Os produtos
Forefront oferecem um alto nível de proteção e controle através da
integração com a infra-estrutura de TI. Com esses produtos, a
distribuição, o gerenciamento e a análise da segurança em uma rede é
simplificada. Além disso os produtos Forefront oferecem segurança em
várias camadas e foram desenvolvidos para proteger as informações e
controlar o acesso aos recursos críticos de uma empresa.
O Forefront é
formado pelos seguintes produtos:
-
Forefront Client
Security Esse produto é responsável pela proteção contra vírus, worms,
rootkits, spywares e trojan horses em estações de trabalhos, laptops e
servidores. -
Forefront Server
Security Formado pelos seguintes produtos: Forefront Security for
Exchange e Forefront Security for Sharepoint. O Forefront Server
Security é responsável pela proteção contra vírus, worms, spams e
conteúdos indesejáveis em servidores Exchange Server 2007, Office
Sharepoint Server 2007 e Sharepoint Services 3.0. -
Forefront Edge
Security Formado pelos seguintes produtos: Microsoft Internet Security
and Acceleration (ISA) Server 2006 e Microsoft Intelligent Application
Gateway (IAG) 2007. O Forefront Edge Security oferece uma maior
segurança para as redes de borda, protegendo o acesso a Internet, acesso
remoto seguro e refornçando a segurança na comunicação entre
escritórios.
Todos esses
produtos são facilmente integrados entre si e com a infra-estrutura de
TI de uma empresa, suportando também a integração com alguns produtos de
terceiros, o que permite uma maior segurança contra as ameaças sobre
aplicações e servidores.
O Forefront é o
produto chave da estratégia da Microsoft que visa oferecer segurança
end-to-end para os negócios de seus clientes. As informações são
protegidas através de um gerenciamento digital robusto de direitos que
protegem os documentos contra acesso não autorizado, reforçando assim a
conformidade com a política de segurança da empresa.
Os relatórios do
Forefront são baseados no SQL Server 2005. As soluções Forefront para
clientes e servidores utilizam o SQL Server Reporting Services e o
Analysis Services.
O gerenciamento da
segurança e dos relatórios é feito centralizadamente. O Forefront é
integrado facilmente com o Microsoft Operations Manager (MOM), Microsoft
Systems Management Server (SMS), e Microsoft Windows Server Update
Services (WSUS).
O Forefront auxilia
as organizações a centralizar o gerenciamento da segurança, prevenindo e
identificando configurações incorretas, fazendo a avaliação do estado
da segurança e aplicando a segurança persistentemente.
Seguem abaixo os
principais benefícios oferecidos pelo Forefront:
- Abrangente O
Forefront fornece uma linha de produtos abrangentes que protegem as
informações e o controle de acesso aos sistemas operacionais, aplicações
e servidores, fazendo com que as organizações estejam protegidas contra
ameaças. O Forefront é customizado para proteger servidores de
aplicação baseados nos sistemas operacionais da Microsoft através de uma
estratégia de defesa que incorpora um controle de acesso robusto,
inspeção de aplicações e protocolos e varias ferramentas anti-malware
configuradas para proteger aplicações especificas. O Forefront utiliza
tecnologias de firewall, VPN’s e criptografia para garantir que as
informações serão acessadas somente por usuários que tenham acesso. -
Integrado O
produtos do Forefront foram desenvolvidos de tal forma que sejam
facilmente integrados entre si e com a infra-estrutura de TI existente,
incluindo GPO’s, Active Directory, SMS e WSUS. Com essa integração a
segurança pode ser gerenciada centralizadamente. -
Simplificado Os
produtos do Forefront são simples de implementar e gerenciar. Com o
Forefront, a visibilidade do estado de segurança de uma rede é obtida
facilmente, o que pode ajudar na mitigação de ameaças. Com um número
reduzido de consoles de administração, o tempo e complexidade também são
diminuídos, e conseqüentemente, os custos são diminuídos.
Arquitetura
do Forefront Client Security
O Forefront Client
Security possui dois componentes: o Security Agent e o Central
Management Server.
O Security Agent é instalado em
estações de trabalhos, laptops e servidores, e os protegem de ameaças
como spywares, vírus e rootkits. O Security Agent é formado pelos
seguintes componentes: Update Engine, Scan Agent, Scan Engine e Alert
Agent. Todos esses componentes em conjunto mantém o Security Agent
atualizado e varrem os computadores em busca de ameaças.
Para detectar
possíveis vulnerabilidades, o Security Agent também possui o Security
State Assessment Scans. Com isso, o Security Agent pode realizar scans
agendados utilizando Security State Assessment Scans.
Baseado em
critérios incluídos nas definições do Security State Assessment, o
Forefront Client Security pode avaliar se os computadores clientes estão
vulneráveis. Quando uma vulnerabilidade é encontrada, o Security Agent
atribui uma pontuação e gera um evento. O Alert Agent envia o resultado
da varredura para o Microsoft Operations Manager 2005 Alerting Engine,
localizado no Central Management Server (Servidor Central de
Gerenciamento). O Alerting Engine envia os resultados para uma base de
dados do SQL Server 2005, que também está localizado no Servidor Central
de Gerenciamento.
O Servidor
Central de Gerenciamento auxilia os administradores a gerenciar e
atualizar os agentes customizados ou pré-configurados de proteção contra
malwares.
O Servidor
Central de Gerenciamento gera relatórios utilizando o SQL Server 2005
Reporting Service e gera alertas sobre o status de segurança do ambiente
baseado nos dados submetidos pelo Microsoft Operations Manager 2005
Alerting Engine.
Requisitos
de hardware e software para o Forefront Client Security
Antes da
implementação do Forefront Client Security em servidores, estações de
trabalho e notebooks, é necessário verificar se o ambiente possui os
requisitos mínimos de hardware e software. Os requisitos podem
variar de acordo com os fatores abaixo:
-
Número de
computadores clientes na rede. -
Requisitos de
performance do ambiente. -
Freqüência e tipo
de scan que será implementado. -
Quantidade de dados
que serão armazenados para os relatórios. -
Requisitos de
backup dos dados. -
Orçamento de
hardware e software. -
Infraestrutura de
rede, servidores e clientes existente.
Segue a tabela com
os requisitos básicos para o Forefront Client Security:
Hardware | Processador/RAM | Sistema Operacional | Software | HD |
Management Server |
1 GHz ou superior 1 GB of RAM ou mais |
Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas |
Microsoft .NET Framework 2.0 Microsoft Group Policy Management Console (GPMC) with SP1 Microsoft Internet Information Services (IIS) 6.0, Microsoft ASP.NET, and Microsoft FrontPage Server Extensions Microsoft Management Console (MMC) 3.0 |
512 MB ou mais |
Collection server sem database |
1 GHz ou superior 512 MB of RAM ou mais |
Windows Server 2003 Standard Edition/Enterprise Edition. X64 não é suportado |
N/A | 1 GB ou mais |
Collection server com database ou collection database server |
Dual 2 GHz ou superior 2 GB of RAM ou mais |
Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas |
Microsoft SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services and Workstation Components |
30 GB ou mais |
Reporting server sem database |
1 GHz ou superior 512 MB of RAM ou mais |
Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas |
IIS 6.0, ASP.NET, e FrontPage Server Extensions | 512 MB ou mais |
Reporting server com database ou reporting database server |
1 GHz ou superior 512 MB of RAM ou mais |
Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas |
SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components |
75 GB ou mais |
Distribution server | Verificar os requisitos para o serviço WSUS |
Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas |
.NET Framework 2.0 WSUS 2.0 with SP1 Verificar os requisitos para o serviço WSUS |
75 GB ou mais |
Combinado: Management, collection, e reporting server |
Dual 2.85 GHz ou superior 4 GB of RAM ou mais |
Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas |
SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components .NET Framework 2.0 GPMC com SP1 WSUS 2.0 IIS 6.0, ASP.NET, e FrontPage Server Extensions MMC 3.0 |
100 GB ou mais |
Combinado: Collection database e reporting database server |
Dual 2.85 GHz ou superior 4 GB of RAM ou mais |
Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas |
SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components |
100 GB ou mais |
Combinado: Single-server production topology (todas as funções em apenas um servidor) |
Dual 2.85 GHz ou superior 4 GB of RAM ou mais |
Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas |
SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components .NET Framework 2.0 GPMC with SP1 WSUS 2.0 with SP1 IIS 6.0, ASP.NET, e FrontPage Server Extensions MMC 3.0 |
100 GB ou mais |
Combinado: Single-server evaluation topology (todas as funções em apenas um servidor) |
750 MHz ou superior 1 GB of RAM ou mais |
Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas |
SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components .NET Framework 2.0 GPMC with SP1 WSUS 2.0 with SP1 IIS 6.0, ASP.NET, e FrontPage Server Extensions MMC 3.0 |
100 GB ou mais |
Client computer |
500 MHz ou superior 256 MB of RAM ou mais |
Windows 2000 com SP4 e Update Rollup 1 and GDI+ Windows XP with SP2 com o filter manager rollup package Windows Server 2003 com SP1 or superior Microsoft Windows Vista Business x64 editions não são suportadas Tablet PC version of Windows não é suportado |
Windows Update Agent 2.0 Windows Installer 3.1 |
350 MB ou mais |
Considerações
para a topologia de servidores apropriada
Após a verificação
dos requisitos de software e hardware, é necessário escolher a topologia
de servidores que será utilizada. Segue abaixo algumas considerações:
-
Escalabilidade
Devem ser realizados vários testes para verificar a capacidade de
escalabilidade da rede. Inicialmente a infra-estrutura do Forefront
Client Security deve suportar os servidores e clientes existentes. -
Infra-estrutura
existente Deve ser verificado se a estrutura atual pode ser
aproveitada na implementação do Forefront Client Security. Servidores
SQL e MOM já existentes podem fazer parte da infra-estrutura do
Forefront Client Security. Caso uma performance melhor seja um
requisito, é interessante utilizar um outro servidor SQL. -
Arquitetura
A velocidade dos links entre sites pode afetar a quantidade e tipos
de servidores que serão instalados em outros sites. Recomenda-se
implementar servidores WSUS em cada localidade para evitar um grande
tráfego na rede. -
Redundância
Deve-se verificar se a infra-estrutura do Forefront Client Security
estará disponível mesmo se um dos servidores estiverem indisponíveis.
Implementando
o Forefront Client Security
Existem vários
tipos de topologias que podem ser utilizadas na implementação do
Forefront Client Security. A topologia utilizada dependerá dos
requisitos da empresa. Após o Forefront Client Security ser
implementado, podemos implementar as políticas de segurança para
configurar o antispyware, antivírus e as opções do State Assesment para
os computadores clientes. Além disso, o Forefront Client Security
suporta a administração remota, incluindo configurações, atualizações de
assinatura, relatórios e alertas.
Caso algum produto
de segurança já exista na organização, é recomendado que o Forefront
Client Security seja implementado, e após sua implementação o produto
existente deve ser removido. Isso deve ser feito primeiramente em um
ambiente de testes. Após a validação dos testes, o Forefront Client
Security pode ser implementado no ambiente de produção. Recomenda-se
também que inicialmente um grupo de usuários seja selecionado para que a
estratégia de implementação seja definida e os treinamentos sejam
iniciados. Após verificar a estabilidade do produto nesse grupo de
usuários, pode-se iniciar a implementação em todo o ambiente de
produção. O ideal é que essa implementação seja feita em horários não
críticos. Após a implementação ser concluída, possíveis servidores de
antivírus existentes podem ser removidos da rede.
Implementando
o Forefront Client Security em vários servidores
Após a topologia
ser definida precisamos verificar como essa topologia será integrada com
a infra-estrutura de TI atual da empresa. Por exemplo, caso a empresa
já possua um servidor SQL instalado, depedendo da utilização desse
servidor, não será necessário a instalação de um novo servidor SQL para o
Forefront Client Security. A mesma lógica pode ser aplicada para o MOM.
A topologia
single-server possui uma escalabilidade limitada. Caso a empresa ainda
não possua um servidor SQL e um servidor MOM é recomendado que a
topologia multiserver seja utilizada.
O procedimento para
a instalação do Forefront Client Security em uma topologia multiserver é
basicamente o mesmo utilizado na instalação em uma topologia
single-server. A principal diferença é que determinadas funções serão
instaladas em um servidor, e determinadas funções serão instaladas em
outro servidor. Portanto, em uma topologia multiserver, durante a
instalação do Forefront Client Security definimos quais funções serão
instaladas no servidor. As funções podem ser distribuídas em 3, 5 ou 6
servidores.
- Topologia
com três servidores: nesse tipo de
topologia, as funções management, collection e reporting são instaladas
em um servidor. A reporting database é instalada no segundo servidor e a
função distribution é instalada no terceiro servidor. Observe que a
collection database é instalada no servidor que possui as funções
management, collection e reporting. - Topologia
com cinco servidores: nesse tipo, as funções management, collection, reporting e distribution
são instaladas em servidores diferentes. Observe que a collection
database e a reporting database são instalados no mesmo servidor, o qual
é chamado de database server. - Topologia
com seis servidores: nesse tipo de
topologia, as funções management, collection, reporting, distribution,
collection databases e reporting databases são instaladas separadamente,
sendo uma função por servidor
Métodos de
distribuição do Forefront Client Security nos clientes
Antes de instalar o
Forefront Client Security no computadores clientes é necessário
verificar se os computadores possuem todos os pré-requisitos instalados.
O pré-requisitos podem variar dependendo do sistema operacional. É
necessário também configurar os clientes para obterem as atualizações
(Automatic Updates) do distribution server e remover outros softwares de
antivírus e anti-spyware que estejam instalados nos clientes.
Os métodos para
distribuição do Forefront Client Security para os clientes são:
-
Diretamente em cada
computador cliente Nesse tipo de instalação o Forefront Client
Security é instalado individualmente em cada servidor. Não é a melhor
opção para ambientes grandes pois consome muito tempo dos especialistas. -
Remotamente,
utilizando scripts Nesse tipo de instalação é necessário a criação de
um script. -
Remotamente,
utilizando scripts em GPO Nesse tipo de instalação é necessário a
criação de um script e associar esse script em uma GPO. Como o Forefront
Client Security agent é um arquivo executável, não pode ser distribuído
diretamente via GPO. -
Agente SMS Nesse
tipo de instalação um pacote de instalação é criado no SMS e o SMS agent
é utilizado para distribuir esse pacotes para os clientes.
Verificando
a instalação do Forefront Client Security
Após a instalação e
configuração do Forefront Client Security, distribuição das Client
Security policies, e distribuição do Forefront Client Security agent,
podemos visualizar os relatórios para verificar se o Forefront Client
Security está funcionando corretamente.
O console do
Forefront Client Security possui links para vários relatórios
relacionados ao estado e segurança da rede. Através desses relatórios
pode-se verificar se o Forefront Client Security está distribuindo as
Security policies corretamente, realizando scans e distribuindo as
definições. Pode-se verificar também se os alertas e eventos estão sendo
coletados. Tenha certeza de que os clientes possuem as Security
policies corretas e estão reportando corretamente para o collection
server.
Os seguintes
relatórios possuem informações sobre a implementação do Forefront Client
Security:
-
Security
Summary Esse relatório exibe o status da distribuição das policies, o
status da conectividade e os resultados dos scans de malware e security
state assessment. -
Deployment Summary
Esse relatório exibe quais grupos de computadores possuem as últimas
atualizações de policies e definições dos scans de malware e security
state assessment.
Introdução
as Client Security Policies
Uma Client Security
policy é uma coleção de configurações que podem ser aplicadas em um
grupo de computadores. Para aplicar uma política nos computadores
clientes, os seguintes passos são necessários:
-
Criação da
política. -
Definição de qual
computador cliente receberá a política. -
Determinação do
método de distribuição. -
Distribuição da
política.
A utilização de
Group Policy é altamente recomendada pois facilitada a distribuição das
políticas. Através da Group Policy é possível implementar configurações
em grupos de usuários e computadores facilmente. Podem ser implementadas
políticas baseadas no Registro e políticas de segurança. As políticas
baseadas no Registro utilizam Administrative Templates para modificar as
configurações do Registro.
Através do console
do Forefront Client Security podemos gerenciar as políticas. Na aba
Policy Managemet é possível criar, editar, copiar e deletar políticas.
Caso a empresa não
utilize Group Policy, pode-se utilizar o Forefront Client Security para
distribuir as políticas no formato de arquivos de registro. Este método
exige que os arquivos de registros criados estejam disponíveis para os
clientes. É necessário também executar um pequeno aplicativo em todos os
computadores clientes que receberão as políticas. Esse aplicativo
garante que as políticas serão aplicadas corretamente nos clientes.
Métodos de
distribuição das Client Security Policies
Cada computador
cliente pode ter apenas uma política aplicada. Através das GPO’s podemos
aplicar as políticas em Unidades Organizacionais (OU’s) e em grupos de
segurança (SGs). Como já explicado anteriormente, caso a empresa não
utilize GPO’s, podemos distribuir as políticas através de arquivos de
registro. Seguem abaixo os detalhes de cada métodos de distribuição da
políticas:
-
GPO e OU Caso as
políticas sejam distribuídas via GPO e aplicadas em uma OU, os
computadores clientes devem ser reiniciados ou o seguinte comando dever
ser executado para que a política seja aplicada efetivamente: gpupdate
/force. Caso contrário, a política será aplicada no próxima atualização
da GPO. -
GPO e SG Caso as
políticas sejam distribuídas via GPO e aplicadas em um grupo de
segurança, o computador deve ser reiniciado para que a política seja
aplicada imediatamente. O comando gpupdate /force não funciona nesse
tipo de distribuição de política. Outra opção é aguardar a próxima
atualização da GPO para que a política seja aplicada. -
Arquivo de Registro
Outra opção para o distribuição das políticas é a utilização dos
arquivos de registro. Este método exporta a política para um arquivo
.reg, o qual deverá ser distribuído para o computadores clientes. A
distribuição desse arquivo não é feita automaticamente pelo Forefront
Client Security. O ideal é que esse arquivo seja armazenado em um
compartilhamento no qual todos os computadores clientes tenham acesso.
Para aplicar o arquivo de registro nos computadores clientes é
necessário utilizar a ferramenta fcslocalpolicytool.exe. Essa ferramenta
esta localizada no CD de instalação do Forefront Client Security. Essa
ferramenta também deve estar armazenada em um compartilhamento no qual
todos os computadores clientes tenham acesso.
Através do relatório Deployment
Summary podemos verificar quais computadores possuem a política aplicada
através de arquivos de registro.
Quando você deletar ou interromper a
aplicação de uma política que foi distribuída via arquivo de registro, o
console exibirá as alterações, porém o Client Security não removerá o
arquivo de registro. A política deve estar acessível para os
computadores clientes nos quais a ferramenta fcslocalpolicytool.exe não
foi executada para que o arquivo de registro da política seja
desatribuída. Após ter certeza de que nenhum cliente está utilizando a
política baseada no arquivo de registro em questão, o arquivo pode ser
removido.
É isso
pessoal. Em caso de dúvidas
sobre o conteúdo deste artigo, ou para enviar sugestões, entre em contato!