共用方式為

  • 發行項

安全性監看式 在周邊網路的惡意程式碼檢查

Yuri Diogenes, Mohit Saxena, and Jim Harrison

內容

惡意程式碼檢查的運作方式
設定 TMG 惡意程式碼檢查功能
設定原則,為 Web Access
更新程式的中心
測試及監視
結論

新 Microsoft Forefront 威脅管理閘道媒體 Business Edition (TMG MBE) 做為基本商務伺服器的一部分,和視為獨立的產品都提供明顯的改進 Microsoft 防火牆服務作業。 其中一個最重要的這個新的防火牆功能會是檢查 HTTP 流量,將它置的惡意程式碼的能力。 請使用這個新的功能,您將能夠:

  • 改善您保護您的內部網路對來自網際網路的惡意軟體的能力。
  • 請使用 TMG 更新 Center 更新使用最新的惡意程式碼簽章的周邊網路。
  • 隨時透過即時監視記錄檔項目的可疑的資料傳輸的眼睛,並取得事後惡意程式碼使用新集合的報告的統計資料。

這種方法可讓您降低跨越周邊網路在您的反惡意程式碼方案中加入新層安全性的 HTTP 流量的潛在威脅。 需要用戶端和伺服器防毒軟體不排除,但是因為用戶端工作站接收資料之前,會執行這個檢查,惡意程式碼威脅,大幅地最小化。

這特別是如果會很有用在網例如來賓電腦具有 Unmanaged 的電腦。 與 Forefront TMG,您確保如果這些電腦會嘗試下載可疑的檔案,將檔案將會封鎖即使,如果 Unmanaged 的電腦沒有執行防毒軟體。

惡意程式碼檢查的運作方式

當使用者存取網站,並嘗試下載檔案時,TMG 會攔截,該流量和檢查允許該使用者存取目標網站的規則會有惡意程式碼檢查功能在其上啟用。 如果存在,TMG 就會啟動檢查。 (很明顯地,如果未啟用這項功能則 TMG 將不會掃描流量)。 [圖 1 摘要惡意程式碼檢查基本的流程,為用戶端下載檔案:

  1. 用戶端傳送至目標 Web 網站以下載檔案的 HTTP 要求。
  2. Forefront TMG 會接收要求,決定任何的規則符合並,如果這項規則有惡意程式碼檢查啟用,掃描惡意程式碼的要求。
  3. 如果要求都是有效且初始狀態,Forefront TMG 會然後會將要求傳送至目的地伺服器。
  4. 目的地伺服器會接收要求,並適當回應。
  5. Forefront TMG 會從目的地伺服器收到回應,並透過 Proxy 引擎先處理它。
  6. 如果規則指定的惡意程式碼檢查,Proxy 引擎就會傳送至惡意程式碼檢查篩選器的 HTTP 要求主體。 比 64KB 還小的回應會累積在記憶體中。 (根據網際網路統計資料,大約 98%下載的小比 64KB 和可以被掃描,而磁碟 I / O)。 惡意程式碼檢查篩選器會累積在的內容然後時間下載並檢查,傳回給 Proxy 引擎控制項。
  7. 如果允許的內容 Forefront TMG 就會傳送給使用者原來的檔案。 如果檔案受到且 TMG 無法清除檔案,TMG 就會將 HTML 頁面傳送給說明已封鎖的內容,使用者。

fig01.gif

[圖 1 傳送的惡意程式碼檢查

期間 (步驟 6) 累積 TMG 可改善使用者經驗,使用下列的內容傳遞方法之一:

  • HTML 進行網頁顯示動態的進度指示,並允許使用者從 TMG 電腦下載內容掃描時完成。
  • 標準 trickling,在的將 Forefront TMG 初始內容傳送速度非常慢至用戶端以及,時掃描已完成,會將資料傳送最高可能的速率。
  • 快速 trickling 中,,您所定義的參數會是表示,(小於緩衝 Forefront TMG 和多個掃描上) 的使用者經驗和效能 (更多緩衝在 Forefront TMG] 和 [較掃描) 之間的取捨數字。 這通常用於的線上 (無法用於串流媒體) 的播放程式播放的媒體檔案。

若要維護在其他 Microsoft 安全性解決方案中找到這些標準,TMG 中的惡意軟體防護功能利用相同惡意程式碼保護引擎 (MPE),用於 Forefront Client Security、 Windows Defender 及一個服務。 稍後在這個的資料行,我們會會示範 「 如何保持定義 Update Center 的最新的使用。

設定 TMG 惡意程式碼檢查功能

若要將惡意程式碼檢查您需要先在全域層級啟用它,然後也在規則層級。 第一個步驟是移至 [Web 存取原則] 節點,並按一下 [上的設定惡意程式碼檢查在 [工作] 窗格, [圖 2 ] 所示。

fig02.gif

[圖 2] 的 網站存取設定

當您執行這項一個對話方塊,讓您啟用全域,如 [圖 3 ] 所示的惡意程式碼的檢查。 這個對話方塊也包含惡意程式碼的檢查會使用預設設定的預先填入的其他的設定。 部分這些設定可以控制在存取規則層級,而某些可以只會設定全域。

fig03.gif

[圖 3 在全域層級設定的惡意程式碼檢查

[圖 4 ] 中的 [例外] 索引標籤可讓您控制哪些網站會被豁免從惡意軟體檢查。 您也可以執行這透過原則 」 設定,但是使用這個對話方塊的設定會覆寫任何的存取規則: 如果站台此處,它將不檢查的惡意程式碼即使在規則層級的檢查定義。 這類的全域設定很有用組織內部使用者或任何其他信任,其 DMZ 經常使用的站台所裝載的網站中。

fig04.gif

[圖 4) 站台的例外狀況

[圖 5 ] 中顯示 [檢查設定] 索引標籤可讓您指定的內容類型將會封鎖。 您可以定義這種類型的內容,預設動作,例如 Forefront TMG 應該嘗試清除受感染的內容中,然後再傳送給使用者或是否內容將會完全封鎖以不嘗試清除它。

fig05.gif

[圖 5] 設定檢查參數

您也可以選擇封鎖可疑的、 已損毀,或加密的檔案或無法被掃描的檔案。 並您可以設定檔案大小限制,並在保留頻寬,下載大型檔案或花費太長的時間進行檢查的檔案時,防止使用者。 請注意這些是全域設定,而且不會公開在規則中。

內容傳遞] 索引標籤, [圖 6 中, 所顯示可讓您設定使用者經驗,檔案下載,包括指定的使用者是否會收到 trickled 的回應或進度通知頁面的長度超過 10 秒 (可設定在 COM 中) 下載和需要掃描的檔案時。 (沒有通知發生如果處理序花 10 秒或更少)。

fig06.gif

[圖 6) 指定如何傳送內容

您也可以選取的內容類型將會收到藉由按一下選取的內容類型中並加入或移除內容類型從該對話方塊的進度通知相對於 trickled 的回應。 這會是全域設定,而且未公開在規則中。

[儲存] 索引標籤可定義資料夾的檔案將會暫時累積掃描及提供給使用者時。 在預設資料夾 %SystemRoot%\Temp,但是可以變更。 再次,這是全域設定,而且未公開在規則中。

Forefront TMG 惡意程式碼檢查效能的內容,必須累積到此資料夾位於一個不同的磁針比用於作業系統的分頁或 Forefront TMG 記錄磁碟機時,將改善磁碟。 很重要的掃描,如果您有防毒軟體 TMG 伺服器上,檔案未 Forefront TMG 伺服器鎖定的防毒軟體在使用的掃描時,排除這個資料夾。 如要排除哪些資料夾上的最佳實務,請參閱 「 在 ISA Server 上使用防毒軟體時的考量."

設定原則,為 Web Access

Forefront TMG 系統管理員可以設定控制使用者存取網際網路,透過 [Web 存取的原則,或者防火牆原則的規則。 當使用 [Web 存取的原則,規則就會明確地允許只在 HTTP 與 HTTPS 通訊協定,和它們可讓系統管理員,允許或拒絕使用者存取網站。 這也可以透過防火牆原則,您可以手動允許 HTTP 和 HTTPS 存取根據來源、 目的地和使用者的存取規則中達成。 請注意在的存取] 規則惡意程式碼檢查選項是顯示所選取的通訊協定包括 Web 通訊協定時,才。

若要在規則層級的惡意程式碼檢查您可以檢查方塊,「 檢查內容從 Web 伺服器下載至用戶端,」 您會找到 Web 存取預設規則內容對話方塊上。 要注意這個檢查只適用於規則所下載的 HTTP 內容。 必須啟用全域惡意程式碼檢查第一個,才能套用在規則層級。

更新程式的中心

Forefront TMG 會維持已知的病毒、 蠕蟲和其他惡意程式碼的定義。 要保持這些重要的定義是最新的 Forefront TMG 有會建置在一個集中式的機制,稱為更新程式,可讓系統管理員設定更新頻率,以及自動更新動作的中心中。 從 Forefront TMG 主控台,可以存取更新中心。

定義更新面板會顯示最新的更新] 和 [執行上次檢查新的更新時,時間的狀態。 的工作窗格,右邊會是您可以設定更新參數。 圖 7 ] 顯示定義更新檔,可以在工作窗格中進行的更新設定] 上按一下要存取的各種選項。

fig07.gif

[圖 7 定義更新視窗

預設情況下,Forefront TMG 會使用 「 自動更新代理程式,以重新整理反惡意程式碼定義提取更新從 Microsoft 更新服務。 更新代理程式會使用電腦的預設值更新伺服器的選取範圍 ; 如果在電腦會使用從 Windows Server Update Services (WSUS) 更新的代理程式也會從 WSUS 取得更新,它否則將會得到它們直接從 Microsoft Update 因此。 (如是一般的 Windows 更新),這些交易是 %systemroot%\windowsupdate.log 檔中記錄。

Forefront TMG Update Center 中的 [頻率] 設定不會覆寫 Windows Update 的設定。 這些設定完全不同,因此,Windows 下載軟體更新時 Forefront TMG 只下載簽名碼。

您可以強制 Forefront TMG,按一下 [檢查更新,在工作窗格上尋找更新。 如果是偵測及安裝新的更新程式,資訊性警示會在 [警示] 索引標籤,如 [圖 8 ] 所示。 您可以看到視窗底端部分就會顯示此更新程式,以及在已更新的檔案的版本的詳細。

fig08.gif

[圖 8 惡意程式碼檢查篩選器的警示

測試及監視

之後設定檢查和更新中心設定下, 一個步驟是以測試功能。 讓我們假設您有用戶端工作站,透過 Forefront TMG 存取網際網路,並要從網站下載檔案。 首先檔案下載開始之前,是設定監視 Forefront TMG 中由篩選的 IP 位址嘗試要存取,外部的資源,以顯示 [圖 9 ] 中,用戶端工作站。

fig09.gif

[圖 9 監視用戶端工作站,嘗試下載檔案

這個範例中,假設用戶端傳送 HTTP GET 以 files.Fabrikam.com/suspicious.exe。 然後 Forefront TMG 評估的要求,並在之後偵測在要求中的該檔案可疑,它將失敗的連線嘗試事件寫入記錄檔 (請參閱 [圖 10 ])。

fig10.gif

[圖 10 偵測到可疑的檔案

請注意惡意程式碼檢查結果資料行中這個檔案分類為可疑,威脅名稱資料行表示的惡意程式碼名稱,的威脅等級是嚴重。 錯誤的詳細資料窗格會顯示連線嘗試失敗的原因的詳細資訊。

使用者嘗試下載此檔案也會發生這個錯誤,但接收更描述性與易記的訊息,說明的 「 可疑檔案的存取封鎖安全性原則設定 」 (如 [圖 11 ] 所示)。 這個方法會允許使用者瞭解發生了事,以及為什麼在他嘗試存取的檔案不是可用。

fig11.gif

[圖 11 A 更易於使用的錯誤訊息

結論

在本專欄中我們主要的目標是說明如何使用 [Microsoft Forefront TMG 的惡意程式碼檢查功能可以改善邊緣安全性。 這項功能將提供您任何可疑的流量,可能會,跨越防火牆,並允許您根據檢查的結果的動作集中式的的檢視中。 雖然這是一個重要的方法,向更安全的環境,有一定考慮如何,這可能會影響使用者瀏覽網頁時的經驗。

在 Microsoft Forefront TMG 也會解決方式掃描處理序可以更透明使用者的這些問題。 如需更多的資訊參考, Forefront TMG 文件 在 Microsoft Forefront Edge Security (英文)。

Yuri Diogenes (MCSE + S,MCTS,MCITP,安全性 + Network + CCNP) ISA Server / IAG) 小組,適用 Microsoft 安全性支援工程師。 他也撰寫的文章 ISA Server 小組部落格TechNet Magazine。 呼叫 Forefront 社群網頁的一個合著 Yuri 」 [邊緣的故事."

Mohit Saxena 是 Microsoft ISA Server 支援小組的技術導致的。 他會導致在小組的支援工程師並擴大規模的工程師為上中斷的客戶提供的支援修正錯誤的問題設計變更要求。

Jim Harrison 加入 ISA 伺服器為一個 QFE 軟體測試人員的工程小組維持在 1 月 2003。 他現在是一個 avid ISA Server supporter 和系統實作器和 Forefront 社群網頁呼叫的合著 」 [邊緣的故事."

Yuri Mohit,、 Jim 正在撰寫有關 Microsoft Forefront 威脅管理閘道 (TMG) 下一個 Microsoft Press 叢書 ; 本書 2009 中可用。