Forefront Endpoint Protection 2010

IS 305
Артём Синицын
Microsoft Consulting Services
Стратегия защиты конечных устройств
Что такое FEP
Технологии защиты FEP
Интеграция FEP с Configuration Manager
Развёртывание и обновление
Политики и контроль соответствия
Мониторинг и отчеты
Демонстрация
Вопросы и…ответы 
Низкая стоимость внедрения
•
•
•
•
Использует ConfigMgr в качестве платформы
Поддерживает любые варианты топологи ConfigMgr
Простая миграция
Поддержка всех клиентских и серверных ОС Windows
Защита без падения производительности
• Защита от вирусов, шпионского ПО, руткитов
• Конфигурация по умолчанию ориентирована на высокий
уровень производительности
• Интеграция с Брандмауэром Windows
• Облачные сервисы - Malware Research and Response
Объединенная защита и управление
•
•
•
•
Единый интерфейс
Единый механизм создания и контроля политик
Централизованное оповещение
Отчеты включают информацию о конфигурации и защите
Защита от
известных угроз
Уровень
сети
Data Execution
Protection
Address Space Layer
Randomization
Windows Resource
Protection
Anti-malware &
Antimalware
Anti-Rootkit
Dynamic Translation
& Emulation
Internet Explorer 8
SmartScreen
AppLocker
IDS/IPS (Network Inspection System)
Интеграция с Windows Firewall
FEP 2010
Windows 7
Службы динамических
обновлений DSS
Уровень
файловой
системы
Поведенческий анализ
Центр защиты от
вредоносного ПО MMPC
Уровень
приложений
Защита от
неизвестных угроз
SpyNet / MRS
Новое
Улучшенное
2
Поведенческий
анализ/
Мониторинг ядра
Базовые
сигнатуры
3
Сигнатуры/Эвристика
Сканирование по
расписанию/по
требованию
1
После запуска вируса
Защита в реальном
времени
Перед запуском вируса
Служба динамических обновлений DSS
4
Сценарии
поведения
Улучшенное
восстановление
Портал MMPC
 Защита в реальном времени
 Сканирование и очистка системы
 Поведенческий анализ
 Microsoft Reputation Service
 Dynamic Signature Service
 Обнаружение и удаление руткитов
HANDLE hFile;
hFile = CreateFile(L"NewVirus.exe", GENERIC_WRITE,
0, NULL, CREATE_NEW,
FILE_ATTRIBUTE_HIDDEN, NULL);
...
push
40000000h
push
offset string L"NewVirus.exe”
call
dword ptr [__imp__CreateFileW@28]
cmp
esi,esp
DT
...
push
push
call
cmp
40000000h
offset string L"NewVirus.exe”
dword ptr [DT_CreateFile]
esi,esp
Конечное
устройство с FEP
Сценарии выполнения
MMPC
Новые сигнатуры
До выполнения вредоносного ПО
 Известные угрозы – блокируются
 Часть неизвестных блокируются за
счет базовых сигнатур
После выполнения вредоносного ПО
 Оставшиеся угрозы направляются в MMPC.
 Новые сигнатуры загружаются из DSS
 Неизвестные угрозы - нейтрализуются
Руткит = маскировка для вредоносного ПО
Используют низкоуровневые перехваты и модификацию ядра
Требуют специализированные механизмы для обнаружения и
удаления
FEP vs. Rootkit
Оперирует низкоуровневыми перехватами
Следит за аномалиями в структуре ядра
Вызывается в рамках поведенческого
анализа
Интегрированный автономный сканнер –
“Standalone System Sweeper”
Rootkit.BV
попадает на
компьютер
Руткит прячет
драйвер и ключи
реестра
Во время запуска
системы FEP вычищает
остатки руткита
Руткит загружает
вредоносный код
Перезагрузка
Загружается ядро
FEP
FEP удаляет ссылку в
реестре на драйвер
руткита
FEP обнаруживает
драйвер руткита
во время
плановой
проверки
FEP просит
пользователя
перезагрузится
Защищает от эксплуатации уязвимостей
~40% всех уязвимостей, ~50% критических уязвимостей
HTTP, MIME, SMTP, IMAP, POP3, SMB, SMB2 и RPC
Предотвращает эксплуатацию конкретных уязвимостей
Блокирует попытки использования MS08-067 (~3000
уникальных эксплойтов из 8 различных семейств)
Уменьшает период уязвимости
Zero day - время от выявления уязвимости до выпуска патча
(часы/дни)
Известные уязвимости - время с момента выпуска патча до его
установки (дни/недели)
Определение
уязвимости
Эксплуатация
Получение
контроля
Отключение AM и
обновлений
Распространение
вредоносного
кода
Простой интерфейс
Очевидные действия
Централизованное применение политики защиты
Гибкий контроль над возможностями пользователей
Контроль соответствия
Объединенная инфраструктура для управления и защиты
конечных устройств
Использование существующей инфраструктуры
Простота внедрения и миграции
Эффективное управление и мониторинг из единой консоли
Централизованное применение политики защиты
Контроль соответствия параметрам политики компании
Отчеты для администраторов рабочих мест и офицеров безопасности
Политики
Отчеты
SpyNet
Данные
Сервер сайта
SCCM
Настройки
(или сетевая
папка)
SCCM
Распространение
ПО
Обратная
Обновления
связь
События
Клиенты FEP
Служба
отчетов
SQL
SCCM
Desired
Configuration
Management
Отчеты FEP
Серверная
роль FEPFEP
База данных
 Коллекции
 FEP DB FEP
 Политики
FEP
 FEP DW
 Политики
Установка
 Объявление
 FEP DW OLAP
расширения

Оповещения
политик
CubeFEP
отчетов
FEP
События

Отчеты
 Установочные
Распространение
ПО
 Используется
Агент
пакеты
FEP
Сервер сайта
Реестр
FEP
DB
механизм
отчетов
ConfigMgr
Устанавливается
как
ConfigMgr
DCM
используется

Информация
из
расширение
Устанавливается
на WMI
Сервер
FEP
совместно
с
Data warehouse
и
консоли
ConfigMgr
рольConfigMgr
сервера DB
OLAP-куба
первичного сайта
ConfigMgr
FEP DW
Консоль FEP
Консоль
ConfigMgr
Консоль FEP
Отчеты
ConfigMgr
Отчеты FEP
Клиент
Forefront
EndPoint
Protection
Управляемый компьютер
используется
для
создания отчетов
ConfigMgr
База данных
FEP
База данных
Configuration Manager
FEP
Серверная
роль FEP
Отчеты FEP
Консоль
управления
FEP
Центральный сайт
Серверная
роль FEP
Отчеты FEP
Консоль
Первичный
сайт
управления
FEP
Вторичный сайт
Серверная
роль FEP
Отчеты FEP
Консоль
Первичный
сайт
управления
Вторичный сайт
FEP
Серверная
роль FEP
Отчеты FEP
Консоль
Первичный
сайт
управления
FEP
Первичный сайт
Дополнительные сессии по теме
CT 306: Реализация доступа для удаленных
пользователей на базе Windows 7
DirectAccess и Forefront UAG (17:30-18:30,
Зона интерактивных сессий)
Блоги
http://sinitsyn.org
http://blogs.technet.com/securityrus
Более 300 официальных курсов Microsoft доступно в России.
Официальные курсы можно прослушать только в авторизованных
учебных центрах Microsoft
под руководством опытного сертифицированного инструктора Microsoft
интенсивное обучение с акцентом на практику
более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и
выездные курсы)
Сертификат Microsoft - показатель квалификации ИТ-специалиста для
работодателя .
Microsoft предлагает гибкую систему сертификаций.
•
40 %
Доказательство № 75
сертифицированных специалистов
считают, что сертификация помогла
им получить работу или повышение
•
57 %
Доказательство № 119
рекрутеров считают сертификацию
сотрудников одним из критериев
для повышения в должности
Все курсы, учебные центры и центры тестирования:
www.microsoft.com/rus/learning
Сертификационный пакет со вторым
шансом
Пакеты экзаменационных ваучеров со скидкой от 15 до
20% и бесплатной пересдачей («вторым шансом»). Все
экзамены сдаются одним человеком.
Сэкономьте 15% на сертификации вашей
ИТ-команды
Пакет из 10-и экзаменационных ваучеров со скидкой
15% для сотрудников ИТ-отдела. «Второй шанс»
включен. Ваучеры можно произвольно распределять
между сотрудниками.
Microsoft Certified Career Conference
Первая 24-часовая глобальная виртуальная конференция
с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г.
Сессии по технологиям и построению карьеры
Скидка 50% для сертифицированных специалистов
Microsoft и студентов
Бесплатная подписка на TechNet для
слушателей официальных курсов
Некоторые курсы по SharePoint, Windows 7; Windows
Server 2008; SQL Server 2008
Детали: www.microsoft.com/rus/learning
С 22 ноября 2010 г. –
подписка TechNet бесплатно
для слушателей курсов.
Количество ограничено!
Ваше мнение очень важно для нас.
Пожалуйста, оцените доклад, заполните
анкету и сдайте ее при выходе из зала
Спасибо!
IS 305
Артём Синицын
Microsoft Consulting Services
artsin@microsoft.com
www.sinitsyn.org
Вы сможете задать вопросы докладчику в
зоне «Спроси эксперта» в течение часа
после завершения этого доклада