Renato Francesco Giorgini Evangelist IT Pro [email protected] Forefront Client...

Renato Francesco Giorgini Renato Francesco Giorgini Evangelist IT ProEvangelist IT Pro

[email protected]@microsoft.comm

Forefront Client Security: Forefront Client Security: la difesa dei server e dei clientla difesa dei server e dei client

[email protected]

TechNet New Wave Tour

AgendaAgenda

Overview famiglia prodotti Forefront

Protezione unificata

Reportistica

Architettura servizi

[email protected]


SicurezzaSicurezza

Problema complesso

Differenti aspettiSicurezza intrinseca del Sistema Operativo

Livello di protezione della rete

Livello di protezione del singolo host

Soluzione completa basata su 3 elementi chiave per garantire un livello adeguato di protezione

[email protected]


User Account Control

IE7 con Protected Mode

Randomize Address Space Layout

Firewall with Advanced Security

Kernel Patch Protection (64bit)

Protezione unificata Antivirus e AntiMalware

Gestione Centralizzata

Gestione Stato macchine, Alert, Reportistica

Integrazione con l’Infrastruttura

Segmentazione della rete basata su policy

Comunicazione tra reti sicure e non

Server and Domain Isolation

Soluzione CompletaWindows

Vista

Forefront™ Client

Security

Aspetti differenti della sicurezzaAspetti differenti della sicurezza

Forefront Client SecurityForefront Client Security

[email protected]


Prodotti della famiglia ForefrontProdotti della famiglia Forefront

NetworkNetwork

Controllo Accessi

Edge

Server Applicativi

Server e Client Aziendali

[email protected]


Difesa contro malware per filesystem server e client

Verifica livello di sicurezza dei sistemi

Gestione centralizzata policy di protezione

Monitoring centralizzato

Integrazione con ambienti eterogenei

Uno strumento facile da gestire che

garantisce una protezione dai malware per

i desktop e laptop aziendali e i sistemi

server aziendali,

Protezione unificata

Amministrazione

centralizzata

Visibilità dati e controllo

infrastruttura

[email protected]


Architettura Forefront Client Architettura Forefront Client SecuritySecurity

Protezione unificataProtezione unificata

[email protected]



Un unico Agent con funzionalità antispyware e antivirus

Già testato e utilizzato con Windows Defender, One Care, MSRT, Forefront Server SecurityCompatibile con Network Access Protection (NAP)

Scansioni in realtime, pianificate, manualiQuick scan: processi in memoria, Files in: Profili Utente, Dektop, File di Sistema, Program Files, (Estensibile)Full scan: Quick scan e scansione dei dischi localiPersonalizzata

Utilizza Windows Filter ManagerTecnologia a “mini-filter” per prodotti AV che permette la scansione di virus e spyware prima che vengano eseguiti

[email protected]



“Tunnelling Signatures” per scoperta di user-mode rootkits

Emulazione del codice per la behavior analysis e per i viruses polimorfici

Utilizzo di tecniche eurisitiche per riconoscere nuove tipologie di malware e loro varianti

Definizione dello “Stato di Sicurezza” del sistema via Policy, suo mantenimento nel tempo, reportistica

[email protected]


Archivi compressiArchivi compressi

Scansione basata sull’header del file, non solo sull’estensione

[email protected]


Rimuove i virus principali

Rimuove tutti i virus noti

Real-time antivirus

Rimuove tutto lo spyware noto

Real-time antispyware

Alert e Reportistica centralizzati

Personalizzabile

MicrosoftForefront

ClientSecurity

MSRT Windows Defender

Windows Live OneCare Safety

Scanner Windows Live

OneCare

Integrazione con l’infrastruttura IT

Per utenti singoli Per Aziende

Strumenti client AntiMalware Strumenti client AntiMalware MicrosoftMicrosoft

[email protected]


Engine FCS

[email protected]


Controlli effettuatiControlli effettuati

[email protected]


Tipologie di AlertTipologie di Alert

Nella console di MOM sono presenti tutti i singoli eventi con le informazioni dettagliate e la possibilità di regolare i livelli di threshold

per gli alert.

[email protected]


Icona di stato dell’AgentIcona di stato dell’Agent

[email protected]


Sistemi supportati dall’AgentSistemi supportati dall’Agent

Sitemi Operativi Server (32 e 64 bit)Windows 2000 Server SP 4

Windows Server 2003 SP 1 (Enterprise/Standard)

Windows Server 2003 R2 (Enterprise/Standard)

Windows Server 2008

Sistemi Operativi Client (32 e 64 bit)Windows 2000 SP 4

Windows XP SP 2

Windows Vista (Business, Enterprise, Ultimate)

Amministrazione CentralizzataAmministrazione Centralizzata

[email protected]


Console Forefront Client SecurityConsole Forefront Client Security

[email protected]


Cosa può fare una Policy?Cosa può fare una Policy?

Configurare update e scansioni

Personalizzare FCS

Specificare le risposte

agli attacchi

Percorsi locali da analizzare o da escludere

Possibilità di modifica della configurazione

Permessi utente

Contromisure per spyware o virus particolari

Invio informazioni di Alert

Frequenza aggiornamenti Signature

Pianificazione scansioni

Configurazione della protezione RealTime

[email protected]


Le PolicyLe Policy

Forefront Client Security Management Console

L’Admin imposta

& distribuisce la policy

Group Policy Management Console

Client e Server Aziendali

[email protected]


Client Security Console

ADM Files Altro SW Distrib. System

Componenti Infrastruttura

Granularità Policy

Distribuzione Policy via

Eccezioni basate su:

Supporto creazione compliance report

AD/GPO AD/GPOSW distrib.

system

OU-levelSingola

MacchinaSingola

Macchina

Security Groups

Illimitate Illimitate

Sì No No

Client Security Console

GPMC, via ADM files

File esportati

Modalità di distribuzione delle Modalità di distribuzione delle policypolicy

[email protected]


Console

Policy

[email protected]


Distribuzione dell’Agent di FCSDistribuzione dell’Agent di FCS

AD Software Installation Policies

System Management Server / System Center Essentials

Microsoft Update / Windows Server Update Services

Script

Installazione Manuale

[email protected]


Aggiornamento delle SignatureAggiornamento delle Signature

Processo ottimizzato per Windows Server Update Services (WSUS)

Si può usare qualsiasi sistema di distribuzione software

Approvazione manuale e automatica Signature

Servizio “Update Assistant”:Aumenta la frequenza di Sync tra WSUS 2.0 e Microsoft Update

Supporto per utenti mobiliAggiornamento via Microsoft Update se WSUS non disponibile

Malware Malware ResearchResearch

Microsoft Microsoft UpdateUpdate

WSUS WSUS + +

Update Update AssistaAssista

ntnt

SyncSync

SyncSync

®

Desktops, Laptops and Desktops, Laptops and ServersServers

FailoverFailover

[email protected]


WSUS

Configurazione Agent

ReportisticaReportistica

[email protected]


ReportisticaReportistica

Obiettivo: avere un controllo costante dello stato dei client e dei server, della loro esposizione, della presenza di eventuali malware o virus

Reporting ServerRaccoglie alert e report dalla rete aziendale

Differenti tipologie di report a disposizioneForefront Client Security Console

MOM Operator Console

[email protected]



Security SummarySecurity SummarySecurity SummarySecurity Summary

Deployment Agent

Presenza Malware

Stato Alert

Riepilogo Computer

Riepilogo “Stato Sicurezza”

[email protected]


Tipologie differenti di AlertTipologie differenti di Alert

Attività MalwareLivelli di alert personalizzabili

Agent Client SecurityAgent disattivato

Scansione fallita

Aggiornamento Signature fallito

Forefront ServerFlooding sulla rete

Problemi dei componenti server

Periodo di valutazione terminato

[email protected]



[email protected]


Security Summary

Alert Summary

Computer Summary

Threat Summary

Vulnerability Summary

Deployment SummaryReportsReports

[email protected]


Security Summary

Alert Summary

Computer Summary

Threat Summary

Deployment Summary

Alert Detail

Computer Detail

Threat Detail

Vulnerability Detail


Signature Deployment Details

ReportsReports

[email protected]


Security Summary

Alert Summary

Computer Summary

Malware Summary

Deployment Summary

Alert Detail

Computer Detail

Malware Detail

Alert Instance


Vulnerability Detail

Signature Deployment Details

Vulnerability Instance

Malware Instance

ReportsReports

[email protected]


MOM ConsoleMOM Console

Tipo alert

Numero occorrenze

Descrizione completa

Riferimenti alla knowledge base

Microsoft Client Protection has detected the following malicious software threat: !AceSFX.Microsoft Client Protection cannot eliminate the threat.The following action was attempted on the threat: Clean.The following error occurred: Access Denied.Error code: 12.To learn more about the infection in this computer, read the infection instance report: http://ReportServer/Reports/FCS/InfectionInstanceReportTo learn more about the threat, read the threat details report:http://ReportServer/Reports/FCS/threatReportAnd the computer details report:http://ReportServer/Reports/FCS/computerReportYou can read about the threat in the Microsoft Malicious Software Encyclopedia:http://ReportServer/Reports/FCS/maliciousEncyclopediaReport

http://reportserver/Reports/FCS/InfectionInstanceReport

[email protected]


Report

Architettura ServiziArchitettura Servizi

[email protected]


Architettura Forefront Client Architettura Forefront Client SecuritySecurity

[email protected]


Ruoli e serviziRuoli e serviziManagement Server

FCS Management Console

FCS Client

MOM 2005 SP1 Administration e Operations Console

GPMC

FCS functional management pack

Collection Server Database SQL Server 2005 SP1

MOM 2005 SP1 Operational Database

Configuration Repository

Collection Server MOM 2005 SP1 Server

MOM 2005 SP1 Console

[email protected]


Ruoli e ServiziRuoli e Servizi

Reporting Server MOM 2005 SP1 Reporting

IIS 6.0

Reporting Server Database SQL Server Reporting Service 2005 SP1

SQL Server 2005 SP1

MOM 2005 SP1 Data Warehouse

Distribution Server WSUS 2.0 SP1 o superiori

FCS Update Assistant

[email protected]


1 Server 1 Server 3 Server 3 Server

ManagementCollectionReporting

DistributionCollection

DB

Reporting DB Management

Collection

Distribution

ReportingCollection

DBReporting

DB

[email protected]


Management Collection

Distribution Reporting

SQL ServerCollection

DB

ReportingDB

5 Server – “shared” SQL5 Server – “shared” SQL

[email protected]


6 Server – “separate” SQL6 Server – “separate” SQL

SQL Server 1

SQL Server 2

Management Collection

Distribution Reporting

CollectionDB

ReportingDB

© 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only.MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.

[email protected]@microsoft.com

http://blogs.technet.com/italyhttp://blogs.technet.com/italy

Renato Francesco Giorgini Evangelist IT Pro [email protected] Forefront Client...

Documents

Transcript of Renato Francesco Giorgini Evangelist IT Pro [email protected] Forefront Client...