Forefront Client Security Emanuele Bianchi Security Technology Specialist
Microsoft Malware Protection Center Forefront Client Security Protezione antimalware Security State Assessment Architetture Gestione Forefront Endpoint Protection Risorse Agenda
Microsoft Malware Protection Center
MMPC ProtectAdviseRespondEngage MMPC Collect & Detect 1. Threat Research 2. New Technology (AM) 3. Products Offered Customer Services 1. Response Coordination 2. Global Presence 3. Infrastructure (AM) Intelligence/Guidance 1. Encyclopedia 2. Blog + Portal 3. SIR 4. Cert & Award Testing Industry Presence 1. Vendor Management 2. Forum Participation 3. Tester Guidance MMPC è organiato per Proteggere, Rispondere ed Educare gli utenti e lecosistema Windows
MMPC 6 centri distribuiti su tutto il globo Meccanismo di raccolta e telemetria più grande al mondo Analisi malware Quick analysis file attribute, submissions metadata and Spynet data, string dumps Black box file system changes, registry changes, network traffic captures etc. White box Static analysis, dynamic analysis
Statistiche identificazione malware Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 FY07FY08FY09 Dati da e
Certificazioni AV-Test – Giugno 2009 Perfect Wild List detection Zero falsi positivi AV-Comparatives – Giugno 2009 Advanced+ rating #2 in detection, #1 in false positives Certificazioni ICSA/West Coast Labs – 100% VB100 – sempre conseguita per 2 anni
Forefront Client Security
Uno strumento facile da gestire che garantisce una protezione dai malware per i desktop e laptop aziendali e i sistemi server aziendali Unica soluzione di protezione da spyware e virus Costruito su tecnologie usate da milioni di utenti nel mondo Risposta ai rischi efficace Completa la famiglia degli altri prodotti di sicurezza Microsoft Unica console per lamministrazione centralizzata Definizione di policy per la configurazione dellagente sui client Distribuzione veloce del software e delle signature Integrato nellinfrastruttura esistente Una dashboard per avere sotto controllo vulnerabilità e rischi Report integrati Protezione unificata Amministrazione centralizzata Visibilità dei dati e controllo dellinfrastruttura
Agente antimalware Protezione Real Time – Kernel mode OnAccess Mini Filter Malware deve compromettere il kernel per evadere Malware non viene eseguito Trade off: Pro: True real time, protezione preventiva Con: possibili conflitti soluzioni AV di terze parti
Agente antimalware Protezione Real Time – User mode System Configuration Add-on Internet Explorer Configurazioni Internet Explorer Internet Explorer Download Servizi e Driver Esecuzione applicazioni Restrazione delle applicazioni Windows Add-ons
Tecniche di analisi Tecnologia signature base Utilizzo di tecniche eurisitiche per riconoscere nuove tipologie di malware e loro varianti Emulazione del codice per la behavior analysis e per i virus polimorfici Tunnelling Signatures per identificazione di user-mode rootkits
Security State Assessment Controlli sullo stato di aggiornamento e configurazione dei sistemi Protezione contro i blended threats Aggiornati Il servizio FcsSas esegue i controlli descritti nel vulnerabilityDefinitions.manifest
Security State Assessment
Risultati SSA I controlli effettuati dallSSA vengono classificati in differenti livelli: High, Medium, Low, Informational Permette di avere visibilità immediata nei report Pianificare azioni di remediation in base allimpatto sui sistemi
Architettura
Architettura Microsoft Update Windows Server Update Services (o sistemi di terze parti) Windows Server Active Directory (o sistemi alternativi) FCS Management Server SQL Server Reporting and Alerting Server REPORT EVENT DEFINITION SETTING Desktop, Laptop e Server con Microsoft Forefront Client Security
AM Service VA Service System Log MOM Agent Host MOM Server MOM DB MOM DWH Event Table Alert Table Event Table Alerts Table State Table SQL Reporting Services Report RDL SQL Queries Source Table Definitions Rendering Directives Report Processor Web Browser Rendered Report 1 I servizi AM e VA scrivono gli eventi nel system log Lagente MOM legge gli eventi dai log Lagente MOM invia gli eventi al MOM Server I reports sono creati in SQL Reporting Services I report sono accessibili via Web Browser 6 Flusso dati
Ruoli e architetture 6 ruoli logici Management Server Collection Server Collection Server DB Reporting Server Reporting Server DB Distribution Server Architettura utilizza da 1 a 6 server fisici in base a: Elementi già presenti nellinfrastruttura aziendale Numero sistemi da proteggere
Topologia singolo server Singolo server con: Management role Collection role Reporting role Distribution role Dimensionato per un numero massimo di circa 2000 client Management/Collection/Reporting/Distribution Role FCS protected client FCS protected server
Topologia sei server Ogni ruolo ha un server dedicato Gestione di più di sistemi Enterprise Manager aggrega e gestisce più installazioni FCS Distribution Role FCS protected server FCS protected client Collection Database server Management Role Collection role Reporting role Reporting Database server
Gestione
Amministrazione centralizzata
Interfaccia utente Differenti tipologie di interazione con linterfaccia Possibilità di modificare tutti i parametri di protezione per tutti gli utenti o solo per gli amministratori Possibilità di modificare le regole di override e esclusione Possibilità di ricevere notifiche nel momento in cui viene individuato del malware Possibilità di vedere tutti i parametri di configurazione e lanciare le scansioni Possibilità di vedere solo licona di stato e messaggi di stato
Ruoli di amministrazione I task di amministrazione possono essere suddivisi tra differenti ruoli: Client Security Administrator Policy Author Policy Deployer Alerts manager Reports Viewer
Reportistica
Forefront Endpoint Portection
Caratteristiche FEP Evoluzione delle funzionalità di protezione Gestione delle funzionalità di protezione presenti nel SO Maggiore scalabilità Integrato con Configuration Manager 2007 RTM H2 CY2010
Risorse
Risorse Forefront Client Security Versione di valutazione Risorse tecniche Microsoft Malware Protection Center Blog del Product Team
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.