Kompleksowe zarządzanie bezpieczeństwem

Czynności administracyjne związane z zabezpieczaniem firmowej infrastruktury zajmują na ogół wiele czasu i wymagają stałego nadzoru. Jednym z rozwiązań, które pozwala na ich pełną automatyzację - oraz odciążenie działu IT - jest rodzina Microsoft Forefront.


Czynności administracyjne związane z zabezpieczaniem firmowej infrastruktury zajmują na ogół wiele czasu i wymagają stałego nadzoru. Jednym z rozwiązań, które pozwala na ich pełną automatyzację - oraz odciążenie działu IT - jest rodzina Microsoft Forefront.

Forefront Client Security, karta Dashboard.

Forefront Client Security, karta Dashboard.

Tych, którzy obawiają się, że Microsoft zdominuje w stu procentach ich infrastrukturę aplikacji, pragniemy uspokoić. Oprogramowanie przede wszystkim ściśle integruje już dostępne rozwiązania i technologie. Przykładem może być użycie silników skanowania antywirusowego, z których korzysta np. Forefront Security for Exchange Server. W rozwiązaniu wykorzystywanych jest kilka dostępnych na rynku aplikacji, dobieranych w zależności od szybkości aktualizacji i reakcji na zagrożenia, w tym rozwiązania firm takich, jak CA, Kaspersky czy SOPHOS.

Wszystkie elementy rodziny Fore-front tworzą spójną całość. W pierwszej kolejności przyjrzymy się Microsoft Forefront Client Security. Rozwiązanie to przeznaczone jest do ochrony systemów operacyjnych (m.in. Windows XP i Vista oraz Windows Server 2008). Oprogramowanie monitoruje i przejmuje kontrolę nad dostępem do jądra systemu operacyjnego stacji roboczych, nie pozwalając na wykorzystywanie wywołań systemowych w zakazany sposób. Jednocześnie aplikacja chroni warstwę sieciową, nie dopuszczając do zakażenia systemu przez robaki. Wykorzystując algorytmy heurystyczne, mechanizm analizuje zdarzenia we wszystkich warstwach ochrony, szukając podejrzanych, świadczących o wykorzystaniu technik hakerskich.

Do zarządzania Forefront Client Security (FCS) wykorzystywany jest pakiet MOM (Microsoft Operations Manager) 2005. Zarówno MOM, jak i System Center Operations Manager współpracuje z bazą danych Microsoft SQL Server 2005, w której przechowywane są informacje o zdarzeniach we wszystkich działających w firmie systemach, sieciach, urządzeniach i aplikacjach. Zadaniem agentów MOM jest przekazywanie do konsoli FCS informacji o stanie poszczególnych klientów - aktualności oprogramowania, instalowania poprawek, poprawności działania i aktualności programów antywirusowych czy wersji baz sygnatur elektronicznych. Dodatkową funkcję pełnią usługi powiadomień SSNS - SQL Server Notification Services, służące do przekazywania informacji o istotnych zdarzeniach do konsoli FCS oraz powiadamiania administratora bezpieczeństwa według zaprogramowanych wcześniej mechanizmów e-mailem lub SMS-em.

Forefront Client Security

Na tej karcie definiuje się nazwę zasady.

Na tej karcie definiuje się nazwę zasady.

Całość rozwiązania Forefront Client Security składa się z dwóch komponentów - Malware Protection Agent (agent bezpieczeństwa) i Central Management System (agent zarządzania). Aby system działał, moduły muszą być zainstalowane na każdej chronionej stacji roboczej, laptopie i serwerze. Informacje z tych komputerów trafiać będą do systemu zarządzającego - Central Management System. Wgląd w zdarzenia i raporty odbywa się przez interfejs zarządzania Client Security Management Control. Karta Dashboard umożliwia przegląd aktualnego stanu zabezpieczeń na wszystkich komputerach objętych ochroną przez FCS.

Na karcie Protection można zdefiniować częstotliwość skanowania antywirusowego.

Na karcie Protection można zdefiniować częstotliwość skanowania antywirusowego.

Podgląd pozwala na bieżącą analizę zagrożeń. W skali procentowej pokazane są stacje robocze zgłaszające problemy, nieraportujące aktualnych problemów i niezgłaszające się (w tym wyłączone). Na wykresie historycznym przedstawione są także trendy w podanym przez administratora okresie. Można śledzić zmiany poziomu zagrożenia w całym przedsiębiorstwie i na ich podstawie zaostrzać lub łagodzić zasady bezpieczeństwa. Do najważniejszych zagrożeń raportowanych przez narzędzie zaliczają się wystąpienia wirusów, złośliwych programów (malware) i trojanów oraz aktywność spyware'u i rootkitów.

System umożliwia jednak przede wszystkim zarządzanie zasadami bezpieczeństwa w przedsiębiorstwie. Aby opracować nową zasadę bezpieczeństwa, przejdź na kartę Policy Management i naciśnij przycisk New. Większość tego typu narzędzi podczas tworzenia nowych zasad wymagać będzie od ciebie doskonałej znajomości różnic między wirusami, trojanami i robakami. Narzędzie proponowanie przez Microsoft nie wymaga od administratora wchodzenia w te niuanse, pozwalając na zgłębianie w wolnym czasie wiedzy w innych obszarach IT. Agenty Forefront Client Security wykorzystują te same zasady w stosunku do wszystkich pojawiających się zagrożeń. Tworzenie nowej zasady to po prostu przejście przez wszystkie karty okna New Policy.

Jakie narzędzia wchodzą w skład Microsoft Forefront?

Rodzina produktów Forefront składa się z: Microsoft Internet Security and Acceleration Server (ISA) 2006, Inteligent Application Gateway (IAG), Forefront Security for Exchange Server, Forefront Security for SharePoint, Forefront for Office Communications Server oraz Forefront Client Security. System Center zawiera: Configuration Manager, Operations Manager, Service Manager, Data Protection Manager, Virtual Machine Manager, Capacity Planner and Essentials. Integracja obejmie Active Directory, Group Policy, System Center oraz WSUS.

Karta Overrides  - tu definiuje się wyjątki od reguł.

Karta Overrides - tu definiuje się wyjątki od reguł.

Pojawiają się tam na starcie wartości domyślne. Zadaniem administratora jest dostosowanie ich do realiów sieci, którą zarządza: podanie częstotliwości skanowania stacji klienckiej przez program antywirusowy oraz uaktualniania bazy definicji zagrożeń (wirusów, trojanów, robaków).

Ustala także zakres czynności dozwolonych przez użytkownika, gdy na jego komputerze odkryte zostanie zagrożenie. Jeżeli administrator obawia się, że będzie ono zlekceważone, może na karcie Overrides dodać wyjątki, które będą traktowane zawsze w ten sam sposób, jeżeli zagrożenie zostanie uznane za poważne. Na karcie Overrides administrator może zdefiniować odpowiedź na szczególne rodzaje zagrożeń lub niektóre ich kategorie.

Na karcie Advanced można m.in. zdefiniować częstotliwość aktualizacji sygnatur wirusów.

Na karcie Advanced można m.in. zdefiniować częstotliwość aktualizacji sygnatur wirusów.

Na wspomnianej karcie można także zmniejszyć uciążliwość oprogramowania zabezpieczającego komputer użytkownika, które często bywa "nadwrażliwe" i wszelkie próby zewnętrznego kontaktu z komputerem traktuje jak atak. Dotyczy to także narzędzi do administrowania, łączących się często zdalnie z maszynami użytkowników. Aby ułatwić nadzór zdalny nad komputerami użytkowników, wystarczy na karcie Overrides dodać regułę nakazującą programom zabezpieczającym ignorowanie oprogramowania zdalne-go (typu remote control software) - patrz ilustracja.

Poziomy zabezpieczeń

Innym problemem administratorów sieci jest nadmiar alertów docierających do nich z każdej stacji roboczej. Na karcie Reporting można dostosować liczbę komunikatów przychodzących do stanu zabezpieczeń i sytuacji całej sieci. System automatycznie podpowiada, jaki poziom bezpieczeństwa przyjąć dla określonej grupy klientów. Jeżeli definiujesz zasady bezpieczeństwa dla laptopów kadry kierowniczej lub serwerów o krytycznym znaczeniu dla firmy, najlepiej przyjąć najwyższy stopień bezpieczeństwa, z czym wiąże się odbieranie największej liczby komunikatów o realnych i potencjalnych zagrożeniach. W wypadku maszyn typowych użytkowników optymalny jest poziom pośredni, dzięki czemu administrator nie zostanie zalany potokiem informacji i będzie mógł się skoncentrować na ważniejszych zadaniach. Najniższy poziom zabezpieczeń, wiążący się z najmniejszą liczbą komunikatów warto przyjąć, ustalając zasady dla bardzo dużej grupy komputerów.