Os produtos
Forefront oferecem um alto nível de proteção e controle através da
integração com a infra-estrutura de TI.  Com esses produtos, a
distribuição, o gerenciamento e a análise da segurança em uma rede é
simplificada. Além disso os produtos Forefront oferecem segurança em
várias camadas e foram desenvolvidos para proteger as informações e
controlar o acesso aos recursos críticos de uma empresa.

O Forefront é
formado pelos seguintes produtos:

• Forefront Client
  Security Esse produto é responsável pela proteção contra vírus, worms,
  rootkits, spywares e trojan horses em estações de trabalhos, laptops e
  servidores.
• Forefront Server
  Security Formado pelos seguintes produtos: Forefront Security for
  Exchange e Forefront Security for Sharepoint. O Forefront Server
  Security é responsável pela proteção contra vírus, worms, spams e
  conteúdos indesejáveis em servidores Exchange Server 2007, Office
  Sharepoint Server 2007 e Sharepoint Services 3.0.
• Forefront Edge
  Security Formado pelos seguintes produtos: Microsoft Internet Security
  and Acceleration (ISA) Server 2006 e Microsoft Intelligent Application
  Gateway (IAG) 2007. O Forefront Edge Security oferece uma maior
  segurança para as redes de borda, protegendo o acesso a Internet, acesso
  remoto seguro e refornçando a segurança na comunicação entre
  escritórios.

Todos esses
produtos são facilmente integrados entre si e com a infra-estrutura de
TI de uma empresa, suportando também a integração com alguns produtos de
terceiros, o que permite uma maior segurança contra as ameaças sobre
aplicações e servidores.

O Forefront é o
produto chave da estratégia da Microsoft que visa oferecer segurança
end-to-end para os negócios de seus clientes. As informações são
protegidas através de um gerenciamento digital robusto de direitos que
protegem os documentos contra acesso não autorizado, reforçando assim a
conformidade com a política de segurança da empresa.

Os relatórios do
Forefront são baseados no SQL Server 2005. As soluções Forefront para
clientes e servidores utilizam o SQL Server Reporting Services e o
Analysis Services.

O gerenciamento da
segurança e dos relatórios é feito centralizadamente. O Forefront é
integrado facilmente com o Microsoft Operations Manager (MOM), Microsoft
Systems Management Server (SMS), e Microsoft Windows Server Update
Services (WSUS).

O Forefront auxilia
as organizações a centralizar o gerenciamento da segurança, prevenindo e
identificando configurações incorretas, fazendo a avaliação do estado
da segurança e aplicando a segurança persistentemente.

Seguem abaixo os
principais benefícios oferecidos pelo Forefront:

• Abrangente O
  Forefront fornece uma linha de produtos abrangentes que protegem as
  informações e o controle de acesso aos sistemas operacionais, aplicações
  e servidores, fazendo com que as organizações estejam protegidas contra
  ameaças. O Forefront é customizado para proteger servidores de
  aplicação baseados nos sistemas operacionais da Microsoft através de uma
  estratégia de defesa que incorpora um controle de acesso robusto,
  inspeção de aplicações e protocolos e varias ferramentas anti-malware
  configuradas para proteger aplicações especificas. O Forefront utiliza
  tecnologias de firewall, VPN’s e criptografia para garantir que as
  informações serão acessadas somente por usuários que tenham acesso.
• Integrado O
  produtos do Forefront foram desenvolvidos de tal forma que sejam
  facilmente integrados entre si e com a infra-estrutura de TI existente,
  incluindo GPO’s, Active Directory, SMS e WSUS. Com essa integração a
  segurança pode ser gerenciada centralizadamente.
• Simplificado Os
  produtos do Forefront são simples de implementar e gerenciar. Com o
  Forefront, a visibilidade do estado de segurança de uma rede é obtida
  facilmente, o que pode ajudar na mitigação de ameaças. Com um número
  reduzido de consoles de administração, o tempo e complexidade também são
  diminuídos, e conseqüentemente, os custos são diminuídos.

Arquitetura
do Forefront Client Security

O Forefront Client
Security possui dois componentes: o Security Agent e o Central
Management Server.

O Security Agent é instalado em
estações de trabalhos, laptops e servidores, e os protegem de ameaças
como spywares, vírus e rootkits. O Security Agent é formado pelos
seguintes componentes: Update Engine, Scan Agent, Scan Engine e Alert
Agent. Todos esses componentes em conjunto mantém o Security Agent
atualizado e varrem os computadores em busca de ameaças.

Para detectar
possíveis vulnerabilidades, o Security Agent também possui o Security
State Assessment Scans. Com isso, o Security Agent pode realizar scans
agendados utilizando Security State Assessment Scans.

Baseado em
critérios incluídos nas definições do Security State Assessment, o
Forefront Client Security pode avaliar se os computadores clientes estão
vulneráveis. Quando uma vulnerabilidade é encontrada, o Security Agent
atribui uma pontuação e gera um evento. O Alert Agent envia o resultado
da varredura para o Microsoft Operations Manager 2005 Alerting Engine,
localizado no Central Management Server (Servidor Central de
Gerenciamento). O Alerting Engine envia os resultados para uma base de
dados do SQL Server 2005, que também está localizado no Servidor Central
de Gerenciamento.

O Servidor
Central de Gerenciamento auxilia os administradores a gerenciar e
atualizar os agentes customizados ou pré-configurados de proteção contra
malwares. 

O Servidor
Central de Gerenciamento gera relatórios utilizando o SQL Server 2005
Reporting Service e gera alertas sobre o status de segurança do ambiente
baseado nos dados submetidos pelo Microsoft Operations Manager 2005
Alerting Engine.

Requisitos
de hardware e software para o Forefront Client Security

Antes da
implementação do Forefront Client Security em servidores, estações de
trabalho e notebooks, é necessário verificar se o ambiente possui os
requisitos mínimos de hardware e software.  Os requisitos podem
variar de acordo com os fatores abaixo:

• Número de
  computadores clientes na rede.
• Requisitos de
  performance do ambiente.
• Freqüência e tipo
  de scan que será implementado.
• Quantidade de dados
  que serão armazenados para os relatórios.
• Requisitos de
  backup dos dados.
• Orçamento de
  hardware e software.
• Infraestrutura de
  rede, servidores e clientes existente.

Segue a tabela com
os requisitos básicos para o Forefront Client Security:

Hardware	Processador/RAM	Sistema Operacional	Software	HD
Management Server	1 GHz ou superior 1 GB of RAM ou mais	Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas	Microsoft .NET Framework 2.0 Microsoft Group Policy Management Console (GPMC) with SP1 Microsoft Internet Information Services (IIS) 6.0, Microsoft ASP.NET, and Microsoft FrontPage Server Extensions Microsoft Management Console (MMC) 3.0	512 MB ou mais
Collection server sem database	1 GHz ou superior 512 MB of RAM ou mais	Windows Server 2003 Standard Edition/Enterprise Edition. X64 não é suportado	N/A	1 GB ou mais
Collection server com database ou collection database server	Dual 2 GHz ou superior 2 GB of RAM ou mais	Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas	Microsoft SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services and Workstation Components	30 GB ou mais
Reporting server sem database	1 GHz ou superior 512 MB of RAM ou mais	Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas	IIS 6.0, ASP.NET, e FrontPage Server Extensions	512 MB ou mais
Reporting server com database ou reporting database server	1 GHz ou superior 512 MB of RAM ou mais	Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas	SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components	75 GB ou mais
Distribution server	Verificar os requisitos para o serviço WSUS	Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas	.NET Framework 2.0 WSUS 2.0 with SP1 Verificar os requisitos para o serviço WSUS	75 GB ou mais
Combinado: Management, collection, e reporting server	Dual 2.85 GHz ou superior 4 GB of RAM ou mais	Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas	SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components .NET Framework 2.0 GPMC com SP1 WSUS 2.0 IIS 6.0, ASP.NET, e FrontPage Server Extensions MMC 3.0	100 GB ou mais
Combinado: Collection database e reporting database server	Dual 2.85 GHz ou superior 4 GB of RAM ou mais	Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas	SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components	100 GB ou mais
Combinado: Single-server production topology (todas as funções em apenas um servidor)	Dual 2.85 GHz ou superior 4 GB of RAM ou mais	Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas	SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components .NET Framework 2.0 GPMC with SP1 WSUS 2.0 with SP1 IIS 6.0, ASP.NET, e FrontPage Server Extensions MMC 3.0	100 GB ou mais
Combinado: Single-server evaluation topology (todas as funções em apenas um servidor)	750 MHz ou superior 1 GB of RAM ou mais	Windows Server 2003 Standard Edition ou Enterprise Edition x64 editions não são suportadas	SQL Server 2005 with SP1 Enterprise Edition, incluindo Database Services, Reporting Services, e Workstation Components .NET Framework 2.0 GPMC with SP1 WSUS 2.0 with SP1 IIS 6.0, ASP.NET, e FrontPage Server Extensions MMC 3.0	100 GB ou mais
Client computer	500 MHz ou superior 256 MB of RAM ou mais	Windows 2000 com SP4 e Update Rollup 1 and GDI+ Windows XP with SP2 com o filter manager rollup package Windows Server 2003 com SP1 or superior Microsoft Windows Vista Business x64 editions não são suportadas Tablet PC version of Windows não é suportado	Windows Update Agent 2.0 Windows Installer 3.1	350 MB ou mais

Considerações
para a topologia de servidores apropriada

Após a verificação
dos requisitos de software e hardware, é necessário escolher a topologia
de servidores que será utilizada. Segue abaixo algumas considerações:

• Escalabilidade
  Devem ser realizados vários testes para verificar a capacidade de
  escalabilidade da rede. Inicialmente a infra-estrutura do Forefront
  Client Security deve suportar os servidores e clientes existentes.
• Infra-estrutura
  existente Deve ser verificado se a estrutura atual pode ser
  aproveitada na implementação do Forefront Client Security. Servidores
  SQL e MOM já existentes podem fazer parte da infra-estrutura do
  Forefront Client Security. Caso uma performance melhor seja um
  requisito, é interessante utilizar um outro servidor SQL.
• Arquitetura
  A velocidade dos links entre sites pode afetar a quantidade e tipos
  de servidores que serão instalados em outros sites. Recomenda-se
  implementar servidores WSUS em cada localidade para evitar um grande
  tráfego na rede.
• Redundância
  Deve-se verificar se a infra-estrutura do Forefront Client Security
  estará disponível mesmo se um dos servidores estiverem indisponíveis.

Implementando
o Forefront Client Security

Existem vários
tipos de topologias que podem ser utilizadas na implementação do
Forefront Client Security. A topologia utilizada dependerá dos
requisitos da empresa. Após o Forefront Client Security ser
implementado, podemos implementar as políticas de segurança para
configurar o antispyware, antivírus e as opções do State Assesment para
os computadores clientes. Além disso, o Forefront Client Security
suporta a administração remota, incluindo configurações, atualizações de
assinatura, relatórios e alertas.

Caso algum produto
de segurança já exista na organização, é recomendado que o Forefront
Client Security seja implementado, e após sua implementação o produto
existente deve ser removido. Isso deve ser feito primeiramente em um
ambiente de testes. Após a validação dos testes, o Forefront Client
Security pode ser implementado no ambiente de produção. Recomenda-se
também que inicialmente um grupo de usuários seja selecionado para que a
estratégia de implementação seja definida e os treinamentos sejam
iniciados. Após verificar a estabilidade do produto nesse grupo de
usuários, pode-se iniciar a implementação em todo o ambiente de
produção. O ideal é que essa implementação seja feita em horários não
críticos. Após a implementação ser concluída, possíveis servidores de
antivírus existentes podem ser removidos da rede.

Implementando
o Forefront Client Security em vários servidores

Após a topologia
ser definida precisamos verificar como essa topologia será integrada com
a infra-estrutura de TI atual da empresa. Por exemplo, caso a empresa
já possua um servidor SQL instalado, depedendo da utilização desse
servidor, não será necessário a instalação de um novo servidor SQL para o
Forefront Client Security. A mesma lógica pode ser aplicada para o MOM.

A topologia
single-server possui uma escalabilidade limitada. Caso a empresa ainda
não possua um servidor SQL e um servidor MOM é recomendado que a
topologia multiserver seja utilizada.

O procedimento para
a instalação do Forefront Client Security em uma topologia multiserver é
basicamente o mesmo utilizado na instalação em uma topologia
single-server. A principal diferença é que determinadas funções serão
instaladas em um servidor, e determinadas funções serão instaladas em
outro servidor. Portanto, em uma topologia multiserver, durante a
instalação do Forefront Client Security definimos quais funções serão
instaladas no servidor. As funções podem ser distribuídas em 3, 5 ou 6
servidores.

1. Topologia
   com três servidores: nesse tipo de
   topologia, as funções management, collection e reporting são instaladas
   em um servidor. A reporting database é instalada no segundo servidor e a
   função distribution é instalada no terceiro servidor. Observe que a
   collection database é instalada no servidor que possui as funções
   management, collection e reporting.
   
2. Topologia
   com cinco servidores: nesse tipo, as funções management, collection, reporting e distribution
   são instaladas em servidores diferentes. Observe que a collection
   database e a reporting database são instalados no mesmo servidor, o qual
   é chamado de database server.
3. Topologia
   com seis servidores: nesse tipo de
   topologia, as funções management, collection, reporting, distribution,
   collection databases e reporting databases são instaladas separadamente,
   sendo uma função por servidor

Métodos de
distribuição do Forefront Client Security nos clientes

Antes de instalar o
Forefront Client Security no computadores clientes é necessário
verificar se os computadores possuem todos os pré-requisitos instalados.
O pré-requisitos podem variar dependendo do sistema operacional. É
necessário também configurar os clientes para obterem as atualizações
(Automatic Updates) do distribution server e remover outros softwares de
antivírus e anti-spyware que estejam instalados nos clientes.

Os métodos para
distribuição do Forefront Client Security para os clientes são:

• Diretamente em cada
  computador cliente Nesse tipo de instalação o Forefront Client
  Security é instalado individualmente em cada servidor. Não é a melhor
  opção para ambientes grandes pois consome muito tempo dos especialistas.
• Remotamente,
  utilizando scripts Nesse tipo de instalação é necessário a criação de
  um script.
• Remotamente,
  utilizando scripts em GPO Nesse tipo de instalação é necessário a
  criação de um script e associar esse script em uma GPO. Como o Forefront
  Client Security agent é um arquivo executável, não pode ser distribuído
  diretamente via GPO.
• Agente SMS Nesse
  tipo de instalação um pacote de instalação é criado no SMS e o SMS agent
  é utilizado para distribuir esse pacotes para os clientes.

Verificando
a instalação do Forefront Client Security

Após a instalação e
configuração do Forefront Client Security, distribuição das Client
Security policies, e distribuição do Forefront Client Security agent,
podemos visualizar os relatórios para verificar se o Forefront Client
Security está funcionando corretamente.

O console do
Forefront Client Security possui links para vários relatórios
relacionados ao estado e segurança da rede. Através desses relatórios
pode-se verificar se o Forefront Client Security está distribuindo as
Security policies corretamente, realizando scans e distribuindo as
definições. Pode-se verificar também se os alertas e eventos estão sendo
coletados. Tenha certeza de que os clientes possuem as Security
policies corretas e estão reportando corretamente para o collection
server.

Os seguintes
relatórios possuem informações sobre a implementação do Forefront Client
Security:

• Security
  Summary Esse relatório exibe o status da distribuição das policies, o
  status da conectividade e os resultados dos scans de malware e security
  state assessment.
• Deployment Summary
  Esse relatório exibe quais grupos de computadores possuem as últimas
  atualizações de policies e definições dos scans de malware e security
  state assessment.

Introdução
as Client Security Policies

Uma Client Security
policy é uma coleção de configurações que podem ser aplicadas em um
grupo de computadores. Para aplicar uma política nos computadores
clientes, os seguintes passos são necessários:

• Criação da
  política.
• Definição de qual
  computador cliente receberá a política.
• Determinação do
  método de distribuição.
• Distribuição da
  política.

A utilização de
Group Policy é altamente recomendada pois facilitada a distribuição das
políticas. Através da Group Policy é possível implementar configurações
em grupos de usuários e computadores facilmente. Podem ser implementadas
políticas baseadas no Registro e políticas de segurança. As políticas
baseadas no Registro utilizam Administrative Templates para modificar as
configurações do Registro.

Através do console
do Forefront Client Security podemos gerenciar as políticas. Na aba
Policy Managemet é possível criar, editar, copiar e deletar políticas.

Caso a empresa não
utilize Group Policy, pode-se utilizar o Forefront Client Security para
distribuir as políticas no formato de arquivos de registro. Este método
exige que os arquivos de registros criados estejam disponíveis para os
clientes. É necessário também executar um pequeno aplicativo em todos os
computadores clientes que receberão as políticas. Esse aplicativo
garante que as políticas serão aplicadas corretamente nos clientes.

Métodos de
distribuição das Client Security Policies

Cada computador
cliente pode ter apenas uma política aplicada. Através das GPO’s podemos
aplicar as políticas em Unidades Organizacionais (OU’s) e em grupos de
segurança (SGs). Como já explicado anteriormente, caso a empresa não
utilize GPO’s, podemos distribuir as políticas através de arquivos de
registro. Seguem abaixo os detalhes de cada métodos de distribuição da
políticas:

• GPO e OU Caso as
  políticas sejam distribuídas via GPO e aplicadas em uma OU, os
  computadores clientes devem ser reiniciados ou o seguinte comando dever
  ser executado para que a política seja aplicada efetivamente: gpupdate
  /force. Caso contrário, a política será aplicada no próxima atualização
  da GPO.
• GPO e SG Caso as
  políticas sejam distribuídas via GPO e aplicadas em um grupo de
  segurança, o computador deve ser reiniciado para que a política seja
  aplicada imediatamente. O comando gpupdate /force não funciona nesse
  tipo de distribuição de política. Outra opção é aguardar a próxima
  atualização da GPO para que a política seja aplicada.
• Arquivo de Registro
  Outra opção para o distribuição das políticas é a utilização dos
  arquivos de registro. Este método exporta a política para um arquivo
  .reg, o qual deverá ser distribuído para o computadores clientes. A
  distribuição desse arquivo não é feita automaticamente pelo Forefront
  Client Security. O ideal é que esse arquivo seja armazenado em um
  compartilhamento no qual todos os computadores clientes tenham acesso.
  Para aplicar o arquivo de registro nos computadores clientes é
  necessário utilizar a ferramenta fcslocalpolicytool.exe. Essa ferramenta
  esta localizada no CD de instalação do Forefront Client Security. Essa
  ferramenta também deve estar armazenada em um compartilhamento no qual
  todos os computadores clientes tenham acesso.

Através do relatório Deployment
Summary podemos verificar quais computadores possuem a política aplicada
através de arquivos de registro.

Quando você deletar ou interromper a
aplicação de uma política que foi distribuída via arquivo de registro, o
console exibirá as alterações, porém o Client Security não removerá o
arquivo de registro. A política deve estar acessível para os
computadores clientes nos quais a ferramenta fcslocalpolicytool.exe não
foi executada para que o arquivo de registro da política seja
desatribuída. Após ter certeza de que nenhum cliente está utilizando a
política baseada no arquivo de registro em questão, o arquivo pode ser
removido.

É isso
pessoal. Em caso de dúvidas
sobre o conteúdo deste artigo, ou para enviar sugestões, entre em contato!