Konfiguracja reguł Edge Transport w celu ochrony przed wirusami
Opublikowano: 6 lipca 2007
Niniejszy artykuł dostarcza informacji o tym, jak Microsoft Exchange Server 2007 wykorzystuje agenta reguł Edge Rules oraz reguł transportowych, aby pomóc w chronieniu organizacji przed wirusami.
Zawartość strony
Wstęp | |
Identyfikacja zagrożeń wirusowych | |
Kontrolowanie zagrożeń wirusowych za pomocą reguł transportu | |
Korzystanie z usług Exchange Hosted Services |
Wstęp
Każdego dnia nowe wirusy zagrażają organizacjom. Producenci programów antywirusowych i administratorzy muszą reagować na zagrożenia, gdy tylko się one pojawią. W celu zminimalizowania szkód wyrządzonych przez wirusy, producenci programów antywirusowych oraz administratorzy muszą jak najszybciej odpowiedzieć na zagrożenia wirusowe. Niemożliwa do uniknięcia jest jednak luka między pojawieniem się zagrożenia wirusowego a udostępnieniem rozwiązania. Ta luka, kiedy zagrożenie wirusowe pozostaje nierozpoznane, a środki ochronne nie są jeszcze dostępne, jest nazywana zagrożeniem wirusowym dnia zero.
W tym samym czasie wirusy krążące od wielu lat po Internecie w dalszym ciągu stwarzają znaczne zagrożenie dla organizacji. Ogromna większość tych wirusów może zostać zidentyfikowana przez programy antywirusowe, które jednak zostać przypadkowo wyłączone, mogą posiadać nieaktualne definicje lub doświadczyć innych problemów, które uczynią je nieużytecznymi.
Reguły transportu działające na komputerach o roli serwera Edge Transport są zaprojektowane, aby pomóc w zarządzaniu i kontroli zagrożeń wirusowych dnia zero, jak również uprzednich lub aktualnych zagrożeń wirusowych.
Więcej informacji o regułach transportu można znaleźć w następujących artykułach:
- Overview of Transport Rules (j.ang.)
- Understanding How Transport Rules Are Applied in an Exchange 2007 Organization (j.ang.)
- Zarządzanie zagrożeniami wirusowymi (j.ang.)
Większość wirusów ma unikalne cechy, które identyfikują je jako wirusy, takie jak specyficzny adres e-mail w nagłówku wiadomości „Od:”, specyficzny temat lub załącznik. Można skonfigurować reguły transportu tak, wykrywały te cechy i identyfikowały w ten sposób potencjalnie szkodliwe wiadomości oraz podejmowały wobec nich określoną akcję. Dostępne akcje to: przeniesienie wiadomości do skrzynki kwarantanny, całkowite jej usunięcie lub po prostu dodanie ostrzeżenia do tematu.
Do początku strony
Identyfikacja zagrożeń wirusowych
Aby zredukować koszty przetwarzania zainfekowanych wiadomości, które przedostały się do firmowego serwera Exchange, należy przechwycić jak najwięcej z nich w sieci granicznej na serwerach o roli Edge Transport.
Jeśli można zidentyfikować zainfekowaną wiadomość na serwerach o roli Edge Transport i ją odrzucić lub usunąć, nie ponosi się kosztów przechowywania wiadomości na wewnętrznych serwerach ani kosztów skanowania wiadomości w poszukiwaniu wirusów.
Tworząc nową regułę transportu, aby zidentyfikować zagrożenia wirusami, należy przeanalizować opublikowane raporty o wirusach, szukając unikalnych cech, które identyfikują wirus i które mogą zostać użyte w regule transportu. Poniższa lista opisuje kilka unikalnych cech, które może posiadać wirus:
- Charakterystyczne łańcuchy znaków w temacie lub treści wiadomości
- Specyficzny adres mailowy w nagłówku „Od:” lub nagłówku „Do:”
- Specyficzny nagłówek wiadomości o określonej wartości
Ważne:
Identyfikując unikalne cechy konkretnego wirusa, należy się upewnić, że te cechy nie odpowiadają zawartości, która może występować w prawdziwych wiadomościach.
Więcej informacji o rodzajach treści wiadomości, które mogą być analizowane przez reguły transportu na serwerze o roli Edge Transport można znaleźć tutaj: Transport Rule Predicates (j.ang.).
Do początku strony
Kontrolowanie zagrożeń wirusowych za pomocą reguł transportu
Po zidentyfikowaniu unikalnych cech wirusa można utworzyć regułę transportu, aby wykonać na nim akcje. Akcje wykonywane na konkretnych wiadomościach zależą od zasad ustalonych w organizacji.
Uwaga:
Jeśli akcją będzie przerwanie połączenia SMTP, usunięcie lub odrzucenie wiadomości, nie będzie można jej odzyskać. Jeśli wiadomość ma nie zostać dostarczona, jednak bez jej usuwania, należy skonfigurować regułę tak, aby wiadomość była dostarczana do skrzynki kwarantanny.
Więcej informacji o akcjach dostępnych w regułach transportu na serwerze o roli Edge Transport można znaleźć tutaj: Transport Rule Actions (j.ang).
Więcej informacji o zarządzaniu i konfiguracji reguł transportu, używanych do identyfikacji oraz wykonywania akcji na wiadomościach, które mogą być zainfekowane wirusami, można znaleźć w niniejszych artykułach:
- How to Create a New Transport Rule (j.ang.)
- How to View a Transport Rule (j.ang.)
- How to Modify a Transport Rule (j.ang.)
- How to Remove a Transport Rule (j.ang.)
- How to Configure a Disclaimer (j.ang.)
Niniejsze tematy dostarczają dodatkowych informacji, które pomogą w zarządzaniu i poprawianiu reguł transportu:
- Transport Rule Predicates (j.ang.)
- Transport Rule Actions (j.ang.)
- Regular Expressions in Transport Rules (j.ang.)
Do początku strony
Korzystanie z usług Exchange Hosted Services
Zasady transportu wiadomości mogą być udostępniane w ramach usług Microsoft Exchange Hosted Services lub zyskiwać dzięki nim dodatkową funkcjonalność. Usługi Exchange Hosted Services to zestaw czterech różnych usług dostępnych w hostingu:
- Hosted Filtering, która pomaga organizacjom bronić się przed złośliwym oprogramowaniem w wiadomościach,
- Hosted Archive, która pomaga im zapewnić zgodność z wymaganiami archiwizacji danych,
- Hosted Encryption, która pomaga w szyfrowaniu danych, aby zachować poufność,
- Hosted Continuity, która pomaga zachować dostęp do poczty w trakcie i po sytuacji awaryjnej.
Usługi te integrują się ze wszystkimi lokalnymi serwerami Exchange, które są zarządzane lokalnie, lub usługami pocztowymi Hosted Exchange oferowanymi przez dostawców usług. Więcej informacji o usługach Exchange Hosted Services można znaleźć tutaj: Microsoft Exchange Hosted Services (j.ang.).
Do początku strony |