Forefront ist der Sammelbegriff für Microsofts Sicherheitsprodukte. Diese Palette baut Microsoft seit einigen Jahren beständig aus. Aus den Anfängen des Proxy Server, der später zum ISA Server wurde, ist mittlerweile an ganzes Set an Sicherheits-Tools geworden. Diese Sicherheitswerkzeuge stehen im Mittelpunkt dieses Beitrags. Dabei gehen wir auf die Konzepte, die Architektur und auf wissenswerte Details der Tools ein.
Der Name Forefront steht für eine Familie von Produkten und ist damit ähnlich zu sehen wie Office. Zum Umfang von Forefront gehören drei Gruppen von Werkzeugen. Die drei Sets widmen sich dem Schutz der Server, der Clients und dem Grenzbereich zwischen Internet und Unternehmen. Letzteres wird im angloamerikanischen auch als Edge-Security bezeichnet.
Der Begriff Forefront wurde ursprünglich zusammen mit den Tools für die Client Security und Server Security eingeführt. Zum Umfang von Forefront gehören derzeit: Forefront Threat Management Gateway 2010, Forefront Unified Access Gateway 2010, Forefront Server Protection, Forefront Client Security, Forefront Endpoint Protection 2010, Forefront Protection Suite, Forefront Identity Manager und Forefront Protection Manager.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (ph)
Forefront Threat Management Gateway 2010
Das Forefront Threat Management Gateway (TMG) umfasst als wichtigste Bausteine eine Application-Firewall, ein VPN-Gateway und einen Proxy für den Zugriff auf das Internet. Es basiert im Kern auf dem Ursprung von Forefront – dem Proxy-Server. Dieser wurde später zum ISA Server erweitert (ISA = Internet Security and Acceleration). Der Begriff ISA galt für drei Versionen, ISA 2000, ISA 2004 und ISA 2006; mit der nun anstehenden Erweiterung wurde der ISA Server zum Forefront Thread Management Gateway ausgebaut und umbenannt.
Forefront Unified Access Gateway 2010
Das Unified Access Gateway (UAG) sichert den Zugang von Geräten von außen zum Unternehmensnetz und dessen Applikationen. Auch das Unified Access Gateway hat aktuell eine Namensänderung erfahren. Die Vorgängerversion wurde als IAG (Intelligent Access Gateway) bezeichnet. Das UAG basiert auf einigen Basisdiensten des Forefront Threat Management Gateway. Dies galt analog für das IAG: Es basierte auf den Diensten des ISA Server. Dabei werden der ISA beziehungsweise das TMG auf dem IAG oder UAG mit eingerichtet. Sie arbeiten aber im Hintergrund und dienen zur Absicherung des Systems als lokale Firewall, um ein gehärtetes System zu erhalten. Das UAG beziehungsweise dessen Vorgänger IAG gehören seit dem ISA 2006 zur Forefront-Familie. Der IAG kam durch die Übernahme von Whale Communications zu Microsoft. Das Unified Access Gateway ist aktuell in der Version 2010 verfügbar.
Forefront Server Protection
Bei der Forefront Server Protection handelt es sich um drei Module zur Absicherung von Exchange, dem Sharepoint Server und dem Office Communication Server. Zielsetzung dieser Forefront-Module ist die Absicherung der Serversysteme beim Austausch von E-Mails, Dokumenten oder sonstigen Informationen. Da Dokumente und E-Mails häufig als Träger für Viren, Trojanern und jeglicher Angriffssoftware genutzt werden, sind diese Server Bedrohungen ausgesetzt, die durch Forefront gesichert werden sollen. Diese Sicherheits-Tools kamen durch die Übernahme der Antigen-Reihe von Sybari ins Portfolio von Microsoft.
Forefront Client Security
Die Forefront Client Security hat die Sicherheit der Clients und Server einer IR-Infrastruktur im Fokus. Dazu gehören Funktionen zur Abwehr von Viren, Spyware, Rootkits und ähnlichen Bedrohungen der Clients und Server. Die Konfiguration des Client-Schutzes erfolgt dabei durch einen zentralen Managementserver, der mit Agenten auf den zu überwachenden Systemen kommuniziert.
Forefront Endpoint Protection 2010
Das Modul Forefront Endpoint Protection 2010 sollte ursprünglich zusammen mit der Erneuerung der Forefront Suite, also etwa zu Beginn 2010, freigegeben werden. Zum Umfang der Forefront Endpoint Protection 2010 gehören jegliche Anti-Malware-Funktionen für Windows Desktops und Server gehören. Es soll damit auch die Forefront Client Security ablösen.
Der Configuration Manager kümmert sich unter anderem um die Installation oder auch De-Installation von Software auf Servern und Clients. Das Aufspüren von Malware und das Bereinigen beziehungsweise Entfernen selbiger übernimmt dabei die Endpoint Protection. Deren Verwaltung erfolgt allerdings aus dem Kontext des Configuration Managers, in den die Endpoint-Protection-Module integriert werden.
Forefront Protection Suite
Bei der Forefront Protection Suite handelt es sich um eine Zusammenfassung von wichtigen Sicherheitsbausteinen. Dazu gehört die Server Protection für den Schutz von Exchange, dem Sharepoint Server und dem Office Communication Server. Ferner wurden die Client Security und der Web Protection Service des Thread Management Gateway mit URL-Filter und Web-Antimalware-Lizenzen (CAL) integriert. Auch die Forefront Online Protection für Exchange, die cloud-basierte Lösung zum Filtern des E-Mail-Verkehrs, gehört zur Forefront Protection Suite.
Forefront Identity Manager
Der Forefront Identity Manager (IM) hat den Schutz der Benutzeridentitäten im Fokus. Dazu gehören Verwaltungsfunktionen zum Erzeugen, Ändern und Löschen von Benutzer-Credentials, Zertifikate, die Verwaltung von Smartcards und ähnliche Funktionskomponenten. Eingebettet in den Identity Manager sind unter anderem auch ein Self-Service-Portal für Anwendergruppen zum Verwalten ihrer Berechtigungen, ein Self-Service-Portal für Passwort-Reset, eine Workflow-Engine zur Bearbeitung der Identitäten und ähnliche Dienste.
Die Wurzeln des Forefront Identity Manager liegen im Microsoft Identity Integration Server 2003, der später zum Microsoft Identity Lifecycle Manager 2007 wurde.
Fazit
Microsoft hat die Forefront-Produktreihe zu einer umfangreichen Systemfamilie ausgebaut. Deren Wirkungskreis deckt die wichtigsten Serversysteme, die Clients und die Grenze zwischen Internet und Unternehmensnetz ab. Funktional umfasst dies nahezu alle heute bekannten Sicherheitskonzepte wie die Firewall, Antivirus, Antimalware, URL-Filtering, Web-Content-Filtering, VPN-Gateways oder Intrusion Protection. Darüber hinaus bietet der Hersteller auch Lösungen für die generelle Zugangskontrolle durch den Schutz der Identitäten im Indentity Manager. (TecChannel/ph)