,例如你打算檢視所有它相關的服務目前狀態,那麼便可以執行antutil /status,其它像是數/enable與/disable則是分別用來啟用與關閉服務。

Antigen Enterprise Manager

  Antigen企業管理員(AEM)是扮演中央集中管理的角色,它並非隨附在Antigen的任何產品之中,而是一項選用性的管理工具,每一部被它所控管的伺服器都需要安裝專屬的代理程式(Agent),因此有許多控管上的作業都可以經由它來發送,而這一些監控作業與命令的下達都要透過它的網站主控台操作即可完成。首先透過它可以讓管理人員輕易的進行所有伺服器的病毒碼更新以及組態設定原則的配置,接下來則是進行遠端多部Antigen伺服器主程式的升級或安裝,至於在報表的呈現部份,則可以檢視到所有執行過的作業狀態,以及各類有關於病毒的掃描與隔離統計等。

  在系統架構部份AEM是一個三層式的分散式解決方案,由於全部皆是執行在電腦集合的單一系統中,因此對於IT工作者來說管理起來也會簡易許多,以下簡單說明它的三個運作層的主要用途:

·  使用者層(User Layer):提供IT管理人員單一節點的網站控管介面,來監視與佈署所有已經安裝AEM代理程式的Antigen伺服器。

·  作業層(Business Layer):負責處理使用者層與資料層之間的資料傳送與取得,此外它也負責所有報表資料的操作與管理,至於從每一部Antigen伺服器上取得回報的資訊,以及警示的觸發與建立作業也都是經由它來完成。

·  資料層(Data Layer):結合本身的SQL Server資料庫用以儲存所有彙整而來的各類Antigen資訊。

  此外請注意儘管你可以使用AEM介面來設定統一更新每一部Antigen伺服器的掃毒引擎,不過此刻應該一併關閉Antigen本身的排程更新設定。如果你也打算去下載與測試有關於AEM的使用,那麼必須將它安裝在標準版或企業版的Windows 2000 Server或Windows 2003 Server之上即可。

整合MOM監控Antigen運作

  對於Antigen系統運作的監控可透過Microsoft Operations Manager來協助管理,只要完成了MOM 2005與代理程式的安裝之後,連結到官方網站上去下載Antigen的管理組件來安裝即可。以下說明此管理組件的主要監控效能與可用性的重點項目。

·  提供了設定好的61項事件規則與27項的效能計數器檢視。

·  目前版本提供Antigen for Exchange、Antigen forSMTP Gateway以及Antigen Spam Manager服務的監控。

·  針對所有掃毒引擎的病毒碼更新結果成功與失敗監控,以及垃圾郵件防禦引擎的更新監控。

·  Antigen程式運作過程中的任何錯誤事件記錄監控。

結論

  Antigen是Microsoft第一套自行發行的伺服端與閘道端的防毒系統,將使它在企業網路中的安全防護機制規劃上更加完善,除了這部分的安全設計之外,針對用戶端安全部分,則是由明年初即將上市的Windows Vista一肩扛起,它將內建更先進的個人防火牆以及間諜程式防護系統(Windows Defender),在整合Active Directory的集中管理之下,可讓IT工作者更輕易的掌控好企業整體的e化環境安全,不過由於Antigen對於Microsoft來說還是屬於第一個發行版本,除了在操作介面設計上不夠具簡易、直覺化與親和力之外,在初步發行的版本中也將不會有繁體中文版,期望在未來不僅可以對於這一些部分進行改善,也可進一步整合到群組原則的集中管理機制中。

註:Antigen for Exchange Server安裝設定、Antigen for IM安裝設定以及Antigen for SharePoint Portal Server安裝設定等請見「IS Doctor資安診所」,網址http://www.informationsecurity.com.tw/isDoctor