Forefront Client Security Emanuele Bianchi Security Technology Specialist Agenda Microsoft Malware Protection Center Forefront Client Security Protezione antimalware Security State Assessment Architetture Gestione Forefront Endpoint Protection Risorse Microsoft Malware Protection Center MMPC MMPC è organiato per Proteggere, Rispondere ed Educare gli utenti e l’ecosistema Windows MMPC Protect Advise Respond Engage Collect & Detect Intelligence/Guidance Customer Services Industry Presence 1. Threat Research 2. New Technology (AM) 3. Products Offered 1.Encyclopedia 2.Blog + Portal 3.SIR 4.Cert & Award Testing 1. Response Coordination 2. Global Presence 3. Infrastructure (AM) 1. Vendor Management 2. Forum Participation 3. Tester Guidance MMPC 6 centri distribuiti su tutto il globo Meccanismo di raccolta e telemetria più grande al mondo Analisi malware Quick analysis file attribute, submissions metadata and Spynet data, string dumps Black box file system changes, registry changes, network traffic captures etc. White box Static analysis, dynamic analysis Statistiche identificazione malware 100% 80% McAfee Symantec Trend Micro Kaspersky Sophos Microsoft 60% 40% Q1 Q2 Q3 FY07 Q4 Q1 Q2 Q3 FY08 Q4 Dati da http://www.av-test.org e http://www.av-test.org/index.php?sub=Papers&menue=1&lang=0 Q1 Q2 FY09 Certificazioni AV-Test – Giugno 2009 Perfect Wild List detection Zero falsi positivi AV-Comparatives – Giugno 2009 Advanced+ rating #2 in detection, #1 in false positives Certificazioni ICSA/West Coast Labs – 100% VB100 – sempre conseguita per 2 anni Forefront Client Security Forefront Client Security Uno strumento facile da gestire che garantisce una protezione dai malware per i desktop e laptop aziendali e i sistemi server aziendali • Protezione unificata • • • • Amministrazione centralizzata • • • Visibilità dei dati e controllo dell’infrastruttura • • Unica soluzione di protezione da spyware e virus Costruito su tecnologie usate da milioni di utenti nel mondo Risposta ai rischi efficace Completa la famiglia degli altri prodotti di sicurezza Microsoft Unica console per l’amministrazione centralizzata Definizione di policy per la configurazione dell’agente sui client Distribuzione veloce del software e delle signature Integrato nell’infrastruttura esistente Una dashboard per avere sotto controllo vulnerabilità e rischi Report integrati Agente antimalware Protezione Real Time – Kernel mode OnAccess Mini Filter Malware deve compromettere il kernel per evadere Malware non viene eseguito Trade off: Pro: True real time, protezione preventiva Con: possibili conflitti soluzioni AV di terze parti Agente antimalware Protezione Real Time – User mode System Configuration Add-on Internet Explorer Configurazioni Internet Explorer Internet Explorer Download Servizi e Driver Esecuzione applicazioni Restrazione delle applicazioni Windows Add-ons Tecniche di analisi Tecnologia signature base Utilizzo di tecniche eurisitiche per riconoscere nuove tipologie di malware e loro varianti Emulazione del codice per la behavior analysis e per i virus polimorfici Tunnelling Signatures per identificazione di user-mode rootkits Security State Assessment Controlli sullo stato di aggiornamento e configurazione dei sistemi Protezione contro i blended threats Aggiornati Il servizio FcsSas esegue i controlli descritti nel vulnerabilityDefinitions.manifest Security State Assessment Controllo Cosa viene valutato Versione Windows La versione del sistema operativo in esecuzione Automatic Updates Se gli Automatic Updates sono abilitati e la loro configurazione Security Updates Security Update disponibili e non ancora installati Update Incompleti Update in attesa di un restart della macchina per il completamento Restrict Anonymous Chiave di registro RestrictAnonymous abilitata per bloccare connessioni in ingresso non autenticate File System Verifica il filesystem di ogni HD per vedere se è utilizzato NTFS Autologon Controlla se l’Auto Logon è abilitato e se l’eventuale password è salvata cifrata o in chiaro nel registro. Cartelle condivise Elenco delle cartelle condivise, incluse le share amministrative. Lista dei permessi NTFS e dei permessi della condivisione Servizi non necessari Verifica se sono attivi questi servizi: MSFTPSVC (FTP), TlntSvr (Telnet), W3SVC (WWW), SMTPSVC (SMTP) Guest Account Verifica se l’account Guest è disabilitato o non esiste Amministratori Verifica il numero dei membri del gruppo Administrators locale Password Expiration Verifica se esistono account locali con password senza scadenza Risultati SSA I controlli effettuati dall’SSA vengono classificati in differenti livelli: High, Medium, Low, Informational Permette di avere visibilità immediata nei report Pianificare azioni di remediation in base all’impatto sui sistemi Architettura Architettura Microsoft Update SETTING REPORT FCS Management Server Windows Server Active Directory (o sistemi alternativi) Windows Server Update Services (o sistemi di terze parti) DEFINITION EVENT Desktop, Laptop e Server con Microsoft Forefront Client Security SQL Server Reporting and Alerting Server Flusso dati MOM Server Host AM Service VA Service MOM DB 1 System Log 2 MOM Agent SQL Reporting Services 3 Report RDL •Event Table •Alerts Table •State Table •SQL Queries •Source Table Definitions •Rendering Directives 5 Report Processor 4 MOM DWH •Event Table •Alert Table I servizi AM e VA scrivono gli eventi nel system log L’agente MOM legge gli eventi dai log L’agente MOM invia gli eventi al MOM Server I reports sono creati in SQL Reporting Services I report sono accessibili via Web Browser Web Browser Rendered Report 6 Ruoli e architetture 6 ruoli logici Management Server Collection Server Collection Server DB Reporting Server Reporting Server DB Distribution Server Architettura utilizza da 1 a 6 server fisici in base a: Elementi già presenti nell’infrastruttura aziendale Numero sistemi da proteggere Topologia singolo server Management/Collection/Reporting/Distribution Role Singolo server con: Management role Collection role Reporting role Distribution role FCS protected client FCS protected server Dimensionato per un numero massimo di circa 2000 client Topologia sei server Collection Database server Collection role Reporting Database server Reporting role Management Role FCS protected client FCS protected server Distribution Role Ogni ruolo ha un server dedicato Gestione di più di 10’000 sistemi Enterprise Manager aggrega e gestisce più installazioni FCS Gestione Amministrazione centralizzata Interfaccia utente Differenti tipologie di interazione con l’interfaccia Possibilità di modificare tutti i parametri di protezione per tutti gli utenti o solo per gli amministratori Possibilità di modificare le regole di override e esclusione Possibilità di ricevere notifiche nel momento in cui viene individuato del malware Possibilità di vedere tutti i parametri di configurazione e lanciare le scansioni Possibilità di vedere solo l’icona di stato e messaggi di stato Ruoli di amministrazione I task di amministrazione possono essere suddivisi tra differenti ruoli: Client Security Administrator Policy Author Policy Deployer Alerts manager Reports Viewer Reportistica Security Summary Forefront Endpoint Portection Caratteristiche FEP Evoluzione delle funzionalità di protezione Gestione delle funzionalità di protezione presenti nel SO Maggiore scalabilità Integrato con Configuration Manager 2007 RTM H2 CY2010 Risorse Risorse Forefront Client Security http://www.microsoft.com/forefront/clientsecurity/en/us/default.aspx Versione di valutazione http://technet.microsoft.com/en-us/bb738009.aspx Risorse tecniche http://technet.microsoft.com/en-us/library/bb419140.aspx Microsoft Malware Protection Center http://www.microsoft.com/security/portal/ Blog del Product Team http://blogs.technet.com/clientsecurity/ © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.