Seit Jahren baut Microsoft sein Angebot an Sicherheitssoftware unter dem Produktnamen Forefront beständig aus. Aus den Anfängen des Proxy Servers, der später zum ISA Server wurde, ist mittlerweile ein ganzes Set an Sicherheits-Tools geworden. In diesem Artikel beleuchten wir die einzelnen Komponenten des Security-Pakets genauer und schildern Konzepte, Architektur und wesentliche Details der Werkzeuge.
Das Forefront-Konzept
Ähnlich wie Microsofts Office-Paket diverse Bürosoftware unter einem Begriff vereint, steht der Name Forefront für die gesammelten Security-Tools des Herstellers. Das Bündel umfasst insgesamt drei Werkzeuggruppen, die sich dem Schutz der Server, der Clients und dem Grenzbereich zwischen Internet und Unternehmen widmen. Für letztere Disziplin hat sich im angloamerikanischen Sprachgebrauch der Begriff Edge-Security etabliert.
Microsoft hat den Produktnamen Forefront ursprünglich zusammen mit den Tools für die Client- und Server-Security eingeführt. Folgende Lösungen zählen zur Forefront-Produktfamilie:
-
Forefront Threat Management Gateway 2010,
-
Forefront Unified Access Gateway 2010,
-
Forefront Server Protection,
-
Forefront Client Security,
-
Forefront Endpoint Protection 2010,
-
Forefront Protection Suite,
-
Forefront Identity Manager sowie
-
Forefront Protection Manager.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Tecchannel. (jha)
Forefront Threat Management Gateway 2010
Die wichtigsten Bausteine des Forefront Threat Management Gateways (TMG) sind eine Application-Firewall, ein VPN-Gateway und ein Proxy für den Zugriff auf das Internet. Damit sichert das Gateway die Kommunikation von innen nach außen. Es basiert im Kern auf dem Ursprung von Forefront - dem Proxy-Server. Dieser wurde später zum ISA Server erweitert (ISA = Internet Security and Acceleration). Der Begriff ISA galt für drei Versionen bis zur Ausführung 2006; mit der aktuellen Erweiterung wurde der ISA Server zum Forefront Thread Management Gateway ausgebaut und umbenannt. Das Forefront Threat Management Gateway ist derzeit in der Version 2010 verfügbar.
Forefront Unified Access Gateway 2010
Das Unified Access Gateway (UAG) sichert den Zugang, wenn Geräte von außen auf das Unternehmensnetz und die Applikationen zugreifen. Auch das UAG hat eine Namensänderung erfahren. Die Vorgängerversion wurde als Intelligent Access Gateway (IAG) bezeichnet. Das Unified Access Gateway bedient sich einiger Basisdienste des oben beschriebenen Forefront Threat Management Gateways. In der Praxis wird Letzteres auf dem Unified Access Gateway mit eingerichtet. Die Systeme arbeiten im Hintergrund und dienen zur Absicherung des Systems als lokale Firewall, um die Installation zu härten. Das UAG beziehungsweise dessen Vorgänger IAG gehören seit der Version 2006 zur Forefront-Familie. Die Lösung kam durch die Übernahme von Whale Communications zu Microsoft. Das Unified Access Gateway ist aktuell in der Version 2010 verfügbar.
Forefront Server Protection
Bei der Forefront Server Protection handelt es sich um drei Module zur Absicherung von Exchange-, Sharepoint- und Office-Communications-Server. Ziel ist der Schutz der Systeme beim Austausch von E-Mails, Dokumenten oder sonstigen Informationen vor infiltrierten Viren, Trojanern und jeglicher Angriffssoftware. Diese Sicherheits-Tools kamen durch die Übernahme der Antigen-Reihe von Sybari ins Portfolio von Microsoft.
Forefront Client Security
Die Forefront Client Security hat die Sicherheit der Clients und Server im Fokus. Dazu gehören Funktionen zur Abwehr von Viren, Spyware, Rootkits und ähnlichen Bedrohungen. Die Konfiguration des Client-Schutzes erfolgt dabei durch einen zentralen Management-Server, der mit Agenten auf den zu überwachenden Systemen kommuniziert.
Forefront Endpoint Protection 2010
Zur Forefront Endpoint Protection 2010 sollen nach Angaben von Microsoft jegliche Anti-Malware-Funktionen für Windows-Desktops und -Server gehören. Die Verfügbarkeit des Tools hatte der Hersteller ursprünglich für Anfang 2010 angekündigt, später aber auf die zweite Jahreshälfte 2010 verschoben. Bis dato wurde es jedoch noch nicht freigegeben.
Forefront Endpoint Protection 2010 wird die Forefront Client Security ablösen. Im Rahmen der Überarbeitung will Microsoft das Werkzeug zudem mit dem Configuration Manager im System Center verknüpfen. Der Configuration Manager kümmert sich unter anderem um die Installation oder auch De-Installation von Software auf Servern und Clients. Das Aufspüren und Bereinigen übernimmt in diesem Zusammenhang die Endpoint Protection. Die Verwaltung der Schutzsoftware erfolgt über die Oberfläche des Konfigurations-Tools.
Forefront Protection Suite
Bei der Forefront Protection Suite handelt es sich um eine Zusammenfassung von wichtigen Sicherheitsbausteinen. Dazu gehört die Server Protection für den Schutz von Exchange, dem Sharepoint Server und dem Office Communications Server. Ferner wurden die Client Security und der Web Protection Service des Thread Management Gateway mit URL-Filter und Web-Anti-Malware-Lizenzen (CAL) integriert. Auch die Forefront Online Protection für Exchange, die Cloud-basierende Lösung zum Filtern des E-Mail-Verkehrs, gehört zur Forefront Protection Suite.
Forefront Identity Manager
Der Forefront Identity Manager (IM) hat den Schutz der Benutzeridentitäten im Fokus. Mit ihm können Administratoren Benutzer-Credentials erzeugen, ändern und löschen sowie Zertifikate, Smartcards und ähnliche Funktionskomponenten verwalten. Eingebettet in den Identity Manager sind unter anderem auch ein Self-Service-Portal, mit dem Anwender ihre Accounts verwalten, ein Self-Service-Portal für das Passwort-Reset sowie eine Workflow-Engine zur Bearbeitung der Identitäten.
Der Forefront Identity Manager ist seit Frühjahr 2010 auf dem Markt. Seine Wurzeln liegen im Microsoft Identity Integration Server 2003, der später zum Microsoft Identity Lifecycle Manager 2007 wurde.
Fazit
Microsoft hat die Forefront-Produktreihe zu einer umfangreichen Systemfamilie ausgebaut. Deren Wirkungskreis deckt die wichtigsten Server-Systeme, die Clients und die Grenze zwischen Internet und Unternehmensnetz ab. Funktional umfasst dies nahezu alle heute bekannten Sicherheitskonzepte wie die Firewall, Antivirus, Antimalware, URL-Filtering, Web-Content-Filtering, VPN-Gateways oder Intrusion Protection. Darüber hinaus bietet der Hersteller auch Lösungen für die generelle Zugangskontrolle durch den Schutz der Identitäten im Identity Manager. (hal)