Lutte antispam antivirale et filtrage pour la messagerie

Lutte anti-spam / antivirale et filtrage pour la messagerie collaborative avec les solutions pour serveur Microsoft Antigen / Forefront 1

Qu’est ce que ? • Un site Web technique pour les administrateurs – http: //www. microsoft. com/france/technet/default. mspx • Une newsletter personnalisable – http: //www. microsoft. com/france/technet/presentation/flash/default. mspx • Des séminaires techniques toute l’année, partout en France – http: //www. microsoft. com/france/technet/seminaires. mspx • Des Webcasts accessibles à tout instant – http: //www. microsoft. com/france/technet/seminaires/webcasts. mspx • Un abonnement – http: //www. microsoft. com/france/technet/presentation/cd/default. mspx 2

Logistique Pause en milieu de session Vos questions sont les bienvenues. N’hésitez pas ! Feuille d’évaluation à remettre remplie en fin de session Commodités Merci d’éteindre ou de mettre en mode vibreur vos téléphones 3

Agenda • Introduction • Présentation générale des gammes de produits Forefront / Antigen • Protection antivirale et messagerie • Lutte anti-spam • Administration centralisée et supervision • Autre produits des gammes Antigen / Forefront – Protection du travail collaboratif • Ressources utiles • Questions / Réponses 4

Introduction 5

Menaces et risques sur les systèmes d’informations • Les systèmes d’informations des entreprises sont des cibles classiques pour les codes malicieux et le contenu inapproprié: – – – – • Virus Vers Robots (Bot-nets) Chevaux de Troie Spam Spim Phishing Contenu offensant En 2004, 78% des entreprises ont été touchées par des virus, et 37% ont remonté des accès non-autorisé aux informations --2004 CSI and FBI Computer Crime and Security Survey La messagerie (asynchrone ou instantanée) est un vecteur majeur pour ces menaces. Le travail collaboratif est en train de le devenir. Tout cela sans oublier bien entendu, le facteur humain (curiosité, crédulité social engineering) 6

Spam • On estime que 70 à 75% des courriers électroniques envoyés sur Internet sont non sollicités. • Le Spam existe aujourd’hui parce que cela fonctionne ! Il est économiquement viable en dépit du faible taux de réponse (environ 1 pour 100 000) • Le Spam ne pourra jamais être complètement éradiqué – Comme la publicité dans les boites aux lettres postales – La catégorisation parfaite n’est pas une solution • Le Spam va atteindre un point de saturation et le taux de réponses est en baisse grâce à : – L’amélioration des technologies anti-spam – La création de lois permettant des actions en justice – La diminution des rendements financiers 7

Quelques chiffres : spam et virus “La plupart des virus est conçue pour se propager via la messagerie… En 2005, 86% des virus ont utilisé le mail comme vecteur de propagation…” -- The Radicati Group, Inc. , E-mail Security: Appliances, Software and Services, 2005 - 2009 900 millions de virus et 52. 4 milliards de spam sont envoyés chaque jour. Le trafic de virus s’est accru de 80% en 2005! -- The Radicati Group, Inc. , E-mail Security: Appliances, Software and Services, 2005 - 2009 8

Phishing • Un e-mail qui se fait passer pour un message légitime provenant d’un site web reconnu (banque, site de commerce électronique) • L’objectif est de collecter (ou plutôt voler) de l’information afin généralement de s’en servir à des fins d’ursupation d’identité • Les adresses des expéditeurs sont ursurpées • Le courrier contient le plus souvent une URL compromise (Trojan URL) qui mène au site de l’attaquant • Le phishing est donc une escroquerie utilisant la crédulité (social engineering) et/ou la non compétence des utilisateurs 9

Quelques exemples de Phishing 10

Risques liés à la messagerie et aux outils de travail collaboratif • Confidentialité – Atteinte au contenu des messages – Vol d’informations de l’entreprise – Vol d’informations personnelles (Phishing) • Intégrité – Usurpation d’identité (Spoofing) – Atteinte aux données de l’entreprise (attaques virales…) – Compromission du serveur (virus, cheval de troie. . . ) • Disponibilité – Déni de service (DDOS, mail bombing…) – Surconsommation de ressources (Spam…) 11

Présentation générale des gammes de produits Forefront / Antigen 12

Historique: Sybari Software • Société créé en 1994 et acquise par Microsoft en juin 2005. • Plus de 10. 000 clients dans le monde • Éditeur spécialisé dans le développement de solutions anti-virus et antispam pour les environnements de messagerie et de travail collaboratif. • Pas de protection des postes de travail ou serveurs de fichiers. • Les logiciels Microsoft Antigen sont intégrés de manière définitive au catalogue et à la tarification Microsoft depuis le 1 er juillet 2006 • Les nouvelles versions des produits de la gamme Antigen ont été renommées Forefront Security for XXX. 13

La sécurité de la messagerie et du travail collaboratif Les solutions de sécurité de Microsoft Forefront / Antigen permettent aux entreprises de protéger leurs serveurs de messagerie et de travail collaboratif contre les derniers virus, vers, spam et contenus inappropriés. Protection Avancée Différents moteurs d’analyse à différents niveaux de l’infrastructure de messagerie et du travail collaboratif fournissent une protection maximale contre les menaces par les mails. Réduction du risque et amélioration de la productivité Performance et contrôle L’intégration étroite avec Microsoft Exchange, les serveurs Windows de type SMTP et les serveurs LCS et Sharepoint maximise la disponibilité, la performance et le contrôle. Protection des investissements IT Contenu sécurisé Les entreprises peuvent éliminer les languages et les pièces jointes dangereuses provenant des communications internes et externes. Renforce la politique de sécurité de l’entreprise 14

Sécurité des serveurs de messagerie et de collaboration Live Communications Server Share. Point ISA Server Collaboration SMTP Server Internet Périmètre Virus Vers Spam SMTP Server Exchange Server E-mail Administration / Supervision Utilisateurs Virus Vers Contenu inapproprié Microsoft Operations Manager + console centralisée 15

La gamme Forefront 2004/2005 2006 H 2 2006 2007+ Client Serveur Périmètre Produits de protection dédiés à la messagerie collaborative 16

La gamme Microsoft Antigen pour les serveurs de messagerie u u u u Antivirus et filtrage de contenu pour Exchange 2003 et 2000 Stoppe les menaces qui ont passé la périphérie et/ou qui contiennent des menaces internes Antivirus et filtrage de contenu pour Windows Server 2003 et 2000 SMTP Gateways Stoppe les menaces avant qu’elles n’atteignent les ressources de messagerie internes et les utilisateurs Anti-spam et filtrage de contenu pour les serveurs Windows de type SMTP et les serveurs Exchange Stoppe le spam avant qu’il n’impacte la performance du réseau et la productivité de l’utilisateur Gestion centralisée pour les serveurs Antigen / Forefront 17

Forefront Security For Exchange • Version dédiée à Exchange Server 2007 • La licence donne droit aux versions précédentes • Inclut: – Anti-virus: 9 moteurs (8 quand les 2 moteurs de CA auront fusionné) – Filtrage de contenu – La partie anti-spam est incluse dans Exchange 2007; Forefront ajoute des caractéristiques + mises à jour plus fréquentes + 18

Les gammes Antigen / Forefront pour les serveurs de collaboration u u Antivirus et filtrage de contenu pour Share. Point Portal Server et Windows Share. Point Service Aident à stopper les menaces et le contenu inapproprié posté dans les librairies de documents Antivirus et filtrage de contenu pour Microsoft Live Communications Server Aide à stopper les menaces et le contenu inapproprié des conversations instantanées et des transferts de fichiers 19

Nouveautés sur la gamme Microsoft Antigen v. 9 et Forefront • Nouvelle marque avec logos Microsoft. Nouvelle politique de licences – Depuis le 1 er juillet 2006 • Passage des produits au SDL (Security Design Lifecycle) • Amélioration de la protection – Intégration du moteur antivirus de Microsoft sur les produits en version 9. 0 et + – Amélioration des analyses anti-spam – Nouvelles fonctions d’analyse du contenu • Amélioration de la disponibilité – Certains produits sont désormais « cluster aware » • Nouveaux outils d’administration centralisée 20

Sécurité accrue par défaut • Réduction des privilèges système pour les processus et services Antigen – Tous les processus s’exécutent sous le compte Local Service – Tous les privilèges non nécessaires ont été retirés • Changement des paramètres par défaut : “skip” devient “delete” pour : – Action sur les erreurs du moteur d’analyse – Action en cas de timeout avec le moteur d’analyse temps réel • Le paramètre par défaut pour Default for Delete Corrupted Compressed Files passe de “off” à “on” 21

Protection antivirale et messagerie 22

Traitement des messages - principe Filtrage antispam Filtrage entête Analyse de pièces jointes Fichiers non compressés: listes blanches • Filtrage Emetteur/Domaine • Analyse du spam • Filtrage Ligne d’objet • Filtrage pièces jointes • Vérification des • Filtrage RBL • Analyse des vers Analyse du corps de message • Filtrage de mots • Analyse anti-virus Fichiers compressés: • Filtrage nom pièce jointe • Analyse de l’archive 23

Antigen for Exchange Internet • S’appuie sur VSAPI (Virus Scanning API) pour l’analyse • Détecte et supprime les virus dans les courriers électroniques et les pièces jointes ISA Server – Analyse le stack SMTP et la banque d’information d’Exchange – Fournit une analyse temps réel, lors de l’accès Exchange Site 1 et à la demande de la banque d’information d’Exchange Prise en compte des groupes de stockage multiples ainsi que leurs bases de données associées Possibilité de configurer chaque groupe de stockage indépendamment aussi bien pour l’analyse temps réel que l’analyse à la demande • Protection complète d’OWA Exchange Front End Exchange Site 2 Exchange Public Folder Server Exchange Mailbox Server 24

Antigen for SMTP Gateways • Protège le trafic SMTP transitant par ISA et les relais SMTP Windows • Analyse le stack SMTP pour désactiver les menaces dans un message pendant la phase de routage • Analyse du corps du message activée par défaut pour détecter les virus embarqués (ex: virus HTML au format MIME) • Intègre les techniques d’analyse (filtrage de mots, anti-spam et autres) pendant le routage • Notifie pro-activement les administrateurs des détections par mail ou via les journaux d’évènement Pare-feu ISA ou passerelle SMTP, serveur de routage Serveur Exchange utilisateur 25

Forefront Security for Exchange • Version succédant à Antigen for SMTP et Antigen for Exchange. Forefront Security for Exchange Server est dédié exclusivement aux environnements Exchange 2007. Il utilise l’API “Exchange Virus Scanning Application Programming Interface” (VSAPI) qui lui permet une bonne intégration avec Exchange. • Forefront Security for Exchange intègre une nouvelle logique d’analyse qui ne « rescanne » pas un courrier qui aurait déjà été analysé (Edge <-> Hub <-> Information Store). Cela permet d’optimiser les performances des serveurs de messagerie. • Version 64 bits • Localisé en 11 langues (dont le français) 26

Approches antivirus pour le courrier électronique Internet Solution mono-éditeur d’éditeurs Même moteur antivirus, multiples Virus Worms Spam AV AV ISA Servers Windows SMTP Servers AV AV AV Exchange AV AV AV technologies heuristiques • Différents moteurs AV, et de Signatures sur tous les postes technologies heuristiques et deet serveurs. signatures sur les serveurs et les • Tributaire postes clients d’un lab pour les mises jour de signatures • Coût àd’acquisition et de lors d’une attaque maintenance élévéde vers ou de virusde complexité (filtrage, • Ajout à jour…) • mise Risque de mise en attente • Risque d’échecsur et les de mise en des documents attente des documents sur les serveurs critiques lors des serveursdecritiques. phases mises à jour (ex: Exchange) AV AV 27

Une solution optimale: Un éditeur, des technologies multiples • Utiliser la solution d’un éditeur qui intègre les moteurs AV des laboratoires les plus reconnus au monde et qui fournit l’ensemble des mises à jour depuis un point central • Gère plusieurs moteurs antivirus sur les serveurs de messagerie et de travail collaboratif • Inclut l’anti-spam, le filtrage pour une protection complète AV AV AV Central Mgt AV Anti-spam Antivirus Policy Mgt Exchange Server/ Windows SMTP Server 28

Pourquoi déployer plus d’une solution antivirus? • Des moteurs AV développés indépendamment ont des points forts (et points faibles) différents • Lors d’une attaque, les éditeurs ont un temps de réactivité différent selon : – – le lieu de départ de l’attaque de l’heure de la sévérité de leur capacité à créer et distribuer les signatures. • Pour obtenir un meilleur taux de détection au global. 29

Les moteurs antivirus des partenaires de Microsoft Antigen 2 moteurs (qui vont fusionner) 30

Pourquoi utiliser plusieurs moteurs AV? • Protection contre le crash – Si un moteur « se plante » , les autres moteurs restent actifs et continuent à scanner. • Protection contre des signatures inopérantes – Lors de la mise à jour d’un moteur, le moteur est déchargé de la mémoire, mis à jour, testé et réactivé. Si la mise à jour échoue à une de ces étapes, Antigen fait un retour arrière à la mise à jour antérieure et envoie une notification. • Protection lors de la mise à jour – Lors de la mise à jour d’un moteur, les autres moteurs prennent le relais sur l’analyse garantissant ainsi le même niveau de protection. Les messages ne sont ni mis en attente pour analyse, ni routés sans être analysés. . 31

Analyse des vers u Supprime complètement les messages contenant des vers u La Sybari Worm List (wormprge. dat) supprime tout message correspondant à un ver connu Ø u Capacité à éradiquer tous les virus / vers Ø u L’utilisateur ne reçoit rien, même pas une notification Cela peut être réalisé en créant une liste de vers personnalisée ( custom Worm List) avec un simple (*) pour correspondre à l’ensemble des codes malicieux détectés Les messages nettoyés des vers ne devraient pas être mis en quarantaine Ø Car ces messages n’ont aucune valeur 33

Gestionnaire de moteurs - Option Bias Scan Engine 2 Scan Engine 1 Scan Engine 2 Scan Engine 3 Scan Engine 4 * Les moteurs utilisés ne sont pas toujours les mêmes. Ils sont désignés dynamiquement. Scan Engine 4 Max Certainty: utilise tous les tous moteurs Certainty: utilise les(100%) moteurs (100%) Favor Certainty: utilise 75%75% desdes moteurs disponibles Favor Certainty: utilise moteurs disponibles Neutral: utilise 50%des moteurs disponibles Neutral: utilise environ 50% moteurs disponibles Favor Performance: utilise 25%25% desdes moteurs disponibles Favor Performance: utilise moteurs disponibles Max Performance: utilise un moteur pour chaque scan Performance: utilise un moteur chaque 34

Moteurs AV Gestionnaire de moteurs multiples • Gère l’utilisation des moteurs AV fonction de: – Niveau sélectionné dans l’option ‘bias’ – Statistiques des analyses précédentes • Option Bias – Max Performance • Un moteur utilisé – Neutral • Le nombre de moteurs nécessaire pour atteindre 50% de confiance – Max Certainty • Tous les moteurs activés sont utilisés 35

Analyse et performances • Analyse aussi bien au niveau SMTP que de la banque d’information – SMTP: Fournit une protection maximum en terme d’analyse (Max Certainty bias) – Banque d’information: choix (et paramétrage associé) entre sécurité et performance (Neutral bias) • Analyse en mémoire – Allocation dynamique de la mémoire pour un impact minimum sur les performances du serveur – Elimine l’étape d’extraction des données sur disque pour l’analyse – Possibilité d’accroître le nombre de process (threads) 36

Analyse en mémoire Aperçu • Antigen / Forefront analysent les pièces jointes en mémoire, plutôt que de les extraire sur disque. – Performances accrues • La mémoire est allouée dynamiquement fonction de la taille du message et de la pièce jointe. EXE 432 kb EXE Scanning Memory Return to Pool Allocation Available Memory Process Pool 37

Analyse en mémoire Limitations • Antigen utilise un maximum de 3 Go de mémoire – Ceci est l’espace mémoire maxi disponible dans un environnement 32 -bit • 4 Go au total, mais 1 Go réservé pour l’OS • Que se passe-t-il si la taille de la pièce jointe excède le total de mémoire? – Il existe un certain nombre de paramètres permettant d’y pallier: nombre d’imbrications max de fichiers compressés, taille maxi d’un fichier compressé etc…. 38

Support amélioré du cluster Nœud actif Nœud passif Registry key checkpointing Antigen DBs Engines Exchange Virtual Server (EVS) Shared drive space u u Antigen for Exchange 9. 0 et + est compatible avec les clusters MSCS Antigen est une ressource cluster avec la configuration stockée dans le quorum. Tous les fichiers critiques, informations dans le Registre, base de données sont synchronisés entre les noeuds grâce à EVS et la réplication de clés. Utilise la clé de registre Database. Path pour localiser le disque partagé Support du mode Actif / Passif uniquement. 39

Contrôle de contenu • Le filtrage de contenu élimine le contenu non-approprié – Le filtrage lexical défini par les administrateurs permet de bloquer: • Grossièretés • Contenu légal ou racial douteux • Informations confidentielles de l’entreprise – Le filtrage de contenu protège: • Le contenu des corps / sujets de messages (email) • Les documents dans les bibliothèques Share. Point • Les chats et tranferts de pièces jointes dans la messagerie instantanée 40

Contrôle de contenu • Le filtrage de pièces jointes bloque de manière proactive le type de fichiers potentiellement dangereux – Bloque aussi bien par extension que fonction du type réel de la pièce jointe • Qu’il existe ou non une signature de virus – Fichiers couramment bloqués: EXE, COM, PIF, SCR, VBS, VBE, SHS, CHM, REG et BAT – Décompresse et recompresse les fichiers ZIP, ne supprimant que les fichiers devant être bloqués – Création de liste(s) blanche(s) possible pour des émetteurs de confiance – Permet de dissocier les filtres pour les flux entrants, sortants ou internes à l’entreprise 41

Gestion des notifications • Antigen 9 et Forefront offrent un système de notification granulaire – Notifications pour les mots clés: administrateur, expéditeurs/destinataires, interne/externe – Notification pour le contenu (sujet, boite bloquée): administrateur, expéditeurs/destinataires, interne/externe – Spam/RBL notification à l’administrateur • Les utilisateurs peuvent maintenant recevoir des notifications très spécifiques leur expliquant pourquoi ils ne respectent pas la politique de filtrage du contenu – Des messages différents pour l’interne et l’externe sont utiles pour la gestion de la politique 42

Gestion des notifications 43

Action sur les entêtes MIME illégales • Dans les General Options une nouvelle option permet de gérer l’action à réaliser pour des entêtes MIME illégales – Conditions pour la purge et la mise en quarantaine • Les entêtes MIME illégales sont les entêtes qui ont plusieurs Content-Type, Content-Transfer Encoding, or Content. Disposition headers; ou les messages où l’entête Content. Disposition ou Content-Type header est plus long qu’il ne devrait l’être – La purge est activée par défaut • Désactivable via les options générales – La mise en quarantaine est activée par défaut • Désactivable via une clé de Registre 44

Action sur les entêtes MIME illégales 45

Automatisation et signature des mises à jours des moteurs AV www. microsoft. com Internet maj moteur partenaire Antigen Engine Adaptor 46

Fonctions retirées dans Antigen 9. 0 et Forefront • Antigen Central Manager (ACM) – Antigen Enterprise Manager (AEM) fournit désormais toutes les fonctionnalités disponibles dans ACM • Antigen Quarantine Manager (AQM) – fournit désormais toutes les fonctionnalités disponibles dans ACM • ESE Support – Lors d’une mise à jour (upgrade) de version, les serveurs en mode ESE sont basculé vers le mode VSAPI mode sans notification • Support de Windows NT 4. 0 et d’Exchange Server 5. 5 • Mise à jour des moteurs par FTP 47

Lutte anti spam Antigen Spam Manager, Exchange IMF 48

Traitement des messages - principe Filtrage antispam Filtrage Entêtes Analyse de pièces jointes Fichiers non compressés: listes blanches • Filtrage Emetteur/Domaine • Analyse du spam • Filtrage Ligne d’objet • Filtrage pièces jointes • Vérification des • Filtrage RBL • Analyse des vers Analyse du corps de message • Filtrage de mots • Analyse anti-virus Fichiers compressés: • Filtrage nom pièce jointe • Analyse de l’archive 49

Méthodes de lutte contre le spam • Définir des objectifs pour l’entreprise • Eduquer les utilisateurs !!! – Ne pas utiliser l’adresse mail de l’entreprise à des fins privées (navigation web, forum. . . ) – Ne pas ouvrir un message ou cliquer sur un lien sans au préalable penser aux conséquences. . . • Mettre en œuvre une (ou plusieurs) solution(s) pour lutter contre le spam. . . – Services externalisés – Passerelle(s) SMTP filtrante(s) – Fonctionnalités anti-spam intégrées au serveur de messagerie – Fonction anti-spam sur les clients 50

Technologies anti-spam • Parmi les logiciels du marché, il existe plusieurs technologies pour lutter contre le spam: – – – Listes RBL Filtrage de contenu Checksum Filtrage Bayesien Analyse heuristique Technologie RPD • Ces technologies ont un certain nombre de limitations. • La plupart des solutions anti-spam du marché reposent sur une combinaison de ces technologies. 51

Les solutions Microsoft pour combattre le spam • Dans Exchange 2003 SP 2 et Exchange Server 2007, plusieurs fonctions : - Filtrage (connexion, émetteur, destinataire) - Sender ID - Intelligent Message Filter (IMF) • Antigen Advanced Spam Manager (ASM) Combine 3 technologies: – Intégration du moteur anti-spam Spam. Cure (Mail-Filters) – Realtime Black List (RBL) – Filtrage: ligne d’objet, corps du message, pièce jointe… ASM est compatible avec IMF • Microsoft Exchange Hosted Services (ex Front. Bridge) • Offre de services externalisés de filtrage, archivage et continuité. 52

Lutte anti-spam avec Exchange E-mail entrant Filtrage au niveau connexion Filtrage niveau protocole Filtrage niveau contenu Outlook Boite de réception Outlook Courrier indésirable 53

(1) Filtrage au niveau connexion ► Listes d’adresses IP autorisées / refusées – Bloquer ou autoriser les connexions avant d’accepter le contenu des messages – Support des listes publiques (Real-time Block List) – Est prioritaire à toutes les autres fonctions anti-spam – Peut-être configuré pour fonctionner derrière des relais SMTP (nécessite Exchange 2003 SP 2 mini et que les entêtes de messages soient acceptées) ► Microsoft IP Reputation Service (Exchange 2007) – Réputation des émetteurs construite à partir des données d’Hotmail – Distribué via des packages Microsoft Updates 54

(2) Filtrage au niveau protocole ► Filtrage d’expéditeurs : – Filtrage de messages basé sur l’expéditeur ou le domaine SMTP – Filtrage de messages SANS expéditeur ► Filtrage de destinataires : – Filtrage de messages adressés à un destinataire particulier – Coupure de la connexion après remise de 20 messages non résolus – Utilisation de certaines DL restreinte aux utilisateurs authentifiés ► Edge. Sync maintient la liste destinataires possibles sur le serveur en périmètre (Exchange 2007 dans son role Edge) ► Sender. ID permet de protéger l’identité du domaine de mail en spécifiant des enregistrements DNS (SPF). Permet de mieux identifier les émetteurs et lutter contre l’usurpation d’identité 55

(3) Filtrage au niveau du contenu ► Exchange Intelligent Message Filter – Filtre Anti-Spam intégré à Exchange Server 2003 depuis le SP 2 – Technologie « Smart. Screen » de MS Research, basée sur l’analyse de millions de messages (utilisateurs Hotmail) – Mise à jour 2 fois par mois (via Microsoft Update) – Intègre une technologie anti-phishing ► Basé sur une analyse heuristique et des listes blanche et noire (sources : Hotmail et tierces parties) ► Phishing Confidence Level (PCL) avec une classification 1 -8 (plus c’est élevé = plus c’est néfaste) ► Appliqué si possible au niveau périmètre (rôle Edge d’Exchange 2007) ► Suppression des liens Web dans les courriers 56

(3) Filtrage au niveau du contenu (Suite) ► IMF permet de définir un niveau de « Spam Confidence Level » (SCL) pour chaque courrier – Le PCL (Phishing Confidence Level) influe sur le SCL – 2 niveaux de SCL configurables : ► Filtrage au niveau passerelle : archiver, supprimer, ne rien faire, rejeter ► Filtrage dans la boîte aux lettres : «Courrier indésirable» ► Création possible de ‘Custom Weight List’ ( affecte le SCL) – Liste pouvant être créée pour bloquer des messages en fonction de mots/expressions dans le sujet et/ou le corps du message – Saisie manuelle des données – Fichier XML MSExchange. Uce. Content. Filter. xml 57

(3) Filtrage au niveau du contenu (Exchange 2007 – anti-spam protection services) • Nouvelle version d’IMF (v 3) disponible avec Exchange 2007 • Mises à jour régulière de Microsoft Anti-spam au travers de Microsoft Update Services (avec support de WSUS). – Microsoft Exchange 2007 Standard : le filtre Anti-spam a des mises à jour toute les 2 semaines. – Le service premium d’anti-spam de Forefront Security For Exchange est mis à jour tous les jours – Le service Premium inclus les mises à jour des signature de Spam et du service de réputation IP (adresses IP connues pour être des spammeurs). Pour utiliser le service premium, il faut avoir une CAL (Client Access Licence) Exchange Entreprise • Safelist agregation – Dans Exchange Server 2007, le filtre de contenu (Content Filter Agent) sur le serveur Edge (Relais SMTP sécurisé en DMZ) utilise la liste des expéditeurs approuvés déjà dans Outlook 2003/2007 58

Spams et mise en quarantaine ► Nouveauté Exchange Server 2007 ► Les messages qui dépassent un seuil de SCL (Spam Confidence Level) peuvent être délivrés dans un magasin de mise en quarantaine SPAM (Spam Quarantine Store) – Le magasin est une boite aux lettres Exchange 2007 spécifique ► La gestion de la quarantaine est faite uniquement par les administrateurs – – Pas d’interface pour les utilisateurs Le répertoire courrier indésirable d’Outlook ou d’OWA est la seule interface disponible ► Recherche et de ré-envois – Visualisation de la quarantaine, recherche possible – Délivré comme NDRs, permet un ré-envoi – Le message récupéré est replacé dans son format original dans le flux de message 59

Configuration des seuils SCL ► Défini les actions à réaliser en fonction du niveau de SCL assigné à un message ► Ces seuils peuvent être paramétrés par destinataire 60

Antigen Advanced Spam Manager (ASM) • Pour les versions antérieures à Exchange Server 2007 • Utilise le moteur anti-spam Spam. Cure basé sur des signatures • Est compatible avec Intelligent Message Filter (IMF) – Marque les messages avec la notation Spam Confidence Level (SCL) – Fournit un niveau de protection additionnel • Analyse temps réel et filtrage de contenu • Permet aux administrateurs de créer des règles d’approbation et de rejet basées sur : – Les émetteurs – Les noms de domaine – Les adresses IP… 61

ASM & IMF (sur le même serveur) • Possibilité d’activer les SCL dans Antigen pour Exchange • Utilisation du dossier ‘Courrier indésirable’ d’Outlook 2003 Comment fonctionne la combinaison ASM / IMF ? • • ASM positionne le SCL à 9 pour tout ce qui est considéré comme spam et à 0 pour tout le reste. Sur un même serveur, IMF analyse avant ASM Seul un SCL peut être appliqué Une note élevée ‘écrase’ toute note inférieure – Le SCL avec le plus de confiance l’emporte – Exemple: si IMF définit un SCL de 6 et que Spam. Cure détermine que le message est spam, le SCL final sera de 9 – If IMF détermine qu’un message est spam, mais pas Spam. Cure, alors le SCL donné par IMF ne change pas. 62

Administration centralisée et supervision Antigen Entreprise Manager (AEM) Forefront Security Management Console (FSMC) Microsoft Operation Manager (MOM) 63

Antigen Entreprise Manager (AEM) Forefront Security Console (FSMC) u u u Déploiement et configuration centralisés des serveurs Antigen 9. 0 / Forefront (avec FSMC) Gestion de la quarantaine distribuée Gestion des journaux Beta 2 mi-2007 SMTP Servers Exchange Servers 64

Antigen Enterprise Manager (AEM) • Gestion distribuée des quarantaines – Possibilité de consolider les données depuis plusieurs serveurs Antigen gestion centralisée plus simple – Possibilité de filtrer les données sur des périodes de temps – Possibilité de trier et filtrer plusieurs champs – Capacité à délivrer des messages depuis la quarantaine • Administration et configuration à distance – – Déclenchement planifié ou manuel d’opérations (job) Modification des paramètres dans les options générales Facilite les migrations et le déploiement Fournit la distribution centralisée des mises à jour pour réduire les fenêtres de vulnérabilité • Reporting – Récupération des fichiers journaux – Génération de rapports 65

Gestion distribuée des quarantaines 66

Déploiement et Configuration • Déploiement Centralisé – Déployer les nouvelles versions Antigen ou les correctifs sans redémarrage des services – Mettre à jour les moteurs AV sur un ou plusieurs serveurs à la fois – Vérifier les versions d’Antigen, des moteurs et signatures 67

Récupération des fichiers journaux • Depuis un ou plusieurs serveurs Antigen • Récupère les logs Program, les bases de données de Quarantaine et/ou les bases de données d’incidents – Les journaux Program Log sont récupérés sous forme de fichier TXT – La Quarantaine et les incidents sous la forme de fichiers CSV • Les journaux de plusieurs serveurs peuvent être rapatriés en même temps, cependant, il restent séparés – Il n’y a pas de fusion des données des machines Antigen – Un sous-répertoire est créé pour chaque serveur 68

Contrôle des tâches d’analyse • Permet de démarrer ou planifier un scan job depuis la console AEM • Utilise les paramètres qui sont définis sur le client Antigen 69

Paramètres options générales • Il est possible de modifier des paramètres de type General Options depuis la console AEM – Ces changement sont planifiables ou à la demande • Duplique tous les paramètres au travers du client Antigen • S’exécute sur un serveur ou un groupe de serveurs • Attention : utiliser cette fonctionnalité entraine la modification de tous les paramètres dans les options générales – Il n’est pas possible d’appliquer et de diffuser un changement sur un paramètre unique 70

Administration centralisée avec Sybari Entreprise Manager u u u Pour les produits en version 8. 0 Pour Antigen for Share. Point Pour Antigen for IM Sharepoint Live Exchange Servers / SMTP en Antigen V 8 Communication Server 71

Supervision avec MOM 2005 • Un Management Pack for MOM 2005 fournit l’état des services et composants d’Antigen, des données sur les performances, des assistants pour initialiser des tâches • Important : pas de reporting avec MOM, cela est effectué dans Antigen Entreprise Manager • http: //download. microsoft. com/download/6/9/d/69 db 7783 -fe 2 c-47369231 -0 ec 6 ceeeaca 4/Antigen_MOM. pdf • Microsoft Forefront Security for Exchange 10. 0 MOM 2005 Management Pack : http: //www. microsoft. com/downloads/details. aspx? Family. ID=231 E 11 A 8 -79 FA-4 B 5 E-98 B 6 -D 7 BA 8 F 7365 E 1&displaylang=en 72

Gestion des évènements 73

Tâche de mise à jour des moteurs 74

Autre produits des gammes Antigen / Forefront Protection de : • Share. Point Server et Windows Share. Point Services • Live Communication Server 75

Share. Point : une cible pour les virus ? • Les virus arrivent généralement par accident – Un utilisateur charge un document avec un contenu dangereux • Activité malveillante de la part de l’utilisateur • Risque dans un déploiement extranet – Les utilisateurs Windows XP mappent un lecteur sur \serversitesteamsite • Si un utilisateur est infecté par un virus qui tente de se propager par des partages réseau, alors le virus peut se propager sur les sites Share. Point • Share. Point peut être une cible bibliothèque de document SQL Share. Point Portal Server = Virus Macro Infectieuse Cheval de Troie Virus utilisant SQL Utilisateurs 76

Principes de défense antivirale et d’analyse du contenu d’un serveur Share. Point Bibliothèque • Protection antivirale pour les bibliothèques de document – Analyse tous les fichiers en upload voire en download dans les bibliothèques de documents – Analyse à la demande ou planifiée de tout ou partie des fichiers SPS (support de WSS et SPS/MOSS) de documents (SQL) Document Share. Point Server ou WSS • Mise en vigueur de politique sur le contenu – Filtrage de pièce jointe (nom, extension, type et/ou taille) pour empêcher les documents d’être postés sur le portail – Analyse de contenu pour des mots ou expressions non appropriés. Document Utilisateurs 77

Forefront ou Antigen ? io rs Ve ion rs Ve n 3 • Forefront Security for Share. Point et Antigen for Share. Point sont des produits de protection antivirale multi-moteurs pour les bibliothèques de documents Share. Point. • Quel produit pour quel Share. Point ? 2 78

Nouveautés de Forefront for Share. Point • Version réservée à Microsoft Office Share. Point Server 2007 et WSS 3. 0. Pour les versions précédentes, utiliser Antigen for Share. Point (ex Sybari). • Moteur antimalwares de Microsoft • Support de nouveaux formats (. xls, formats Office 2007) • Version 64 bits • Versions localisées (11 langues dont le français) • Analyse de mots clés au sein des documents (y compris dans les archives XML) • Support des documents protégés avec IRM (RMS) 79

Les moteurs d’analyse antivirus 80

Analyse en temps réel Nettoyage ou suppression des documents pour le scan en temps réel 81

Analyse manuelle Sélection granulaire de fichiers dans l’arborescence Share. Point pour les scans manuels Simple détection, nettoyage ou suppression du document pour les scans manuels Pendant un scan manuel, les fichiers supprimés peuvent être remplacés par un fichier texte personnalisable de manière à maintenir les bonnes versions de document au sein de la bibliothèque Share. Point. 82

Antigen for Instant Messaging • Analyse en temps réel des conversations IM – Supporte LCS 2005 pooling, PIC, le transfert et les conversations encryptées – Analyse IM Public via IM Logic IM Manager et LCS PIC support – Bloque les messages instantanés contenant des liens potentiellement dangereux • Analyse à la recherche de mots/expressions non autorisés dans les conversations et les documents Client messagerie instantanée externe Pare-feu Live Communications Server • Permet aux administrateurs de créer des listes blanches se reposant sur des émetteurs ou destinataires. Microsoft Office Communicator Windows Messenger Clients 83

Antigen for Instant Messaging 84

Synthèse 85

Protection de la messagerie (cas Exchange 2000/2003) Services hébergés Pare-feu réseau et applicatif Passerelle SMTP Filtrante Serveur de messagerie 86

Protection de la messagerie (cas Exchange 2007) Services hébergés Pare-feu réseau et applicatif Passerelle SMTP Filtrante Serveur de messagerie 87

Ressources utiles • Portail Forefront sur le site de Microsoft France – http: //www. microsoft. com/france/forefront/ • Portail Forefront sur le site Microsoft US – http: //www. microsoft. com/forefront • Démonstrations (US) – http: //www. microsoft. com/antigen/prodinfo/demo/default. mspx • Versions d’évaluation – http: //www. microsoft. com/antigen/downloads/trial-software. mspx 88

Ressources utiles • Forefront Security for Exchange Server Tech. Center : http: //www. microsoft. com/technet/forefront/serversecurity /exchange/default. mspx • Forefront Security for Share. Point Tech. Center : http: //www. microsoft. com/technet/forefront/serversecurity /sharepoint/default. mspx • Forefront Server Security Management Console : http: //www. microsoft. com/forefront/serversecurity/mgmt/d efault. mspx 89

Questions / Réponses 90

Votre potentiel, notre passion © 2007 Microsoft France TM 91

Slides supplémentaires En cas de questions sur Microsoft EHS 92

Solution Exchange Hosted Services 93

Microsoft Exchange Hosted Services proposés par Microsoft en mode hébergé Filtrage: Anti-Spam, Anti-virus (4 moteurs), filtrage de contenu Continuité de service (plan de reprise d’activité) Archivage des emails: répondre aux besoins d’archivage légal… Chiffrement pour les emails de personne à personne sans déploiement de logiciel client Bénéfices Libère des ressources IT Optimise l’infrastructure Améliore la disponibilité Renforce la sécurité 94

L’infrastructure la plus disponible du marché 12 Centres de Données Activation par changement du MX record 4 000 clients (de 5 à 100 000 utilisateurs) +2 millions de boîtes aux lettres sécurisées +6 milliards de messages par mois Des garanties contractuelles (SLA) 99, 999% de disponibilité Temps de latence Filtrage de 100% des virus 95% spam intercepté Taux de faux positifs < 1/250, 000 95

Service de Filtrage Traitement en amont Anti-Spam Anti-Virus Politiques de sécurité Disaster Recovery Outils de quarantaine 96

Exemple 1: Client français, 25, 000 utilisateurs 97

Magic Quadrant du Gartner Dans sa dernière publication, le cabinet Gartner a positionné Microsoft dans le quadrant des Leaders du « Quadrant Magique 2006 des solutions de protection de systèmes de messagerie » 98

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www. microsoft. com/france 0 825 827 829 msfrance@microsoft. com 99