2

FEP 2010Session  SEC203Olivier Detilleux - VNEXTStephane Saunier – Microsoft France

3

Editeur

Consulting IT

+

=

R&D

+

Stand C11

4

Overview

5

FEP 2010 en quelques motsLes objectifs de conception de cette nouvelle version ont été :

• Une simplification du déploiement des moyens de protection

• Une meilleur gestion des menaces sur des topologies et des tailles d’ environnements très varies.

• Une amélioration des moyens de réponses réactives ou proactives.

• Réduction de coûts de gestion par rationalisation des consoles de supervision SCCM et SCOM.

6

Topologies

7

FEP 2010 avec SCCM• On réutilise la souplesse des topologies disponibles sur

SCCM• Hiérarchies de sites• Réseau d’agences• Gestions hors DMZ et Intranet

Site

192.168.20/24 – SLOW

192.168.100/24 - FAST

Client

Management Point (MP)

Site Server & Site DB

Client

WSUS / DP

WSUS / DP

Site: SYD

8

FEP 2010 avec SCCM et SCOM• On réutilise la souplesse des topologies disponible sur

SCCM• Hiérarchies de sites• Réseau d’agences• Gestions hors DMZ et Intranet

Site

192.168.20/24 – SLOW

192.168.100/24 - FAST

Client

Management Point (MP)

Site Server & Site DB

Client

WSUS / DP

WSUS / DP

Site: SYD

SCOM

Couplé à un suivit en temps

réel des machines sensibles

9

Si vous ne désirez pas utiliser SCCM

• Vous possédez déjà un autre outil de télédistribution de paquets ou vous privilégiez l’usage des GPO d’AD …o FEP 2010 s’intègre parfaitement à vos outils

tiers ( ou AD ) pour ce qui est de la distribution du code client.

o WSUS ou les partages de réseaux restent disponibles pour gérer les mises à jours de signatures

o SCOM reste utilisable en suivit de l’état du parc ( alertes et rapports )

Distribution des

binaires FEP Client

Distribution des signatures

Rapport et suivit par

SCOM

10

Sans SCCM ni SCOM …

• Cas de machines isolées par exemple …

o Un media peut être préconfiguré avec le code d’installation du client et une configuration prédéfinie.

o WSUS ou les partages de réseaux restent disponibles pour gérer les mises à jours de signatures

o Aucun suivit n’est possible par défaut mais sur Vista et Seven, il est possible de d’activer le service « Windows Event Collector » pour centraliser les évènements générés par FEP 2010o D’autres outils de suivit/rapport basés sur les

évènements Windows peuvent aussi être utilisés.

12

Architectures

13

Integration de FEP dans SCCM

WSUS File Share

Desktops, Laptops & Serverswith FEP 2010, SCCM Client &

(optionally) SCOM client

SCCM Console

SCCM 2007 R2 FEP Data Warehouse

Definition Updates

Policy

Etat

Realtime Query &

Response

Historical Data

Config. /Dashboard Reports

Active Directory

14

Architecture

Configuration Manager Reporting

Configuration Manager Console

Configuration

Manager Agent

FEP Reports

Configuration Manager

DB

Configuration Manager Server

DCM

FEP Warehouse

Configuration ManagerFEP

FEP UI

Poste Client / Serveurs

Forefront Common

ClientWMI

Registry

Event log

Configuration Manager Software Distribution

WSUS

Serveur d’Infra

15

La Protection capitalise aussi sur Operation Manager 2007• Réutilisation de votre infrastructure

SCOM 2007• Pas de nouveau serveurs• Support des version R2 et suivante

• Installation simplifiée• 3 Management pack à ajouter au

RMS• Permet de suivre en temps réel

les alertes de securité FEP• Intègre les actions de

remédiation pour les alertes détectées.

• Création de vues dans la base pour fabriquer ses propres rapports

Root MS

MS

MS

MS

FEP Security Management

Pack

16

Ajout de SCOM

MU / WU / MMPC

SpyNet

WSUS File Share

Desktops, Laptops & Serverswith FEP 2010, SCCM Client &

(optionally) SCOM client

SCCM Console

SCCM 2007 R2 FEP Data Warehouse

Definition Updates

Policy

Events

Realtime Query &

Response

Historical Data

Config. /Dashboard Reports

SCOM 2007 R2 SCOM Data Warehouse

Historical DataRealtime

Monitoring,Alerting &

Tasks

Active DirectoryGroup Policy

SCOM Console ReportsConfig. /

Dashboard

Jusqu’à 10 K machines par

RMS

17

Déploiements

18

Déploiement du code client

19

Déploiement SCCM• Déploiement du client

• Package automatiquement créé dans SCCM• Install• Uninstall

• Inclue la désinstallation d’une sélection d’Antivirus• Directement depuis la console SCCM• Update des collections FEP

• Failed• Pending• Succeeded (Desktop / Servers)• Locally removed• Not Targeted• Out of Date

• Rapports d’installation

20

Rapports d’installations

21

Rapports d’installations

22

Préinstallation « checks »• Détection et désinstallation automatique de :

• Symantec Endpoint Protection version 11• Symantec Endpoint Protection Small Business

Edition version 12• Symantec Corporate Edition version 10• McAfee VirusScan Enterprise version 8.5 and

version 8.7• TrendMicro OfficeScan version 8.0 and version

10.0• Forefront Client Security version 1 including the

Operations Manager agent

23

Installation manuelle • FEPInstall.exe

• Interface graphique• Activation FW• Désinstallation AV

• Ligne de commande• /s : installation silencieuse• /q : extraction des fichiers d’installation• /i : installation normale• /noreplace : ne remplace pas l’AV existant• /policy : permet de définir la stratégie AV par

défaut• /sqmoptin : participe au MCEIP (Microsoft Customer

Experience Improvement Program)

25

DémoOverview console et déploiements client

26

Déploiement des politiques de sécurité

27

Déploiement de stratégies• Par défaut 2 stratégies de sécurité sont définies :

• Default server policy• Default Desktop policy

• … Elles sont publiées sur les collections dynamiques

• Création par « Templates » possible

28

DémoDéploiement politique de sécurité

29

Déploiement par GPO• Outillage fourni

• Fichiers admx/adml pour la GPMC (stratégie ordinateur)

• Permet un paramétrage complet• Outil d’Import/export des policies en GPO :

FEP2010GPTool.exe• Utilisation des templates de stratégie• Import dans une GPO existante

• Installation du client par GPO

30

DémoDeploiement politique de securité par GPO

31

Déploiement des mises à jours

32

Déploiement des mises à jours• Distribution des signatures

• Mais aussi:• “Microsoft Update”• WSUS• Point de partage réseau

• Possibilité de réorganiser l’ordre des sources de mises à jour

• Optimisation des séquences de mise à jour par l’introduction d’un nouveau type de paquet (Binary Delta Delta)

34

Logique de mise à jourChoix du paquet de mise à jour en fonction du niveau de mise à jour sur le poste …

First Install

Signature Version:1.41.2000.0

Engine Version: 1.3000.0

Signature Version:1.42.1500.0

Engine Version: 1.4000.0

Full Package BDE Package Delta Package

Signature Version:

1.42.2000.0Engine Version:

1.4000.0

Version courrante sur MU

Signature Version:1.42.1700.0

Engine version : 1.4000.0

BDD PackageFore

front

Clie

nt

Defin

ition

Upd

ate

Scen

ario

s

1 2 3 4

Scenarios de mise à jour du poste:1. Première Installation – Aucune définition présente sur le poste -> « Download complet »

• ( Même comportement si le poste est en retard de plus de 2 versions du moteur)

2. Vieilles signatures et vieille version du moteur – Récupération du package BDE.

3. Signature de plus de 36 heures en retard mais moteur courant – Récupération du package Delta.

4. Signature de moins de 36 heures et version courante du moteur – Récupération du package BDD.

~ 55 Mb ~200KB / ~5MB 2MB / ~15MB ~100KB / ~1MB

1

2

3

4

35

Technologies de protection

36

Couches de protection : Overview

• Objectif• Réduire le temps et

les coûts liés à la protection des postes.

• Trouver le bon compromis entre performance et protection.

Firewall & Configuration Management

Anti-rootkit

Generics and Heuristics

Antimalware

Behavior Monitoring

Dynamic Signature

Service

Malware Response “MMPC”

Browser Protection

Network Vulnerability Shielding

37

Couches de protection : Antimalware

• La protection temps réel offre une protection réactive contre les attaques. Elle permet d’optimiser les scan courts (voir “Dynamic Scan”)

• Améliorations visibles :• Observe les processus / la

“Registry” / les accès disque.• Performance accrues par

utilisation de caches• Les fichiers conservé en cache ne

sont pas re-scannés• Le cache perdure d’un reboot à

l’autre• Nouvelle exclusion par “wildcard”• Control de la consommation du

processeur (CPU throttling) • Scan accessible en ligne de

commande.

Firewall & Configuration Management

Anti-rootkit

Generics and Heuristics

Antimalware

Behavior Monitoring

Dynamic Signature

Service

Malware Response “MMPC”

Browser Protection

Network Vulnerability Shielding

38

Generics et HeuristicsFirewall & Configuration Management

Anti-rootkit

Generics and Heuristics

Antimalware

Behavior Monitoring

Dynamic Signature

Service

Malware Response “MMPC”

Browser Protection

Network Vulnerability Shielding

Utilisation d’une technologie d’émulation appelée “Dynamic Translation technology” pour les détections heuristiques.Permet de découvrir les codes malicieux par leur comportement (code polymorphe difficile à détecter autrement)Les signatures génériques permettent a une signature de détecter plusieurs centaines de variantes d’un fichier malicieux.Régulièrement “benché” par des organismes comme AV-Comparatives.org.

Certification Advanced+ récemment obtenu sur la détection pro-active.On-Demand  Pro-active Performance Dynamic Removal PUA

Microsoft Advanced Advanced+Advanced+ Advanced Advanced+Advanced

AV-Comparatives.org August 2010 Results

39

Dynamic Translation (DT)

• DT transpose un code accédant à de vrais ressources en un code adressant des équivalents virtuels de ces ressources.

• DT procède à cette translation sur le véritable CPU de la machine (pas d’émulation de ce dernier). Cela permet d’obtenir une translation rapide du code.

Potential malware Safe translation

Real Resources Virtualized Resources

HANDLE hFile;hFile = CreateFile(L"NewVirus.exe",

GENERIC_WRITE, 0, NULL, CREATE_NEW, FILE_ATTRIBUTE_HIDDEN, NULL);

...push 40000000h push offset string L"NewVirus.exe” call dword ptr [__imp__CreateFileW@28] cmp esi,esp

...push 40000000h push offset string L"NewVirus.exe” call dword ptr [DT_CreateFile] cmp esi,esp

DT

40

Behavior MonitoringFirewall & Configuration Management

Anti-rootkit

Generics and Heuristics

Antimalware

Behavior Monitoring

Dynamic Signature

Service

Malware Response “MMPC”

Browser Protection

Network Vulnerability Shielding

Observe le comportement des process dans le but de détecter des enchainements d’actions non conforme à une utilisation normale des ressources de la machine.Se concentre sur les processus inconnus et sur le changement de comportement des ceux qui nous sont connus.Les détections s’effectue sur :

La gestions des processus / Fichier / RegistreSur l’activité réseauSur les modification du noyau ( intégration de la technology de protection Anti Root Kit racheté à “Komoku Inc”

La détection est couplé au service DSS.

41

Func

tions

pro

vide

d by

use

r mod

e lib

rarie

s

sysc

alls RTP

1 2 3

Notifi -cation Queue

4

BM

5

1. Les Applications appellent des méthode/fonctions.2. Certaine font elles même appel à des libraires

système.3. Dans le noyau (RTP) certain de ces appels sont loggé

vers4. une queue d’évènements.5. Cette dernière est consommé en mode user par les

fonction “Behavior Monitoring” de FEP.

• Le noyau collecte les appels et le module BM en mode user essaye de leur donner un sens.

Behavior Monitoring ( suite )

42

Behavior Monitoring - Notifications

Filesystem

FileCreateFileModifyFileDelete

FileRenameFileSeek

StreamsOnDirs

Registry

RegistryKeyCreateRegistrySetValue

RegistryKeyDeleteRegistryValueDeleteRegistryKeyRename

Network

NetworkConnect NetworkData

NetworkListen

Other

ModuleLoadProcessCreateOpenProcess

ProcessTerminateDriverLoad

BootSectorChangeBon pour les détection de “droppers”

Bon pour détecter les tentatives de modification de

comportement du système ou des

applications

Bon pour les “bots et spammers”.

Bon pour la détection

d’injection de code et installation de

RootKit

43

Dynamic Signature Service• Permet de livrer en temps réel de

nouvelles signatures.• Une nouvelle classe de signatures est

introduite avec le « Behavior Monitoring » et la détection par « Dynamic Translation ». Ces dernières « Low Fidelity Signature » ont besoin de se faire confirmer un comportement détecté comme potentiellement malicieux.

• L’utilisation de DSS doit s’activer et nécessite un accès à Internet depuis le poste.

Firewall & Configuration Management

Anti-rootkit

Generics and Heuristics

Antimalware

Behavior Monitoring

Dynamic Signature

Service

Malware Response “MMPC”

Browser Protection

Vulnerability Shielding

Client

Researchers

SpyNet

Real-Time Signature Delivery

Behavior Classifiers

Prop

ertie

s / B

ehav

ior

Sam

ple

Subm

it

Real

-tim

e Si

gnat

ure

Reputation

44

NIS (Network Vulnerability Shielding)Firewall & Configuration Management

Anti-rootkit

Generics and Heuristics

Antimalware

Behavior Monitoring

Dynamic Signature

Service

Malware Response “MMPC”

Browser Protection

Network Vulnerability Shielding

Network Inspection System (NIS) est conçu pour détecter et bloquer des attaques venant du réseauBasée sur des signatures, la couverture de NIS va augmenter au fil des mois par simple mise à jour.NIS optimise le nombre de signature chargées sur une machine en fonction de son niveau de correctif de sécurité … Inutile de protéger contre les attaques d’un composant que l’on à « patché »Si le poste est totalement à jour, NIS se désactive.

Signature KB CVE ID Action Release date Windows 7 Windows 2008 R2 Windows Vista SP1 Windows 2008 ProtocolMS08-067 KB958644 CVE-2008-4250 Block 10/23/2008 No No Yes Yes RPCMS09-001 KB958687 CVE-2008-4835 Block 1/13/2009 No No Yes Yes SMBMS09-050 KB975517 CVE-2009-2532 Block 10/14/2009 No No Yes Yes SMBMS09-050 KB975517 CVE-2009-3103 Block 10/14/2009 No No Yes Yes SMBMS10-020 KB980232 CVE-2010-0269 Block 4/13/2010 Yes Yes Yes Yes SMBMS10-012 KB971468 CVE-2010-0020 Detect Only 2/9/2010 Yes Yes Yes Yes SMB

45

DémoNIS

47

Diagnostic Scan• Quick scan in FEP 2010

• Le “Quick Scan” sur FEP 2010 est maintenant contextuel. Il sera d’autant plus complet si des signes d’infections potentielles ont été détectés depuis le dernier scan rapide. Si aucun évènement de sécurité n’est apparu depuis le dernier scan une analyse moins profonde sera faites pour impacter le moins possible les ressources de la machine.

47

Microsoft Confidential

48

DémoDiagnostic Scan

49

MNPCFirewall & Configuration Management

Anti-rootkit

Generics and Heuristics

Antimalware

Behavior Monitoring

Dynamic Signature

Service

Malware Response “MMPC”

Browser Protection

Network Vulnerability Shielding

Portail de soumission d’échantillons non détecté ou en « faux positif ».Les requêtes de nos clients sont traitées en priorité ( enregistrements d’adresses email depuis VLSC ).Possibilité de suivre une soumission en ligne depuis le portail.Les demandes sont traitées en fonction de leur priorités et du résultat d’un premier crible d’analyse automatique.Le portail contient aussi une « encyclopédie » continuellement mise à jour des « malware » que nous détectons.Lieu de téléchargement manuel des dernières signatures Visitez le portail sur www.microsoft.com/security/portal

50

Suivit du niveau de risque

51

Au travers de DCM• DCM (« Desire

Configuration Management ») est une fonctionnalité de SCCM permettant de suivre les machines de mon parc qui s’ écarteraient d’un model de configuration attendu.

• FEP prédéfinis des modelés de sécurité basé sur une liste de « configuration item » lié au niveau de sécurité du poste.

• C’est le successeur de SSA sur FCS.

52

Au travers des rapports

53

La vue par ordinateur

55

Personnalisation des Rapports à l’aide d’Excel

56

Alerts

FEP Security alertsMalware outbreak alertMalware detection alertRepeted Malware DetectionMultiple Malware Detection

Choix de conceptionEnvoi d’EmailCreation d’entrées dans “Event log”

Au travers d’alertes

57

En suivit temps réel sur SCOM• L’extension de SCOM par

les Managements Pack de FEP permet d’administrer jusqu’à 10K machines au travers de cette console.

• Une liste d’action « sécurité » peuvent être demandées directement depuis la console.

58

DémoTableau de bord SCOM

59

Pour poursuivre …

60

Téléchargement FEP 2010 Eval

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=8b46c3ff-d9a0-4741-8ba5-458c1b3d2257&displaylang=en

61

En savoir plus

http://www.microsoft.com/forefront/endpoint-protection/en/us/default.aspx

62

Autres sessions TechDays pouvant vous intéresser …

• Forefront TMG 2010: nouveautés SP1, Update1 & bonnes pratiques du Support Microsoft (SEC201)Le mercredi 9 février 2011 de 17h30 à 18h30 

• Forefront Unified Access Gateway 2010 SP1 & DirectAccess : les nouveautés  (SEC301)Le mercredi 9 février 2011 de 13h00 à 14h00 

• Protection des infrastructures Exchange en 2011 façon Ninja !!!  (SEC205)Le jeudi 10 février 2011 de 16h00 à 17h00

• L'administration centralisée pour la protection des environnements de messagerie et de collaboration  (SEC2202)Le jeudi 10 février 2011 de 11h00 à 12h00

63

Cette session vous a plu ?• Rencontrez nous sur notre stand C11 – Village Cloud Computing

• Visitez notre site web www.vNext.fr et notre page facebook http://www.facebook.com/pages/Societe-vNext/141760992550936

• Et n’oubliez nos autres sessions :

Mercredi 11:00 – 12:00 – ForeFront EndPoint Protection 2010 & retour d’expérience (SEC203)

Mercredi 17:30 – 18:30 - Comment intégrer Windows Azure dans mon système d'information  (CLO301)

Jeudi 13:00 – 14:00 - Silverlight : développer un jeu vidéo pour Azure, le Web ou Windows Phone 7  (JEU201)

Mercredi 16:00 – 17:00 - System Center Configuration Manager 2007 R3 et évolution vers SCCM 2012  (ADM203)

Mercredi 13:00 – 14:00 - Migration SharePoint 2007 vers SharePoint 2010 et SharePoint Online  (SHA201)

Mercredi 17:30 – 18:30 - Office 365 : Administration et supervision du service  (BPOS202)

Mardi 17:30 – 18:30 - Cloud your Windows Phone  (WP7205)

Merci