c h r á n í m e d i g i t á l n í s v ě t y NOD32 pro MS Exchange Server Instalace

c h r á n í m e d i g i t á l n í s v ě t y NOD32 pro MS Exchange Server Instalace

Copyright Eset, spol. s r. o. 2007 Eset software, spol. s r. o. Meteor Centre Office Park Sokolovská 100/94 180 00 Praha 8 Česká republika Obchodní oddělení obchod@eset.cz tel.: +420 233 090 233 Technická podpora servis@eset.cz tel.: +420 233 090 244 Všechna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádným prostředkem, ani distribuována jakýmkoli způsobem bez předcházejícího písemného povolení společnosti Eset, spol. s r. o. Společnost Eset software, spol. s r. o. si vyhrazuje právo změn programových produktů popsaných v této publikaci bez předchozího upozornění. V knize použité názvy programových produktů, firem apod. mohou být ochrannými známkami nebo registrovanými ochrannými známkami příslušných vlastníků. Poslední změna 8. Srpna 2007

1. Úvod je verze antivirového systému NOD32 na kontrolu e-mailů procházejících přes MS Exchange Server. Oproti standardní instalaci NOD32 obsahuje verze pro MS Exchange Server navíc modul XMON, chybějí v ní moduly IMON a EMON. Tento dokument popisuje použití modulu XMON. Před jeho čtením Vám doporučujeme si nejdříve přečíst příručku k antivirovému systému NOD32. Modul XMON verze 2.71 přichází ve dvou provedeních v 32-bitovém pro verzi MS Exchange Server 5.5 Service Pack 3 a vyšší, MS Exchange Server 2000 Service Pack 1 a vyšší a MS Exchange 2003 (xmon.dll) a v 64-bitovém pro MS Exchange Server 2007 (xmon64.dll). Modul XMON zabezpečuje kontrolu e-mailové komunikace MS Exchange Serveru skrze antivirové rozhraní VSAPI nebo externí skenovací jádro Control Centra. 2. Instalace Pokud máte nainstalovanou starší verzi programu, stačí když tuto verzi přeinstalujete novou (platí pro verze 2.0 a vyšší). Pokud máte starší verzi než 2.0, tuto verzi je potřeba odinstalovat a po restartu operačního systému nainstalovat aktuální verzi. Při instalaci se v průvodci instalací zobrazí nasledující dialog: zakoupení programu poskytl výrobce nebo distributor. Licenční soubor se zadává v dalším kroku instalace. Pokud máte platný licenční soubor, stiskněte tlačítko Přidat a nalistujte licenční soubor. Tato obrazovka se zobrazuje ve všech instalačních úrovních. Dodatečná aktivace modulu XMON: Pokud jste při instalaci neaktivovali antivirovou ochranu pro MS Exchange Server, lze toto provést dodatečně přidáním licenčního souboru přes licenční manažer. Licenční manažer najdete v NOD32 Control Center ve větvi Nástroje systému NOD32 a Nastavení. Po přidání licenčního souboru se aktivuje modul XMON. Pokud chcete instalovat modul XMON, označte zaškrtávací pole. Na aktivování antivirové ochrany pro MS Exchange Server potřebujete licenční soubor, který Vám při

3. XMON HLAVNÍ OKNO Okno XMONa otevřete kliknutím na ikonu XMON v hlavním okně Control Centra. Pokud se ikona XMO- Nu zobrazuje šedou barvou, znamená to, že MS Exchange Server není nainstalovaný nebo je to verze, se kterou XMON neumí spolupracovat. Šedá ikona modulu XMON se zobrazí i v případě když není modul XMON aktivovaný (není zadaný nebo expiroval licenční soubor). V těchto případech modul XMON nemůže testovat e-maily. Pokud se ikona XMONu zobrazuje červenou barvou, znamená to, že modul je vypnutý. Lze ho opět zapnout označením políčka Kontrola aktivní v hlavním okně modulu. Hlavní okno XMONu zobrazuje informace o počtu testovaných, infikovaných a vyléčených souborů (za soubor se v tomto případě považuje tělo e-mailu a každá jeho příloha). Dále se zobrazuje verze programu MS Exchange Server a verze virové databáze (v závorce je datum vytvoření této verze). se kontroluje přibližně v minutových intervalech. Zapnutí anebo vypnutí modulu XMON, ani změna jeho nastavení se tedy neprojeví okamžitě, ale až přibližně po minutě. Nastavení umožňuje zobrazit a změnit nastavení modulu XMON. Spustit NOD32 umožňuje spustit on-demand skener NOD32. Při vypínání modulu XMON se zobrazí varovná zpráva. Pokud chcete XMON skutečně vypnout, stiskněte Yes. NASTAVENÍ V levém okně se zobrazuje osm větví nastavení XMO- Na. Po kliknutí na libovolnou z nich se v pravé části zobrazí příslušná stránka nastavení. MS Exchange Server kontroluje nastavení antivirového programu v přibližně minutových intervalech. Pokud tedy zadáte změnu v nastavení, ta se neprojeví ihned, ale až po několika sekundách. Scanner Kontrola aktivní zaškrtávací pole určuje, zda je modul XMON aktivní. Kliknutím na zaškrtávací pole lze modul zapnout anebo vypnout. Před vypnutím modulu se zobrazí kontrolní otázka. Poznámka: MS Exchange Server komunikuje s antivirovou kontrolou pomocí systémové databáze registru, který Na stránce Scanner se zobrazí následující možnosti: Testovat na pozadí pokud je políčko označené, testují se zprávy průběžně. Modul XMON si pamatuje, kterou zprávu již testoval a kterou verzí virových databází. Pokud otvíráte zprávu, která dosud nebyla testovaná aktuální verzí, XMON ji otestuje; podruhé se tatéž

zpráva načítá bez testování. Testování na pozadí znamená, že XMON průběžně testuje všechny zprávy na serveru a v momentě otevírání zprávy existuje vysoká pravděpodobnost, že již byla v minulosti prověřena. Testování na pozadí může mít vliv na zatíženost systému (testování se vykonává při každé aktualizaci virové databáze). Při testování store databáze během denního provozu může nastat nežádoucí zpomalení systému. V tomto případě doporučujeme využít naplánovaného testování mimo pracovní dobu. Při naplánovaném testování je potřebné tuto volbu vypnout. Předvídané testování nové zprávy přicházejí na server a jsou testované v pořadí, v jakém přišly. Pokud je toto políčko označené a uživatel klikne na některou zprávu, tato zpráva se otestuje přednostně, takže není potřeba čekat na ukončení testování přecházejících zpráv. Testovat těla textových zpráv testování textových zpráv. Testovat těla RTF zpráv testování obohaceného textu. Formát dokumentů textových editorů může obsahovat makroviry. Testovat přecházející zprávy pokud je toto políčko označené, XMON testuje i zprávy, které přes server pouze procházejí. MS Exchange Server může být nastavený jako gateway (brána), což znamená, že přes něj zprávy pouze procházejí na další servery. Pokud je zapnuté testování přecházejících zpráv, XMON testuje i tyto zprávy. Opakovat dosavadní výsledky testování se vyhlásí za neplatné a všechny zprávy je třeba otestovat znova. Při každé aktualizaci virové databáze nastává tato událost automaticky. Zopakovat testování je dobré například při změně pravidel. Standardní změní všechny nastavení XMONa na standardní (definované výrobcem). Pokud stiskněte tlačítko Standardní, zobrazí se upozornění. Stisknutím tlačítka Yes potvrdíte nastavení standardních nastavení XMONa. Detekce Ve větvi Detekce nastavujeme způsob detekce infiltrací. V sekci Nastavení skenovací technologie ThreatSense je možné nastavit, které metody vyhledávání infiltrací má modul XMON používat. Nejvyšší úroveň bezpečnosti dosáhneme použitím všech metod. Vzorky vyhledávání infiltrací podle vzorků ve virové databázi. Heuristika vyhledávání infiltrací podle heuristiky (analýzou obsahu souboru). Rozšířená heuristika vyhledávání infiltrací podle rozšířené heuristiky. Rozšířená heuristika je nový algoritmus antivirového systému NOD32, který kromě jiného umožňuje efektivně odhalovat internetové červy. Adware/Spyware/Riskware detekce obtěžujících programů. Potenciálně nechtěné aplikace nechtěné aplikace jsou programy, které sice nemusí představovat bezpečnostní riziko, mohou však mít určitý vliv na činnost počítače. Tyto aplikace se obvykle do systému mohou nainstalovat až po souhlasu uživatele. Jejich instalaci nastává určitá změna v chování počítače oproti stavu před instalací takovéto aplikace. Potenciálně zneužitelné aplikace tato kategorie zahrnuje software, který může být zneužitý pokud je

nainstalován bez vědomí uživatele, resp. správce systému. V sekci Cíle označíme typy archivních souborů, které se mají testovat (archivy, samorozbalovací archivy, runtime pakovače). Při testování souborů v archivech je potřebné archiv rozbalit, a to je časově náročnější operace. Přípony Ve větvi Přípony nastavujeme přípony souborů, které má XMON testovat. Standardně je nastavené testování všech souborů. Zadejte příponu (můžete použít znaky? a * ) a stisknout OK. Akce Ve větvi Akce nastavujeme, co se má stát při zachycení napadeného souboru. Pokud je v záložce Detekce v části Cíle uvedeno, že se mají testovat i archivy, uvádějí se nastavení zvlášť pro soubory a zvlášť pro různé druhy archivů; příslušný typ souboru si nastavíme v rozbalovacím menu. Testovat všechny soubory zapne testování všech souborů, bez ohledu na příponu. Pokud označíte toto políčko, budete namísto seznamu přípon zahrnutých v testování uvádět seznam přípon vyjmutých z testování. Přidat přidá příponu do seznamu. Zobrazí pomocný dialog na zadání nové přípony. Při zadávání přípon lze použít znaky? a *, kde otazník symbolizuje jeden libovolný znak a hvězdička libovolnou posloupnost znaků. Odstranit odstraní označenou příponu ze seznamu. Standardní nastaví výrobcem určený standardní seznam přípon. Testovat soubory bez přípon nastaví testování souborů, které nemají příponu. V menu Pokud je nalezen virus nastavujeme činnost, která se má vykonat při nalezení viru. Léčit XMON se pokusí odstranit virus ze souboru. Někdy není možné virus odstranit; tehdy se použije následující menu. Ponechat bez změny s označením XMON oznámí serveru MS Exchange Server, že zpráva je infikovaná. Server na základě této zprávy nedovolí uživateli spustit zprávu. Přílohu přejmenovat / zprávu smazat XMON změní příponu souboru, aby nebyl spustitelný; pokud je napadnuto samotné tělo zprávy, smaže zprávu. Smazat zprávu XMON smaže zprávu anebo přiložený soubor. Přesný postup vymazávání lze nastavit v záložce Mazání.

Uložit do karantény pokud je políčko označené, XMON uloží nakažený soubor do karantény, kde je neškodný, ale později ho lze přezkoumat, anebo se pokusit léčit novější verzí virové databáze. Menu Neléčitelné viry se aktivuje, pokud je v předcházejícím menu označená volba Léčit zprávu. Některé soubory nelze léčit proto, že antivirový systém neobsahuje algoritmus na jejich vyléčení nebo proto, že v souboru není kromě viru žádný užitečný obsah (v současnosti nejčastější případ). Pokud soubor nelze léčit, vykoná se akce nastavená v tomto menu (Ponechat bez změny s označením, Přílohu přejmenovat / zprávu smazat, Smazat, Uložit do karantény). Pravidla Ve větvi Pravidla můžeme definovat podrobná pravidla na zpracování souborů. Pokud se na nějaký soubor vztahuje více pravidel, platí to, které je v seznamu dříve. Pravidla mají přednost před příponami zadanými v záložce Přípony v tom smyslu, že se každý soubor nejprve porovná s existujícími pravidly a testovat se bude jen tehdy, pokud se na něj nevztahuje žádné pravidlo (nebo pokud příslušné pravidlo hovoří, že soubor je třeba testovat). Počet uplatnění pravidla se zobrazuje ve sĺoupci Počet. Během přidávání pravidla se otevře průvodce, který vás provede vytvářením pravidla. Podle poštovní schránky pravidlo se vztahuje na jméno poštovní schránky. Podle odesílatele pravidlo se vztahuje na zprávy od daného odesílatele. Podle předmětu zprávy pravidlo se vztahuje na zprávy s daným názvem. Podle jména souboru pravidlo se vztahuje na zadané jméno souboru Podle velikosti souboru pravidlo se vztahuje na soubory od určité velikosti Stačí zadat pouze část Odesilatele nebo Předmětu (pokud není zvolena volba Porovnat jako celé slova); na velkých a malých písmenách nezáleží (pokud není zvolená volba Rozlišovat velikost písmen). Pokud text obsahuje jiné znaky než písmena a číslice, je třeba ho uzavřít do uvozovek. Můžeme zadat i více textů a spojit je logickými spojkami AND, OR a NOT. Přidat zobrazí dialog na vytvoření nového pravidla. Upravit změní označené pravidlo. Odstranit odebere označené pravidlo. Vynulovat vynuluje počítadlo pravidel Posun nahoru posune označené pravidlo nahoru, zvýší jeho prioritu. Posun dolu posune označené dolů, sníží jeho prioritu. Ve jméně souboru zadáváte masku názvu souboru. Při zadávání masky můžeme použít znaménka? a *, například *.vbs. Pravidlo se vztahuje na soubory, jejichž název vyhovuje této masce. Pokud zadáme více masek, oddělíme je středníkem.

U velikosti souboru zadáme požadovaný limit, od kterého se bude pravidlo uplatňovat. změní příponu souboru, aby nebyl spustitelný. Smazat XMON vymaže soubor. Označit jako virus XMON ohlásí serveru MS Exchange Server, že soubor je infikovaný. Uložit do karantény XMON uloží soubor do karantény. Na závěr zadejte název a popis pravidla, který se uloží do záznamů serveru, když se toto pravidlo použije. Pravidlo podle jména poštovní schránky, kdy se na uplatnění pravidla vztahují stejné postupy jaké mají předešlá pravidla. Mazání Ve větvi Mazání lze určit činnost, kterou XMON vykoná v rámci mazání zprávy nebo přílohy. V časti Akce vybereme akci, která se má vykonat s danými soubory. Testovat na viry jako XMON bude testovat přítomnost virů v daném souboru. Ponechat bez změny XMON ohlásí serveru MS Exchange Server, že soubor je čistý. Přílohu přejmenovat / zprávu smazat XMON V sekci Způsob mazání zpráv specifikujeme postup při mazání napadené zprávy. Smazat tělo zprávy XMON vymaže tělo zprávy; adresát dostane prázdnou zprávu, ve které mohou být přiložené neinfikované soubory. Přepsat tělo zprávy virovým protokolem XMON nahradí tělo zprávy virovým protokolem nebo popisem pravidla. Smazat celou zprávu XMON smaže zprávu i se všemi přiloženými soubory.

V sekci Způsob mazání přílohy specifikujeme postup při mazání napadené přílohy. Zkrátit soubor na nulovou délku XMON smaže obsah souboru tak, že jeho obsah zkrátí na nulovou délku. Adresát dostane zprávu s prázdným souborem, ale bude vidět jeho název a typ. Nahradit soubor virovým protokolem XMON nahradí obsah souboru virovým protokolem nebo popisem pravidla. Smazat celou zprávu XMON smaže celou zprávu obsahující infikovaný soubor, i se všemi ostatními přiloženými soubory. Poznámka: Způsob mazání který není možné zvolit (volba je šedá), nepodporuje váš MS Exchange Server. Výkon Ve větvi Výkon nastavujeme další technické parametry XMONu, které mohou ovlivnit jeho výkon. Použít skener v NOD32 Control Center na rozdíl od předchozích verzí, které využívaly na antivirovou kontrolu výhradně interní skenovací jádro, přináší verze 2.71 možnost využívat i externí skenovací jádro Control Centra. U 32-bitových verzí MS Exchange Serveru je tato možnost volitelná a je si ji možné vybrat. U 64-bitové verze MS Exchange Serveru je možné využívat výhradně externí skenovací jádro Control Centra a proto je v tomto případě tato volba automaticky zvolena a prvek výběru je neaktivní. Počet vláken paralelní testování ve více vláknech může na počítači s více procesory urychlit testování. Výrobce serveru MS Exchange Server doporučuje použít vzorec 2 * počet procesorů + 1. Časový limit (pro verzi 5.5) nastaví v jakých intervalech se má scanner pokoušet otevřít přiložený soubor. Časový limit (pro verzi 2000 a vyšší) časový limit pro jedno vlákno na otestování souboru. Adresář dočasných souborů na výkon testování má velký vliv výběr adresáře, ve kterém se budou vytvářet dočasné soubory. Doporučujeme ho nastavit na jiný fyzický disk než je ten, na kterém je uložený Microsoft Exchange store. V případě, že není zadaný žádný adresář, použije se standardní systémový temp adresář. Testování na pozadí MS Exchange Server 2007 poskytuje způsob jak aktivně ovlivnit antivirovou kontrolu probíhající na pozadí. Proto přichází 64-bitová verze modulu XMON s možností nastavit si průběh a rozsah testování na pozadí. Tato možnost však není dostupná v 32-bitových verzích MS Exchange Serveru a modulu XMON a proto jsou v těchto případech dané prvky neaktivní. Výběrem volby Testovat jen zprávy s přílohou je možné snížit rozsah testování na pozadí jen na ty zprávy, které obsahují i přílohu a celkově tak snížit zatížení systému při testování na pozadí. Nutno upozornit, že ne všechny infikované zprávy musí bezpodmínečně obsahovat přílohy, tím se však v žádném případě nesníží ochrana zprávy v úložišti MS Exchange Serveru, protože zprávy jsou kontrolované i při přístupu uživatele k nim a v neposlední řadě i vysoce účinnou proaktivní ochranou. Dalším způsobem jak zredukovat celkové zatížení systému při testování na pozadí je volba Hloubky testování. Podle nastavení tohoto ovládacího prvku bude testování na pozadí zahrnovat jen zprávy spadající do zvoleného časového intervalu, přičemž rozhodujícím je datum přijetí dané zprávy. Zvolit si lze testování všech zpráv bez ohledu na jejich datum přijetí, dále testování zpráv přijatých za poslední rok, půlrok, čtvrtrok, měsíc nebo týden. Vhodná volba hloubky testování na pozadí umožní administrátorům MS Exchange Serveru 2007 vyladit výkon systému podle vlastních specifických podmínek. I v tomto přípa-

dě platí, že zprávy nespadající do zvoleného intervalu testování na pozadí v žádném případě nejsou bez antivirové kontroly, protože jsou kontrolované i při přístupu uživatele k nim a také vysoce účinnou proaktivní ochranou. Vzhledem k vysoké úspěšnosti v detekci infiltrací skenovacího jádra antivirového systému NOD32 pro MS Exchange Server se doporučuje následující postup: při první instalaci NOD32 nechte proběhnout testování na pozadí bez omezení, potom (1 až 2 dny) si vylaďte testování na pozadí podle předpokládané frekvence přístupu uživatelů ke starším zprávám a podle objemu nových zpráv zvolte časový interval. Protokoly Ve větvi Protokoly nastavujeme tvorbu protokolu. Podrobnější protokol poskytuje více informací, ale jeho vytváření může zpomalovat server. 4. Tipy a triky Vyloučení Exchange souborů z testovaní rezidentní ochrany Modul XMON testuje e-maily v databázi MS Exchange Serveru. Tato databáze je uložená na disku jako soubor, takže při určitých nestandardních nastaveních modulu AMON (rezidentní skener) může dojít ke kolizi mezi moduly AMON a XMON. Ujistěte se, že modul AMON netestuje soubory typu EDB, TMP, EML. Tyto přípony jsou vyloučené v standardním nastavení. Doporučujeme též vyloučit z testování soubory a adresáře obsahující e-mailové databáze programu MS Exchange Server: %ProgramFiles%\Exchsrvr\mdbdata\ %ProgramFiles%\Exchsrvr\mtadata\ %ProgramFiles%\Exchsrvr\Server_Name.log %ProgramFiles%\Exchsrvr\Mailroot\ %ProgramFiles%\Exchsrvr\Srsdata %SystemRoot%\System32\Inetsrv %ProgramFiles%\Exchsrvr\IMCData\ Vyloučení je možné nastavit v modulu AMON následujícím způsobem: - kliknout v modulu AMON na tlačítko Nastavení - kliknout na záložku Vyloučení a následně na tlačítko Přidat - v zobrazeném okně kliknout na tlačítko Adresář... nebo Soubor... (záleží na tom, zda chceme vyloučit soubor či adresář) a vyhledat požadovanou položku Vypisovat všechny soubory zapíše do protokolu všechny testované soubory (nejen infikované). Synchronní zápis vypne používání logovací cache, záznamy se ihned zapisují do logu. Rozsah nastaví rozsah zapisovaných činností. Čím vyšší rozsah, tím podrobnější informace se zapisují. Vypisovat verzi serveru zapíše do protokolu verzi serveru. Vypisovat licenci zapíše do protokolu licenci modulu XMON. Vypisovat pravidla zapíše do protokolu jméno uplatněného pravidla (jen v podrobném protokolu) Testování na pozadí v naplánovaném čase Test na pozadí v naplávaném čase lze zajistit vytvořením speciální úlohy v Plánovači úloh Control Centra antivirového programu. Přidáním úlohy Spustit testování na pozadí je možné stanovit začátek úlohy a její opakování s řadou možností, které plánovač úloh poskytuje. 10

ním z faktorů, které ovlivní rozhodnutí administrátora ve výběru způsobu využití skenovacího jádra je i rychlost antivirové kontroly. Z tohoto důvodu modul XMON ve verzi 2.71 dokáže vypočítat momentální výkon a následně ho zaznamenat do protokolu modulu. Aby se tato informace zapisovala do protokolu, je potřebné mít nastaven Detailní rozsah protokolu. Speciální úloha Spustit testování na pozadí vyžaduje jeden povinný parametr, kterým se určuje doba testování na pozadí. Interval je zadáván v hodinách v rozsahu od 1 do 32 hodin. Po přidání se tato speciální úloha zobrazí v seznamu naplánovaných úloh se shodným přístupem jako k ostatním naplánovaným úlohám, tj. lze ji zde změnit, odstranit nebo dočasně deaktivovat. Jakmile bude ve stanovený čas úloha spuštěna, modul XMON povolí MS Exchange Serveru vykonávat testování na pozadí. Po uplynutí zadaného intervalu zakáže modul XMON testování vykonávat. V tomto intervalu je na rozhodnutí MS Exchange Serveru, zda testování na pozadí vykoná nebo ne, přičemž určujícími budou různé faktory jako momentální zatíženost systému, počet aktivních uživatelů atd. Monitorování výkonu S přechodem na 64-bitové systémy začal modul XMON ve verzi 2.71 používat externí skenovací jádro Control Center. Toto rozšíření se dotklo i 32-bitové verze s tím, že zůstává zachována i možnost využití interního skenovacího jádra. Oba tyto způsoby využití skenovacího jádra mají své výhody a nevýhody, přičemž pro každé konkrétní nasazení mohou převažovat jiné výhody / nevýhody. Jed- Do protokolu se následně v 5 minutových intervalech budou zapisovat informace o výkonu antivirové kontroly modulu XMON, který se skládá z počtu kontrolovaných objektů (zpráv a příloh), z času v sekundách, za který byla kontrola vykonána a z rychlosti kontroly v kb/s v závislosti na velikosti kontrolovaných objektů. Stejně jako zápis do protokolu, zůstávají i výsledky monitorování z intervalu 5 minut, což znamená, že výsledky monitorování se nekumulují, ale po každém zápisu do protokolu se vykonává nové, nezávislé měření. 11

Přejmenování infikovaných souborů Pokud máte nastaveno testování všech souborů bez ohledu na příponu (standardní nastavení), nedoporučujeme použít jako standardní akci přejmenování napadaného souboru. Infikovaný soubor typu exe či doc bude mít sice po přejmenování příponu vexe či vdoc, takže ho nebude možné v OS MS Windows spustit, avšak opakovaná antivirová kontrola rozpozná typ souboru podle jeho obsahu a opět ho přejmenuje (tentokrát na vvexe či vvdoc atd.). Zprávy v databázi MS Exchange Serveru se kontrolují při každé aktualizaci virové databáze; opakované přejmenování by zbytečně zatěžovalo e-mailovou databázi a zpomalovalo server. Doporučujeme v tomto případě vyloučit z testování alespoň soubory s příponami vv* (nikoliv v*, jelikož toto zahrne i Visual Basic Scripty vbs). 12