============================================================================
- Forefront Protection for Exchange: Habilitar protección AntiSpam [I de II]
- Forefront Protection for Exchange: Habilitar protección AntiSpam [II de II]
============================================================================

Microsoft Exchange Server 2010 contiene una característica denominada Sistema de control de acceso basada en roles (RBAC) que da a los administradores de Exchange un mayor control sobre los derechos de acceso de usuarios individuales. Como resultado de esta característica, los servicios de Exchange deben autorizar todos los comandos del módulo de Exchange para Windows PowerShell. Esto significa que se deben conceder derechos de acceso a Microsoft Forefront Protection 2010 para Exchange Server (FPE) dentro del grupo de roles de Administración de higiene de Exchange.

Este procedimiento puede realizarse antes o después del proceso de instalación. Para poder realizarlo, previamente se debe ejecutar el programa de instalación de Microsoft Forefront Protection 2010 para Exchange Server con privilegios de Administración dentro de la organización de Exchange. En organizaciones con implementaciones de Active Directory grandes, se puede ejecutar la utilidad FseMachinePrep.exe para permitir la replicación de las cuentas de equipo antes de instalar Microsoft Forefront Protection for Excahange.

La ejecución de FseMachinePrep.exe antes de instalar Microsoft Forefront Protection 2010 para Exchange Server se realiza mediante un procedimiento específico:

1. En el servidor Exchange Server donde se vaya a instalar FPE, deben extraerse los componentes del paquete forefrontexchangesetup.exe ejecutando el comando siguiente:

forefrontexchangesetup.exe /x:rutaDeAccesoDeExtracción

2. Debe concederse acceso a los recursos del servidor Exchange en Servicios de dominio de Active Directory ejecutando el comando siguiente desde la ruta de acceso de la extracción:

FseMachinePrep.exe

Este comando se debe ejecutar en cada equipo de la organización de Exchange.

3. Instalar Microsoft Forefront Protection 2010 para Exchange Server iniciando el Asistente para la instalación.

En el caso de que la instalación ya se haya realizado, deberá ejecutarse el comando FsemachinePrep.exe desde la ruta de los binarios de instalación de Microsoft Forefront Protection 2010 para Exchange Server, en cada uno de los servidores existentes en la organización.


Figura 3: Ejecución de la aplicación fsemachineprep.exe

Finalizado el procedimiento, se deberá reiniciar el servidor. Una vez completado el proceso de arranque podrá habilitarse desde powershell el uso de los filtros contra correos no deseados.


Figura 4: Activación de los filtros de protección antispam

Una vez que estos se han activado, se encontrarán disponibles para su configuración, a través de la consola de administración de Microsoft Forefront Protection 2010 para Exchange Server.


Figura 5: Configuración activa de la protección contra correo no deseado

============================================================================
- Forefront Protection for Exchange: Habilitar protección AntiSpam [I de II]
- Forefront Protection for Exchange: Habilitar protección AntiSpam [II de II]
============================================================================

Comienza el mes de Marzo que culminará con las festividades de Semana Santa durante la primera semana de Abril, pero por delante quedan un montón de cursos y conferencias para poder asistir a formaciones en tecnologías Forefront. La siguiente es la lista de acciones que tendrán lugar durante este mes. Algunas presenciales y otras Online, para que puedas seleccionar lo que más se adecúa a tus necesidades.

2 de Marzo, Gira Up to Secure en Valencia con una sesión de Microsoft Forefront Client Security
3 de Marzo, Gira Up to Secure en Murica con una sesión de Microsoft Forefront Client Security
16 de Marzo, Gira Up to Secure en Valencia con una sesión de Microsoft Forefront Client Security
16 de Marzo, Virtual HOL Online dedicado a MS Forefront TMG 2010 Implementing
17 de Marzo, Virtual HOL Online dedicado a MS Forefront TMG 2010 Firewalling
18 de Marzo, Virtual HOL Online dedicado a MS Forefront Client Security
24 de Marzo, Asegúr@IT 7 en Barcelona con una sesión de Microsoft Forefront UAG

Y en el mes de Abril, los Hands On Lab de tecnologías Microsoft Forefront llegarán a Barcelona.
 

============================================================================
- Forefront Protection for Exchange: Habilitar protección AntiSpam [I de II]
- Forefront Protection for Exchange: Habilitar protección AntiSpam [II de II]
============================================================================

La protección de correo de no deseado que proporciona Microsoft Forefront Protection 2010 for Exchange (FPE), constituye una versión Premium sobre las caracteríticas de filtrados facilitados por el propio servicio de Microsoft Exchange Server o los que se pueden configurar en los filtros Antispam en MS Forefront Threat Management Gateway. Estos filtos cuentan, en la actualidad, con las siguientes tecnologías para la protección contra el correo no deseado:

- Filtrado de conexión: Filtrado de las direcciones IP y dominios permitidos o bloqueadas mediante DNSBL.
- Filtrado de remitentes: Permite o bloquea direcciones o dominios, incluidos los que presenta remitente en blanco.
- Identificación de remitente: Implementa la tecnología de Sender ID.
- Filtrado de destinatarios: Listas de destinatarios permitidos o bloqueados.
- Filtrado de contenido: Utiliza el motor de protección Cloudmark para analizar y establecer el nivel de confianza de Spam(SCL) o de Phishing (PCL).
- Filtro de retrodifusión: Evita el correo enlazado o las notificaciones de estado de entrega por correos que no se enviaron de las direcciones de sus organizaciones.

Es posible que al intentar configurarlos en la consola de administración, no se encuentren disponibles. Esto puede deberse a dos circunstancias:

1) En el proceso de instalación no se hayan proporcionado los derechos de acceso pertinentes.
2) Que durante el proceso de instalación no se hubieran activado.


Figura 1: Configuración de la protección contra Spam, no disponible

Para activar la configuración de protección contra correo no deseado, es necesario emplear la consola de comandos de Windows PowerShell. Hasta que se habilite la fundión de protección contra el spam, cualquier cambio que se realice en su configuración con la interfaz de usuario no funcionará. El comando de Windows PowerShell siguiente habilita la funcionalidad de protección contra correo no deseado de Microsoft Forefront Protection 2010 for Exchange:

Set-FseSpamFiltering -enabled $true

El comando de Windows PowerShell siguiente deshabilita la funcionalidad de protección contra correo no deseado de Microsoft Forefront Protection 2010 for Exchange:

Set-FseSpamFiltering -enabled $false

La siguiente imagen muestra el intento de habilitar la tecnología de protección. Se advierte que esta configuración no se encontrará activa hasta que se hayan proporcionado los permisos de acceso necesarios para ejecutar este comando.

Figura 2: Habilitando el filtrado antispam a través de Powershell

============================================================================
- Forefront Protection for Exchange: Habilitar protección AntiSpam [I de II]
- Forefront Protection for Exchange: Habilitar protección AntiSpam [II de II]
============================================================================

Ignacio Sánchez es Analista Jefe de Sistemas en el Área de Nuevas Tecnologías de la Concejalía de Mantenimiento de la Ciudad y Nuevas Tecnologías de Móstoles. Dirije un departamento, el de Sistemas, dentro del Área de Nuevas Tecnologías, compuesto por técnicos con una preparación muy alta y con la implicación que cualquier jefe de servicio soñaría o más. Gracias a estas características han podido afrontar grandes proyectos, con pocos recursos humanos, en una ciudad como Móstoles, con más de 200.000 habitantes a su cargo en las areas de infraestructura de red, seguridad, bases de datos, telecomunicaciones, copia de seguridad, etc....


Ignacio Sánchez: Analista Jefe de Sistemas en el Área de Nuevas Tecnologías

Hace dos años afrontaron la migración a la solución Microsoft Forefront Client Security y hemos querido entrevistarle para conocer el cómo y el por qué de la migración de la solución de antivirus y, sobre todo, cuál es su nivel de satisfacción hoy en día con la elección. Este es el resultado.

1.- ¿Qué solución antivirus teníais, si se puede saber, antes de instalar MS Forefront Client Security?

Dentro de la soluciones de seguridad, el entorno era muy heterogéneo, si bien para el antivirus se basaba principalmente en McAfee, con gestión centralizada por una ePO. Ya por aquel tiempo disponíamos de antivirus Sybari/Antigen en nuestro gestor de correo electrónico Exchange, que en la última versión se ha convertido en el filtro de MS Forefront.

Aún cuando teníamos un único proveedor de antivirus, los clientes eran totalmente heterogéneos, pudiéndose dar el caso de encontrarnos equipos con el mismo sistema operativo y diferentes versiones del antivirus. A esta situación se llego debido a varias migraciones dentro del mismo entorno fallidas.

2.- ¿Cuáles fueron los motivos principales para pensar en una migración hacia MS Forefront Client Security?

Como administración pública nuestra contratación se basa en concursos públicos abiertos. En este caso el proyecto era parte de uno de ellos. Se puntuaban varios aspectos y se exigían otros muchos para conseguir o dar continuidad al sistema existente o implantar uno al mismo coste y sin provocar discontinuidad del servicio. El adjudicatario presentó un plan de migración del anterior sistema a MS Forefront.

3.- ¿Fue costosa la migración en tiempo y recursos?

Se puede decir que no, en el sentido de que la migración se realizó en el tiempo y con los recursos previstos. El equipo de trabajo principal fue de un técnico del adjudicatario y uno del Ayuntamiento, aunque este último sin dedicación exclusiva en el proyecto. Según tareas podían ser necesarios técnicos por una parte o la otra que se incorporaban, ejecutaban y dejaban el proyecto en manos de los arriba mencionados.

Una de las prioridades del servicio de Nuevas Tecnologías del Ayuntamiento de Móstoles es generar el menor número de interrupciones del servicio o a los usuarios posible, ya que nos debemos a los ciudadanos que tienen que poder realizar sus trámites municipales en el momento que decidan. Para poder cumplir con esta prioridad se exigió que tanto la desinstalación de la anterior solución como la instalación de la nueva fuesen transparentes al usuario, centralizadas, silenciosas y sin visitas individualizadas. Al final, todo el proceso se pudo realizar con la labor del técnico del adjudicatario que generó tantos scripts como fueron necesarios para todos los casos que disponíamos, tanto de versiones de McAfee como de los sistemas operativos de los clientes.

Las jornadas que se plantearon fueron 16 mañanas de siete horas, y se cumplió con el calendario previsto.

4.- ¿Cuántos equipos tenéis ahora mismo controlados bajo MS Forefront Client Security?

Dentro del concurso se incluían las instalaciones de la solución corporativa para los equipos del dominio, unos 500 de sobremesa y 50 servidores, y la de tres aulas individuales con su acceso propio a Internet. De los equipos mencionados no todos disponen de servicio de correo, pero los que lo tienen utilizan el servidor Exchange filtrado por MS Forefront.

5.- ¿Cuántas políticas diferentes tenéis configuradas en los agentes?

En este apartado hemos intentado ser lo más prácticos posible, reduciendo el número de directivas referentes a Forefront a tan sólo dos. Tenemos una directiva para nuestro conjunto de servidores y una directiva para los clientes.

La integración con el directorio activo y WSUS, nos ha permitido también implementear la instalación de parches y actualización automática del antivirus virus de forma muy transparente. Para esto disponemos de una directiva por cada grupo de aproximadamente cien equipos.

El número de incidencias por malware se ha reducido muy drásticamente, llegando al punto de no tener ninguna, que podamos catalogar como grave, desde la implementación de este entorno. Entendemos que esto se debe además de a la eficiencia del propio antivirus, a la integración de WSUS que permite tener los equipos del dominio al último nivel de actualizaciones.

6.- ¿Cuánto tiempo lleva instalada la solución de MS Forefront Client Security?

Llevamos dos renovaciones anuales de los servicios de actualización de malware de MS Forefront. Aunque hasta el momento no hemos tenido que actualizar la solución. Ya en este año año nos estamos planteando la migración del servidor porque empieza a quedarse justo. En su momento se optó por un equipo que iba a ser retirado de producción, un HP Proliant DL 580 de la primera generación con dos CPU Pentium III Xeon, el cual tiene instalada toda la solución (ForeFront, WSUS y SQL Server).

7.- ¿Habéis tenido incidencia de malware durante el tiempo que lleváis con la solución?

Como ya comenté, a lo largo de este tiempo no hemos tenido ningún incidente grave. Si bien es cierto que han aparecido amenazas de grado medio y alto, siempre han sido soluciondas por el propio software sin problemas. No hemos tenido que recurrir en ningún momento al soporte del fabricante y en todo momento hemos sido totalmente autónomos. Esperamos que esta situación permanezca así ya que podemos utilizar ese tiempo para otras labores administrativas.

8.- Al equipo técnico, ¿le fue costoso aprender a administrar MS Forefront Client Security?

Este ha sido uno de los puntos fuertes y débiles simultáneamente. Si bien el sistema se integra con la gestión de parches y le hace fácil de gestionar, en algunos casos es tan sensible a las incidencias que puede “saturar” al técnico con demasiados avisos. La adaptación al entorno de administración es muy rápida, pero quizá los informes por defecto se quedan un poco escasos para realizar tareas más específicas o de mayor granularidad de administración. Quizá la parte más tediosa, sea la detección de vulnerabilidades, ya que dependen de unos estándares prefijados por Microsoft que pueden no ser aplicacables a la organización.

9.- ¿Os genera algún beneficio el que los usuarios puedan tener la misma solución antivirus en casa con Windows Security Essentials?

La verdad es que creemos que quizá aun sea pronto para pronunciarse al respecto ya que Windows Security Essencials es muy reciente. Por otro lado, aunque sabemos que Windows Security Essentias se basa en Forefront Client Security, lo cierto es que el aspecto visual no es exactamente el mismo y esto no contribuirá mucho a su difusión ya que la percepción de los usuarios será a primera vista la de elementos diferentes.

Nuestros usuarios se han acostumbrado a un sencillo icono en la barra de herramientas y su sistema de semáforo por colores, que les resulta sencillo y a nosotros muy útil.

10.- ¿Cuál sería tu nivel de satisfacción con MS Forefront Client Security?

En general es muy bueno. Un administrador de la red se tiene que enfrentar a diario con multiples aplicaciones y entornos. Nuestro volumen de trabajo no nos permite dedicar mucho tiempo al aprendizaje de cada uno de estos sistemas con lo cual lo único que pedimos es que las cosas sean fáciles de administrar y eficientes. MS Forefront Client Security cumple a la perfección con estos requisitos y estamos convencidos de que nos permitirá a la vez configurar un entorno más complejo cuando esto sea necesario. Se puede concluir que MS Forefront nos transmite tranquilidad.
 

Hola amigos,

Un usuario de Microsoft Forefront Security para Exchange [FSE] preguntó recientemente sobre el uso de Microsoft Server Security Management Console [FSSMC] para gestionar sevidores Microsft Exchange en cluster. Él estaba confundido porque las guías de uso dicen que FSSMC puede ser utilizada para gestionar servidores en cluster, pero que no puede ser instalada en un servidor en cluster.

Así que quiero pone algo más de claridad sobre el uso de FSSMC con servidores Microsoft Exchange Server en cluster. Aquí están los puntos importantes:

1.- FSSMC puede ser utilizado para gestionar servidores clusterizados.

2.- El agente de despliegue de FSSMC debe ser instalado en todos los nodos físicos del cluster para que así, si se produce el fallo de un nodo el agente seguira funcionando para atender las peticiones de FSSMC (por ejemplo actualizaciones de firmas, nuevas configuracioens, etc...), pero en todos los nodos hay trabajos configurados para ellos. Si el nodo es pasivo, los trabajos configurados no podrán ejecutare.

3.- La consola FSSMC gestiona los nodos físicos de un cluster y no los nodos virtuales.

4.- FSSMC no puede ser INSTALADO en un servidor clusterizado. En otras palabras, la consola de gestión no puede instalarse y ejecutarse desde un servidor clusterizado. Los administradores necesitan instalar FSSMC en un equipo de la red que no sea parte de un cluster.

Por ejemplo en un Single Copy Cluster (SCC), solamente el nodo activo sería actualizado por FSSMC porque es el único que tiene la unidad de disco compartido con el motor de firmas y los ficheros de configuración y fdb (Forefront DB). Si quieres más información sobre como utilizar Microsoft Forefront Security for Exchange Server en entornos cluseterizados de Microsoft Exchange, por favor, dirigete a la Guía de Instalación de Clusters en Technet.

Michel LaFantano
Forefront Server Protection – UA

Puedes leer la entrada original en el Microsoft Forefront Server Protection Blog.