Проверка на вредоносные программы с помощью шлюза Microsoft Forefront Threat Management Gateway (TMG)

Новый выпуск Microsoft Forefront Threat Management Gateway Medium Business Edition (TMG MBE), доступный как в составе Essential Business Server, так и в качестве автономного программного продукта, предоставляет значительные усовершенствования для эксплуатации службы брандмауэра корпорации Майкрософт. Одним из наиболее важных компонентов этого нового брандмауэра является возможность проверять проходящий через него трафик HTTP на присутствие вредоносных программ. С помощью этого компонента вы сможете выполнить следующее.

• Повысить возможность защиты своей внутренней сети от поступающих из сети Интернет вредоносных программ.
• С помощью центра обновлений TMG поддерживать границу сети в обновленном состоянии с точки зрения новейших сигнатур вредоносных программ.
• Следить за подозрительным трафиком посредством наблюдения в режиме реального времени за записями журнала и получать результирующую статистику по вредоносным программам с помощью нового набора отчетов.

Такой подход позволяет уменьшить потенциальные угрозы в проходящем через границу сети трафике HTTP посредством добавления нового слоя безопасности к решению, противодействующему вредносным программам. Необходимость в антивирусной программе на клиенте и сервере не исчезает, но, поскольку эта проверка выполняется до того, как клиентская рабочая станция получает данные, угроза со стороны вредоносных программ значительно уменьшается.

Это особенно полезно, если в вашей сети имеются не управляемые компьютеры, например, гостевые компьютеры. С помощью Forefront TMG вам обеспечено, что, если эти компьютеры попытаются загрузить подозрительный файл, он будет заблокирован даже если на не управляемом компьютере не работает антивирусная программа.

Принцип работы проверки на вредоносные программы

Когда пользователь получает доступ на веб-узел и пытается загрузить файл, TMG перехватывает этот трафик и проверяет, активирована ли функция проверки на вредоносные программы в правиле, позволяющем пользователю получать доступ к целевому узлу. Если это так, TMG начинает проверку. (Очевидно, что если эта функция не активирована, TMG не будет проверять трафик.) На рис. 1 подводится итог работы основного потока проверки на вредоносные программы во время загрузки файла клиентом.

1. Клиент отправляет на целевой веб-узел запрос HTTP для загрузки файла.
2. Forefront TMG принимает запрос, определяет, соответствует ли ему какое-нибудь правило, и, если в данном правиле активировани проверка на вредоносные программы, проверяет запрос на вредоносные программы.
3. Если запрос допустим и безопасен, Forefront TMG отправляет запрос на сервер назначения.
4. Сервер назначения получает запрос и отвечает соответствующим образом.
5. Forefront TMG получает ответ от сервера назначения и сначала обрабатывает его посредством модуля прокси.
6. Если в правиле указана проверка на вредоносные программы, модуль прокси отправляет тело запроса HTTP фильтру проверки на вредносные программы. Ответы объемом менее 64 КБ накапливаются в памяти. (Согласно статистике сети Интернет, примерно 98% загружаемых файлов имеют объем менее 64 КБ, и их можно проверять без использования дисковых операций ввода/вывода.) Фильтр проверки на вредоносные программы накапливает содержимое, синхронизируя загрузку и проверку, затем возвращает управление модулю прокси.
7. Если содержимое разрешено, Forefront TMG отправляет исходный файл пользователю. Если файл заражен и TMG не в состоянии очистить его, TMG отправляет пользователю страницу HTML с сообщением о блокировке содержимого.

Рис. 1 Поток проверки на вредоносные программы

Во время процедуры накопления (шаг 6) TMG создает комфортную для пользователя среду, используя один из следующих методов доставки содержимого.

• Страница HTML хода выполнения процесса, на которой отображается индикация динамики процесса и которая позволяет пользователю, когда проверка завершается, загрузить содержимое с машины TMG.
• Стандартный прием передачи, при котором сначала Forefront TMG отправляет содержимое клиенту с очень небольшой скоростью, а затем, по завершении проверки, отправляет данные с максимально большой скоростью.
• Быстрая передача, при которой параметр, определяемый вами, является числом, описывающим компромисс между характеристиками рабочей среды пользователя (меньший объем буферизации на Forefront TMG и больший объем проверок) и производительностью (больший объем буферизации на Forefront TMG и меньший объем проверок). Обычно это используется для мультимедийных файлов, воспроизводимых сетевыми проигрывателями (а не для потоковой передачи мультимедийного содержимого).

Для соблюдения стандартов, поддерживаемых другими решениями безопасности корпорации Майкрософт, компонент защиты от вредоносных программ, входящий в TMG использует преимущества того же модуля защиты от вредоносных программ (Malware Protection Engine — MPE), который используется в Forefront Client Security, Windows Defender и One Care. Далее в этой статье мы покажем способ поддержания определений в актуальном состоянии с помощью центра обновлений.

Настройка в TMG компонента проверки вредоносных программ

Для настройки проверки на вредоносные программы необходимо сначала активировать эту функцию на глобальном уровне, а затем также на уровне правил. Первое действие заключается в переходе на узел политик веб-доступа и выборе на панели задач и режима настройки проверки на вредоносные программы, как показано на рис. 2.

Увеличить

Рис. 2 Настройки веб-доступа

При этом открывается диалоговое окно, в котором предоставляется возможность активировать проверку на вредоносные программы глобально, как показано на рис. 3. В этом диалоговом окне представлены также другие настройки для проверки на вредоносные программы, для которых установлены значения по умолчанию. Некоторыми из этих настроек можно управлять на уровне правил доступа, в то время как некоторые можно устанавливать только на глобальном уровне.

Рис. 3 Настройка проверки на вредоносные программы на глобальном уровне

Вкладка «Исключения», показанная на рис. 4, дает возможность управлять тем, какие узлы освобождаются от проверки на вредоносные программы. Это можно проделать также с помощью настроек политик, но настройки, выполненные в данном диалоговом окне, переопределяют любое правило доступа: если узел здесь указан, он не будет проходить проверку на вредоносные программы даже если для него определена проверка на уровне правил. Такие глобальные настройки удобны для веб-узлов, размещаемых организациями в своей DMZ для внутренних пользователей или для любого другого доверенного и часто используемого узла.

Рис. 4 Исключенные узлы

Вкладка «Параметры проверки», показанная на рис. 5, позволяет указать, содержимое какого типа будет блокироваться. Можно определить действие по умолчанию для содержимого этого типа, например, должен ли Forefront TMG пытаться очистить инфицированное содержимое, а затем отправить его конечному пользователю, или содержимое будет полностью блокироваться без попытки очистить его.

Рис. 5 Настройка параметров проверки

Можно также выбрать возможность блокировки подозрительных, поврежденных или зашифрованных файлов, или файлов, которые не удается проверить. Предусмотрена возможность устанавливать ограничения на размер файлов с целью сохранения пропускной способности и предотвращения загрузки пользователями больших файлов или файлов, проверка которых требует много времени. Отметим, что эти глобальные настройки невозможны в правиле.

Вкладка «Доставка содержимого», показанная на рис. 6, дает возможность настраивать рабочую среду пользователя для этапа загрузки файла, включая указание того, будет ли конечный пользователь файлов, требующих для загрузки и проверки более 10 секунд (настраивается в COM), получать медленно поступающий ответ, либо страницу с уведомлением о ходе процесса. (Если процесс занимает 10 секунд или меньше, никакие уведомления не выдаются.)

Рис. 6 Указание способа доставки содержимого

Можно также, в противоположность медленным ответам, выбрать тип содержимого, для которого будут поступать уведомления, щелкнув для этого «Выбрать типы содержимого» и добавляя или удаляя типы содержимого в этом диалоговом окне. Эта настройка глобальная и не доступна на уровне правила.

На вкладке «Хранилище» определяется папка, в которой будут временно накапливаться файлы в процессе проверки и предоставления конечному пользователю. По умолчанию это папка %SystemRoot%\Temp, но ее можно заменить. И снова, это настройка является глобальной и не доступна на уровне правила.

Производительность проверки на вредоносные программы в Forefront TMG для содержимого, которое необходимо накапливать на диске, повышается, если эта папка и диски, используемые для страничного обмена ОС или ведения журнала Forefront TMG, находятся на разных дисководах. Если на сервере TMG имеется антивирусная программа, важно исключить эту папку из проверки, чтобы во время использования этих файлов сервером Forefront TMG их проверка не блокировалась антивирусной программой. Рекомендации относительно того, какие папки следует исключать, см. в разделе «Вопросы использования антивирусных программ на сервере ISA».

Настройка политики для веб-доступа

У администратора Forefront TMG имеется возможность настраивать правила, управляющие доступом пользователей в сеть Интернет, посредством политики веб-доступа или политики брандмауэра. При использовании политики веб-доступа правила явно разрешают только протоколы HTTP и HTTPS и позволяют администраторам разрешать или отказывать пользователям в доступе к веб-узлам. Это можно обеспечить также посредством правила доступа в политике брандмауэра, где можно вручную разрешить доступ HTTP и HTTPS в зависимости от источника, пункта назначения и пользователя. Отметим, что в правиле доступа отображается параметр проверки на вредоносные программы, только если в выбранные протоколы включены веб-протоколы.

Для активирования проверки на вредоносные программы на уровне правила можно установить флажок «Проверять содержимое, загружаемое с веб-серверов на клиенты», который находится в диалоговом окне «Свойства правила по умолчанию для веб-доступа». Имейте в виду, что эта проверка применяется только к содержимому HTTP, загружаемому по данному правилу. Проверку на вредносные программы, прежде чем ее можно будет применять на уровне правила, необходимо сначала активировать на глобальном уровне.

Центр обновлений

Forefront TMG поддерживает определения известных вирусов, червей и других вредоносных программ. Для поддержания этих важных определений в актуальном состоянии в Forefront TMG имеется встроенный централизованный механизм под названием «Центр обновлений», позволяющий администратору настраивать частоту обновлений, а также автоматическое действие по обновлению. Доступ к центру обновлений можно получить с консоли Forefront TMG.

На панели «Обновления определений» отображается состояние последнего обновления и время выполнения последней проверки на новые обновления. Для настройки параметров обновления предусмотрена панель задач справа. На рис. 7 показаны разные варианты обновлений определений, доступ к которым можно получить, щелкнув на панели задач «Настройка параметров обновления».

Рис. 7 Окно обновления определений

По умолчанию в Forefront TMG используется агент автоматических обновлений для извлечения обновлений из службы обновлений корпорации Майкрософт с целью обновления определений программ, противодействующих вредоносным программам. Агент обновлений использует сервер обновлений, выбранный по умолчанию на данном компьютере; следовательно, если компьютер использует обновления от служб WSUS (Windows Server Update Services), агент также будет получать обновления от WSUS, в противном случае он будет получать их непосредственно из центра обновлений Майкрософт. Эти транзакции записываются в файл %systemroot%\windowsupdate.log (как обычные обновления Windows).

Настройки для частоты в центре обновлений Forefront TMG не переопределяют настройки центра обновлений Windows. Это совершенно отдельные настройки; поэтому Windows загружает обновления программ, в то время как Forefront TMG загружает только сигнатуры.

Выбрав на панели задач «Поиск обновлений», можно инициировать поиск обновлений шлюзом Forefront TMG. Если обнаружены и установлены новые обновления, на вкладке «Предупреждения» отображаются информирующие предупреждения, как показано на рис. 8. Как можно видеть, в нижней части окна отображаются сведения об обновлении наряду с версиями обновленных файлов.

Увеличить

Рис. 8 Предупреждение фильтра проверки на вредносные программы

Тестирование и текущее наблюдение

После настройки параметров проверки и центра обновлений следующий этап состоит в тестировании функциональных возможностей. Предположим, что у вас имеется клиентская рабочая станция, получающая доступ к сети Интернет через TMG, на которую предполагается загрузить файл с веб-узла. Первым делом, прежде чем запускать загрузку файла, следует настроить текущее наблюдение в Forefront TMG посредством фильтрации адреса IP клиентской рабочей станции, которая пытается получить доступ к внешнему ресурсу, как показано на рис. 9.

Увеличить

Рис. 9 Текущее наблюдение за клиентской рабочей станцией, пытающейся загрузить файл

Для данного примера предположим, что клиент отправляет команду HTTP GET для files.fabrikam.com/suspicious.exe. Затем Forefront TMG оценивает запрос и после обнаружения того, что файл, указанный в запросе, является подозрительным, записывает в журнал событие «Сбой подключения» (см. рис. 10).

Увеличить

Рис. 10 Обнаружен подозрительный файл

Обратите внимание, что в столбце «Результат проверки на вредоносные программы» данный файл отнесен в категорию подозрительных; в столбце «Имя угрозы» указано имя вредоносной программы, а уровень угрозы признан серьезным. На панели сведений об ошибках приводятся более подробные сведения о причинах неудачи при попытке подключения.

Пользователь, пытавшийся загрузить файл, также испытывает последствия этой ошибки, но получает более описательное и понятное сообщение, поясняющее, что «доступ к подозрительным файлам блокирован в соответствии с настройками политики безопасности» (как показано на рис. 11). Такой подход дает возможность пользователю понять, что происходит и почему файл, к которому он пытается получить доступ, оказался недоступен.

Увеличить

Рис. 11 Понятное пользователю сообщение

Заключение.

Основная цель этой нашей статьи заключалась в том, чтобы объяснить, как использование компонента Microsoft Forefront TMG для проверки на вредоносные программы позволяет повысить безопасность границ сети. Этот компонент обеспечивает централизованный просмотр всего подозрительного трафика, который может проходить через брандмауэр, и дает возможность предпринимать действия на основе результатов этой проверки. Хотя этот подход важен для повышения безопасности рабочей среды, всегда сохраняется некоторое беспокойство относительно влияния данного метода на рабочую среду пользователя во время просмотра веб-страниц.

Microsoft Forefront TMG устраняет эти опасения, делая процесс проверки более прозрачным для конечного пользователя. Более подробные сведения см. в Документация по Forefront TMG в техническом центре Microsoft Forefront Edge Security.