:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/ac/90/ac909e6e2800db299da86bd1add1f12b/0111445793.jpeg "Sophos ereweitert sein internationales Managed Detection and Response (MDR) Team um ein zusätzliches Team in Deutschland. (Bild: Sven - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/f6/8ff67f37275779fb9e5b52248146b4d0/0111493119.jpeg "Backups sind ein hoch komplexes Thema – angefangen bei der Auswahl der richtigen Backup-Lösung, über die pasende Methode, bis hin zur Planung und zum Test der Wiederhestellung der gesicherten Daten gibt es viel zu beachten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Microsoft Antigen 9.0 Verbündete Virenwächter für Exchange
Die Guten ins Töpfchen und die Schlechten ins Kröpfchen: Microsoft Antigen soll vor Viren, Spam, Würmern und anderen unerwünschtem E-Mail-Inhalten schützen. Security-Insider hat Antigen 9.0 für Exchange inklusive Spam-Manager getestet.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Seit dem 21. Juni 2005 ist die amerikanische Firma Sybari ein vollständig eingegliedertes Tochterunternehmen von Microsoft. Sybari wird auch weiterhin Sicherheitslösungen anbieten, allerdings nur für Microsoft-Produkte.
Darunter fällt auch das „Antigen 9.0 für Exchange mit Antigen Spam Manager“, das seit Anfang Juli 2006 auf dem Markt ist.
Features
Antigen vereint viele der üblichen Funktionen aktueller Anti-Spam und Anti-Virusprogramme, einige Eigenschaften sind besonders hervorzuheben:
Die Software verwendet bis zu neun verschiedene Antivirus-Scanmodule diverser Hersteller. In alphabetischer Reihenfolge sind das Ahnlab, Cairis, Cavet, Command, Kaspersky, Nai, Norman, Sophos, Spamcure, Sybari, Sybarivcl und VBuster. Damit die vielen Scan-Engines den Server nicht überlasten, kann die parallele Verwendung der Module gesteuert werden.
Antigen verwendet außerdem einen systemeigenen SMTP-Stack für das Routing. Der für SMTP übliche Port 25 muss also nicht mehr konfiguriert werden. Weiterhin bietet das Produkt eine Schnittstelle zum Microsoft Operations Manager.
Zusätzlich erfüllt Antigen folgende Aufgaben:
- Unterstützt Exchange auf Microsoft Cluster, wobei keine separaten Knoten konfiguriert werden müssen
- Virtuelle Server werden unterstützt
- Manuelle und gesteuerte Virensuche in Exchange-Speichergruppen
- Scannen im Arbeitsspeicher
- SMTP-Scan für eingehende und ausgehende Nachrichten
- Filtern des Inhalts (Nachrichtentexte und Betreffzeilen)
- Filtern von Dateien
- Erkennen und Entfernen von E-Mail-Würmern
- Updates für jeden Antivirus-Engine werden zeitgesteuert angefordert
- Verwaltung des Servers über einen Browser (ActiveX-Client)
Drei Installationsarten
Die Lösung besteht aus „Antigen Diensten“ und dem „Antigen Administrator“, die über das Setupprogramm im Modus „remote“ oder „local“ aufgespielt werden können.
Während die lokale Installation interaktiv auf dem Server erfolgt, wird das dezentralisierte Setup über einen Clientcomputer ausgeführt. Hierfür sind allerdings administrative Privilegien erforderlich. Die Einrichtung über einen Remotedesktop (vormals Terminaldienst) in der Installationsart „lokal“ ist ebenfalls möglich.
Seite 2: Setup in zwei Testumgebungen
weiter...
Setup in zwei Testumgebungen
Als Testsysteme dienen ein Windows 2000 Server mit einer 1 Gigahertz (GHz) CPU und 1 Gigabyte RAM sowie ein Windows 2003 Server mit einer Taktfrequenz von 3,2 GHz und 2 Gigabyte Arbeitsspeicher, jeweils mit Exchange Server 2003. Alle Server sind mit den aktuellen Service Packs versehen, die auch für die Installation von Antigen vorausgesetzt werden.
Bei beiden Betriebssystemen verläuft die Installation in der lokalen Installationsvariante reibungslos, was bei der remoten Installation über das Setup leider nicht der Fall ist.
Probleme beim Remote-Setup
Auf Windows 2000 Professional- und XP-Clients kann zwar ein „Antigen Administrator“ installiert werden, doch erhält dieser keinen Zugriff auf den Antigen-Server.
Leider hilft für Windows XP-Clients der Tipp aus der Antigen-Hilfe auch nicht weiter. Dieser schlägt vor, die Dcom-Sicherheit der anonymen Anmeldung auf den Wert „Remote=zulassen“ zu setzen.
Verschiedene Sicherheits-Modi
Die Sicherheit (“Quarantine Security Settings“) kann in Antigen auf zwei Arten vorkonfiguriert werden: „kompatibel“ und „sicher“ (Standard). Im sicheren Modus werden alle Mails und Anhänge auf Viren gescannt.
Der kompatible Modus erlaubt das Verschieben von Mails und Anhängen in den Quarantänebereich, ohne dass der Filter sie scannt. Anschließend erhalten die Mails eine spezielle Markierung. Da Antigen im Testfall sofort die gesamte E-Post untersuchen soll, wird die Konfiguration auf den Wert „secure“ gesetzt.
Nach erfolgreicher Installation werden die Antigen-Dienste automatisch gestartet, so dass kein Neustart des Servers notwendig ist. Die Software wird sofort aktiv, es lädt also alle neun Scan-Module automatisch von der Antigen-Website herunter und installiert sie.
Handling
Bei der Verwaltung zeigt sich dem Administrator nicht die gewohnte Microsoft-Managementkonsole, sondern der „Antigen Administrator“ von Sybari. Die Navigation ist sehr gut umgesetzt: Auf der linken Seite ist eine Bildlaufleiste mit Schaltflächen zu sehen, über der die einzelnen Features angesprochen werden können.
Alles ist übersichtlich und ein erfahrener Administrator mit Kenntnis der Terminologie kann die Einstellungen fast intuitiv gestalten. Der mitgelieferte Hilfetext ist in Form einer Website aufgebaut und erklärt ergebnisorientiert alle Einstellungen.
Mancherorts wären allerdings mehr Hintergrundinformationen hinsichtlich des Zusammenspiels mit dem Exchange Server 2003 wünschenswert.
Verwaltung und Virensuche
Da in diesem Artikel nicht jede Einstellung beschrieben werden kann, stellt Security-Insider einige Features vor, die nach unserer Meinung gut oder weniger gut gelungen sind.
Kurz nach der Installation werden – wie bereits beschrieben – die Scan-Module im Internet herunter geladen. Dies geschieht automatisch, auch wenn der Administrator einige Module aus Performance-Gründen deaktiviert hat. Weil während dieser Setup-Phase der Server zu 99% ausgelastet ist, wäre die Einrichtung zu einem späteren Zeitpunkt empfehlenswert.
Seite 3: Steuerbare Performance
weiter...
Steuerbare Performance
Je mehr Such-Engines später im Betrieb ausgeführt werden, desto stärker wird natürlich der Mailserver belastet. Daher hat man das Feature „Bias“ eingeführt, in den man den maximalen Grad der Serverbelastung auswählen kann.
Voreingestellt ist der Wert „Neutral“ (siehe Abbildung 2), der der mittlere von fünf Einstellungen ist. Ein Administrator sollte daher in Abhängigkeit der CPU-Leistung des Servers seine optimale Bias-Einstellung wählen.
Findet ein Scanmodul einen Virus, kann die Mail repariert oder gelöscht werden. Die Schwachstelle ist die Performance beim Scannen: Für eine einzige Datei aus dem Informationsspeicher werden schonmal mehrere Sekunden benötigt. Unter dem Icon „Scanner Updates“ kann für jeden Engine ein Download-Job zur Aktualisierung definiert werden.
Werbemails verlässlich geblockt
Das Erkennen von Spam-Mail erfolgt wie beim Exchange Server 2003 Service Pack 2 recht zuverlässig. Antigen geht hier noch einen Schritt weiter: Eingehende, ausgehende und interne Mail kann auf spezielle Stichwörter hin überprüft werden (siehe Abbildung 3). Die Stichwortliste kann selbstverständlich erweitert oder bearbeitet werden.
Wird zum Beispiel ein Stichwort entdeckt, kann die Mail markiert und unter Quarantäne gestellt werden. Administratoren sollten beim Filtern von Spam aber die deutschen Gesetze einhalten. Diese setzen E-Mails mit Briefen gleich – elektronische Post fällt also auch unter das Briefgeheimnis. Das Löschen ohne Zustimmung des Empfängers wäre demnach rechtswidrig.
Zweischneidiges Berichtswesen
Alle Vorfälle werden automatisch in Echtzeit in einem Log gespeichert, dass später unter „Report“ zu finden ist. Leider wird nur ein einzelner Bericht erstellt, alle Aktionen und Ereignisse werden untereinander geschrieben. Damit ist die übersichtliche Auswertung einer Statistik ist nicht möglich.
Besser gelungen ist, dass der Administrator genau erkennen kann, warum eine Mail in Quarantäne gestellt wurde. Sollte eine Nachricht aus Versehen dort hineingelangt sein, kann der Administrator sie zum Senden freigeben (siehe Abbildung 4 und 5).
Fazit
Prinzipiell ist eine Sicherung des Exchange Servers mit Antigen sinnvoll. Besonders vorteilhaft ist die Einbeziehung verschiedener Scan-Module zur Virenerkennung.
Das Filtern von Werbemails nach Schlüsselwörtern funktioniert gut. Allerdings ist dieses Feature beinahe überflüssig, wenn bereits eine Spam-Erkennung über den Exchange Server 2003 SP2 aktiviert wurde. Verbesserungswürdig ist die Auswertung der statistischen Daten und die Performance.
Noch läuft das Gesamtpaket nicht perfekt – wenn Microsoft die Kinderkrankheiten in Bedienung und Installation in den Griff bekommt, ist das Produkt aber durchaus empfehlenswert.
Artikelfiles und Artikellinks
(ID:2001992)
:quality(80)/images.vogel.de/vogelonline/bdb/1954300/1954348/original.jpg "Microsoft Defender schützt Windows-Systeme inzwischen sehr zuverlässig und kostenlos vor Malware. Wer aber lieber auf eine kostenfreie Alternative setzen will, dem zeigen wir ein paar Möglichkeiten. (Skórzewiak - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951732/original.jpg "HTML Smuggling umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert. (Myst - stock.adobe.com)")