View
31
Download
0
Category
Preview:
DESCRIPTION
FEP 2010. Session SEC203 Olivier Detilleux - VNEXT Stephane Saunier – Microsoft France. Stand C11. Editeur. +. Consulting IT. =. +. R&D. Overview. FEP 2010 en quelques mots. Les objectifs de conception de cette nouvelle version ont été : - PowerPoint PPT Presentation
Citation preview
2
FEP 2010Session SEC203Olivier Detilleux - VNEXTStephane Saunier – Microsoft France
3
Editeur
Consulting IT
+
=
R&D
+
Stand C11
4
Overview
5
FEP 2010 en quelques motsLes objectifs de conception de cette nouvelle version ont été :
• Une simplification du déploiement des moyens de protection
• Une meilleur gestion des menaces sur des topologies et des tailles d’ environnements très varies.
• Une amélioration des moyens de réponses réactives ou proactives.
• Réduction de coûts de gestion par rationalisation des consoles de supervision SCCM et SCOM.
6
Topologies
7
FEP 2010 avec SCCM• On réutilise la souplesse des topologies disponibles sur
SCCM• Hiérarchies de sites• Réseau d’agences• Gestions hors DMZ et Intranet
Site
192.168.20/24 – SLOW
192.168.100/24 - FAST
Client
Management Point (MP)
Site Server & Site DB
Client
WSUS / DP
WSUS / DP
Site: SYD
8
FEP 2010 avec SCCM et SCOM• On réutilise la souplesse des topologies disponible sur
SCCM• Hiérarchies de sites• Réseau d’agences• Gestions hors DMZ et Intranet
Site
192.168.20/24 – SLOW
192.168.100/24 - FAST
Client
Management Point (MP)
Site Server & Site DB
Client
WSUS / DP
WSUS / DP
Site: SYD
SCOM
Couplé à un suivit en temps
réel des machines sensibles
9
Si vous ne désirez pas utiliser SCCM
• Vous possédez déjà un autre outil de télédistribution de paquets ou vous privilégiez l’usage des GPO d’AD …o FEP 2010 s’intègre parfaitement à vos outils
tiers ( ou AD ) pour ce qui est de la distribution du code client.
o WSUS ou les partages de réseaux restent disponibles pour gérer les mises à jours de signatures
o SCOM reste utilisable en suivit de l’état du parc ( alertes et rapports )
Distribution des
binaires FEP Client
Distribution des signatures
Rapport et suivit par
SCOM
10
Sans SCCM ni SCOM …
• Cas de machines isolées par exemple …
o Un media peut être préconfiguré avec le code d’installation du client et une configuration prédéfinie.
o WSUS ou les partages de réseaux restent disponibles pour gérer les mises à jours de signatures
o Aucun suivit n’est possible par défaut mais sur Vista et Seven, il est possible de d’activer le service « Windows Event Collector » pour centraliser les évènements générés par FEP 2010o D’autres outils de suivit/rapport basés sur les
évènements Windows peuvent aussi être utilisés.
12
Architectures
13
Integration de FEP dans SCCM
WSUS File Share
Desktops, Laptops & Serverswith FEP 2010, SCCM Client &
(optionally) SCOM client
SCCM Console
SCCM 2007 R2 FEP Data Warehouse
Definition Updates
Policy
Etat
Realtime Query &
Response
Historical Data
Config. /Dashboard Reports
Active Directory
14
Architecture
Configuration Manager Reporting
Configuration Manager Console
Configuration
Manager Agent
FEP Reports
Configuration Manager
DB
Configuration Manager Server
DCM
FEP Warehouse
Configuration ManagerFEP
FEP UI
Poste Client / Serveurs
Forefront Common
ClientWMI
Registry
Event log
Configuration Manager Software Distribution
WSUS
Serveur d’Infra
15
La Protection capitalise aussi sur Operation Manager 2007• Réutilisation de votre infrastructure
SCOM 2007• Pas de nouveau serveurs• Support des version R2 et suivante
• Installation simplifiée• 3 Management pack à ajouter au
RMS• Permet de suivre en temps réel
les alertes de securité FEP• Intègre les actions de
remédiation pour les alertes détectées.
• Création de vues dans la base pour fabriquer ses propres rapports
Root MS
MS
MS
MS
FEP Security Management
Pack
16
Ajout de SCOM
MU / WU / MMPC
SpyNet
WSUS File Share
Desktops, Laptops & Serverswith FEP 2010, SCCM Client &
(optionally) SCOM client
SCCM Console
SCCM 2007 R2 FEP Data Warehouse
Definition Updates
Policy
Events
Realtime Query &
Response
Historical Data
Config. /Dashboard Reports
SCOM 2007 R2 SCOM Data Warehouse
Historical DataRealtime
Monitoring,Alerting &
Tasks
Active DirectoryGroup Policy
SCOM Console ReportsConfig. /
Dashboard
Jusqu’à 10 K machines par
RMS
17
Déploiements
18
Déploiement du code client
19
Déploiement SCCM• Déploiement du client
• Package automatiquement créé dans SCCM• Install• Uninstall
• Inclue la désinstallation d’une sélection d’Antivirus• Directement depuis la console SCCM• Update des collections FEP
• Failed• Pending• Succeeded (Desktop / Servers)• Locally removed• Not Targeted• Out of Date
• Rapports d’installation
20
Rapports d’installations
21
Rapports d’installations
22
Préinstallation « checks »• Détection et désinstallation automatique de :
• Symantec Endpoint Protection version 11• Symantec Endpoint Protection Small Business
Edition version 12• Symantec Corporate Edition version 10• McAfee VirusScan Enterprise version 8.5 and
version 8.7• TrendMicro OfficeScan version 8.0 and version
10.0• Forefront Client Security version 1 including the
Operations Manager agent
23
Installation manuelle • FEPInstall.exe
• Interface graphique• Activation FW• Désinstallation AV
• Ligne de commande• /s : installation silencieuse• /q : extraction des fichiers d’installation• /i : installation normale• /noreplace : ne remplace pas l’AV existant• /policy : permet de définir la stratégie AV par
défaut• /sqmoptin : participe au MCEIP (Microsoft Customer
Experience Improvement Program)
25
DémoOverview console et déploiements client
26
Déploiement des politiques de sécurité
27
Déploiement de stratégies• Par défaut 2 stratégies de sécurité sont définies :
• Default server policy• Default Desktop policy
• … Elles sont publiées sur les collections dynamiques
• Création par « Templates » possible
28
DémoDéploiement politique de sécurité
29
Déploiement par GPO• Outillage fourni
• Fichiers admx/adml pour la GPMC (stratégie ordinateur)
• Permet un paramétrage complet• Outil d’Import/export des policies en GPO :
FEP2010GPTool.exe• Utilisation des templates de stratégie• Import dans une GPO existante
• Installation du client par GPO
30
DémoDeploiement politique de securité par GPO
31
Déploiement des mises à jours
32
Déploiement des mises à jours• Distribution des signatures
• Mais aussi:• “Microsoft Update”• WSUS• Point de partage réseau
• Possibilité de réorganiser l’ordre des sources de mises à jour
• Optimisation des séquences de mise à jour par l’introduction d’un nouveau type de paquet (Binary Delta Delta)
34
Logique de mise à jourChoix du paquet de mise à jour en fonction du niveau de mise à jour sur le poste …
First Install
Signature Version:1.41.2000.0
Engine Version: 1.3000.0
Signature Version:1.42.1500.0
Engine Version: 1.4000.0
Full Package BDE Package Delta Package
Signature Version:
1.42.2000.0Engine Version:
1.4000.0
Version courrante sur MU
Signature Version:1.42.1700.0
Engine version : 1.4000.0
BDD PackageFore
front
Clie
nt
Defin
ition
Upd
ate
Scen
ario
s
1 2 3 4
Scenarios de mise à jour du poste:1. Première Installation – Aucune définition présente sur le poste -> « Download complet »
• ( Même comportement si le poste est en retard de plus de 2 versions du moteur)
2. Vieilles signatures et vieille version du moteur – Récupération du package BDE.
3. Signature de plus de 36 heures en retard mais moteur courant – Récupération du package Delta.
4. Signature de moins de 36 heures et version courante du moteur – Récupération du package BDD.
~ 55 Mb ~200KB / ~5MB 2MB / ~15MB ~100KB / ~1MB
1
2
3
4
35
Technologies de protection
36
Couches de protection : Overview
• Objectif• Réduire le temps et
les coûts liés à la protection des postes.
• Trouver le bon compromis entre performance et protection.
Firewall & Configuration Management
Anti-rootkit
Generics and Heuristics
Antimalware
Behavior Monitoring
Dynamic Signature
Service
Malware Response “MMPC”
Browser Protection
Network Vulnerability Shielding
37
Couches de protection : Antimalware
• La protection temps réel offre une protection réactive contre les attaques. Elle permet d’optimiser les scan courts (voir “Dynamic Scan”)
• Améliorations visibles :• Observe les processus / la
“Registry” / les accès disque.• Performance accrues par
utilisation de caches• Les fichiers conservé en cache ne
sont pas re-scannés• Le cache perdure d’un reboot à
l’autre• Nouvelle exclusion par “wildcard”• Control de la consommation du
processeur (CPU throttling) • Scan accessible en ligne de
commande.
Firewall & Configuration Management
Anti-rootkit
Generics and Heuristics
Antimalware
Behavior Monitoring
Dynamic Signature
Service
Malware Response “MMPC”
Browser Protection
Network Vulnerability Shielding
38
Generics et HeuristicsFirewall & Configuration Management
Anti-rootkit
Generics and Heuristics
Antimalware
Behavior Monitoring
Dynamic Signature
Service
Malware Response “MMPC”
Browser Protection
Network Vulnerability Shielding
Utilisation d’une technologie d’émulation appelée “Dynamic Translation technology” pour les détections heuristiques.Permet de découvrir les codes malicieux par leur comportement (code polymorphe difficile à détecter autrement)Les signatures génériques permettent a une signature de détecter plusieurs centaines de variantes d’un fichier malicieux.Régulièrement “benché” par des organismes comme AV-Comparatives.org.
Certification Advanced+ récemment obtenu sur la détection pro-active.On-Demand Pro-active Performance Dynamic Removal PUA
Microsoft Advanced Advanced+Advanced+ Advanced Advanced+Advanced
AV-Comparatives.org August 2010 Results
39
Dynamic Translation (DT)
• DT transpose un code accédant à de vrais ressources en un code adressant des équivalents virtuels de ces ressources.
• DT procède à cette translation sur le véritable CPU de la machine (pas d’émulation de ce dernier). Cela permet d’obtenir une translation rapide du code.
Potential malware Safe translation
Real Resources Virtualized Resources
HANDLE hFile;hFile = CreateFile(L"NewVirus.exe",
GENERIC_WRITE, 0, NULL, CREATE_NEW, FILE_ATTRIBUTE_HIDDEN, NULL);
...push 40000000h push offset string L"NewVirus.exe” call dword ptr [__imp__CreateFileW@28] cmp esi,esp
...push 40000000h push offset string L"NewVirus.exe” call dword ptr [DT_CreateFile] cmp esi,esp
DT
40
Behavior MonitoringFirewall & Configuration Management
Anti-rootkit
Generics and Heuristics
Antimalware
Behavior Monitoring
Dynamic Signature
Service
Malware Response “MMPC”
Browser Protection
Network Vulnerability Shielding
Observe le comportement des process dans le but de détecter des enchainements d’actions non conforme à une utilisation normale des ressources de la machine.Se concentre sur les processus inconnus et sur le changement de comportement des ceux qui nous sont connus.Les détections s’effectue sur :
La gestions des processus / Fichier / RegistreSur l’activité réseauSur les modification du noyau ( intégration de la technology de protection Anti Root Kit racheté à “Komoku Inc”
La détection est couplé au service DSS.
41
Func
tions
pro
vide
d by
use
r mod
e lib
rarie
s
sysc
alls RTP
1 2 3
Notifi -cation Queue
4
BM
5
1. Les Applications appellent des méthode/fonctions.2. Certaine font elles même appel à des libraires
système.3. Dans le noyau (RTP) certain de ces appels sont loggé
vers4. une queue d’évènements.5. Cette dernière est consommé en mode user par les
fonction “Behavior Monitoring” de FEP.
• Le noyau collecte les appels et le module BM en mode user essaye de leur donner un sens.
Behavior Monitoring ( suite )
42
Behavior Monitoring - Notifications
Filesystem
FileCreateFileModifyFileDelete
FileRenameFileSeek
StreamsOnDirs
Registry
RegistryKeyCreateRegistrySetValue
RegistryKeyDeleteRegistryValueDeleteRegistryKeyRename
Network
NetworkConnect NetworkData
NetworkListen
Other
ModuleLoadProcessCreateOpenProcess
ProcessTerminateDriverLoad
BootSectorChangeBon pour les détection de “droppers”
Bon pour détecter les tentatives de modification de
comportement du système ou des
applications
Bon pour les “bots et spammers”.
Bon pour la détection
d’injection de code et installation de
RootKit
43
Dynamic Signature Service• Permet de livrer en temps réel de
nouvelles signatures.• Une nouvelle classe de signatures est
introduite avec le « Behavior Monitoring » et la détection par « Dynamic Translation ». Ces dernières « Low Fidelity Signature » ont besoin de se faire confirmer un comportement détecté comme potentiellement malicieux.
• L’utilisation de DSS doit s’activer et nécessite un accès à Internet depuis le poste.
Firewall & Configuration Management
Anti-rootkit
Generics and Heuristics
Antimalware
Behavior Monitoring
Dynamic Signature
Service
Malware Response “MMPC”
Browser Protection
Vulnerability Shielding
Client
Researchers
SpyNet
Real-Time Signature Delivery
Behavior Classifiers
Prop
ertie
s / B
ehav
ior
Sam
ple
Subm
it
Real
-tim
e Si
gnat
ure
Reputation
44
NIS (Network Vulnerability Shielding)Firewall & Configuration Management
Anti-rootkit
Generics and Heuristics
Antimalware
Behavior Monitoring
Dynamic Signature
Service
Malware Response “MMPC”
Browser Protection
Network Vulnerability Shielding
Network Inspection System (NIS) est conçu pour détecter et bloquer des attaques venant du réseauBasée sur des signatures, la couverture de NIS va augmenter au fil des mois par simple mise à jour.NIS optimise le nombre de signature chargées sur une machine en fonction de son niveau de correctif de sécurité … Inutile de protéger contre les attaques d’un composant que l’on à « patché »Si le poste est totalement à jour, NIS se désactive.
Signature KB CVE ID Action Release date Windows 7 Windows 2008 R2 Windows Vista SP1 Windows 2008 ProtocolMS08-067 KB958644 CVE-2008-4250 Block 10/23/2008 No No Yes Yes RPCMS09-001 KB958687 CVE-2008-4835 Block 1/13/2009 No No Yes Yes SMBMS09-050 KB975517 CVE-2009-2532 Block 10/14/2009 No No Yes Yes SMBMS09-050 KB975517 CVE-2009-3103 Block 10/14/2009 No No Yes Yes SMBMS10-020 KB980232 CVE-2010-0269 Block 4/13/2010 Yes Yes Yes Yes SMBMS10-012 KB971468 CVE-2010-0020 Detect Only 2/9/2010 Yes Yes Yes Yes SMB
45
DémoNIS
47
Diagnostic Scan• Quick scan in FEP 2010
• Le “Quick Scan” sur FEP 2010 est maintenant contextuel. Il sera d’autant plus complet si des signes d’infections potentielles ont été détectés depuis le dernier scan rapide. Si aucun évènement de sécurité n’est apparu depuis le dernier scan une analyse moins profonde sera faites pour impacter le moins possible les ressources de la machine.
47
Microsoft Confidential
48
DémoDiagnostic Scan
49
MNPCFirewall & Configuration Management
Anti-rootkit
Generics and Heuristics
Antimalware
Behavior Monitoring
Dynamic Signature
Service
Malware Response “MMPC”
Browser Protection
Network Vulnerability Shielding
Portail de soumission d’échantillons non détecté ou en « faux positif ».Les requêtes de nos clients sont traitées en priorité ( enregistrements d’adresses email depuis VLSC ).Possibilité de suivre une soumission en ligne depuis le portail.Les demandes sont traitées en fonction de leur priorités et du résultat d’un premier crible d’analyse automatique.Le portail contient aussi une « encyclopédie » continuellement mise à jour des « malware » que nous détectons.Lieu de téléchargement manuel des dernières signatures Visitez le portail sur www.microsoft.com/security/portal
50
Suivit du niveau de risque
51
Au travers de DCM• DCM (« Desire
Configuration Management ») est une fonctionnalité de SCCM permettant de suivre les machines de mon parc qui s’ écarteraient d’un model de configuration attendu.
• FEP prédéfinis des modelés de sécurité basé sur une liste de « configuration item » lié au niveau de sécurité du poste.
• C’est le successeur de SSA sur FCS.
52
Au travers des rapports
53
La vue par ordinateur
55
Personnalisation des Rapports à l’aide d’Excel
56
Alerts
FEP Security alertsMalware outbreak alertMalware detection alertRepeted Malware DetectionMultiple Malware Detection
Choix de conceptionEnvoi d’EmailCreation d’entrées dans “Event log”
Au travers d’alertes
57
En suivit temps réel sur SCOM• L’extension de SCOM par
les Managements Pack de FEP permet d’administrer jusqu’à 10K machines au travers de cette console.
• Une liste d’action « sécurité » peuvent être demandées directement depuis la console.
58
DémoTableau de bord SCOM
59
Pour poursuivre …
60
Téléchargement FEP 2010 Eval
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=8b46c3ff-d9a0-4741-8ba5-458c1b3d2257&displaylang=en
61
En savoir plus
http://www.microsoft.com/forefront/endpoint-protection/en/us/default.aspx
62
Autres sessions TechDays pouvant vous intéresser …
• Forefront TMG 2010: nouveautés SP1, Update1 & bonnes pratiques du Support Microsoft (SEC201)Le mercredi 9 février 2011 de 17h30 à 18h30
• Forefront Unified Access Gateway 2010 SP1 & DirectAccess : les nouveautés (SEC301)Le mercredi 9 février 2011 de 13h00 à 14h00
• Protection des infrastructures Exchange en 2011 façon Ninja !!! (SEC205)Le jeudi 10 février 2011 de 16h00 à 17h00
• L'administration centralisée pour la protection des environnements de messagerie et de collaboration (SEC2202)Le jeudi 10 février 2011 de 11h00 à 12h00
63
Cette session vous a plu ?• Rencontrez nous sur notre stand C11 – Village Cloud Computing
• Visitez notre site web www.vNext.fr et notre page facebook http://www.facebook.com/pages/Societe-vNext/141760992550936
• Et n’oubliez nos autres sessions :
Mercredi 11:00 – 12:00 – ForeFront EndPoint Protection 2010 & retour d’expérience (SEC203)
Mercredi 17:30 – 18:30 - Comment intégrer Windows Azure dans mon système d'information (CLO301)
Jeudi 13:00 – 14:00 - Silverlight : développer un jeu vidéo pour Azure, le Web ou Windows Phone 7 (JEU201)
Mercredi 16:00 – 17:00 - System Center Configuration Manager 2007 R3 et évolution vers SCCM 2012 (ADM203)
Mercredi 13:00 – 14:00 - Migration SharePoint 2007 vers SharePoint 2010 et SharePoint Online (SHA201)
Mercredi 17:30 – 18:30 - Office 365 : Administration et supervision du service (BPOS202)
Mardi 17:30 – 18:30 - Cloud your Windows Phone (WP7205)
Merci
Recommended