:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Microsoft Antigen 9.0 Verbündete Virenwächter für Exchange
Die Guten ins Töpfchen und die Schlechten ins Kröpfchen: Microsoft Antigen soll vor Viren, Spam, Würmern und anderen unerwünschtem E-Mail-Inhalten schützen. Security-Insider hat Antigen 9.0 für Exchange inklusive Spam-Manager getestet.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Seit dem 21. Juni 2005 ist die amerikanische Firma Sybari ein vollständig eingegliedertes Tochterunternehmen von Microsoft. Sybari wird auch weiterhin Sicherheitslösungen anbieten, allerdings nur für Microsoft-Produkte.
Darunter fällt auch das „Antigen 9.0 für Exchange mit Antigen Spam Manager“, das seit Anfang Juli 2006 auf dem Markt ist.
Features
Antigen vereint viele der üblichen Funktionen aktueller Anti-Spam und Anti-Virusprogramme, einige Eigenschaften sind besonders hervorzuheben:
Die Software verwendet bis zu neun verschiedene Antivirus-Scanmodule diverser Hersteller. In alphabetischer Reihenfolge sind das Ahnlab, Cairis, Cavet, Command, Kaspersky, Nai, Norman, Sophos, Spamcure, Sybari, Sybarivcl und VBuster. Damit die vielen Scan-Engines den Server nicht überlasten, kann die parallele Verwendung der Module gesteuert werden.
Antigen verwendet außerdem einen systemeigenen SMTP-Stack für das Routing. Der für SMTP übliche Port 25 muss also nicht mehr konfiguriert werden. Weiterhin bietet das Produkt eine Schnittstelle zum Microsoft Operations Manager.
Zusätzlich erfüllt Antigen folgende Aufgaben:
- Unterstützt Exchange auf Microsoft Cluster, wobei keine separaten Knoten konfiguriert werden müssen
- Virtuelle Server werden unterstützt
- Manuelle und gesteuerte Virensuche in Exchange-Speichergruppen
- Scannen im Arbeitsspeicher
- SMTP-Scan für eingehende und ausgehende Nachrichten
- Filtern des Inhalts (Nachrichtentexte und Betreffzeilen)
- Filtern von Dateien
- Erkennen und Entfernen von E-Mail-Würmern
- Updates für jeden Antivirus-Engine werden zeitgesteuert angefordert
- Verwaltung des Servers über einen Browser (ActiveX-Client)
Drei Installationsarten
Die Lösung besteht aus „Antigen Diensten“ und dem „Antigen Administrator“, die über das Setupprogramm im Modus „remote“ oder „local“ aufgespielt werden können.
Während die lokale Installation interaktiv auf dem Server erfolgt, wird das dezentralisierte Setup über einen Clientcomputer ausgeführt. Hierfür sind allerdings administrative Privilegien erforderlich. Die Einrichtung über einen Remotedesktop (vormals Terminaldienst) in der Installationsart „lokal“ ist ebenfalls möglich.
Seite 2: Setup in zwei Testumgebungen
weiter...
Setup in zwei Testumgebungen
Als Testsysteme dienen ein Windows 2000 Server mit einer 1 Gigahertz (GHz) CPU und 1 Gigabyte RAM sowie ein Windows 2003 Server mit einer Taktfrequenz von 3,2 GHz und 2 Gigabyte Arbeitsspeicher, jeweils mit Exchange Server 2003. Alle Server sind mit den aktuellen Service Packs versehen, die auch für die Installation von Antigen vorausgesetzt werden.
Bei beiden Betriebssystemen verläuft die Installation in der lokalen Installationsvariante reibungslos, was bei der remoten Installation über das Setup leider nicht der Fall ist.
Probleme beim Remote-Setup
Auf Windows 2000 Professional- und XP-Clients kann zwar ein „Antigen Administrator“ installiert werden, doch erhält dieser keinen Zugriff auf den Antigen-Server.
Leider hilft für Windows XP-Clients der Tipp aus der Antigen-Hilfe auch nicht weiter. Dieser schlägt vor, die Dcom-Sicherheit der anonymen Anmeldung auf den Wert „Remote=zulassen“ zu setzen.
Verschiedene Sicherheits-Modi
Die Sicherheit (“Quarantine Security Settings“) kann in Antigen auf zwei Arten vorkonfiguriert werden: „kompatibel“ und „sicher“ (Standard). Im sicheren Modus werden alle Mails und Anhänge auf Viren gescannt.
Der kompatible Modus erlaubt das Verschieben von Mails und Anhängen in den Quarantänebereich, ohne dass der Filter sie scannt. Anschließend erhalten die Mails eine spezielle Markierung. Da Antigen im Testfall sofort die gesamte E-Post untersuchen soll, wird die Konfiguration auf den Wert „secure“ gesetzt.
Nach erfolgreicher Installation werden die Antigen-Dienste automatisch gestartet, so dass kein Neustart des Servers notwendig ist. Die Software wird sofort aktiv, es lädt also alle neun Scan-Module automatisch von der Antigen-Website herunter und installiert sie.
Handling
Bei der Verwaltung zeigt sich dem Administrator nicht die gewohnte Microsoft-Managementkonsole, sondern der „Antigen Administrator“ von Sybari. Die Navigation ist sehr gut umgesetzt: Auf der linken Seite ist eine Bildlaufleiste mit Schaltflächen zu sehen, über der die einzelnen Features angesprochen werden können.
Alles ist übersichtlich und ein erfahrener Administrator mit Kenntnis der Terminologie kann die Einstellungen fast intuitiv gestalten. Der mitgelieferte Hilfetext ist in Form einer Website aufgebaut und erklärt ergebnisorientiert alle Einstellungen.
Mancherorts wären allerdings mehr Hintergrundinformationen hinsichtlich des Zusammenspiels mit dem Exchange Server 2003 wünschenswert.
Verwaltung und Virensuche
Da in diesem Artikel nicht jede Einstellung beschrieben werden kann, stellt Security-Insider einige Features vor, die nach unserer Meinung gut oder weniger gut gelungen sind.
Kurz nach der Installation werden – wie bereits beschrieben – die Scan-Module im Internet herunter geladen. Dies geschieht automatisch, auch wenn der Administrator einige Module aus Performance-Gründen deaktiviert hat. Weil während dieser Setup-Phase der Server zu 99% ausgelastet ist, wäre die Einrichtung zu einem späteren Zeitpunkt empfehlenswert.
Seite 3: Steuerbare Performance
weiter...
Steuerbare Performance
Je mehr Such-Engines später im Betrieb ausgeführt werden, desto stärker wird natürlich der Mailserver belastet. Daher hat man das Feature „Bias“ eingeführt, in den man den maximalen Grad der Serverbelastung auswählen kann.
Voreingestellt ist der Wert „Neutral“ (siehe Abbildung 2), der der mittlere von fünf Einstellungen ist. Ein Administrator sollte daher in Abhängigkeit der CPU-Leistung des Servers seine optimale Bias-Einstellung wählen.
Findet ein Scanmodul einen Virus, kann die Mail repariert oder gelöscht werden. Die Schwachstelle ist die Performance beim Scannen: Für eine einzige Datei aus dem Informationsspeicher werden schonmal mehrere Sekunden benötigt. Unter dem Icon „Scanner Updates“ kann für jeden Engine ein Download-Job zur Aktualisierung definiert werden.
Werbemails verlässlich geblockt
Das Erkennen von Spam-Mail erfolgt wie beim Exchange Server 2003 Service Pack 2 recht zuverlässig. Antigen geht hier noch einen Schritt weiter: Eingehende, ausgehende und interne Mail kann auf spezielle Stichwörter hin überprüft werden (siehe Abbildung 3). Die Stichwortliste kann selbstverständlich erweitert oder bearbeitet werden.
Wird zum Beispiel ein Stichwort entdeckt, kann die Mail markiert und unter Quarantäne gestellt werden. Administratoren sollten beim Filtern von Spam aber die deutschen Gesetze einhalten. Diese setzen E-Mails mit Briefen gleich – elektronische Post fällt also auch unter das Briefgeheimnis. Das Löschen ohne Zustimmung des Empfängers wäre demnach rechtswidrig.
Zweischneidiges Berichtswesen
Alle Vorfälle werden automatisch in Echtzeit in einem Log gespeichert, dass später unter „Report“ zu finden ist. Leider wird nur ein einzelner Bericht erstellt, alle Aktionen und Ereignisse werden untereinander geschrieben. Damit ist die übersichtliche Auswertung einer Statistik ist nicht möglich.
Besser gelungen ist, dass der Administrator genau erkennen kann, warum eine Mail in Quarantäne gestellt wurde. Sollte eine Nachricht aus Versehen dort hineingelangt sein, kann der Administrator sie zum Senden freigeben (siehe Abbildung 4 und 5).
Fazit
Prinzipiell ist eine Sicherung des Exchange Servers mit Antigen sinnvoll. Besonders vorteilhaft ist die Einbeziehung verschiedener Scan-Module zur Virenerkennung.
Das Filtern von Werbemails nach Schlüsselwörtern funktioniert gut. Allerdings ist dieses Feature beinahe überflüssig, wenn bereits eine Spam-Erkennung über den Exchange Server 2003 SP2 aktiviert wurde. Verbesserungswürdig ist die Auswertung der statistischen Daten und die Performance.
Noch läuft das Gesamtpaket nicht perfekt – wenn Microsoft die Kinderkrankheiten in Bedienung und Installation in den Griff bekommt, ist das Produkt aber durchaus empfehlenswert.
Artikelfiles und Artikellinks
(ID:2001992)
:quality(80)/images.vogel.de/vogelonline/bdb/1883500/1883553/original.jpg "Damit E-Mail-Verschlüsselung auch genutzt wird, muss das komplexe Thema so umgesetzt werden, dass sich die Verschlüsselung leicht in den täglichen Betrieb integrieren lässt. (peterschreiber.media - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951732/original.jpg "HTML Smuggling umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert. (Myst - stock.adobe.com)")