Forefront Server Security Support Blog : Come creare un filtro sui file in Forefront per Exchange ed applicarlo solo ad alcuni utenti

Monday, June 08, 2009 9:14 AM by FSS SME

Come creare un filtro sui file in Forefront per Exchange ed applicarlo solo ad alcuni utenti

Buon giorno a tutti,

qualche settimana fa ho lavorato a un caso di supporto che mi ha richiesto parecchio tempo in ricerca e prove, lo condivido con voi sperando che possa essere utile e che magari vi salvi da qualche mal di testa.

La richiesta era: “nella nostra organizzazione ci sono due gruppi di utenti, Utenti Standard e Managers. Voglio creare un File Filter che impedisca agli Utenti Standard di mandare o ricevere qualsiasi allegato .BMP. Ai Managers non deve essere applicata nessuna restrizione sui file, questi devono essere in grado di inviare e ricevere qualsiasi tipo di allegato”.

Allora, alcune considerazioni importanti riguardo a Forefront Server per Exchange (FSE):

- A differenza dell´Antigen, in FSE è presente un solo Realtime Scan Job. Possiamo selezionare le caselle di posta elettronica alle quali applicare il Realtime Scan job.

- Tutti i messaggi, anche quelli inviati tra utenti dello stesso Storage Group passano attraverso il server Hub e quindi sono sottoposti al Transport Scan Job.

- “…dopo aver efettuato la scansione dei messagi nei server Transport dell´Exchange 2007, FSE applica un marchio antivirus. In questa maniera evita che il messaggio venga controllato nuovamente una volta recapitato ai server di Mailbox...” (vedi Ex_Best_Practices.doc )

Il nostro primo approcio è stato:

- Nel Real Time Scan Job abbiamo creato un File Filter per bloccare tutti i file con nome “*” e di tipo “BMP”

da notare che nel Transport Scan Job non abbiamo creato nessun File Filter, altrimenti non saremmo stati in grado di escludere il gruppo dei Managers.

- Inoltre nel Realtime Scan Job abbiamo disabilitato il controllo Anti Virus e il Content Filtering (da Operate/Run Job), in maniera che il Realtime Scan Job eseguisse solo il File Filtering.

- Dopo di che abbiamo selezionato gli utenti a cui applicare il Realtime Scan Job, ovvero gli Utenti Standard, assicurandoci che i Managers fossero esclusi (in Settings/Scan Job, selezionare Realtime Scan Job, poi in Mailbox marcare “Selected”, cliccare sull´icona al lato...

…e selezionare gli utenti a cui applicare il Realtime Scan job, e quindi il filtro che abbiamo creato).

I risultati ottenuti in questa maniera sono stati:

- Gli utenti Managers potevano inviare e ricevere file BMP (COME DA RICHIESTA)

- Utenti Standard non potevano inviare nessun file BMP (COME DA RICHIESTA*)

- Tutti gli utenti (sia Managers che Utenti Standard) potevano ricevere messaggi con qualsiasi allegato, compresi BMP (NON CONFORME ALLA RICHIESTA).

Analizzando I log ci siamo resi conto che i messaggi venivano controllati e marchiati dal Trasport Scan Job, dopo di che, una volta consegnati al server di Mailbox non veniva eseguito nessun Realtime Scan job.

- Perché il Realtime scan Job potesse essere eseguito ed il File Filter applicato abbiamo dovuto impostare la chiave di registro key DisableAVStamping a 1 (vedi Ex_Best_Practices.doc)

DisableAVStamping [chiave di registro]

Dopo aver efettuato la scansione dei messagi nei server Transport dell´Exchange 2007, FSE applica un marchio antivirus. Qusto evita che i messaggi vengano controllati nuovamente una volta recapitati ai server di Mailbox.

Si raccomanda di utilizzare il marchio antivirus così come da disegno.

Raccomandiamo di cambiarlo (impostarlo a “1”) solo se si utilizzano diversi motori anti-virus o diversi filtri tra i server di Transport e i server di Mailbox. Questo per evitare che i messaggi vengano inutilmente controllati due volte.

La chiave di registro "DisableAVStamping" permette di sovrascrivere le impostazioni di default. In questa maniera il marchio anti-virus apposto dal server di Transport viene soppresso, e il server di mailbox tratterà il messaggio come se non fosse mai stato controllato.

Per sovrascrivere le impostazioni di default, bisogna aggiungere una nuova chiave DWORD col nome "DisableAVStamping" ed impostare il valore a “1”. Questa chiave, che per difetto é nascosta, ha un valore uguale a “0”.

I registry riguardanti FSE si trovano nei seguenti percorsi:

in sistemi a 32 bit:

· HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server

in sistemi a 64 bit:

· HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server

Dopo questo cambio siamo stati in grado di ottenere ciò che volevamo.

L`ultima cosa che vorrei dire é che questo filtro aggiunge del lavoro ai server di mailbox, che é esattamente ciò che il disegno di FSE cerca di evitare, eseguendo tutte le scansioni solo a livello di Transport Scan Job, comunque, trattandosi solo di un File Filter la carica di lavoro addizionale non é tanta, e questa soluzione ci permette di soddisfare completamente la nostra richiesta.

* Da notare che a seconda della carica di lavoro del server di Mailbox (soprattutto se questo e´molto occupato) potremmo vedere che il Realtime Scan Job in uscita non viene eseguito, questo per alcune “race conditions” che potrebbero presentarsi (lasciamo ad altri il compito di parlare di “race condition” in FSE).

Cordiali saluti

Fulvio Spanedda

Senior Support Engineer Antigen/Forefront

Microsoft CSS Security

Attachment(s): FileFiltering1.PNG

Comments

No Comments

Anonymous comments are disabled

Forefront Server Security Support Blog

Tags

Archives

Come creare un filtro sui file in Forefront per Exchange ed applicarlo solo ad alcuni utenti

Comments