29 июн. 2015 г.

G Data MailSecurity

Безопасность почтового сервера

Дополнительный модуль MailSecurity доступен для пользователей продуктов AntiVirus Business, Client Security Business, Endpoint Protection Business и Managed Endpoint Security.

Для того, чтобы полностью защитить пользователей от вредоносного программного обеспечения, установки решений безопасности только на конечные устройства иногда бывает недостаточно. Необходимо обеспечить фильтрацию угроз на ранней стадии, и, в этом случае, важным компонентом является защита почтового сервера. Такой модуль проверяет все входящие и исходящие сообщения на спам и наличие вредоносных программ.
То, как будет развернуто решение безопасности почтового сервера, зависит от текущей настройки почтового сервера. Даже для тех компаний, которые не имеют собственного почтового сервера, рекомендуется использовать постоянную проверку всей электронной почты. Это может быть достигнуто путем развертывания MailSecurity в качестве шлюза, который будет собирать сообщения с внешнего сервера POP3 и сканировать их до ретрансляции местным клиентам. Локальные почтовые серверы могут быть защищены с помощью MailSecurity в качестве шлюза на самом почтовом сервере, или же на выделенном почтовом шлюзе безопасности.
При использовании Microsoft Exchange Server, MailSecurity может быть установлен как плагин для версий Microsoft Exchange Server 2007 SP1, 2010, или 2013 (см. далее).

Exchange plugin

MailSecurity как плагин дополняет существующие рабочие процессы Microsoft Exchange. Глубоко интегрируясь с сервером, он обеспечивает прозрачную защиту от вредоносных программ: все входящие и исходящие объекты сканируются и передаются, только если они свободны от вредоносных программ.
Плагин устанавливается непосредственно на Exchange Server и управляется с помощью ManagementServer, его нового либо существующего экземпляра. Управление плагином осуществляется в консоли G Data Administrator, где, после установки и настройки MailSecurity появится дополнительный модуль, аналогичный клиентскому по представленным функциям. Для настройки MailSecurity используется модуль Exchange Settings, с помощью которого можно задать конфигурацию сканирования почты и контроля спама, а также обновлений сигнатур и программных файлов. По умолчанию, Exchange plugin будет автоматически обновляться при подключении к ManagementServer в интервале, определяемом в меню Настройка сервера – Синхронизация. Обновление вручную может быть инициировано в любой момент в модуле Клиенты, относящемся к MailSecurity.

Антивирус

Плагин MailSecurity для Exchange Server позволяет сконфигурировать сканирование различными способами. Сканирование по доступу обеспечивает постоянную защиту; сканирование по требованию может быть настроено для проверки определенных почтовых ящиков в определенное время.

Сканирование по доступу

Сканирование по доступу контролирует все входящие и исходящие сообщения электронной почты на сервере Exchange. Сообщения проверяются автоматически и становятся доступны для пользователей, только если они свободны от вредоносных программ. Этот режим работы плагина включается и настраивается на вкладке «Общие» настроек Exchange в G Data Administrator. Сканирование может осуществляться с использованием одного или двух антивирусных движков. Использование обоих движков обеспечивает оптимальную безопасность и является рекомендуемой опцией. Однако, если производительность сканирования снижается, один из движков может быть отключен. Это по-прежнему обеспечивает очень хороший уровень обнаружения угроз, вместе со снижением потребления ресурсов сервера. Производительность также может быть повышена путем выбора определенных типов файлов для проверки. По умолчанию проверяются все файлы, и при их значительном размере или большом количестве это может занять какое-то время.

Сканирование может быть ограничено только теми типами файлов, которые скорее всего могут быть заражены. Эвристика может быть использована для повышения эффективности обнаружения угроз, и, хотя эвристический анализ несколько увеличивает вероятность ложных срабатываний, в целом он значительно повышает уровень безопасности системы. Включение сканирования архивов несколько увеличивает время сканирования. Если зараженный файл в архиве не будет вылечен, архив целиком будет помещен на карантин вместе с сообщением электронной почты, в которое он был вложен. Опция проверки архивов может быть отключена, если все клиенты снабжены монитором файловой системы – тогда вредоносная программа будет определена при извлечении из архива.

При обнаружении вредоносной программы возможно несколько вариантов действий. Рекомендуется удалить угрозу или переместить ее в карантин, если удаление невозможно. Это позволит предотвратить потерю данных, насколько возможно, вместе с блокированием деятельности вредоносного ПО. В модуле «Отчеты» G Data Administrator можно увидеть подробности таких событий и исследовать файлы, помещенные в карантин. Кроме того, MailSecurity может удалить опасное вложение, удалить сообщение полностью, либо только протоколировать событие без блокировки сообщения. Немедленное удаление является рекомендуемым, но может привести к потере данных в случае ложного срабатывания. Протоколирование событий без лечения/удаления файлов не рекомендуется, поскольку в этом случае будут игнорироваться любые обнаруженные вредоносные программы. При этом, между формированием отчета о событии и реакцией администраторов на него, вероятно, пройдет какое-то время, в течение которого возможно распространение вредоносного ПО.

Сканирование по запросу

Модуль «Задания» для MailSecurity в G Data Administrator позволяет планировать однократные или периодические проверки, аналогично заданиям для антивируса с отличием в том, что проверки относятся не к объектам файловой системы, а к объектам Exchange – конкретным почтовым ящикам. Рекомендуется регулярно проводить проверки объектов Exchange Server, для чего можно запланировать периодические задания. При полной проверке всех объектов почты занимаются значительные ресурсы сервера. В связи с этим такие задания следует планировать на непиковые периоды, например, в выходные или ночью.

Антиспам

Большая доля почтового трафика состоит из спама. Многие из таких сообщений не содержат вредоносных программ, но все же являются нежелательными. Спам-фильтр, являющийся компонентом G Data Security Client, может удалять спам, и в ряде случаев это достаточно эффективно. Плагин MailSecurity для Exchange обеспечивает мощный спам-фильтр на уровне сервера, удаляя нежелательные сообщения прежде, чем они дойдут до клиентов. Антиспам для Exchange доступен только для серверов Exchange с ролью Hub Transport.

Все входящие электронные письма проверяются и классифицируются как безопасные, с подозрением на спам, с высокой вероятностью спама и наиболее высокой вероятностью спама. Безопасные сообщения доставляются клиентам немедленно, действия для оставшихся трех категорий могут быть сконфигурированы отдельно. Письма с подозрением на спам могут быть либо удалены сразу, либо перемещены в соответствующие папки «Спам» и «Карантин», после чего они могут быть обработаны вручную. Кроме того, к заголовкам сообщений может быть добавлен какой-либо префикс (например, [Спам]), для того, чтобы пользователи могли сразу идентифицировать нежелательные сообщения.

Когда сообщения перемещаются в папки Карантин или Спам, это отражается в модуле Отчеты. Некоторые параметры, такие как доставка или отклонение сообщений, могут генерировать большое количество отчетов.

В целях повышения производительности, для Exchange можно создать правило, согласно которому в папку «Спам» немедленно будут перемещаться сообщения, попадающие в какую-либо из настроенных в MailSecurity категорий. Для этого в консоли Exchange нужно выполнить скрипт:

[PS] $mailboxes = get-mailbox -resultsize unlimited | add-mailboxpermission -user <Account> -accessrights fullaccess [PS] $mailboxes | foreach { new-inboxrule -name "MoveToJunkFolder" -mailbox $($_.Alias) -MoveToFolder "$($_.Alias):\Junk-E-Mail" -HeaderContainsWords "X-G-Data-MailSecurity-for-Exchange-MoveToJunkFolder: True" -StopProcessingRules $true -confirm:$false -force } Здесь <Account> нужно заменить на имя пользователя, выполняющего сценарий.

В дополнение к настройке категорий фильтрации спама следует также использовать черный и белый списки, в которые могут быть добавлены адреса и домены для первоочередной обработки потока писем. Все входящие сообщения от адресов из белого списка будут считаться безопасными и сразу будут доставлены клиентам. Сообщения с адресов черного списка будут обрабатываться как письма с самой высокой вероятностью спама.

MailGateway

MailSecurity MailGateway обеспечивает защиту от вредоносных программ и фильтрацию спама и совместим со всеми почтовыми серверами. Модуль MailGateway интегрируется в процесс доставки электронной почты и сканирует почтовый трафик прежде, чем он будет доставлен конечному пользователю или почтовому серверу. Возможны различные варианты реализации, например, установка на имеющийся почтовый сервер, или развертывание на выделенном сервере почтового шлюза (при этом весь подлежащий проверке почтовый трафик обязательно должен быть перенаправлен на такой шлюз). После установки следует настроить отдельные компоненты защиты почты – спам-фильтр и защиту от вредоносных программ.

Развертывание

После установки MailSecurity MailGateway сервер MailGateway будет автоматически запущен и, как и G Data ManagementServer, будет выполнять свои функции в фоновом режиме, не требуя вмешательства пользователя. Тем не менее, MailGateway требует некоторой первоначальной настройки для того, чтобы начать сканирование почтового трафика на наличие угроз и спама. Конфигурацию MailGateway можно редактировать с помощью приложения MailSecurity Administrator, которое автоматически устанавливается на тот же компьютер, что и MailGateway. MailSecurity Administrator также может быть установлен отдельно на другом компьютере, с которого необходимо осуществлять управление MailGateway через сеть.

При первом запуске MailSecurity Administrator запросит данные доступа к компьютеру, на котором установлен MailGateway: имя пользователя и пароль, а также домен – имя компьютера, на котором установлен MailGateway. Поле пароля можно оставить пустым. После нажатия кнопки «Ок» будет предложено ввести новый пароль. Позже пароль может быть изменен в MailSecurity Administrator в меню «Параметры» – «Дополнительно» – «Изменить пароль». Если пароль был утерян и нет возможности войти в MailSecurity Administrator, пароль можно сбросить, удалив ключ реестра на сервере MailGateway:

Windows HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\GDATA\AVKSmtp\pw (Windows 64-bits)
HKEY_LOCAL_MACHINE\SOFTWARE\G DATA\AVKSmtp\pw (32-bits)

Стартовая страница MailSecurity Administrator сообщает о статусе основных функций шлюза. Двойной клик по каждому сообщению статуса выведет соответствующее меню опций. К задачам после развертывания можно отнести настройку портов почтового сервера и загрузки обновлений сигнатур и программных файлов. После этого необходимо сконфигурировать защиту от вредоносных вложений, общий спам-фильтр и пользовательские фильтры.

Обновления вирусных сигнатур

Первым важным шагом является настройка автоматического обновления базы данных сигнатур вирусов. Для этого в верхнем меню MailSecurity Administrator нажмите «Обновление» и выберите один из двух методов загрузки сигнатур. По умолчанию MailGateway получает сигнатуры из G Data Security Client, при этом нет необходимости поддерживать собственную базу сигнатур. Security Client рекомендуется развернуть перед установкой MailGateway. Это даст гарантию того, что вредоносное ПО не сможет инфицировать файлы шлюза.

Если MailGateway работает не в сети G Data ManagementServer, то можно настроить самостоятельную загрузку сигнатур. Для этого в меню «Обновление» – «Настройки и расписание» – «Данные доступа» введите существующие данные доступа или активируйте новый регистрационный номер, нажав соответствующую кнопку. После регистрации имя пользователя и пароль будут сгенерированы автоматически и сразу введены в соответствующие поля. Обязательно запишите эти данные отдельно. Также данные доступа буду высланы на e-mail, указанный при регистрации. При самостоятельной загрузке обновлений, настройте расписание загрузки сигнатур. При этом, чтобы почтовый трафик проверялся наиболее эффективно, рекомендуется ежечасное получение обновлений.

Если компьютер, на котором установлен MailGateway, использует прокси-сервер для подключения к интернету, данные прокси-сервера нужно ввести на вкладке «Настройки интернета».

2 июн. 2015 г.

Обновление сетевых решений G Data с 13.x и 13.1.x до 13.2

Перед обновлением выполните резервное копирование базы данных.
Для этого воспользуйтесь утилитой GdmmsConfig.exe (по умолчанию она находится в C:\Program Files\G DATA\G DATA AntiVirus ManagementServer):

После окончания резервного копирования можно перейти к обновлению.
Для загрузки новой версии воспользуйтесь утилитой IUpdate.exe (по умолчанию она находится в C:\Program Files\G DATA\G DATA AntiVirus ManagementServer):

Последовательно обновите программные файлы сервера и клиента. Обновление также содержит новую версию G Data Administrator, которая будет установлена при первом запуске приложения.

Рекомендуется распределить обновления клиентского программного обеспечения поэтапно, отдельно для каждой группы клиентов.

В том случае, если по какой-то причине используется G Data Business 12.x или более старшая, потребуется полное удаление всех компонентов (как на сервере, так и на клиентах) и чистая установка новой версии (не забудьте выполнить резервное копирование базы данных сервера G Data).