Forefront Client Security
Emanuele Bianchi
Security Technology Specialist
Agenda


Microsoft Malware Protection Center
Forefront Client Security






Protezione antimalware
Security State Assessment
Architetture
Gestione
Forefront Endpoint Protection
Risorse
Microsoft Malware Protection Center
MMPC
MMPC è organiato per Proteggere, Rispondere
ed Educare gli utenti e l’ecosistema Windows
MMPC
Protect
Advise
Respond
Engage
Collect & Detect
Intelligence/Guidance
Customer Services
Industry Presence
1. Threat Research
2. New Technology (AM)
3. Products Offered
1.Encyclopedia
2.Blog + Portal
3.SIR
4.Cert & Award Testing
1. Response Coordination
2. Global Presence
3. Infrastructure (AM)
1. Vendor Management
2. Forum Participation
3. Tester Guidance
MMPC



6 centri distribuiti su tutto il globo
Meccanismo di raccolta e telemetria più grande al
mondo
Analisi malware

Quick analysis
file attribute, submissions metadata and Spynet data, string
dumps

Black box
file system changes, registry changes, network traffic captures
etc.

White box
Static analysis, dynamic analysis
Statistiche identificazione malware
100%
80%
McAfee
Symantec
Trend Micro
Kaspersky
Sophos
Microsoft
60%
40%
Q1
Q2 Q3
FY07
Q4
Q1
Q2 Q3
FY08
Q4
Dati da http://www.av-test.org e http://www.av-test.org/index.php?sub=Papers&menue=1&lang=0
Q1 Q2
FY09
Certificazioni

AV-Test – Giugno 2009
Perfect Wild List detection
 Zero falsi positivi


AV-Comparatives – Giugno 2009
Advanced+ rating
 #2 in detection, #1 in false positives


Certificazioni
ICSA/West Coast Labs – 100%
 VB100 – sempre conseguita per 2 anni

Forefront Client Security
Forefront Client Security
Uno strumento facile da gestire che garantisce una protezione dai
malware per i desktop e laptop aziendali e i sistemi server aziendali
•
Protezione unificata
•
•
•
•
Amministrazione
centralizzata
•
•
•
Visibilità dei dati e
controllo dell’infrastruttura
•
•
Unica soluzione di protezione da spyware e virus
Costruito su tecnologie usate da milioni di utenti nel mondo
Risposta ai rischi efficace
Completa la famiglia degli altri prodotti di sicurezza Microsoft
Unica console per l’amministrazione centralizzata
Definizione di policy per la configurazione dell’agente sui client
Distribuzione veloce del software e delle signature
Integrato nell’infrastruttura esistente
Una dashboard per avere sotto controllo vulnerabilità e rischi
Report integrati
Agente antimalware
Protezione Real Time – Kernel mode
OnAccess Mini Filter
 Malware deve compromettere il kernel per evadere
 Malware non viene eseguito
 Trade off:

Pro: True real time, protezione preventiva
 Con: possibili conflitti soluzioni AV di terze parti

Agente antimalware
Protezione Real Time – User mode
 System Configuration
 Add-on Internet Explorer
 Configurazioni Internet Explorer
 Internet Explorer Download
 Servizi e Driver
 Esecuzione applicazioni
 Restrazione delle applicazioni
 Windows Add-ons
Tecniche di analisi




Tecnologia signature base
Utilizzo di tecniche eurisitiche per riconoscere
nuove tipologie di malware e loro varianti
Emulazione del codice per la behavior
analysis e per i virus polimorfici
Tunnelling Signatures per identificazione di
user-mode rootkits
Security State Assessment




Controlli sullo stato di aggiornamento e
configurazione dei sistemi
Protezione contro i blended threats
Aggiornati
Il servizio FcsSas esegue i controlli descritti nel
vulnerabilityDefinitions.manifest
Security State Assessment
Controllo
Cosa viene valutato
Versione Windows
La versione del sistema operativo in esecuzione
Automatic Updates
Se gli Automatic Updates sono abilitati e la loro configurazione
Security Updates
Security Update disponibili e non ancora installati
Update Incompleti
Update in attesa di un restart della macchina per il completamento
Restrict Anonymous
Chiave di registro RestrictAnonymous abilitata per bloccare connessioni
in ingresso non autenticate
File System
Verifica il filesystem di ogni HD per vedere se è utilizzato NTFS
Autologon
Controlla se l’Auto Logon è abilitato e se l’eventuale password è salvata
cifrata o in chiaro nel registro.
Cartelle condivise
Elenco delle cartelle condivise, incluse le share amministrative. Lista dei
permessi NTFS e dei permessi della condivisione
Servizi non necessari
Verifica se sono attivi questi servizi: MSFTPSVC (FTP), TlntSvr (Telnet),
W3SVC (WWW), SMTPSVC (SMTP)
Guest Account
Verifica se l’account Guest è disabilitato o non esiste
Amministratori
Verifica il numero dei membri del gruppo Administrators locale
Password Expiration
Verifica se esistono account locali con password senza scadenza
Risultati SSA

I controlli effettuati dall’SSA vengono
classificati in differenti livelli:



High, Medium, Low, Informational
Permette di avere visibilità immediata nei
report
Pianificare azioni di remediation in base
all’impatto sui sistemi
Architettura
Architettura
Microsoft
Update
SETTING
REPORT
FCS Management
Server
Windows Server
Active Directory
(o sistemi alternativi)
Windows Server
Update Services
(o sistemi di terze parti)
DEFINITION
EVENT
Desktop, Laptop e Server con Microsoft
Forefront Client Security
SQL Server
Reporting and
Alerting Server
Flusso dati
MOM Server
Host
AM Service
VA Service
MOM DB
1
System Log
2
MOM Agent
SQL Reporting Services
3
Report RDL
•Event Table
•Alerts Table
•State Table
•SQL Queries
•Source Table Definitions
•Rendering Directives
5
Report
Processor
4
MOM DWH
•Event Table
•Alert Table
I servizi AM e VA scrivono gli eventi nel system log
L’agente MOM legge gli eventi dai log
L’agente MOM invia gli eventi al MOM Server
I reports sono creati in SQL Reporting Services
I report sono accessibili via Web Browser
Web Browser
Rendered
Report
6
Ruoli e architetture

6 ruoli logici







Management Server
Collection Server
Collection Server DB
Reporting Server
Reporting Server DB
Distribution Server
Architettura utilizza da 1 a 6 server fisici in base a:


Elementi già presenti nell’infrastruttura aziendale
Numero sistemi da proteggere
Topologia singolo server
Management/Collection/Reporting/Distribution Role

Singolo server con:
Management role
 Collection role
 Reporting role
 Distribution role


FCS protected client
FCS protected server
Dimensionato per un
numero massimo di
circa 2000 client
Topologia sei server
Collection Database server
Collection role
Reporting
Database server

Reporting role


Management Role
FCS protected client
FCS protected server
Distribution Role
Ogni ruolo ha un
server dedicato
Gestione di più di
10’000 sistemi
Enterprise
Manager aggrega
e gestisce più
installazioni FCS
Gestione
Amministrazione centralizzata
Interfaccia utente

Differenti tipologie di interazione con l’interfaccia





Possibilità di modificare tutti i parametri di protezione
per tutti gli utenti o solo per gli amministratori
Possibilità di modificare le regole di override e
esclusione
Possibilità di ricevere notifiche nel momento in cui
viene individuato del malware
Possibilità di vedere tutti i parametri di configurazione
e lanciare le scansioni
Possibilità di vedere solo l’icona di stato e messaggi di
stato
Ruoli di amministrazione

I task di amministrazione possono essere
suddivisi tra differenti ruoli:





Client Security Administrator
Policy Author
Policy Deployer
Alerts manager
Reports Viewer
Reportistica
Security Summary
Forefront Endpoint Portection
Caratteristiche FEP





Evoluzione delle funzionalità di protezione
Gestione delle funzionalità di protezione
presenti nel SO
Maggiore scalabilità
Integrato con Configuration Manager 2007
RTM H2 CY2010
Risorse
Risorse

Forefront Client Security
http://www.microsoft.com/forefront/clientsecurity/en/us/default.aspx

Versione di valutazione
http://technet.microsoft.com/en-us/bb738009.aspx

Risorse tecniche
http://technet.microsoft.com/en-us/library/bb419140.aspx

Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/

Blog del Product Team
http://blogs.technet.com/clientsecurity/
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.