Forefront im Überblick: Identity Manager, Endpoint Protection, TMG, UAG

    , 09.06.2011
    Tags: ,

    Microsoft ForefrontMicrosoft bündelt seine Security-Software für Unternehmen in der Forefront-Produktfamilie. Obwohl alle darin enthaltenen Anwendungen das Thema Sicherheit betreffen, decken sie sehr unterschiedliche Bereiche ab. Sie reichen von der Abwehr schädlicher Programme und Spam über den sicheren Remote Access bis hin zum Identitäts-Management.

    Das Forefront-Portfolio ist neben den System-Center-Produkten Microsofts zweite große Tools-Sammlung für das Management von IT-Systemen. Wie das Beispiel Forefront Endpoint Protection zeigt, verfolgt der Hersteller das Ziel einer engeren Integration der beiden Produktfamilien. Gleichzeitig steht offenbar eine grundlegende Neuausrichtung der Gateway-Produkte bevor.

    Forefront Identity Manager 2010

    Beim FIM 2010 handelt es sich im Kern um ein so genanntes Virtual Directory (früher auch als Metadirectory bezeichnet), vergleichbar etwa mit dem Novell Identity Manager. Seine wesentliche Aufgabe besteht darin, Benutzerkonten in heterogenen Umgebungen zu verwalten. Dazu zählt das zentrale Anlegen oder Löschen von Usern in verschiedenen Verzeichnisdiensten. Darüber hinaus kann der Identity Manager die Änderungen von Benutzerkonten, etwa von Passwörtern, zwischen mehreren Directories unterschiedlicher Hersteller synchronisieren.

    Agents für die Anbindung von Fremdsystemen

    Der Forefront Identity Manager kann eine Reihe von Fremdsystemen über Agents anbinden.Für die Integration heterogener Systeme zur Benutzerverwaltung enthält der FIM 2010 Agents für eine Reihe von Produkten, unter anderem für Active Directory, Novells eDirectory, IBM Tivoli Directory Server, SAP, Lotus Notes und mehrere relationale Datenbanken.

    Die zweite wesentliche Funktion des FIM besteht neben der Verwaltung von Benutzerkonten und der Bereitstellung eines Single-Sign-on im Management von Zertifikaten und Smart Cards. Dabei kann die Software ebenfalls mit Zertifizierungsstellen anderer Anbieter zusammenarbeiten.

    Automatisierung der User-Verwaltung

    Beide Aufgaben erfüllte bereits die Vorgängerversion, der Identity Lifecycle Manager 2007. FIM 2010 ergänzt diese nun um erweiterte Möglichkeiten zur Realisierung von Policies und Workflows. So könnte für einen neuen Mitarbeiter ein Prozess definiert werden, der für ihn automatisch ein Benutzerkonto in mehreren Verzeichnissen anlegt, ein Zertifikat ausstellt und eine PIN für seine Smartcard erzeugt.

    Self-Service-Frontend für Sharepoint

    Eine wesentliche Verbesserung des FIM 2010 besteht in seiner breiteren Unterstützung für Clients und die daraus resultierenden Möglichkeiten für das Self Service der Benutzer. So bietet er nun zusätzlich ein Interface auf Basis von Sharepoint, das auch Endbenutzer verwenden können, um Reports über ausgewählte Ereignisse (Passwortänderungen, Anlegen neuer User, etc.) und Regeln zu erstellen. Die Aufnahme in Gruppen oder die Genehmigung von Anträgen lässt sich über Outlook bewerkstelligen, bei Bedarf auch offline. Die Integration in den Logon-Service von Windows erlaubt es Benutzern, ihre Passwörter selbst zu ändern.

    Lizenz pro Server plus CALs

    Der Forefront Identity Manager 2010 wird pro Server für 1500 Dollar lizenziert. Hinzu kommen die CALs zu 18 Dollar für jeden internen Anwender. Sollen auch Konten für externe User verwaltet werden, die also nicht Mitarbeiter des Unternehmens sind, dann kann zu diesem Zweck ein External Connector für 18000 Dollar erworben werden.

    Forefront Endpoint Protection 2010

    FEP 2010 ist Microsofts Lösung zur Abwehr von Malware auf Windows-Desktops. Sie folgt dem vormaligen Forefront Client Security nach. Gegenüber dem bisherigen Antimalware-Produkt vollzieht Forefront Endpoint Protection 2010 einen wichtigen architektonischen Wandel, indem es auf den System Center Configuration Manager aufsetzt. Bedingung für den Einsatz von FEP 2010 ist also ein vorhandener SCCM 2007 R2 oder R3. Microsoft verspricht durch die Verschmelzung von System-Management und Security eine bessere Abwehr von Gefahren, weil sie sich durch das Wissen über bestehende Konfigurationen besser abschätzen lassen.

    Gleiche Virenerkennung wie in Security Essentials

    FEP 2010 nutzt die gleiche Scanning-Engine wie das Consumer-Produkt Security Essentials. Dieses darf in der Version 2.0 auch in Unternehmen eingesetzt werden, allerdings beschränkt auf maximal 10 Arbeitsplätze. Der Unterschied zwischen FEP 2010 und Security Essentials besteht vor allem in den zentralen Management-Funktionen der Enterprise-Variante, das nun über die Konsole des Configuration Manager erfolgt.

    FEP 2012 für Verwendung mit SCCM 2012

    Mittlerweile liegt bereits die Betaversion von FEP 2012 vor. Zu den wesentlichen Neuerungen zählen die Integration mit dem SCCM 2012, erweiterte Reporting-Funktionen sowie eine bessere Unterstützung für PCs in Außenstellen.

    Forefront Protection 2010 for Exchange, Sharepoint, Office Communication Server

    Zum Schutz seiner Messaging- und Collaboration-Server bietet Microsoft eine Software zur Abwehr von Malware, Spam und unerwünschten Inhalten an. Sie liegt in Ausprägungen für den Exchange Server, Sharepoint Server und den Office Communication Server vor, wobei Letzterer in der aktuellen Version auf Lync Server 2010 umbenannt wurde. Laut Datenblatt für Forefront Security for Office Communication Server wird Lync nicht unterstützt.

    Mehrere Engines zur Virenerkennung

    Zu den Besonderheiten der Software zum Schutz von Servern gehört, dass Forefront Protection zum Erkennen von Viren und anderer Schadsoftware parallel 5 Scanning-Engines einsetzt. Eine davon stammt von Microsoft, die anderen von etablierten Anbieter derartiger Security-Tools.

    Filter gegen unerwünschte Dateianhänge

    Ein Dateifilter soll darüber hinaus sicherstellen, dass unerwünschte Dateianhänge entfernt werden. Der Administrator definiert entsprechende Regeln unter Verwendung der Dateiendung. Allerdings inspiziert die Software auch den Inhalt von Anhängen, so dass der Filter nicht durch Umbenennen von Dateien umgangen werden kann. Sie kann auch geblockte Dateitypen aus ZIP-Archiven entfernen, indem sie deren Inhalt entpackt und sie ohne die beanstandeten Komponenten wieder neu zusammenstellt.

    Filter auf Basis von Keywords

    Zusätzlich zum Ausschluss von bestimmten Dateitypen bietet Forefront Protection Filter für Keywords, so dass sich ungeeignete Inhalte aussortieren lassen. Microsoft bewirbt diese Funktion als Mittel, um dem Diebstahl von Daten vorzubeugen, indem der Versand von vertraulichen Dokumenten unterbunden wird.

    Protection for Exchange als Online-Service

    Forefront Protection 2010 for Exchange enthält zusätzlich einen Spam-Filter, der den Exchange-eigenen ergänzen und verstärken soll. Ein Spezifikum beim Schutz von Exchange-Servern besteht darin, dass ihn Microsoft unter der Bezeichnung Forefront Online Protection for Exchange auch als gehostete Lösung anbietet. Ihr Funktionsumfang ist im Wesentlichen identisch mit der intern genutzten Version, zur Spam-Abwehr greift sie zusätzlich auf die Daten von Hotmail zurück. Interessant ist zudem, dass die Online Protection for Exchange entgegen ihres Namens auch mit Mail-Systemen anderer Hersteller verwendet werden kann.

    Kostenlose Konsole für Exchange- und Sharepoint-Protection

    Jede Ausführung der Security-Software für Microsofts Mail- und Collaboration-Server enthält eine eigene Management-Konsole. Wenn man mehrere dieser Produkte parallel einsetzt, so ist oft wünschenswert, diese über ein Frontend gemeinsam verwalten zu können. Diesem Zweck dient die Forefront Protection Server Management Console, die als kostenloses Add-on von Microsofts Website heruntergeladen werden kann. Sie leidet jedoch unter der Einschränkung, dass sie Forefront Protection 2010 für den Office Communication Server nicht unterstützt.

    Forefront Threat Management Gateway (TMG) 2010

    Das TMG 2010 ist nicht in Gartners Magic Quadrant vertreten, angeblich weil Microsoft keine neue Version mehr entwickelt.Das TMG 2010 ist Microsofts Firewall-Produkt, das seine Wurzeln im ISA-Server hat. Derzeit grassieren verschiedene Grüchte über die Zukunft der Software, weil sie von Gartner nicht in den aktuellen Quadranten für Secure Web Gateways aufgenommen wurde. Die Analysten wurden nach eigenen Angaben von Microsoft darüber informiert, dass es kein größeres Update des TMG mehr ver­öffent­lichen werde. Eine öfters diskutierte Möglichkeit besteht darin, dass Microsoft das TMG mit dem Forefront Unified Access Gateway 2010 zusammenführt.

    Zu den wichtigsten Funktionen des Threat Management Gateway 2010 zählen:

    • Multi-Layer-Firewall mit Packet-Filtering, Stateful Inspection und Application-Layer-Filtering
    • URL-Filtering
    • Schutz gegen Malware aus dem Web
    • HTTPS-Inspection
    • VPN-Gateway mit Inspektion des VPN-Traffics und SecureNAT für VPN-Clients
    • Performance: Caching, Network-Load-Balancing und HTTP-Kompression

    Darüber hinaus erbringt das TMG 2010 eine Reihe weiterer Dienste speziell für Microsoft-Infrastrukturen. Dazu gehören der sichere externe Zugriff von Outlook via MAPI auf interne Exchange-Server, ohne dass sie dafür eine VPN-Verbindung aufbauen müssen. Darüber hinaus kann die Authentifizierung gegenüber Web-Servern an die Firewall delegiert werden, so dass damit Angriffe auf die IIS unterbunden werden. Schließlich bietet das TMG ein zentrales Management für Forefront Protection for Exchange, wenn es auf dem gleichen Server installiert wird.

    Vom TMG 2010 gibt es neben der Vollversion eine Ausführung für mittelgroße Unternehmen, ihre Bezeichnung lautet Medium Business Edition. Ihr fehlen unter anderem die Unterstützung für Load Balancing und Failover sowie HTTPS-Inspection und die Integration mit Forefront Protection for Exchange.

    Forefront Unified Access Gateway (UAG) 2010

    Das UAG ist eine sichere Remote-Access-Lösung, die Clients von außerhalb der Firewall Zugriff auf firmeninterne IT-Ressourcen gewährt. Sie umfasst so genannte Application Optimizer für die Inspektion von mehreren Microsoft-Anwendungen. Dazu zählen vor allem Sharepoint und Exchange, die mit Hilfe des UAG im Internet publiziert werden können

    Das UAG kann auch als Gateway für die Remote Desktop Services dienen, so dass auf dem Terminal-Server ablaufende Anwendungen von externen Clients genutzt werden können. Auch Client-Server-Anwendungen lassen sich auf diesem Weg zugänglich machen, wobei dort die Möglichkeit besteht, die Authentifizierung an das UAG 2010 zu delegieren. Für Web-Anwedungen dient es als Reverse Proxy.

    Gateway für DirectAccess

    Eine besondere Bedeutung kommt dem Unified Access Gateway 2010 für Direct Access zu. Diese mit Windows 7 Enterprise und Windows Server 2008 R2 verfügbare Technik für den sicheren Fernzugriff beruht auf IPv6. UAG kann ihn auf Server ausdehnen, die nur über IPv4 erreichbar sind. Für Clients mit einer älteren Windows-Version fungiert es als VPN-Gateway.

    Integration mit NAP

    Schließlich lassen sich im UAG 2010 Bedingungen definieren, unter denen Clients eine Session aufbauen dürfen. Dafür lässt sich über Policies oder über die Integration mit Network Access Protection (NAP) der Zustand der Endgeräte prüfen.

    Das Unified Access Gateway lässt sich entweder als normale Server-Software installieren oder kann über Partner als Appliance bezogen werden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links