IS 305 Артём Синицын Microsoft Consulting Services Стратегия защиты конечных устройств Что такое FEP Технологии защиты FEP Интеграция FEP с Configuration Manager Развёртывание и обновление Политики и контроль соответствия Мониторинг и отчеты Демонстрация Вопросы и…ответы Низкая стоимость внедрения • • • • Использует ConfigMgr в качестве платформы Поддерживает любые варианты топологи ConfigMgr Простая миграция Поддержка всех клиентских и серверных ОС Windows Защита без падения производительности • Защита от вирусов, шпионского ПО, руткитов • Конфигурация по умолчанию ориентирована на высокий уровень производительности • Интеграция с Брандмауэром Windows • Облачные сервисы - Malware Research and Response Объединенная защита и управление • • • • Единый интерфейс Единый механизм создания и контроля политик Централизованное оповещение Отчеты включают информацию о конфигурации и защите Защита от известных угроз Уровень сети Data Execution Protection Address Space Layer Randomization Windows Resource Protection Anti-malware & Antimalware Anti-Rootkit Dynamic Translation & Emulation Internet Explorer 8 SmartScreen AppLocker IDS/IPS (Network Inspection System) Интеграция с Windows Firewall FEP 2010 Windows 7 Службы динамических обновлений DSS Уровень файловой системы Поведенческий анализ Центр защиты от вредоносного ПО MMPC Уровень приложений Защита от неизвестных угроз SpyNet / MRS Новое Улучшенное 2 Поведенческий анализ/ Мониторинг ядра Базовые сигнатуры 3 Сигнатуры/Эвристика Сканирование по расписанию/по требованию 1 После запуска вируса Защита в реальном времени Перед запуском вируса Служба динамических обновлений DSS 4 Сценарии поведения Улучшенное восстановление Портал MMPC Защита в реальном времени Сканирование и очистка системы Поведенческий анализ Microsoft Reputation Service Dynamic Signature Service Обнаружение и удаление руткитов HANDLE hFile; hFile = CreateFile(L"NewVirus.exe", GENERIC_WRITE, 0, NULL, CREATE_NEW, FILE_ATTRIBUTE_HIDDEN, NULL); ... push 40000000h push offset string L"NewVirus.exe” call dword ptr [__imp__CreateFileW@28] cmp esi,esp DT ... push push call cmp 40000000h offset string L"NewVirus.exe” dword ptr [DT_CreateFile] esi,esp Конечное устройство с FEP Сценарии выполнения MMPC Новые сигнатуры До выполнения вредоносного ПО Известные угрозы – блокируются Часть неизвестных блокируются за счет базовых сигнатур После выполнения вредоносного ПО Оставшиеся угрозы направляются в MMPC. Новые сигнатуры загружаются из DSS Неизвестные угрозы - нейтрализуются Руткит = маскировка для вредоносного ПО Используют низкоуровневые перехваты и модификацию ядра Требуют специализированные механизмы для обнаружения и удаления FEP vs. Rootkit Оперирует низкоуровневыми перехватами Следит за аномалиями в структуре ядра Вызывается в рамках поведенческого анализа Интегрированный автономный сканнер – “Standalone System Sweeper” Rootkit.BV попадает на компьютер Руткит прячет драйвер и ключи реестра Во время запуска системы FEP вычищает остатки руткита Руткит загружает вредоносный код Перезагрузка Загружается ядро FEP FEP удаляет ссылку в реестре на драйвер руткита FEP обнаруживает драйвер руткита во время плановой проверки FEP просит пользователя перезагрузится Защищает от эксплуатации уязвимостей ~40% всех уязвимостей, ~50% критических уязвимостей HTTP, MIME, SMTP, IMAP, POP3, SMB, SMB2 и RPC Предотвращает эксплуатацию конкретных уязвимостей Блокирует попытки использования MS08-067 (~3000 уникальных эксплойтов из 8 различных семейств) Уменьшает период уязвимости Zero day - время от выявления уязвимости до выпуска патча (часы/дни) Известные уязвимости - время с момента выпуска патча до его установки (дни/недели) Определение уязвимости Эксплуатация Получение контроля Отключение AM и обновлений Распространение вредоносного кода Простой интерфейс Очевидные действия Централизованное применение политики защиты Гибкий контроль над возможностями пользователей Контроль соответствия Объединенная инфраструктура для управления и защиты конечных устройств Использование существующей инфраструктуры Простота внедрения и миграции Эффективное управление и мониторинг из единой консоли Централизованное применение политики защиты Контроль соответствия параметрам политики компании Отчеты для администраторов рабочих мест и офицеров безопасности Политики Отчеты SpyNet Данные Сервер сайта SCCM Настройки (или сетевая папка) SCCM Распространение ПО Обратная Обновления связь События Клиенты FEP Служба отчетов SQL SCCM Desired Configuration Management Отчеты FEP Серверная роль FEPFEP База данных Коллекции FEP DB FEP Политики FEP FEP DW Политики Установка Объявление FEP DW OLAP расширения Оповещения политик CubeFEP отчетов FEP События Отчеты Установочные Распространение ПО Используется Агент пакеты FEP Сервер сайта Реестр FEP DB механизм отчетов ConfigMgr Устанавливается как ConfigMgr DCM используется Информация из расширение Устанавливается на WMI Сервер FEP совместно с Data warehouse и консоли ConfigMgr рольConfigMgr сервера DB OLAP-куба первичного сайта ConfigMgr FEP DW Консоль FEP Консоль ConfigMgr Консоль FEP Отчеты ConfigMgr Отчеты FEP Клиент Forefront EndPoint Protection Управляемый компьютер используется для создания отчетов ConfigMgr База данных FEP База данных Configuration Manager FEP Серверная роль FEP Отчеты FEP Консоль управления FEP Центральный сайт Серверная роль FEP Отчеты FEP Консоль Первичный сайт управления FEP Вторичный сайт Серверная роль FEP Отчеты FEP Консоль Первичный сайт управления Вторичный сайт FEP Серверная роль FEP Отчеты FEP Консоль Первичный сайт управления FEP Первичный сайт Дополнительные сессии по теме CT 306: Реализация доступа для удаленных пользователей на базе Windows 7 DirectAccess и Forefront UAG (17:30-18:30, Зона интерактивных сессий) Блоги http://sinitsyn.org http://blogs.technet.com/securityrus Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft под руководством опытного сертифицированного инструктора Microsoft интенсивное обучение с акцентом на практику более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы) Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя . Microsoft предлагает гибкую систему сертификаций. • 40 % Доказательство № 75 сертифицированных специалистов считают, что сертификация помогла им получить работу или повышение • 57 % Доказательство № 119 рекрутеров считают сертификацию сотрудников одним из критериев для повышения в должности Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning Сертификационный пакет со вторым шансом Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком. Сэкономьте 15% на сертификации вашей ИТ-команды Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками. Microsoft Certified Career Conference Первая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г. Сессии по технологиям и построению карьеры Скидка 50% для сертифицированных специалистов Microsoft и студентов Бесплатная подписка на TechNet для слушателей официальных курсов Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008 Детали: www.microsoft.com/rus/learning С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено! Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала Спасибо! IS 305 Артём Синицын Microsoft Consulting Services [email protected] www.sinitsyn.org Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада