THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

Forefront Security for Exchange Server ve Bilinmesi Gerekenler!

DarkHealler - ait Kullanıcı Resmi (Avatar)
Yardımsever
Üyelik tarihi:
10/2015
Nereden:
izmir:)
Yaş:
27
Mesajlar:
8.068
Konular:
1071
Teşekkür (Etti):
1893
Teşekkür (Aldı):
2210
Ticaret:
(0) %
22-08-2016 13:10
#1
Forefront Security for Exchange Server ve Bilinmesi Gerekenler!
Exchange Server 2007’nin tercih edildiği kurumların büyük bölümünde Forefront Security for Exchange Server’ın kullanıldığını görüyoruz. Özellikle x64 bit senaryolarında sağladığı performans, birden fazla engine barındırması, kolay yönetimi, farklı Exchange Server rolleri için farklı yöntemler sunması ve rapor desteği ile IT Pro’ların hayatlarına hızlıca giren ve güvenlerini kazanan ürünün geleceği de parlak gibi görünüyor. Bu yazıda hem kurulum esnasında hem kurulumdan sonra hemde çıkabilecek sorunlarda neler yapılabileceğine göz atacağız.
Yakın zamanda çıkan servis paketi 1 ile birlikte yönetilebilirlik ve stabilite anlamında geliştirmeler de söz konusu. Daha fazla bilgi için:
Microsoft Forefront Security for Exchange Server with Service Pack 1
Standart bir kurulum esnasında dikkat edilmesi gereken noktalardan bir tanesi kullanılması planlanan antivirus engine’lerinin hangileri olacağıdır. Örneğin, karşınıza gelecek Engines penceresi aşağıdakine benzer olabilir, kullanmayı planladığınız farklı engine’ler varsa listede gerekli değişikliği gerçekleştirip kurulumu devam ettirmelisiniz. Tabi ki maksimum beş tane engine’in kullanılabileceğini hatırlatmakta fayda var.




A. Performans
Kurulum işlemini bir Mailbox Sunucusu üzerinde gerçekleştirdi iseniz aşağıdakine benzer bir görüntü karşınıza gelecektir. Realtime Scan ve Manuel Scan işlemlerini Mailbox sunucuları üzerinde gerçekleştirebildiğimizi bu noktada söyleyebiliriz. Peki aynı ürünü bir Transport Server (Hub transport, Edge Transport) üzerine kurduğunuzda yine “RealTime Scan Job” ve “Manuel Scan Job” gelecek mi sorusunun cevabı tabi ki hayır. Role göre kurulum kendi içerisinde ilgili “Scan Job” atamasını gerçekleştirebilecek yetenekte. Fakat aynı sunucu üzerine tüm rolleri kurduğunuz bir senaryoda (Hub, Cas, Mailbox) hem “Realtime Scan Job” hem “Manuel Scan Job” hem de “Transport Scan Job” yüklenecektir, tabi böyle bir senaryoda performans beklenenin biraz altında olabilir. Aynı anda hem dışarıya atılan mail, hem dışarıdan gelen mail hemde mailbox’a yazılan mail’in kontrolden geçirilecek olması ve bunu tek bir sunucu üzerinde gerçekleştirmeye çalışmak durumu yeterince açık hale getiriyor. Benzer tek sunuculu yapılarda “Transport Scan Job” Inbound, Outbound ve Internal için etkinken “Realtime Scan Job”un kapatılma yöntemi tercih edilebilir (İlk olarak test ortamında test etmenizi öneririm)




Transport Sunucularınız üzerine kuracağınız Forefront Security for Exchange Server ile birlikte 3 farklı tarama seçeneği kullanıma sunulmuş durumda. Bunlar, Inbound, Outbound ve Internal’dır ve seçeneklerin tamamını aynı sunucu üzerinde kullanmak kurumdan kuruma değişebilir. Örneğin
Inbound: Edge Transport veya Hub Transport sunucularına dışarıdan gelen maillerin kontrol geçirilmesi,
Outbound: Edge Transport veya Hub Transport üzerinden organizasyon dışına giden maillerin kontrolden geçirilmesi,
Internal: Domain içerisindeki mail akışı esnasında maillerin kontrolden geçirilmesi,
Bu açıklamalara göre Edge Server’ların kullanıldığı bir yapıda Hub Transport’lar üzerinde Outbound Scanning tamamen kapatılabilir. Bu şekilde belirli oranda performans artışı söz konusu olabilir. Tabi ki kurum içi güvenlik politikaları doğrultusunda bu tarz seçenekleri kurulum öncesinde planlamakta fayda var.




Performans adına belki de dikkat edilmesi gereken en önemli nokta Bias ayarlarıdır. Settings > Antivirus seçenekleri altından ulaşılabilecek antivirus engine’lerinin hangi seviyede çalışacaklarının belirtilmesi işlemini göz ardı etmemek ve yapınıza uygun şekilde konfigüre etmek sistem performansınızı ciddi şekilde etkileyecek etkenlerden bir tanesi durumunda. Bias ayarlarını gerçekleştirmeden önce ne işe yaradıklarını kısaca inceleyecek olursak;

Maximum Performance Sadece bir tane Antivirus Engine tarafından tarama gerçekleştirilir.
Favor Performance Seçilen Antivirus Engine sayısının yarısı kadar Engine ile taranması olasıdır. Bir update durumu sözkonusu olduğunda ilgili Engine atlanacaktır.
Neutral Seçilen Antivirus Engine sayısının yarısı kadar Engine ile tarama gerçekleştirilir.
Favor Certainty Seçilen tüm Engine’ler ile tarama gerçekleştirilir fakat bir şekilde bir Engine o anda tarama gerçekleştiremez durumda ise (Örneğin tarama esnasında Engine Update olması) sistem bu Engine’ı beklemeden taramayı geri kalanlarla sürdürür ve bitirir.
Maximum Certainty
Seçilen tüm Engine’ler ile tarama gerçekleştirilir ve bir şekilde bir Engine o anda tarama gerçekleştiremez durumda ise (Örneğin tarama esnasında Engine Update olması) sistem bu Engine’ın uygun olmasını bekler.


Bu bilgiler ışığında baktığımızda “Maximum Certainty” en güvenli seçenek iken zaman zaman mail akışınızda performans düşüşü görme durumunuz mevcut gibi. “Neutral” ile çalışıldığı durumlarda, maksimum seçilebilecek Engine sayısının beş olduğunu düşündüğümüzde bunun yarısına denk düşen Engine sayısı 3 olarak belirlenecektir. Yani maksimum engine sayısı ve Neutral’ın kullanıldığı durumlarda 3 tane Engine ile tarama işlemlerinin gerçekleştiğini söyleyebiliriz. Bias’ın ve kullanılacak Engine sayısının, performans mı yoksa güvenlik mi sorusunun sorulacağı her kurumda daha öncesinde tartışılması ve karar verilmesinde fayda bulunuyor.



Ve tabi ki olmazsa olmazlarımızdan bir tanesi Update’ler. Mail Server’larınızı yapılandırdınız, sunucuların üzerinde çalışacak Forefront Security for Exchange Server yazılımlarını kurdunuz ve Scanner Updates’ı kullanarak güncellemelerin haftada bir ya da ayda bir yapılmasını belirttiniz. Sanırım günümüz koşullarında neredeyse hergün yeni bir virüs, spy, malware… türevlerinin çıktığını düşünürsek bu tarz ayda bir yada haftada bir güncelleme yapılmasının da pek anlamı kalmayacaktır. Bundan dolayı güncellemelerin günlük olarak yapılması hatta zaman zaman Last Updated’ın (ya da Application log’larının) kontrol edilmesi kurum içi rutin işlerinizden bir tanesi olmalı.



Birazda filter seçeneklerini inceleyip hangi durumlarda nelere dikkat edilmesi gerektiğine değinelim. Bilindiği gibi içerik filtrelemesi yapabildiğimiz ürün üzerinde aşağıdaki tarzda bir kullanım söz konusu durumda; örneğin belli bir büyüklükteki bir dosya türü için engelleme yapmak istiyorsak yazım şekli aşağıdaki gibi olmalıdır. Karakterler arasında herhangibir boşluk yer almaması dikkat edilmesi gereken noktalardan bir tanesi.
*.bmp>=1.2MB (1.2 MB’a eşit ve büyük .bmp dosyaları için filtreleme)
*.*>5GB (5 GB’dan büyük tüm dosyalar için filtreleme)
Aynı şekilde belli bir kelimeyi farklı yöntemlerle anlatan mail ekleri için filtre oluşturmak istiyorsanız yazım şeklini aşağıdaki şekilde tercih edebilirsiniz. (*) değişkeni oldukça işlevsel gibi görünüyor.
eicar.com: e*c*r*om, ei*.*, *car.*.
(*) şeklindeki diğer değişkenleri aşağıda bulabilirsiniz. Dikkat edilmesi gereken nokta çok genel olmayan filtreler yaratılması olacaktır. Bu noktada aşağıdaki değişkenleri tercih edebilirsiniz.


Kod:
?	Bir isimdeki tek bir değişken karakter tanımlamak için kullanılabilir.
virus?.exe > virusa.exe, virus1.exe veya virus$.exe. Bununla birlikte bu filtreleme yazımı virus.exe’yi içermez.
[set]	Değişken olarak bir karakter aralığı tanımlanması gereken senaryolarda kullanılabilir,klez[a-h].exe > kleza.exe’dan klezh.exe’ye kadar tüm aralığı içerir.

Peki *.* şeklinde bir dosya adı belirleyip sonrasında “File Types” alanında tüm türlerin seçilmesi durumunda sizi nasıl bir durum bekliyor? Bu tarz bir filtrenin oluşturulması hem sistem performansını olumsuz etkileyebilir hemde çok işlevsel olmayacaktır bundan dolayı belirlediğiniz uzantı için “File Types” alanındaki doğru türü seçmekte fayda var.



General altındaki ayarlara kurulum sonrasında göz atmanızda fayda olacaktır. Örneğin, default olarak devre dışı gelen seçeneklerden bir tanesi olan “Delete Encrypted Compressed Files” seçeneğini seçerek içeriği okunamayan sıkıştırılmış eklerin silinmesini sağlayabilirsiniz. Ya da büyük küçük harf duyarlılığını “Case Sensitive Keyword Filtering” ile etkinleştirerek Keyword filtrelemelerinizi daha etkin hale getirebilirsiniz. “Perform Reverse DNS Lookup” kutucuğunun işaretli olması ile, maillerin geldiği domain’lerin Reverse DNS’lerinin kontrol edilmesini sağlayabilirsiniz, aldığınız birçok Spam postaya bu şekilde güle güle demeniz olası. General Options içerisinde tüm özelliklere kısaca göz gezdirmekte fayda olacaktır.



B. Çıkabilecek Sorunların Giderilmesi
Sorun çözme noktasında kullanılabilecek iki tane araç mevcut. Bunlardan ilki FCSUtility.exe. FCSUtility.exe ile sistem üzerinde ki servisleri kontrol edebilir ve arayüzde kolaylıkla ulaşamayacağınız birçok bilgiye komut satırından ulaşabilirsiniz, Örneğin aşağıdaki şekilde “FSCUtility /status” komutu çalıştırılmış ve servis ve ortam bilgisi alınmıştır. FSCUtility.exe ile kullanılabilecek parametreler aşağıdaki gibidir:


FSCUtility /status > Durum bilgisini ekrana yazdırmak için
FSCUtility /disable > Forefront Security’ye bağlı servisleri durdurmak için
FSCUtility /enable > Forefront Security’ye bağlı servisleri çalıştırmak için




İkinci kullanılabilecek araç ise FSCDiag.exe bu aracı kullanarak ilgili dosya versiyonlarının bilgisini, ilgili registry alanlarının bilgisini, Dr. Watson loglarını, Forefront Install Log’larını, Hotfix Log’larını… ve bu tarzda birçok bilgiyi toplayıp sorun çözebilmeniz mümkün. Destek veren ekiplerin zaman zaman kullanabilecekleri faydalı bir araç. Aşağıdaki resimde “FSCDiag.exe /i” komutu çalıştırılmış durumda.



C. Ve Registry
Arayüzden ulaşarak yapabildiğimiz birçok işi aslında registry üzerinden giderekte yapabilmek mümkün durumda. Tüm bu ayarlara aşağıdaki registry anahtarlarını kullanarak ulaşmanız mümkün. Peki nedir bunlar:
32-bit sistemler için :
HKLM\SOFTWARE\Microsoft\Forefront Server Security\ \Exchange Server
64-bit sistemler için :
HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server


Kod:
Değişken	Tanım
DatabasePath	Forefront Security for Exchange Server konfigürasyon dosyalarının ve karantina klasörünün tutulduğu lokasyon. Bu anahtarın kullanımı ile Database yolunun değiştirilmesi mümkün.
DisableInboundFileFiltering	Değerin 1 olduğu durumda Transport Scan Job için inbound file filtresi kapalı halde bulunur.
DisableInboundContentFiltering	Değerin 1 olduğu durumda Transport Scan Job için inbound content filtresi kapalı halde bulunur.
DisableInboundVirusScanning	Değerin 1 olduğu durumda Transport Scan Job için inbound virüs taraması kapalı halde bulunur.
ManualScanContinueOnFailed	Manuel gerçekleştirilen tarama işlemi esnasında antivirus Engine’leriyle ilgili bir sıkıntı yaşanması halinde tarama işleminin devam edip etmeyeceği belirlenir. 0 değerinden farklı olarak verilecek herhangibir değerde tarama işlemi devam eder.
ScanAllAttachments	DWORD değeri 1 olarak yapılandırıldığında Forefront Security for Exchange Server tüm ekleri tarar. Default değer 1’dir.
Daha önce bahsettiğimiz Scanner Update bilgisine de registry aracılığıyla ulaşılabilmesi mümkün.
32-bit sistemler için :
HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server\Scan Engines\enginename
64-bit sistemler için :
HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\Scan Engines\enginename


Kod:
Variable	Description
Engine Version	Engine versiyon numarası
Last Updated	Son update zamanı
Signature Version	Signature versiyonu
Dikkat edilecek noktaları bir araya getirip bunları kurum içi Exchange Server dizaynınıza göre daha özel bir hale sokabilirsiniz, bu size performans artışı, çıkabilecek bir takım sorunlarla hiç karşılaşmamak ya da sorun çözme noktasında daha az zaman harcamak şeklinde geri dönecektir.

Saygılarımla...

Not: Resimler ''Alıntıdır''
---------------------


Birgun tekrar donecegim

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler