Замечание:Имейте в виду, что сведения, предоставленные в данной статье, основываются на бета-версии Microsoft Forefront TMG и могут подвергнуться изменениям.
Давайте начнем
Несколько месяцев назад Microsoft выпустила Microsoft Forefront TMG (Threat Management Gateway) версии 2 Beta, в котором реализовано много новых полезных функций.
Определение вредоносного ПО
Википедия определяет вредоносные программы следующим образом: «Вредоносная программа (буквальный перевод англоязычного термина Malware, malicious — злонамеренный и software — программное обеспечение, жаргонное название — «малварь») — злонамеренная программа, то есть программа, созданная со злым умыслом и/или злыми намерениями». Этот термин используется компьютерными профессионалами для обозначения различных видов враждебных, несанкционированно проникающих, раздражающих программ и частей программного кода. Иногда применяется термин «компьютерный вирус» для обозначения всех видов вредоносности, включая собственно вирусы. ПО определяется как вредоносное скорее не по отдельным функциям кода, а по намерениям создателя. Вредоносное ПО включает в себя вирусы, червей, трояны, руткиты, шпионские программы, нелегальные рекламные программы и другие вредоносные и нежелательные программы.
Защита от вредоносного ПО
Пользуясь Microsoft Forefront TMG, можно защитить вашу сеть от вредоносных программ до того, как вредоносное содержимое проникнет внутрь сети, так как TMG проверяет весь HTTP-трафик на вредоносность.
Функция защиты от вредоносного ПО в Microsoft Forefront TMG использует тот же механизм защиты, который используется в Microsoft Forefront Client Security (FCS), Live One Care и в Windows Defender.
Некоторые настройки защиты задаются глобально, но для некоторых можно создать и конкретные правила. Также существует возможность включать и отключать функцию проверки на вредоносность на основании правил политики брандмауэра.
Общие настройки
Общие настройки по вредоносным программам устанавливаются в новом узле в TMG под названием Web Access Policy.
Щелкните Configure Malware Inspection в правой панели задач для установки глобальных настроек. Настройки в первой регистрационной форме позволяют вам включать и отключать фильтр Malware Inspection. Также, если вы хотите пользоваться функциями защиты от вредоносного ПО, вам нужно включить Malware в правиле политики в брандмауэре.
Рисунок 2: Включение проверки на вредоносность
Стандартные настройки позволяют блокировать весь сетевой трафик при активированной проверке на вредоносность, но TMG не будет искать обновлений для Malware Inspection. Такое поведение можно изменить, но это повлечет за собой уменьшение безопасности.
Исключения среди назначений
Существует возможность отключить некоторые вебсайты из проверок на вредоносность. Некоторые сайты, например, сайт Microsoft, исключены автоматически. Этот список вы можете расширить.
Рисунок 3: Исключения среди назначений
Исключения среди источников
Как и в предыдущем пункте, можно исключить некоторые внутренние клиенты и серверы из проверки на вредоносность, когда они пытаются открыть вебсайты.
Настройки проверки
Настройки проверки функции защиты от вредоносного ПО позволяют уточнить и подстроить некоторые возможности. Можно уточнить различные настройки блокировки, когда функции защиты нужно блокировать зараженные или подозрительные файлы, или файлы, которые невозможно просканировать. По умолчанию TMG блокирует зашифрованные файлы.
Рисунок 4: Настройки проверки
Также можно при проверке блокировать файлы, когда время сканирования превышает некоторое предельное значение, или если загружаемые файлы превышают определенный размер и т.п..
Доставка содержимого
Вкладка Content Delivery позволяет администратору TMG настроить функциональность для пользователя, когда TMG сканирует сетевой трафик на наличие вредоносностей. Поскольку загрузка больших файлов может занять достаточно длительное время, и пользователь при этом получает сообщение «без статуса» о загрузке, а сама загрузка может выйти за временные границы, вы можете настроить отображение прогресса загрузки Forefront TMG отправляет HTML-страницу клиенту. Эта страница информирует пользователя о том, что запрошенное содержимое проверяется и показывается индикатор загрузки и прогресс проверки загружаемого файла.
Увеличить
Рисунок 5: Настройки доставки содержимого
Для отправки запрошенного содержимого используется стандартная передача с медленного скоростью клиенту, запросившему содержимое. TMG кэширует содержимое на время проверки. Быстрая передача используется для определения баланса между производительностью у конечного пользователя в процессе загрузки файлов и желанием администратора TMG уменьшить буферизацию файла для TMG и других сканирований. Если в файле, передаваемом пользователю, найдено заражение, Microsoft Forefront TMG сбрасывает соединение, а файл пользователю не доставляется.
Хранилище
Настройка Storage позволяет администратору TMG указать расположение локального временного хранилища, куда будет временно отправляться загруженное содержимое, которое затем будет просканировано. Если сервер TMG перегружен, вам необходимо указывать другой путь для временного хранения.
Рисунок 6: Временное хранилище для сканируемых файлов в процессе проверки
Обновление конфигурации
Функция защиты от вредоносного ПО в TMG работает эффективно только в том случае, если эта функция своевременно обновляется данными о новых вредоносных программах. По умолчанию в TMG каждые 15 минут проверяется наличие обновлений на серверах Microsoft. Поэтому для работы с данной функцией вам необходима действительная подписка.
Рисунок 7: Настройки обновления конфигурации
Подробности о лицензии
Функция защиты от вредоносного ПО в TMG лицензируется на определенный период времени. Лицензионные подробности можно просмотреть на этом окне.
Рисунок 8: Подробности о лицензии
Центр обновлений
Постоянное обновление функции защиты от вредоносного ПО абсолютно необходимо, если вам нужна качественная защита от новейших приемов злоумышленников. Update Center (Центр обновлений) позволяет вам настраивать различные аспекты обновлений в Microsoft Forefront TMG.
Защита от вредоносного ПО настраивается глобально, но может быть включена или отключена для каждого правила брандмауэра.
Рисунок 10: Включение и выключение функции защиты от вредоносного ПО
Однако также существует возможность настраивать функцию защиты для каждого отдельного правила.
Рисунок 11: Отдельные настройки защиты для каждого правила брандмауэра
Настройка защиты для отдельных правил проводится точно так же, как и в случае глобальной настройки.
Рисунок 12: Настройки защиты для правил брандмауэра
Оповещения пользователя
Если функция защиты от вредоносного ПО находит подозрительное содержимое и блокирует его, пользователь получает оповещение, похожее на то, что вы видите на следующем рисунке.
Увеличить
Рисунок 13: Оповещение пользователя в случае обнаружения вредоносного ПО
Заключение
В этой статье я предоставил вам обзор функции защиты от вредоносного ПО в Microsoft Forefront Threat Management Gateway. Я также попытался показать вам, как настраивается эта функция, как администраторы могут защитить свои сети. Функциональность защиты – серьезное оружие в руках администраторов в борьбе против вредоносного ПО.
Ссылки по теме