Forefront Protection for Exchange Server 2010

Par Kévin ARAGONES, Jamal BOUZOUITA et Arnaud BUADELLA

Introduction

Dans le monde de l’entreprise actuel, la sécurité est toujours présente pour garantir l’intégrité des données. La gamme de produits de sécurité Forefront de Microsoft, met à la disposition des entreprises une ligne complète de produits de sécurité et d’identité, tout en fournissant une protection qui prend en considération l’ensemble des systèmes et des données utilisées.

Pour assurer ce niveau de sécurité, Microsoft a suivi une certaine stratégie qui se base principalement sur trois points qui sont :

Protection étendue : Cela consiste à assurer le développement et l’intégration de la sécurité au sein de l’entreprise tout en respectant la compatibilité avec tout autre environnement non-Windows. Le déploiement est effectué dans l’intégralité de l’entreprise afin d’assurer un niveau de protection maximal.

 Identification : Chaque personne ayant accès au système d’information est authentifiée de façon unique sur tout le réseau de l’entreprise. Cette identification garantit que l’utilisateur a accès seulement aux informations nécessaires pour son travail. Forefront améliore cette gestion des privilèges et simplifie leur mise en œuvre.

Uniformité : Ces produits font partie du système de sécurité appelé Forefront Protection Suite. Son rôle est d’assurer une conformité et une sécurité identique sur tous les différents éléments composant le système d’information de l’entreprise (Messagerie Exchange, Portail Sharepoint, accès au réseau interne depuis l’extérieur de l’entreprise). Cette uniformité permet de réduire les failles crées par l’utilisation de plusieurs produits de différents éditeurs, qui ne peuvent communiquer entre eux.

Fig 1 : Fonctionnement de Forefront Protection Suite

Composants de service :

Forefront Protection for Exchange se compose de plusieurs services qui lui offrent de nombreuses fonctionnalités :

– Protection à 100 % contre tous les virus connus, grâce à l’utilisation de plusieurs moteurs de recherche de virus, fournis par différents éditeurs d’antivirus. Cette solution permet une large détection de menaces (virus/malware), et une réactivité accrue en cas de découverte d’une nouvelle menace;

– Accès direct à la base de données de Microsoft Exchange Server. Ce n’est pas le fichier de la base qui est analysé mais directement son contenu. Cela permet de garantir l’intégrité de l’ensemble de la messagerie de l’entreprise

– Création de rapports et suivi des messages en temps réel. Cela offre aux administrateurs un état des messages traités par Forefront Protection for Exchange, et cela en temps réel.

– Forefront Protection est directement intégré à Microsoft Exchange Serveur. Les interactions entre les deux produits sont transparentes pour l’utilisateur final, qui regardera sa messagerie en ne voyant aucune différence, même si aucun logiciel de sécurité n’était installé. La présence de Forefront Protection for Exchange ne lui sera révélée que lors de la détection d’une menace.

– Cette intégration permet aussi de faciliter l’administration du serveur. Toute action dans la configuration de Forefront est immédiatement appliquée sur Exchange Server.

Configuration requise

Pour pouvoir bénéficier du bon fonctionnement de Forefront Protection for Exchange, nous devons disposer de la configuration minimale suivante :

– Système d’exploitation Microsoft Windows Server 2003 ou plus récent.

– Active Directory (topologie à forêt unique), contrôleur de domaine installé en local.

– Microsoft Exchange Server 2003 SP2 ou Microsoft Exchange Server 2007 ou Microsoft Exchange Server 2010 (requis pour la fonctionnalité de synchronisation d’agrégation de listes fiables).

– Processeur 1 GHz.

– Mémoire 1 Go de RAM minimum (2 Go recommandé).

– Disque Dur 2 Go d’espace disque disponible minimum.

– Microsoft .NET Framework 2.0.

(Source Microsoft)

Fonctionnement

Le schéma suivant explique le fonctionnement Forefront Protection for Exchange :

Filtrage courriel sortantsFig 2 : Fonctionnement de Forefront Protection for Exchange Server

Forefront est réellement intégré au système, afin que l’intégralité des messages passant par Exchange Server soient analysés.

Installation

L’installation de Forefront Protection 2010 for Exchange Server est très simple et se déroule en seulement quelques étapes.

Vous pouvez télécharger les sources d’installation via TechNet à l’adresse suivante : https://technet.microsoft.com/en-us/evalcenter/ee423728.aspx

Une inscription suffit pour avoir accès à une version d’essai de 120 jours.

Fig 3 : Installation (1/4) : Choix des dossiers d’installation

Lors de l’installation, nous devons choisir deux répertoires : un pour l’installation et un autre pour les données propres à Forefront, par défaut les données seront placées dans un dossier Data dans le répertoire d’installation.

Fig 4 : Installation (2/4) : Configuration du proxy

Nous devons également indiquer les informations du proxy si nous en utilisons un. Cela permet de pouvoir accéder à internet pour faire les mises à jour

Fig 5 : Installation (3/4) : Activation de l’antispam

Enfin, le programme d’installation demande si l’anti-spam doit être activé immédiatement où s’il sera activé par la suite.

Fig 6 : Installation (4/4) : Fin de l’installation

C’est tout pour l’installation, les 120 jours d’essais ne nécessitent pas d’activation préalable.

Configuration

Au démarrage de la console d’administration de Forefront protection for Exchange, celui-ci présente un panneau de contrôle qui résume l’état général du logiciel.

Fig 7 : Console d’administration : Tableau de bord

Nous remarquons qu’une alerte concernant les moteurs d’antivirus est activée (il s’agit là de la non mise à jour des moteurs). Des statistiques détaillées sur les menaces détectées sont aussi fournies (Aussi bien pour l’antivirus ainsi que l’anti spam).

Le bandeau de gauche permet à la fois d’accéder aux statistiques de Forefront Protection for Exchange, ainsi qu’à sa configuration. Il est séparé en trois grandes catégories : Monitoring, Tâches (Tasks) et Policy Management. L’onglet monitoring est ouvert par défaut au démarrage de la console de gestion :

Fig 8 : Statistiques de détection des spams

Les statistiques données concernent les virus, malware ou encore spam.

Fig 9 : Statistiques de détection des menaces

Nous constatons ici que quelques menaces ont été détectées, il s’agit essentiellement dans notre cas de tests de détection (voir le chapitre suivant). Le détail des incidents est donné dans le tableau du même nom :

Fig 10 : Listes des incidents détectées

Lors d’une détection d’une menace, celle-ci est détruite (comme nous le verrons par la suite), mais une copie est conservée en quarantaine :

Fig 11 : Quarantaine de Forefront Protection for Exchange

Comme habituellement nous retrouvons les options les plus communes dans le bandeau en haut à droite, cela comprend la gestion de la quarantaine, la suppression des fichiers infectés, l’envoi forcé vers un destinataire ou encore enregistrement forcé sur le poste serveur (afin de récupérer ce qui peut encore l’être, ou s’il s’avère que c’est un faux positif). Si nous cliquons sur un des fichiers mis en quarantaine, les détails de la circonstance de la détection sont affichés en bas de l’écran.

Le bandeau de gauche nous offre les options de configuration de Forefront Protection for Exchange. La première option concerne les notifications en cas de découverte d’une menace.

Fig 12 : Configuration des notifications

Cet écran permet d’activer ou de désactiver les notifications pour chaque type d’évènements, ainsi que le message qui sera envoyé. De nombreuses options de déclenchement d’alertes sont disponibles, aussi bien pour un évènement tel qu’une détection de virus/malware, ou encore pour signaler l’état général de Forefont Protection for Exchange (erreur de licence, mise à jours des moteurs de recherche de virus, erreur générale de Forefront). Tout cela est fait pour que l’administrateur puisse suivre en direct l’état du logiciel et son fonctionnement. Tout cela dans des conditions facilitées : l’administrateur n’a pas besoin de se connecter au serveur, toutes les informations étant directement dans sa boite mail.

Fig 13 : Configuration du message de notification personnalisé

Le texte peut de ces messages d’alerte peuvent être personnalisé, tout en permettant à Forefront Protection for Exchange de remplir les « blancs », grâce à des balises spécifiques : %Malware% pour le nom de la menace, %File% pour le nom du fichier, et ainsi de suite.

Fig 14 : Options de gestion des incidents Fig 15 : Options de gestion de la quarantaine

Les deux options supplémentaires (Incident Option et Quarantine Options) permettent de limiter la taille des fichiers évènements ou quarantaine, en fonction de la taille ou du nombre de jours écoulés.

Le deuxième grand onglet (appelé Tâches/Tasks), ne contient qu’une seule option : le scan à la demande des boites mail :

Fig 16 : Scan à la demande

Il s’agit-là, comme dans le cas d’un antivirus classique, de forcer un scan général de toutes les boites mail (de tous les courriels et pièces jointes), ou un scan ciblé (une boite mail en particulier). Cela est utile par exemple lors de la détection d’une nouvelle menace qui se propage au moyen de la messagerie, après le téléchargement de la nouvelle base de données des moteurs de détection.

Le dernier onglet permet configurer quand les messages seront scannés, l’utilisation ou non de l’antispam, la configuration de Forefront Online Protection (abonnement requis), ainsi que les moteurs de recherches de virus utilisés.

Fig 17 : Configuration du scanner en temps réel

Dans la partie Antimalware, nous reconnaissons chacun des rôles d’Exchange Server. En effet, le scan peut s’effectuer à chacun des niveaux du serveur.

C’est dans ce panneau que nous paramétrons les actions à effectuer en cas de détection de virus, malware, ainsi que le texte de remplacement, afin que la pièce jointe incriminée ne soit plus dangereuse.

Les options sont équivalentes pour chaque rôle Exchange.

La configuration de l’antispam, qui dans les captures d’écran suivantes, est désactivé, a lui aussi de nombreuses options de paramétrage :

Fig 18 : Configuration antispam (1/2)

Fig 19 : Configuration antispam (2/2)

Par exemple, le filtrage peut s’effectuer à partir d’une liste d’adresses IP de serveur mails (principe Autorisation ou blocage des mails reçus via ces serveurs). De la même manière, ce filtrage peut intervenir directement au niveau des adresses mails.

Bien évidemment, le filtrage des mails peut aussi être basé sur des critères de contenu, comme certains mots interdits dans des communications professionnelles.

L’option Online permet de pouvoir configurer les options en cas d’abonnement à Forefront Online Protection (abonnement payant requis chez Microsoft) :

Fig 20 : Configuration de Forefront Online Protection

Cette option a été proposée par Microsoft afin de répondre au besoin de soulagement des serveurs mails des entreprises. En effet, ces serveurs sont grandement sollicités lors de la réception de mails venant de l’extérieur de l’entreprise. Le principal ennui est que la majorité de ces mails s’avèrent être des spams, ce qui sature la bande passante Internet de données entrant dans l’entreprise, ainsi que le serveur par lui-même.

Le principe est donc de rediriger tous les mails entrant dans l’entreprise vers les serveurs de Microsoft, beaucoup plus nombreux et robustes. Ces serveurs traitent les mails, suppriment les messages indésirables, nettoie les fichiers contaminés, reste alors les mails considérés comme légitime. C’est seulement à ce moment-là que l’envoi est effectué vers l’entreprise.

L’onglet Global Settings gère les paramètres des moteurs de scan antivirus :

Fig 21 : Options du scanner en temps réel

La partie Scan Options permet de configurer l’activation ou non du scan antivirus/Antimalware, et à quel niveau exchange celui-ci s’effectue. Toute modification des réglages de cet onglet sera effectif uniquement après le redémarrage d’Exchange Serveur (il touche directement le comportement des rôles serveur).

Fig 22 : Options des moteurs de détection

L’avant dernier onglet (Engine Option), permet de configurer comment accéder aux mise à jours des moteurs de détection de virus (par exemple la spécification d’un serveur proxy) ainsi que des options de mise à jour (mise à jour au démarrage ainsi que le temps maximum pour la mise à jour)

Le dernier onglet, Advanced Option, permet de configurer directement les moteurs de recherche de virus, ainsi que leur comportement en cas de détection :

Fig 23 : Comportement des moteurs de détection (1/3)

Nous configurons ici le ou les noms de domaines considérés comme internes, ainsi que les options de suppression de menaces (action en cas de détection, format du fichier de remplacement).

Des options spécifiques sont aussi disponibles dans le cas nous serions en présence d’une pièce jointe compressée : mise en quarantaine des fichiers corrompus ou limite de durée de scan.

Fig 24 : Comportement des moteurs de détection (2/3)

Ces limites (Taille maximum des pièces jointes, des fichier compressés, du nombre de fichiers attachés) sont librement configurables. De plus, nous pouvons demander à ce que les messages dont la transmission a échoué soient supprimés, ou encore si les fichiers en pièce jointe d’un mail sont corrompus.

On peut encore configurer les options d’enregistrement des évènements :

Fig 25 : Comportement des moteurs de détection

Les options de logging sont importantes pour la maintenance de Forefront. On peut spécifier quels sont les évènements à enregistrer. Ces fichiers seront utiles pour faire par exemple des statistiques sur le nombre de menaces qui ont été détectées.

Fig 26 : Configuration des moteurs de détection utilisés

Enfin, on peut encore configurer l’utilisation des 5 moteurs d’analyse antivirus, ainsi que les mises à jour de ceux-ci.

Ces moteurs d’analyse et de recherche de virus sont fournis par les principaux éditeurs d’antivirus (on voit ici Kaspersky, Norman et Microsoft pour les plus célèbres). Chaque fichier est scanné par chacun de ces moteurs, ce qui permet une détection plus vaste de différentes menaces qui peuvent exister. Ceci offre notamment une réactivité rapide en cas de nouvelle menace.

Tests

4.1 Sur un client Outlook

Dans ce test, les messages d’avertissements pour l’expéditeur et le destinataire sont activés. Le client Outlook 2007 est installé sur une machine fonctionnant sur Windows 7, reliée au domaine créé par le serveur où est installé Exchange. Pour cet essai, un message sera envoyé par l’utilisateur TEST2, à l’utilisateur TEST.

Le principe est simple, celui-ci consiste à tester la capacité de réaction de Forefront Protection for Exchange Server. Une session est ouverte sur le PC client sous l’utilisateur TEST2. Nous créons un message factice pour envoyer un fichier infecté (dans ce test également, il s’agira du fichier test EICAR).

Fig 27 : Message Outlook prêt à être envoyé

Le fichier test EICAR est reconnu par tous les antivirus et logiciels de protection comme une menace, tout en étant bien défini comme fichier de test. Le but étant de déterminer les capacités de filtrage de Forefront Protection for Exchange en cas de présence d’une menace.

L’envoi est effectué normalement, comme pour tout message sous Outlook. On passe alors sur l’utilisateur destinataire du message.

Coté destinataire, celui-ci reçoit bien le message, mais le contenu de la pièce jointe douteuse est remplacé par un message d’avertissement :

Fig 28 : Message reçu, avec suppression de la pièce jointe

En plus du message, le destinataire reçoit un deuxième message, le prévenant qu’une menace a été éliminée :

Fig 29 : Avertissement reçu par le destinataire

Dans tous les cas, l’utilisateur est prévenu de la menace.

Si l’on revient du côté de l’expéditeur, on constatera que lui aussi reçoit un message, l’avertissant de la menace :

Fig 30 : Message reçu par l’expéditeur

En conclusion : Forefront a éliminé la menace dans le message (en remplaçant le contenu du fichier infecté par un message explicatif), puis a prévenu les personnes indiquées dans le mail (expéditeur et destinataires), qu’une menace a été éliminée.

4.2 Sur OWA (Outlook Web Access)

Nous allons maintenant tester Forefront avec l’accès en ligne de la messagerie : Outlook web app, toujours avec EICAR, dans un dossier compressé :

Fig 31 : Message sur OWA prêt à être envoyé

Avec les paramètres par défaut de Forefront, le message est envoyé au destinataire, mais la pièce jointe est transformé en fichier texte indiquant qu’elle contenait un virus :

Fig 32 : Message reçu

Voici le contenu de la pièce jointe :

Fig 33 : Pièce jointe neutralisée

L’expéditeur reçoit le mail qu’il a envoyé avec en pièce jointe le même fichier texte :

Fig 34 : Messagerie de l’expéditeur

Encore une fois, le virus est complètement supprimé du système.

Conclusion

Comme nous avons pu le voir précédemment, Forefront Protection for Exchange est une solution de protection compète et efficace pour protéger la messagerie d’entreprise. La messagerie est toujours un point critique d’une entreprise, où de nombreuses données, parfois confidentielles, transitent.

Dans ces conditions, on ne peut pas se permettre de laisser la porte ouverte aux virus, vers et autres malwares qui sont nuisibles à la sécurité de l’entreprise, et à la confidentialité de ces données. La réactivité du système, qui détruit les données dangereuses, et les remplace par un message d’avertissement, permet aussi d’éduquer et de sensibiliser les utilisateurs de leurs gestes dits à risque.

De plus, le filtrage automatique du spam au niveau de serveur permet un gain de temps pour les utilisateurs finaux, qui n’ont dans leurs boite mail uniquement des donnés légitimes.

On peut ajouter que la philosophie générale de la gamme Forefront, qui est de protéger l’intégralité de l’informatique d’entreprise, en partant du poste de travail d’un utilisateur jusqu’aux différents serveurs (Exchange ou encore Sharepoint), permet de garantir une sécurité optimale, même dans le cas d’une infection venant de l’intérieur (clé USB/CDROM/DVD sur le poste d’un utilisateur).

L’uniformisation de tous les produits de sécurité d’une entreprise permet aussi de centraliser les rapports d’infection. Cela permet à l’administrateur de constater quelles sont les conduites à risques, ainsi que les utilisateurs fautifs. La conséquence de cette centralisation permet par exemple la mise en place de restrictions d’utilisation du réseau de l’entreprise, afin de permettre à l’utilisateur de supprimer la menace.

Bien entendu, une protection antivirus/antimalware ne peut être efficace que si les mises à jour Windows Update sont effectuées régulièrement. Et encore une fois, seule la vigilance de chacun permet de minimiser les risques d’infection.

Sources

Sites web ayant servis à écrire notre article :

https://www.microsoft.com/online/fr-ch/exchange-hosted-services/filtering.mspx

https://www.microsoft.com/france/serveur/forefront/forefront-protection-for-exchange-server.aspx

https://www.microsoft.com/france/serveur/forefront/identity-acces-management.aspx

https://technet.microsoft.com/en-us/evalcenter/ee423728.aspx