Обзор антивируса Microsoft Forefront Client Security

[Сергей Ильин 1538]

Рад сообщить вам, что на нашем сайте появился еще новый обзор новейшего антивируса Microsoft Forefront Client Security для защиты рабочих станций, которого с опаской ждали, пожалуй, все существующие производители антивирусного ПО.

Обзор Microsoft Forefront Client Security

Данный продукт - это последнее недостающее звено в антивирусной линейке Microsoft, которая теперь может предложить клиентам комплексную защиту всего предприятия (на платформе Windows конечно )

Содержание

1. Введение

2. Установка и пользовательский интерфейс

3. Функционал антивируса

4. Настройки антивируса

5. Выводы

Статья написана Артёмом Сальниковым, более известным нам пока под ником Ego1st.

Поздравляем с дебютом на Anti-Malware.ru!

Полный текст обзора и интересные скриншоты продукта можно посмотреть здесь

http://www.anti-malware.ru/index.phtml?par...client_security

Добавлено спустя 1 минуту 46 секунд:

Да, чуть не забыл Microsoft Forefront Client Security выходит в продажу в России 17-го мая, этому будет посвящено специальное мероприятие http://www.anti-malware.ru/index.phtml?part=events&id=49

[Иван 290]

вот гляжу я на баннер висящий на главной странице антималваре и на эту вакханалию фриков, что можно обнаружить при клике на этот баннер http://www.microsoft.com/rus/forefront/easyeasier/ ...и веселюсь

веселюсь потому как не понимаю, как эти люди могут говорить про развертывание и управление Microsoft Forefront Client Security слово "легко"?

эх было бы время поделился бы я, что ожидает админа, если он захочет развернуть эту прелесть у себя.

[gavrilo77 0]

всем привет, а кто-нибудь крутил мткрософтовский Forefront Client Security?

интерсно узнать мнение удобная ли у него администрилка, на что ставить можно чтоб не помирал, вообще впечатления

тока пожалуйста рекламы не надо, отвечайте кто ставил

[Иван 290]

gavrilo77

я крутил эту штуку

для соблюдения полярности мнений приведу здесь своё мнение и мнение Руси Калихман из Микрософта

-----------------------------------------------------------------------------

От себя

В клиенте Forefront, устанавливаемом на рабстанции и сервера тот же движок, что и в OneCare. Как мы видим в тестах (http://www.anti-malware.ru/phpbb/viewtopic.php?t=3423, http://www.anti-malware.ru/phpbb/viewtopic.php?t=3424) One Care последнее время по детекту сильно поднялась, но пока Микрософт далек от лидеров по этому параметру. Кроме того, пока антивирусная составляющая Forefront Client Security представляет из себя обычный файловый антивирус: проверки не только HTTP, но и всех почтовых протоколов на лету нет. По-моему, из известных вендоров такое осталось только у Sophos.

Но в качестве своего основного преимущества Microsoft называет не возможности защиты, а простоту управления: “Легче легкого”, “Смотрите это совсем просто”, говорят они. Так что я бы хотел немного добавить по системе администрирования и развертывания.

Победные реляции и красивые феньки вы сможете найти на сайте http://www.microsoft.com/rus/forefront/easyeasier/. Я как обычно о недостатках.

Что такое Microsoft Forefront Client Security?

Это продукт для антивирусной защиты рабочих станций и серверов Windows, продукт с возможностями централизованного администрирования. Как говорит Microsoft: “Защитите своих сотрудников от нежелательной почты, атак злоумышленников и вирусов, а попутно избавьте сотрудников ИТ-подразделения от необходимости тратить все свое время на борьбу с подобными угрозами.”

На какой сегмент ориентирован продукт Microsoft Forefront Client Security (FCS)?

ForeFront можно нормально использовать только если в сети есть не только Active Directory (AD), но также GPO (Group Policy Object), Microsoft Operation Manager и Windows Server Update Services.

Т.е. чтобы управлять Forefront Client Security потребуются:

-Windows Server 2003 Standard или Enterprise Edition SP1 и выше

-Microsoft SQL Server 2005 Standard или Enterprise Edition с SP1

-.NET Framework 2.0

-Group Policy Management Console (GPMC) SP1

-WSUS 2.0 SP1

-IIS 6.0 и ASP.NET

-MMC 3.0

Самому серверу на который это все рекомендуется ставить нужно иметь как минимум 2 процессора и 4 ГБ оперативной памяти. Кроме того Микрософт крайне не рекомендует использовать для управления один сервак, как минимум 2.

Выходит, что для небольших компаний неподъемны уже системные требования, а еще нужен очень грамотный администратор, имеющий богатый опыт работы с перечисленным выше зоопарком. Да и политика лицензирования продукта предполагает лицензирование отдельно клиентов и системы управления (за сервер). Стоимость одной лицензии сервера управления составляет порядка $2500 в год, если к этому добавить стоимость сервака, который придется для этого чуда покупать - это уже потянет на суммарную стоимость защиты от любого другого производителя для небольшой сети целиком.

С большими корпоративными сетями также есть проблемы. Один сервер Forefront способен работать не более чем 10000 клиентских узлов. Если узлов больше, предлагается создать несколько независимых систем управления. А иерархии среверов администрирования у Forefront просто нет. И потом администратору приходится постоянно переключаться для решения одной задачи управления антивирусной защитой между тремя системами: Forefront Client Security, Microsoft Operation Manage, Windows Server Update Services (FCS, MOM, WSUS), которые почти не взаимосвязаны.

Какой же сегмент остается для Forefront Client Security? Остаются средние компании, причем полностью построенные на инфраструктуре Microsoft. Все компьютеры включены в домен, все пользователи лишены прав локальных администраторов и так далее. Такая некая идеальная сеть средней компании.

Что же ожидает администратора этой средней сети?

•Если в сети стоит WSUS сервер, и установлен компонент Forefront Distribution Server, можно внедрить на клиентский компьютер политику, что автоматически приведет к установке клиента Forefront. Если же нет WSUS либо Distribution Server, выключенного в инсталляции по умолчанию, ну чтож - придется потрудиться.

•В Forefront администратору приходится постоянно переключаться между окнами консолей MOM, FCS, WSUS, а также отдельно просматривать отчеты в браузере. Это создает неудобства в работе и сильно затрудняет общее понимание системы.

•Если компьютер не управляется через Active Directory, внедрить на него политику можно только вручную. Вообще, управлять компьютером, не входящим в домен, в Forefront крайне затруднительно.

•Проверить результаты установки можно лишь при помощи отчета, а не в свойствах задачи установки. Для просмотра статистики приходится ждать пока свежеустановленный клиент соединится с MOM Server, и, наконец, в течение часа MOM Server сообщит о появлении нового клиента.

•Создается впечатление, что Microsoft не задумывался о том, что в случае эпидемии может срочно понадобиться изменить параметры защиты. политики применяются при загрузке компьютера, и затем каждые часа полтора - два. За это время зловред накроет всю сеть. Можно уменьшить интервал по умолчанию, однако он един для всех политик Active Directory. Это означает, что и прочие заданные политики начнут применяться чаще, увеличивая нагрузку на сеть.

•Вообще для продукта характерна некая медлительность в плане доставки администратору нужной ему информации, в случае с установкой каких-то других продуктов Microsoft это вполне нормально, но в случае с антивирусной защитой нет. В продукте существует большая задержка между обнаружением вируса и осознанием этого факта администратором безопасности. Такой медлительный подход может привести к заражению сети в случае эпидемии.

•В Forefront при помощи политики можно запретить локальному пользователю не только изменять настройки, но и вообще открывать интерфейс клиентского антивируса. Однако, все это не распространяется на пользователей – локальных админов. Локальный админ (почти в каждой сети имеются такие), способен легко остановить антивирусную защиту (например, используя net stop), либо изменить ее настройки путем модификации параметров защиты в реестре. Этим способом подавления защиты с легкостью могут воспользоваться и вирусописатели.

•В Forefront не предусмотрено никакой защиты от желания локального админа деинсталлировать антивирус.

•Обновления к Forefront загружаются при помощи сервиса Windows Update. Итак, если в сети установлен и настроен WSUS, обновления будут загружаться с него по мере необходимости. Если же WSUS отсутствует, все обновления будут загружены непосредственно с сайта Microsoft всеми клиентами. Учитывая тот факт, что обновления модулей приложения могут достигать 15 МБ, а дельта обновления баз до мегабайта – нагрузка может быть существенна. Ставьте WSUS обязательно.

•Microsoft выпускает обновления сигнатур угроз в среднем пять раз в день. WSUS 2.0 SP1 может синхронизироваться с сервером Microsoft Updates либо раз в сутки, либо вручную. Таким образом, вне зависимости от частоты выхода обновлений, получены они могут быть либо путем синхронизации вручную, либо раз в сутки.

•В FCS не предусмотрено механизма принудительного обновления клиентов. Что в случае эпидемии не здорово. По умолчанию клиент будет обновлен каждые шесть часов, а также при запуске задачи сканирования.

•В FCS существует два вида проверки по требованию – полная и быстрая. Изменить области проверки для обоих видов невозможно. Также невозможно изменение типов проверяемых файлов и большинство других востребованных опций. Администратор может запускать полную либо быструю проверки на компьютерах по расписанию либо вручную. Возможное расписание полной проверки – ежедневно в определенное время либо еженедельно, также в определенное время. Возможное расписание быстрой проверки – каждые N часов. Вручную проверку можно запустить одновременно либо на всех, либо только на одном компьютере. Возможности запустить проверку на выбранном наборе компьютеров нет.

В принципе, мне показалось, что имея достаточно сжатые сроки разработки системы администрирования Forefront, команда Microsoft действовала по принципу “я его слепила из того, что было”. И ориентировалась именно на средний сегмент, т.к. его легче всего удовлетворить в эти сжатые сроки. Следующим шагом будет создание единой администрилки для крупняка (собственно проект Stirling уже открыт) и (я надеюсь) простого продукта для СМБ (как у Тренда, например). Иначе счастья Microsoft на этом поле не видать.

---------------------------------------------------------------------------------

От Руси

В своем докладе Руся Калихман рассмотрела механизм работы Forefront Client Security и рассказала о том, что будет входить в поставку нового продукта Microsoft. Принципиальный момент, на который обращали внимание все без исключения докладчики конференции, - почему Forefront и System Center позиционируются вместе? Отвечая на этот вопрос, Калихман отметила, что, поскольку безопасность любой компании невозможна без адекватного управления, Microsoft ставит перед собой задачу объединить оба направления, Forefront и System Center, и получить один продукт, единую платформу, которая бы облегчала администраторам, специалистам службы безопасности и технической поддержки обслуживание всей информационной инфраструктуры. Сейчас с точки зрения безопасности эти направления разделяются на области защиты рабочих станций, защиты серверов приложений и защиты периметра. А с точки зрения управления - на управление изменениями в конфигурации, резервное копирование, управление виртуальными платформа

ми и мониторинг систем.

В наши дни угроза безопасности информационной системы возрастает по следующим причинам.

- Атакующие становятся более изобретательными. Троянские программы маскируют свои сообщения под сообщения антивирусных программ. Удручает, что эти атаки становятся все более оправданными с финансовой точки зрения. Существуют компании, которые "заказывают" атаки с целью получения конфиденциальной информации.

- Атаки происходят все чаще, времени на создание защиты и выпуска обновлений становится все меньше. Намечается тенденция перехода к атакам, которые направлены на определенные приложения с целью хищения содержащейся в них информации.

- Программы, предназначенные для обеспечения информационной безопасности, нередко очень плохо интегрированы между собой. Управление такими программами осуществляется из разных консолей, разными средствами, что прибавляет хлопот администратору и не способствует быстрой реакции на возникшие угрозы.

Калихман рассмотрела факты, взятые из аналитического отчета Microsoft за 2006 г., и данные других компаний, которые проводят исследования в этой области, и сделала следующий вывод: современные средства защиты и информационной безопасности должны быть просты в управлении; должны быть хорошо интегрированы между собой и должны обеспечивать комплексный подход к защите информационной безопасности. Именно на таких принципах Microsoft строит свое семейство Forefront и продукт Client Security. - Forefront Client Security - это единое решение антивирусной защиты от программ-шпионов и вирусов. Ядро Client Security содержит и антивирус, и антишпионскую программу. Она построена на технологиях, которые уже используются многими компаниями: Forefront Service Security, Malicious Software Removal Tool, One Care и Windows Defender. Эти технологии опробованы и эксплуатируются не один год. Кроме того, Forefront Client Security дополняет другие продукты информационной безопасности компании Micros

oft. Что же касается простоты администрирования, то в докладе Калихман было показано, как при помощи единой консоли можно легко управлять настройками агентов, политиками и т. д. Единая консоль весьма информативна и располагает необходимым инструментарием управления. Существует также система мгновенных оповещений администратора о наличии угроз безопасности или начале вирусной атаки. Итак, что же входит в дистрибутив Client Security? В состав сервера FCS входит:

- MOM 2005 SP1;

- отчетный компонент, MOM 2005 Reporting SP1;

- дополнения для MOM, необходимые для совместной работы с Forefront Client Security;

- SQL 2005 Enterprise Edition;

- консоль Forefront Client Security с модулем отчетов. Этот пакет - единое целое, все продукты поставляются вместе и отдельно плата ни за что не взимается. В настоящее момент сервер FCS доступен пока только в 32-разрядном варианте. Но продукт продолжает совершенствоваться, и следующий выпуск уже будет поддерживать оба режима - 32- и 64-разрядный.

В дистрибутиве FCS-клиента, кроме собственно агента Client Security, есть специальный агент сканирования в соответствии с шаблоном безопасности. Существует также специальная утилита, которая позволяет локально применять политики к тем компьютерам, которые по каким-то причинам не входят в каталог Active Directory (AD).

На рис. 1 представлен перечень поддерживаемых платформ. Для тех клиентов, у которых присутствуют гетерогенные сети или более старые клиенты, планируется выпустить соответствующий специальный гетерогенный агент. На рис. 2 перечислено аппаратное обеспечение, необходимое для развертывания FCS.

При развертывании FCS на предприятии особенности технического внедрения зависят от того, какая именно архитектура FCS будет использоваться. На рис. 3 показана типовая архитектура. Ее ядром является Management Server, который позволяет управлять клиентами. После настройки на сервере управления распространение политик осуществляется при помощи механизма AD или альтернативных систем, после чего политики применяются на клиенте. Обновления публикуются на Microsoft Update. Кроме того, специально для FCS была введена новая категория WSUS -категория "обновления FCS". Эти обновления загружаются WSUS-сервером, и на основании настроенных политик они устанавливаются либо автоматически, либо вручную.

Любые события, которые происходят на клиенте (обнаружен вирус, не запущен сервис Client Security и т. д.), фиксируются на сервере отчетов Reporting and Alerting Server.

Особое внимание Калихман уделила обновлению FCS. Обновление - это пакет, состоящий из пяти файлов. Это собственно ядро, которое обновляется примерно раз в месяц или по мере выхода какого-то принципиально нового вируса, база anti-spyware и разница с предыдущим ее содержимым, антивирусная база и, соответственно, ее дельта. Полностью антивирусная база обновляется раз в месяц, т. е. после загрузки базы в следующий раз клиент загружает только те дельты, которые публикуются на сайте Microsoft (это происходит от трех до пяти раз в день). Для того чтобы эти обновления постоянно скачивались, на WSUS устанавливается специальный агент, который позволяет раз в час проверять наличие обновлений. Этот же агент заставляет клиента раз в час обращаться к серверу обновлений на предмет загрузки обновлений. Как уже отмечалось, настройками клиента может управлять администратор. Каким образом осуществляется этот процесс?

Первое, что делает работающий FCS-агент, - проверяет файл исключений. Можно настроить исключение Client Security для действий по умолчанию или по типу категории программного обеспечения. После этого агент проверяет то действие, которое предписывается самим файлом обновлений согласно обнаруженному коду. Затем выполняется проверка уже собственно политики, которую накладывал администратор. Если ответ не найден, при соответствующей настройке система может вывести окно с вопросом, что делать с обнаруженным кодом. Варианты действий: вычистить вирус, удалить весь файл, отправить его в карантин, проигнорировать либо затормозить (в случае, если само ядро не знает, что делать) и, наконец, обратиться к пользователю за разъяснениями. Естественно, необходимость обращения к пользователю настраивается через политики. Часто задаваемый вопрос - каким образом FCS будет совместим с Network Access Protection? О технологии NAP более подробно рассказано в статье "Windows Server 2003 R2 Network Acc

ess Protection" по адресу http://www. osp.ru/win2000/2004/08/177304/. Естественно, FCS полностью совместим с NAP, и к моменту выхода Longhorn или Windows Server 2008, как этот сервер называется сейчас, в настройках NAP можно будет указать соответствие требованиям политики информационной безопасности в отношении либо версии FCS, либо версии обновления. После попытки подключения клиента к сети будет производиться проверка, и в случае несоответствия должно выводиться сообщение с разъяснением, почему настройки не соответствуют друг другу. После определенных действий, предпринятых либо самим пользователем, либо системой согласно заданным настройкам, доступ в сеть может быть предоставлен.

Откуда берутся обновления? В Microsoft существует центр исследования вредоносного кода. Некоторые из его специалистов ранее работали в других компаниях, выпускающих средства обеспечения информационной безопасности. Откуда поступает информация о наличии вирусов и появлении новых угроз? Например, в Windows Defender предусмотрено обращение в сообщество SpyNet, члены которого сообщают о наличии вирусов. Еще один источник информации - сканирование Internet; существуют и другие методы обнаружения, например партнерство с производителями аналогичного программного обеспечения. База дефиниций обновляется максимально быстро, для того чтобы как можно более оперативно отреагировать на появление действительно критичных новых вирусов и выпустить соответствующее обновление. Буквально на прошлой неделе FCS прошел сертификацию West Coast Labs как продукт антивирусной и анти-malware защиты. - Говоря о возможностях развертывания, Руся указала на существование как минимум трех методов, которые по

казаны на рисунке 4. Это WSUS, System Configuration Manager (SCM) или другие аналогичные программы. Пакет, подготовленный для установки и заложенный в этих программах, доступен на сайте Microsoft, его можно скачивать автоматически или вручную, а также распространять.

Поскольку в FCS используется вся функциональность MOM, настройка оповещений производится достаточно гибко, быстро и эффективно. Уже в самом дистрибутиве заложено пять уровней оповещений. Первый уровень - когда сообщаются только самые критичные события, его Microsoft рекомендует настраивать для некритичных объектов. Соответственно, пятый уровень - это наиболее критичные события, их, как правило, рекомендуется настраивать для северов.

Помимо встроенных, можно добавить собственные оповещения и настроить их на тот или иной уровень критичности. Естественно, поддерживается давно ставшая стандартной возможность рассылки оповещений по электронной почте для оперативности мониторинга и информативности.

"Отчеты хороши тем, что они предоставляют всю информацию в наглядном и понятном - расшифрованном - виде, - подчеркнула Калихман. - При этом существует возможность достаточно глубоко погрузиться в эти отчеты, вплоть до выяснения, на каком именно компьютере, что, когда и как происходило. И все это делается из единой консоли. Существует возможность периодической рассылки любого отчета соответствующему специалисту по информационной безопасности. Наутро он придет на работу и увидит картину событий, произошедших за ночь".

В FCS появилась новая функция, которая выгодно отличает продукт Microsoft от аналогичных разработок других производителей, - сканирование соответствия. Сканирование соответствия может осуществляться либо по запросу, либо одновременно с антивирусным сканированием. Безусловно, это очень полезная функция для информационной безопасности, поскольку она позволяет сразу выявить уязвимые места, которые существуют в настройках компьютеров: слабые пароли, отсутствие обновлений, активные гостевые учетные записи и т. д. Причем шаблоны безопасности скачиваются вместе с антивирусными обновлениями, и специалисты Microsoft постоянно дорабатывают их. Не исключено, что в следующих версиях появится возможность разработки собственных шаблонов и их подключения к агенту сканирования на предмет соответствия политике безопасности.

Итак, на какие вопросы отвечает агент сканирования? Во-первых, соответствует ли данная инфраструктура рекомендациям по безопасности. Во-вторых, как изменяется степень уязвимости при изменении настроек и, наконец, какая часть инфраструктуры вызывает наибольшие опасения. Отчеты FCS позволяют специалистам по информационной безопасности сразу составить "карту уязвимости" системы и понять, где именно она больше всего подвержена потенциальному взлому, насколько она безопасна. В результате администратор располагает всей необходимой информацией для составления плана мероприятий по усилению безопасности и может представить своему руководству отчет с рекомендациями по устранению слабых мест.

В завершение своего исключительно информативного и профессионального доклада Калихман предложила слушателям ознакомиться с дополнительными ресурсами, относящимися к Forefront Client Security. Особый интерес у аудитории вызвало упоминание о разработанном в Microsoft демонстрационном инструментарии - Microsoft Forefront and System Center Demonstration Toolkit. В его состав включены готовые виртуальные машины, которые можно развернуть у себя на рабочем месте, поработать с ними и узнать, насколько продукты Microsoft отвечают современным требованиям безопасности.

"По данным агентства ESG, в декабре 2006 г. 8% организаций уже тестировали Microsoft Forefront Client Security, a 35% собирались это сделать в 2007 г." - такими словами Калихман закончила основную часть своего доклада.

Вслед за этим последовала непродолжительная сессия ответов на вопросы. В частности, Калихман сообщила, что продукт FCS будет локализован вскоре после поступления в продажу и что суммарная цена продукта будет значительно ниже суммарной стоимости тех серверов, которые представлены в самом продукте.

Доклад Руси Калихман вызвал очень большой интерес аудитории. В течение нескольких часов после основного доклада Калихман отвечала на вопросы около стенда "Спроси эксперта".

[gavrilo77 0]

не осилил - много букв

смотрели форфронт в выходные, дешбоард удобный, но брать не будем - гемор развертывать

[gavrilo77 0]

не осилил - много букв

смотрели форфронт в выходные, дешбоард удобный, но брать не будем - гемор развертывать

Кстати если кому интересно, мы нод32 взяли себе в контору по итогам

и дешевле и заморочек никаких

[Kokunov Aleksey 20]

и дешевле

???