Schutz der Microsoft Exchange 2007 und 2010 Umgebung. Ein Trend Micro Whitepaper I Oktober 2009

Transkript

1 Schutz der Microsoft 2007 und 2010 Umgebung Ein Trend Micro Whitepaper I Oktober 2009

2 INHALTSVERZEICHNIS KURZDARSTELLUNG ROLLEN IN MICROSOFT EXCHANGE 2007 UND DIE BEDROHUNGSLANDSCHAFT Von Unruhestiftern zu Kriminellen Installationsszenarien mit ScanMail for Microsoft Hochperformante Virensuche Einfache Administration SCHUTZ IHRES UNTERNEHMENS MIT SCANMAIL FAZIT Anhang A: Cluster-Optionen für 2007 Cluster-Optionen für

3 KURZDARSTELLUNG Seit der Einführung von Trend Micro ScanMail for Microsoft im Jahre 1996 haben sich die -Bedrohungen sowie die entsprechenden Suchtechnologien kontinuierlich verändert. Als Software für die Bedrohungssuche bietet ScanMail seinen Kunden schon seit den Anfängen der MAPI-Technologie über ESE bis hin zur aktuellen VSAPI-Technologie eine leistungsstarke, administrationsarme Lösung, die die wichtigen s des Unternehmens angesichts einer sich ständig weiterentwickelnden Bedrohungslandschaft wirksam vor unerwünschten und bösartigen Inhalten schützt. Dieses Whitepaper skizziert einige der wichtigsten Funktionsmerkmale von Microsoft 2007 und 2010, erörtert wesentliche Veränderungen in der -Bedrohungslandschaft und erläutert, wie ScanMail in der 2007 und 2010 Umgebung funktioniert, um auch weiterhin die neuesten Bedrohungen abzuwehren. ROLLEN IN MICROSOFT EXCHANGE 2007 UND 2010 Mit Microsoft 2007 wurde die Aufteilung von Aufgaben in einzelne Serverrollen eingeführt. In 2007 und 2010 Installationen kann es die folgenden Serverrollen geben: Die Server-Rolle Client Access : Der Client-Access-Server ermöglicht Endbenutzern den Webzugriff auf Outlook, Active Sync, AutoDiscovery und Outlook Anywhere (früher unter dem Namen RPC-über-HTTP bekannt). Auch Client-Verbindungen über POP3 und IMAP4 werden über den Client-Access-Server geleitet. Den Client-Access-Server gibt es in einer Light-Version (die Roaming-Benutzern Zugriff bietet) und in einer Premium-Version. Die Server-Rolle Edge Transport : Die Edge-Server-Rolle wird in der Peripherie des Unternehmensnetzwerks betrieben. Sie wird nicht auf einem Server eingesetzt, sondern am Gateway, und bietet SMTP-Relay- und Smarthost-Funktionen. Die Server-Rolle Hub Transport : Die Hub-Transport-Rolle ist für das gesamte -Routing in einem Unternehmen erforderlich. Sie bietet die Möglichkeit, Transport- und Aufzeichnungsregeln anzuwenden sowie Nachrichten an die Postfächer der Empfänger zuzustellen. Nachrichten, die über das Internet empfangen und versendet werden, werden über den Hub-Transport-Server an andere Server-Rollen weitergeleitet. Die Server-Rolle Mailbox : Der Mailbox-Server betreibt Postfachdatenbanken, die Microsoft Office Outlook Benutzern Services für das Speichern von s sowie für die erweiterte Zeitplanung bereitstellen. Der Mailbox-Server kann auch Datenbanken mit öffentlichen Ordnern betreiben. Die Server-Rolle Unified Messaging : Mit dem Unified-Messaging-Server können die Empfänger über jedes Telefon auf ihr Postfach zugreifen und s, Voic -Anrufe, Fax-Nachrichten, Kalendereinträge und Kontaktdaten abrufen. Weitere Informationen über die Microsoft Server-Rollen finden Sie unter: 3

4 DIE BEDROHUNGSLANDSCHAFT VON UNRUHESTIFTERN ZU KRIMINELLEN Fachleute für Unternehmenssicherheit sind sich darüber im Klaren, dass sich die Motivation für die Verbreitung von Malware verlagert hat: Während es früher darum ging, Chaos anzurichten, dreht sich heute alles um den Profit. Cyber-Kriminelle verdienen am Diebstahl und Wiederverkauf wertvoller Daten, wie z. B. Kreditkartennummern, vertraulichen Daten und intellektuellem Eigentum. Andere verbreiten Trojaner, um die Kontrolle über unzureichend geschützte Computer und Server zu übernehmen, und nutzen sie später für bösartige Angriffe oder vermieten sie an andere zum Zwecke von Spam-Blasts, DoS-Angriffen (Denial of Service), Malware-Kampagnen oder gezielten Angriffen. Trend Micro hat zahlreiche Ressourcen zur Dokumentation dieser Verlagerung verfasst, u. a. einen Bericht zur Bedrohungslage ( 2007 Threat Roundup ), den Sie im Trend Micro Threat Resource Center einsehen können: Eine weitergehende Erörterung der neuesten Angriffe finden Sie im Trend Micro Malware-Blog: Hervorzuheben ist, dass -Bedrohungen von heute viel raffinierter und heimtückischer vorgehen. Sind sie erst einmal auf einem PC installiert, nutzen sie eine Reihe von Techniken, um herkömmliche Abwehrmechanismen zu umgehen und lange Zeit unentdeckt zu bleiben. Solche Techniken beinhalten oft Folgendes: Raffinierte und bösartige Spam-Kampagnen zur schnellen und gezielten Verbreitung, noch bevor Sicherheitsprodukte als Reaktion darauf aktualisiert werden Zahlreiche, oft aufeinander folgende Varianten, die u. a. mit ungewöhnlichen Komprimierungstools versuchen, schnell digitale Signaturen zu ändern und auf Pattern-Dateien gestützte Abwehrmaßnahmen zu umgehen Mehrstufige Angriffe, die eine Internetverbindung herstellen, um Malware herunterzuladen, die sich ständig weiterentwickelt und immer mehr Spyware enthält Bedrohungen, die anstelle von Malware-Anhängen Links zu bösartigen Websites enthalten Social-Engineering-Bedrohungen, die sich gängige Geschäftspraktiken, aktuelle Ereignisse und andere vertraute Verhaltensmuster zu Nutze machen, um auch besser aufgeklärte und wachsamere Benutzer zu täuschen Obwohl die herkömmliche Antiviren-Scan-Engine noch immer eine wichtige Rolle bei der Unternehmenssicherheit spielt, erfordert eine wirksame Abwehr der Bedrohungen von heute viel umfangreichere Sicherheitsmaßnahmen. Immer mehr Unternehmen stellen fest, dass sie Folgendes benötigen: 1) Eine starke Spam-Abwehr, einschließlich Absender- und inhaltsorientierter Überprüfung, um Malware zu stoppen 2) Eine dedizierte Erkennung von Malware, die neben Viren auch Spyware, Trojaner und andere Bedrohungen umfasst 3) Einen Zero-Day-Schutz, der unabhängig von Pattern-Datei-Updates funktioniert 4) Eine Erkennung von Links zu bösartigen Websites, nicht nur von bösartigen Anhängen 5) Neue Sicherheitstechniken und -modelle, um Cyber-Kriminellen immer einen Schritt voraus zu sein, auch wenn diese erfolgreich Pattern-Dateien manipulieren können Weitere Informationen finden Sie im Whitepaper Malware von heute und Mail-Server-Sicherheit unter: INSTALLATIONSSZENARIEN MIT SCANMAIL FOR MICROSOFT EXCHANGE Angesichts der Unterschiede bei den Rollen sowie der sich verändernden Bedrohungslandschaft gibt es sowohl für die Infrastruktur eines Unternehmens als auch für ScanMail verschiedene Installationsmöglichkeiten. Dieses Whitepaper erörtert eine Installation mehrerer 2007 und 2010 Rollen an mehreren Standorten (Abbildung 1.0) sowie wichtige Faktoren bei der Installation von ScanMail. Sie können sich vor dem Kauf von einem Techniker oder einem Support-Team von Trend Micro oder einem zertifizierten Channel Partner beraten lassen, um alternative Installationsszenarien zu besprechen. 4

5 Internet Externer Client Externer Mail-Server STANDORT 1 STANDORT EDGE 2007 CAS 2007 HUB 2007 HUB 2007 CAS 2007 MBX 2007 MBX Externer Client Externer Client Active Directory Active Directory LDAP Verschlüsseltes LDAP MAPIRPC RPC/HTTPS SMTP ABBILDUNG 1.0: Mehrere Standorte mit mehreren Server-Rollen Bei der Installation und Konfiguration von ScanMail müssen einige Punkte berücksichtigt werden, um das beste Ergebnis für die jeweilige Umgebung zu erzielen. In 2007 und 2010 unterstützt ScanMail drei Server-Rollen, die sehr unterschiedlichen Zwecken dienen. Bei jeder Rolle muss das Unternehmen die Aspekte Sicherheit und Leistung berücksichtigen, um sicherzustellen, dass Topologie, Geschäftstätigkeit und Risikotoleranz sich so wenig wie möglich gegenseitig beeinträchtigen. Am Netzwerkrand: die Edge-Server-Rolle Laut der Radicati Group gibt es weltweit schätzungsweise 1,3 Milliarden -Nutzer, die täglich fast 210 Milliarden s versenden und empfangen. TrendLabs SM hat herausgefunden, dass es sich bei nahezu 90 % dieser s um unerwünschten Werbe-Spam handelt. Darüber hinaus sind mindestens 80 % der Spam-Mails in englischer Sprache verfasst. Durch die Aktivierung der Trend Micro Reputation Services, die Verbindungen (und Nachrichten) von unseriösen Absendern zurückweisen, indem sie über das Internet Anfragen an die korrelierten Bedrohungsdaten des Trend Micro Smart Protection Network stellen, werden Bedrohungen gestoppt, während Verbindungen für rechtmäßige s verfügbar bleiben. Durch diesen Ansatz wird die benötigte Bandbreite drastisch reduziert, damit optimale Leistung sichergestellt und wertvolle Prozessorkapazität 5

6 auf den Servern freigegeben werden kann. In ScanMail 10 sind die Reputation Services bereits integriert, was den Kunden ermöglicht, diese Services direkt über die ScanMail Konsole zu konfigurieren und zu verwalten. Darüber hinaus sperrt eine integrierte Anti-Spam-Engine effizient Spam-Mails von unbekannten Absendern, darunter auch Bild-Spam, Microsoft Office Dokumenten-Spam und PDF-Spam. Trend Micro belegt den ersten Platz im Bereich Anti-Spam. Weitere Informationen finden Sie unter: Da Spam oft ein Zustellungsmechanismus für Malware ist, können durch eine starke Spam-Abwehr auch große Mengen an Viren, Spyware und Trojanern gestoppt werden. Ein umfassender Malware-Schutz erfordert jedoch auch weiterhin herkömmliche Antiviren-Suche, dedizierte Spyware-Erkennung und Zero-Day-Schutz. Dementsprechend wird es Unternehmen empfohlen, Virenschutz und Anti-Spam zu aktivieren. -Bedrohungen verwenden jedoch immer häufiger bösartige URLs anstelle von bösartigen Anhängen. Daher enthält ScanMail 8.0 (SP1 und höher) die Trend Micro Web Reputation Services, eine Technologie, die mit Hilfe webbasierter Abfragen des Smart Protection Network URLs in Nachrichten entdeckt, die den Benutzer auf bösartige oder infizierte Websites führen. Durch das Aktivieren von Anti-Malware-Einstellungen am Netzwerkrand können Bedrohungen am Gateway gestoppt werden, und es kann noch mehr Prozessorkapazität gespart werden, da die abgefangenen s kein weiteres Mal auf den Servern im Netzwerk verarbeitet werden müssen. Optional können am Netzwerkrand Content-Filter und das Sperren von Anhängen aktiviert werden. Da jedoch Anhänge überprüft und die True-File-Types ermittelt werden müssen, führt dies zu einer beträchtlichen Leistungseinbuße. Über den Hub Da alle s (eingehende, ausgehende und interne) in 2007 und 2010 über den Hub geleitet werden müssen, ist es unerlässlich, hier eine Virensuche durchzuführen. Indem sichergestellt wird, dass alle s auch interne Kommunikation nach bösartigen Bedrohungen durchsucht werden, verfügen Umgebungen über maximalen Schutz. Dies ist angesichts der Mitarbeitermobilität von heute und des Infektionsrisikos außerhalb des Unternehmensnetzwerks besonders wichtig. Darüber hinaus werden eingehende s weiterhin mit Hilfe der neuesten Bedrohungsdaten durchsucht, auch nachdem sie den Netzwerkrand passiert haben. Es besteht kein Grund zur Sorge, dass redundante Bedrohungssuche zu Leistungseinbußen führt, da die Funktion der vertrauenswürdigen Suche mit dem Antiviren-Stempel arbeitet und sicherstellt, dass eine Überprüfung nur dann erfolgt, wenn neue Bedrohungsdaten vorliegen. Das Aktivieren des Virenschutzes beim Hub-Transport bedeutet auch, dass Sie mit Hilfe der Trend Micro IntelliTrap Engine vom Zero-Day-Schutz profitieren. Content-Filter sowie das Sperren von Anhängen sollten beim Hub-Transport aktiviert sein, damit die Steuerung von -Verkehr und -Inhalten effizient verwaltet wird. Dadurch können Sie den -Verkehr kontrollieren und die interne Nutzung von Bandbreite zwischen den Hub-Servern reduzieren. Unternehmen, die keine Edge-Rolle und keine Trend Micro InterScan Messaging Security Lösung am -Gateway installiert haben, sollten sich überlegen, beim Hub-Transport Anti-Spam und Web Reputation Services zu aktivieren. Durch diese Maßnahme erhalten sie eine zusätzliche Schutzschicht gegen immer raffinierteren und bösartigeren Spam. Auf dem Mailbox-Server Angesichts der rasanten Geschwindigkeit, mit der sich Malware verändert und neue Bedrohungen entstehen, ist es sinnvoll, ScanMail zu installieren und die Malware-Suche auf der Mailbox-Server-Rolle zu aktivieren. Dadurch können Sie manuelle und zeitgesteuerte Suchen im Speicher ausführen, alte s mit gerade aktualisierten Pattern-Dateien durchsuchen und sicherstellen, dass der Speicher frei von bösartigem Code ist. Ähnlich wie die Funktion der vertrauenswürdigen Suche nutzt auch die inkrementelle Suche den Antiviren-Stempel, um redundante Überprüfungen zu vermeiden. Außerdem gibt es die Option, 6

7 s innerhalb eines bestimmten Zeitraums zu durchsuchen. Diese Funktionalität ist insbesondere dann hilfreich, wenn die Geschäftsleitung wünscht, eine bestimmte aus dem Speicher zu entfernen. Des Weiteren sollten Unternehmen mit dem Anliegen, vertrauliche Inhalte zu schützen und internen Spam zu beseitigen (wie z. B. Nachrichten-Threads mit einem großen Verteiler, auf den alle antworten ), Content-Filter aktivieren, um routinemäßige Wartungsarbeiten durchzuführen und unerwünschte s gemäß erweiterten Content-Filter-Abgleichsregeln zu entfernen. EXCHANGE ROLLE LEISTUNG SICHERHEIT Edge HT MBX Anti-Spam Reputation Service Web Reputation Services Virenschutz Content-Filter Sperren von Anhängen Zeitgesteuerte Suche Anti-Spam Reputation Service Web Reputation Services Virenschutz Virenschutz Content-Filter Sperren von Anhängen Virenschutz Zeitgesteuerte Suche [optional] Content-Filter [optional] Sperren von Anhängen [optional] Threat Management Services [optional] Anti-Spam [optional] Web Reputation Services [optional] Threat Management Services [optional] Content-Filter [optional] Sperren von Anhängen [optional] Threat Management Services Tabelle 1.0 bietet einen Überblick über die empfohlenen Installationsszenarien für ScanMail for gemäß dem angestrebten Ergebnis bei der Verteilung mehrerer 2007 Rollen. Weitere Informationen über die oben beschriebenen Content-Security-Technologien finden Sie im Abschnitt Schutz Ihres Unternehmens mit ScanMail. Wenn Sie Hochverfügbarkeitscluster unter 2007 oder 2010 einsetzen, finden Sie in Anhang A weitere Erläuterungen zur ScanMail Installation. HOCHPERFORMANTE SUCHE Vertrauenswürdige Suche Wenn auf dem Edge-, dem Hub- und dem Mailbox-Server eine Sicherheitslösung installiert ist, kann es zu doppelten Suchläufen kommen. ScanMail bietet jedoch die Funktion der vertrauenswürdigen Suche, um derartige Redundanzen zu vermeiden. Durch die Option der vertrauenswürdigen Suche kann sich der ScanMail Server darauf verlassen, dass der davor liegende ScanMail Server eine bereits nach bösartigem Code durchsucht hat, so dass er sie nicht erneut durchsuchen muss. Um dies zu erreichen, überprüft ScanMail den Antiviren-Stempel der Nachricht. Ist der Antiviren-Stempel der Nachricht älter als der zu diesem Zeitpunkt aktuelle Antiviren-Stempel von ScanMail, wird die erneut durchsucht. Andernfalls wird die vorherige Überprüfung der Nachricht als vertrauenswürdig angesehen, und die Nachricht wird unverändert weitergeleitet. (Weitere Informationen finden Sie in der Microsoft TechNet Beschreibung: Die vertrauenswürdige Suche erhöht die Leistung und verringert gleichzeitig die Latenzzeit von Nachrichten. (Weitere Informationen finden Sie im Handbuch Erste Schritte unter Neues : Andere Leistungsoptimierungen Neben der Vermeidung mehrfacher Suchen umfasst ScanMail viele weitere Leistungsoptimierungen, u. a. eine native, speziell für 2007 and 2010 geschriebene 64-Bit-Version, konfigurierbare Multi-Threading-Suche, konfigurierbare CPU-Drosselung und andere Funktionen, um die Auslastung des Servers zu minimieren. 7

8 EINFACHE ADMINISTRATION Trend Micro ist sich bewusst, dass das Verwalten einer Sicherheitslösung wie ScanMail in der Regel nicht die einzige Aufgabe eines Administrators ist. Dementsprechend wurde ScanMail so konzipiert, dass es nur minimale Administration erfordert. Eine aktuelle Umfrage von Osterman beschreibt detailliert einige der entscheidenden ScanMail Funktionen, die zum niedrigstmöglichen Administrationsaufwand führen. Die Pro-Funktionen umfassen: Intuitive Verwaltbarkeit und Überwachung Bei mehreren Servern in einer Umgebung kann es vorkommen, dass die Konfiguration jedes Servers geändert werden muss. Trend Micro ScanMail bietet dafür eine Reihe verschiedener Möglichkeiten, darunter einen integrierten Server Manager, mit dem Einstellungen von einem ScanMail Server auf alle anderen Server in derselben Gruppe repliziert werden können. Er ist so präzise, dass er auch die Replizierung einzelner Einstellungen auf bestimmte Server ermöglicht. Darüber hinaus können Sie ScanMail über den Trend Micro Control Manager verwalten, ein zentrales Management-Tool zur Administration aller Trend Micro Produkte. Dadurch erhalten Sie einen deutlichen Überblick über Ihre Sicherheitsinfrastruktur aus -, Internet- und Desktop-Sicherheitslösungen von Trend Micro. Microsoft Systems Center Operations Manager wird auch von ScanMail 10.x unterstützt; mit dieser Funktion können Sie die Leistung und die Verfügbarkeit von ScanMail überwachen. Weitere Informationen finden Sie im Handbuch Erste Schritte unter Verwalten von ScanMail Servern : Gleichzeitig bietet die neue Integration des Outlook Junkmail-Ordners die Möglichkeit, fragwürdige Nachrichten an den Endbenutzer zu senden, um die Quarantäneverwaltung zu delegieren. Einfache Administration Änderungen von Konfigurationseinstellungen und die Änderungskontrolle können in großen Unternehmen mit mehreren Servern, die von mehreren -Administratoren verwaltet werden, leicht vergessen werden. Glücklicherweise bietet ScanMail 10 eine Rollen-basierte Zugriffsfunktion, die aus zwei Rollen besteht: der Administratorrolle und der Operatorrolle. Diesen Rollen können bestimmte Zugriffsrechte auf beliebige Bereiche der Konsole zugewiesen werden. In Verbindung mit dem Rollen-basierten Zugriff bietet ScanMail 10 außerdem eine Protokollierungsfunktion zu Prüfzwecken, die alle Änderungen an der Konsole und alle Aktivitäten, wie z. B. das Versenden einer aus der Quarantäne, aufzeichnet, die innerhalb der ScanMail Konsole basierend auf den Active Directory Konten mit Verwaltungsrechten für ScanMail durchgeführt werden. Berichterstellung ScanMail verfügt über zahlreiche Berichtfunktionen, mit denen die Kunden das -Aufkommen, Bedrohungen, Datenlecks, Verstöße gegen inhaltliche Kriterien und Anti-Spam dokumentieren können. Vierzig vorkonfigurierte und regional spezifische Berichte ermöglichen eine schnelle Übersicht über den Status der -Sicherheitslösung. Darüber hinaus erhält der Administrator durch das Konfigurieren des zeitgesteuerten Berichts regelmäßige und zeitnahe Updates in vorher festgelegten Intervallen. 8

9 SCHUTZ IHRES UNTERNEHMENS MIT SCANMAIL ScanMail for Microsoft schützt Ihre Geschäftskommunikation durch den Einsatz eines Instrumentariums mehrfach ausgezeichneter, proprietärer Technologien für die Suche nach Bedrohungen. MALWARE UND SPYWARE ScanMail schützt seine Kunden vor der Ausbreitung dieser heimtückischen Bedrohungen, bevor sie die Endbenutzer erreichen. Durch den Einsatz spezialisierter Engines, die für die Suche nach bestimmten Bedrohungen konzipiert wurden, kann ScanMail nicht nur eine hochperformante Suche bieten, sondern auch sicherstellen, dass sich die Sicherheitslösung mit Hilfe aktueller Pattern-Dateien auf dem neuesten Stand befindet, um auch die jüngsten Bedrohungen abzuwehren. In den letzten Jahren ist es zwar einfacher geworden, das Malware-Problem in den Griff zu bekommen, doch gleichzeitig haben andere Bedrohungen, wie z. B. Spyware, zugenommen. Spyware besteht aus verschiedenen Schadteilen, die jeweils unterschiedliche Ziele verfolgen. Daher ist es sinnvoll, Spyware mit einer dedizierten Spyware-Engine und Pattern-Definition zu bekämpfen. ScanMail kann nach Bedrohungen suchen, auch wenn gleichzeitig die Viren-Engine (VSAPI) und die Spyware- Engine (SSAPI) aktualisiert werden. Dadurch bietet es den Kunden eine ständige Bedrohungssuche und die Sorgenfreiheit, dass ihre Netzwerke auch während eines Updates geschützt sind. Angesichts der Verbreitung von Varianten, deren Code gerade so weit verändert wurde, dass sie vorhandene, Signatur-basierte Abwehrmaßnahmen (oft mit Hilfe von Komprimierung) umgehen, ist darüber hinaus der Signatur-unabhängige Zero-Day-Schutz ein wesentliches Sicherheitselement, das über die Trend Micro IntelliTrap Technologie bereitgestellt wird. SPAM Wie bereits erwähnt, handelt es sich bei fast 90 % aller s im Internet um Spam, und man rechnet damit, dass diese Zahl noch weiter steigt. In den vergangenen Jahren hat Trend Micro viel in den Kampf gegen Spam investiert und ging aus Anti-Spam- Vergleichstests zahlreicher unabhängiger Unternehmen, so z. B. dem kürzlich durchgeführten Test von West Coast Labs, als Nummer 1 unter den Anti-Spam-Anbietern hervor. Die Trend Micro Anti-Spam-Lösung verwendet eine Reihe einzigartiger Technologien: Reputation Services, die in ScanMail integriert sind, ermöglichen es dem Administrator, die Einstellungen über die ScanMail Konsole zu verwalten, so dass ein Unternehmen je nach Reputation des Absenders Verbindungen abwehren kann. Web Reputation Services, die in ScanMail integriert sind, ermöglichen die Überprüfung jedes Links in einer und stellen sicher, dass der Link auf keine gefälschte oder infizierte Website mit bösartigen Inhalten verweist. Die Kombination von und Web Reputation Services, zusammen mit den führenden herkömmlichen Content-Security-Engines in ScanMail, schützt Sie vor einer Vielzahl raffinierter Bedrohungen. Weitere Informationen über den minutengenauen Schutz des Trend Micro Smart Protection Network finden Sie unter: DATENLECKS ScanMail 10 verfügt über ein neu gestaltetes Richtliniensystem, mit dem der Administrator flexibel und jenah Active Directory (AD) Benutzer und/oder Gruppe Richtlinien anwenden kann. Darüber hinaus bietet ScanMail die Möglichkeit, mehrere AD Benutzerkonten und Gruppen mit SMTP-Adressen zusammenzufassen und dadurch spezifische Sicherheitsgruppen zu bilden, die der Administrator durch die Anwendung spezifischer Richtlinien verwalten kann. 9

10 Zusammen mit der AD Integration bietet ScanMail 10.x eine Reihe neuer Datenschutzvorlagen, mit denen der Administrator eine regionale Content-Filter-Richtlinie für s anwenden kann. Der Administrator hat auch die Möglichkeit, mit Hilfe regulärer Ausdrücke herkömmliche Content-Filter zu erstellen, die verhindern, dass vertrauliche Inhalte an andere als die vorgesehenen Empfänger gesendet werden. FAZIT Microsoft Server 2010 führt wichtige Verbesserungen für eines der führenden -Systeme ein und bietet Unternehmen die Möglichkeit, ihre Architektur stärker zu konsolidieren sowie sie effizienter und leichter verwaltbar zu machen. Mit der steigenden Zahl, Raffinesse und Heimtücke von -Bedrohungen ist der Schutz dieser Systeme jedoch noch wichtiger als jemals zuvor. Insbesondere hat die Installation von Sicherheitslösungen vor dem Server am -Gateway dazu beigetragen, die riesigen Mengen unerwünschter und bösartiger eingehender s abzuwehren, während die Überprüfung auf dem Mail-Server eine äußerst wichtige Rolle beim Schutz der internen Kommunikation spielt, weiterhin eingehende Nachrichten überprüft und ausgehende s, falls erforderlich, frühestmöglich stoppt. Unabhängige Studien bestätigen die Notwendigkeit eines mehrschichtigen Schutzes. Laut Osterman Research war zwischen 2007 und 2009 ein Anstieg der Malware-Infektionen von 25 % auf 39 % zu verzeichnen, und das trotz verstärkter - Sicherheitsmaßnahmen (insbesondere am -Gateway), da Cyber-Kriminelle immer ausgeklügeltere Methoden verwenden. Die Mail-Server-Sicherheitslösung ist heute mehr denn je ein unerlässlicher Teil der Sicherheitsinfrastruktur eines Unternehmens; dies gilt insbesondere für Unternehmen, die die Edge-Server-Rolle von verwenden. Darüber hinaus gibt es immer mehr Telemitarbeiter und mobile Mitarbeiter, durch die sich das Risiko erhöht, dass der Endpunkt- Schutz veraltet ist oder umgangen wird. Mit der Aufnahme von Zulieferern, Partnern und Kunden in das Netzwerk steigen die Risiken noch weiter, da deren Endpunkt-Schutz außerhalb des Einflussbereichs des Unternehmens liegt. Dieses grenzenlose Netzwerk erhöht die Notwendigkeit eines Schutzes sowohl für die s von Endbenutzern als auch für das geistige Eigentum in diesen s und macht eine umfassende, zuverlässige Mail-Server-Sicherheitslösung unerlässlich für den unterbrechungsfreien Ablauf der Geschäftskommunikation. ANHANG A: CLUSTER-OPTIONEN FÜR EXCHANGE 2007 Microsoft 2007 bietet Kunden durch die folgenden Cluster-Optionen Hochverfügbarkeit und Fehlertoleranz: Single Copy Clusters (SCC): Ein SCC verwendet gemeinsamen Speicherplatz, damit mehrere Server und Knoten eine einzelne Kopie der Speichergruppen verwalten können. Beim gemeinsamen Speicher-Untersystem handelt es sich in der Regel um ein Speicherbereichsnetzwerk (SAN, Storage Area Network) oder einen netzwerkverknüpften Speicher (NAS, Network-Attached Storage), der die Datenbank, die Transaktionsprotokolle und die Quorum-Festplatte enthält. Die Implementierung von ScanMail 8.0 auf einem 2007 SCC entspricht derjenigen des aktiven/passiven Ansatzes, bei dem ScanMail in 2000/2003 Cluster-Umgebungen installiert wird. Wird ScanMail in dieser Cluster-Umgebung installiert, wird es auf jedem physischen Knoten betrieben und fügt auf allen vorhandenen oder ausgewählten virtuellen Servern eine Cluster-Ressource hinzu. Des Weiteren werden Konfigurationsdaten sowie ActiveUpdate Dateien und andere Datenbankdateien am gemeinsamen Speicherort installiert. Der Installationsvorgang von ScanMail soll so intuitiv wie möglich sein. In einer Cluster-Umgebung installieren Sie ScanMail einfach auf den von Ihnen ausgewählten virtuellen Servern. ScanMail erkennt dann automatisch die physischen Knoten und führt die Installation durch. 10

11 Während des Betriebs werden alle ScanMail Ressourcen auf den Knoten freigegeben, die wiederum vom Ressourcenmonitor verwaltet werden. Der Ressourcenmonitor ist für das Starten und Beenden aller Cluster-bezogenen Anwendungen für ScanMail zuständig. Für den Fall, dass eine Ressource nicht ordnungsgemäß funktioniert, aktiviert er die lokale ScanMail Instanz auf einem anderen Knoten im Cluster. Weitere Informationen finden Sie unter: Privates Netzwerk Aktiver Knoten Passiver Knoten Gemeinsamer Speicher ActiveUpdate Dateien Konfigurationsdateien Datenbankspeicher ABBILDUNG 2.0: SCC-Umgebung Cluster Continuous Replication (CCR): Die CCR-Implementierung bietet Hochverfügbarkeit, ohne das Erfordernis eines gemeinsamen Speichers. Hierzu wird die Mehrheitsknotenmenge (MNS, Majority Node Set) mit Dateifreigabezeugen verwendet; die Quorum-Festplatte basiert auf den lokalen Festplatten jedes Knotens. Eine Dateifreigabe auf dem Computer außerhalb des Clusters wird auch als Zeuge der Knotenaktivität verwendet. Mit CCR soll die Stabilität des Standorts bei einer Lösung mit einem oder zwei Datenzentren gestärkt werden. Bei der ScanMail Implementierung in einer CCR-Umgebung ist eine Installation auf dem virtuellen Server erforderlich, während die Konfigurationsdateien lokal auf jeden Server kopiert werden. Wie bei der SCR-Installation ist auch bei der CCR-Installation der Ressourcenmonitor für die Überwachung und den Ausfallschutz der Ressourcen zuständig. Bei einem Ausfall wird die ScanMail Instanz auf dem zuvor aktiven Knoten vom Ressourcenmonitor aktiviert. Die Datenbankreplikation stellt sicher, dass die Daten sowie die -Sicherheitslösung eines Unternehmens auf dem neuesten Stand sind. Weitere Informationen finden Sie unter: Privates Netzwerk Aktiver Knoten Passiver Knoten Aktive Kopie der Speichergruppe ActiveUpdate Dateien Konfigurationsdateien Datenbankspeicher Aktive Kopie der Speichergruppe ActiveUpdate Dateien Konfigurationsdateien Datenbankspeicher ABBILDUNG 3.0: CCR-Umgebung 11

12 CLUSTER-OPTIONEN FÜR EXCHANGE 2010 In 2010 hat sich das Cluster-Konzept deutlich verändert. Die Lösung verfügt nicht mehr über Mailbox-Server-Cluster und verwendet auch keine Windows Failover Cluster-Ressourcen ist keine Cluster-Anwendung, sondern nutzt ein eigenes internes Hochverfügbarkeitsmodell. Vor 2010 basierten Cluster auf Servern. Mit 2010 wurden Datenbank-Cluster eingeführt, die so genannten Database Availability Groups (DAGs), dank derer Einschränkungen und Aufwand bei der Cluster-Installation im Vergleich zu früher deutlich geringer ausfallen. In 2010 gibt es die in 2007 eingeführten Cluster-Installationsarten CCR und SCR nicht mehr. Unter Nutzung der zugrunde liegenden Technologie von CCR und SCR kombiniert 2010 die beiden Cluster-Arten in der Database Availability Group (DAG). Eine DAG kann lokal und remote repliziert werden und macht den Standort stabiler, da sie sich permanent auf Datenbankebene repliziert und nicht wie bisher auf Server-Ebene. Weitere Informationen finden Sie unter: Database Availability Group EX1 (M/H/C) EX2 (M/H/C) EX3 (M/H/C) EX4 (M/H/C) EX5 (M/H/C) DB1 DB4 DB2 DB5 DB3 DB2 DB5 DB3 DB1 DB4 DB3 DB1 DB4 DB2 DB5 ABBILDUNG 4.0: DAG-Umgebung ScanMail for wird auf jedem lokalen Server installiert und speichert seine Einstellungen auf Server-Ebene. Dadurch kann ScanMail, auch wenn es auf dem passiven Server ausgeführt wird, mit den aktuellen Pattern-Dateien und erforderlichen Updates auf dem neuesten Stand bleiben. Wird der Ausfallschutz erforderlich, sind die ScanMail Services dann schon aktiv und können die Datenbanken durchsuchen, die auf dem jeweiligen Server betrieben werden. TREND MICRO Trend Micro Incorporated leistet Pionierarbeit im Bereich Content- Security und bei der Bewältigung von Bedrohungen. Das 1988 gegründete Unternehmen bietet Privatpersonen und Unternehmen jeder Größe mehrfach ausgezeichnete Sicherheitssoftware, -hardware und -services. Der Hauptfirmensitz befindet sich in Tokyo. Trend Micro unterhält Niederlassungen in über 30 Ländern und vertreibt seine Produkte weltweit durch Corporate- und Value-Added-Reseller und Dienstleister. Weitere Informationen und Testversionen der Trend Micro Produkte und Services finden Sie auf unserer Website unter TREND MICRO Deutschland GmbH Central & Eastern Europe Zeppelinstraße Hallbergmoos Tel: +49 (0) Fax: +49 (0) TREND MICRO (Schweiz) GmbH Postfach Glattzentrum p: f: Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro, das Trend Micro T-Ball-Logo, InterScan und Worry-Free sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer. [WP02_SMEX10_091028DE]