Välkommen till Ateadagen 2007! Luleå 16 oktober
• Thomas Blom • Säkerhetskonsult Atea
• Säkerhets situationen • Microsoft Forefront Client Security – Enhetligt skydd – Förenklad Administration – Synbarhet & Kontrol • Licensiering • Teknisk Support • Summering • Microsoft Server Security • Introduktion till Server security plattformarna • Kraftfullt antivirus • Roadmap Server Security 3
Utmaningen Potentiellt oönskade koder upptäckta 1 1.Windows Defender mellan Juli 1, 2006 och Dec 31, MSRT I 2H Exchange Hosted Services i 2H Windows Defender in 2H 2006 Av rensade maskiner hade blivit infekterade med någon variant av bakdörs-Trojan 2 Ökant antal infekterade som mail blockeras 3 Fler hittade sårbarheter 2006 än föregående år
Vad är Microsoft Forefront? En enhetlig säkerhetsproduktlinje för bättre säkerhet och enklare administration
Borttagning aktuella virus Borttagning av alla virus Realtids- Skydd Borttagning av alla spyware Realtids- Antispyware Centrala larm & Rapporter Företagsanpassning Microsoft Forefront Client Forefront ™ ClientSecurity MSRT Windows Defender Windows ® Defender Windows Live Safety Center Windows Live ™ Safety Center Windows Live OneCare Windows Live OneCare ™ IT Infrastructure Integration FOR INDIVIDUAL USERS FOR BUSINESSES
En lösning för spyware och virus Utvecklat av skyddsteknologi som används av miljontals användare världen över Snabb och effektiv hotresponse En konsol för enklast möjliga administration Skapa EN policy för klient och agent inställningar Integreras lätt I befintlig infrastruktur En översiktspanel för snabb översikt på hot och sårbarheter I hela nätverket Läs och skapa insiktsfulla rapporter Full kontroll med sårbarhetsanalyser och säkerhetslarm
Design
Malware Protection Center Världsomspännande utveckling & respons team av experter Strömmande information från multipla globala källor Automation with integrated processes enabling fast response & guidance Avancerad Telemetri Global Organisation Snabb Respons Erfarna utvecklare tidigare anställda på McAfee, Symantec, Computer Associates, F- Secure, och flera andra säkerhetslevernatörer Microsoft säkerhets specialister tillämpar “best practices” för alla skydds tecknologier Kontor in USA, Europa, och Asien Från välkända produkter: Microsoft Forefront Server Security, Malicious Software Removal Tool, Hotmail, Exchange Hosted Services, etc. Från interna resurser: Support organisation (PSS), web crawlers, etc. Från kanalverksamhet och branch inlägg Automation for efficient processing of malware submissions and identifying trends Integrated response & communications processes to provide timely guidance and fast issue resolution Anti-malware portal enabling views on top threats and alerts, as well sample submission
Enhetlig & Avancerad skyddsteknik • En Agent för virus och spyware skydd – En välkänd motor som används av Windows defender, OneCare och Forefront Server Security • Realtidsskydd via kernel mode mini-filter drivrutiner – Utvecklad genom Windows filter Manager plattform – Förhindrar att skadlig kod körs • User mode genomsökning – System Konfiguration, IE Plug-ins & Konfiguration – IE och Office nerladdningar – Tjänster & ddrivrutiner – Applikations start & Installation • Schemalagda och själv initierade genomsökningar – Quick scan – Söker igenom minnet, utsatta och vanliga platser för skadlig kod
Enhetlig & Avancerad skyddsteknik • Analys & emuleringsverktyg – Analys av skadlig kod instruktion för att identifirera och motverka dess teknologier – Emulering av skadlig kod I en “Sandlådemiljö” (för polymorfiska tekniker) • Heuristik – Regler som kan klassifiera skadlig kod baserat på deras betende • Tunnlade signaturer – Hittar motsägelser som indikerar försökt till manipulering, kringgår rootkittets förändringar, Söker sedan igenom, hittar, och tar bort rootkittet • Avancerade rensnings rutiner – Skräddarsydda motmedel för olika virus (återskapning registry entries, restoring modified settings) • Larm (spam) skydd – Skyddar företaget och administratören under ett eventuellt utbrott från att en maskin skickar för många larm Certified by
Förenklad administration Klient och signatur distribution Agent installationen och definitions utrullning optimerad för Microsoft Update (MU) och Windows Server Update Services (WSUS) Kan använda valfritt distributionssystem Automatiskt godkännande av definitionern (wsus) Agent installations proceduren Administratorn rullar ut en policy Maskinerna laddar ner installationen från WSUS och installerar agenten enligt policyn Client Security installerar en Update Assistant tjänst Stöd för roaming wsus users Feltolerans: Från WSUS till Microsoft Update Skalig kod analys Microsoft Update Windows Server Update Services Desktops, Laptops och Servrar Utrullning av Client Policy
Förenklad Administration Larmkonfiguration Larmhantering via MOM 2005 konsolen Larm nivån 1-5 kommer är en policy inställning Administratören tar emot larm, som t ex: Exempel på larmnivåer Utbrott Misslyckad rensning av skadlig kod Uppdateringen misslyckades Skadlig kod hittad och borttagen Uppdateringen misslyckades (per min) Lågprioritets larm Högprioritets larm Skadlig kod hittad Borttagning av skadlig kod misslyckad Virus utbrott Realtidsskydd avslaget 15432
Dashboard översyn av nuläget I din organisation Maskinernas säkerhetsinformation Skadlig kod, säkerhetshot, säkerhetsbrister mm) Agenter som inte kommunicerar 30-dagars trend summering Notifiering av maskiner som skickar larm Skapa insiktsfulla rapporter Förbli informerad med state assessment genomsöknigar och säkerhetslarm Synbarhet & kontroll Att veta vart insatsen gör mest nytta
Synbarhet & Kontroll Sammanfattade och enkla Rapporter
Genomsökningarna baseras på säkerhetsdefinitioner och schemaläggs via policy eller startas på förfrågan Säkerhets check Hittar missade eller saknade säkerhetsuppdateringar från Microsoft update Jämför system konfigurationer med säkerhets “best practises” Undersöker information från registret, filsystemet, WMI, IIS metadatabas och SQL server “Ett värde“och “alvarlighetsgrad” skapas för alla säkerhets checkar: Score Value – Risknivån assosieras enkelt med säkerhetsbristen Severity Value – Tillförs av Microsoft Security Response Center för säkerhets uppdateringar Rapporterna ger möjlighet till fördjupning i speciella säkerhetsproblem Genomsökningsresultat samlas från hanterade klienter Används för att visa sårbarhetsexponering och total risk Utbyggbar med nya checks t ex Windows firewall mm Synbarhet & Kontroll Security State Assessment
“Är min miljö jämförbar med “best Practises?” “Har min risknivå förändras över tidsperioden?” “Vilken del av min miljö är mest utsatt?” Synbarhet & kontroll Security State Assessment Rapporter
Microsoft Confidential Licens Standalone SKU ENTERPRISE CAL SUITE* FOREFRONT SECURITY SUITE EXCHANGE ENTERPRISE CAL** Forefront Client Security Forefront Security for Exchange Server Forefront Security for SharePoint Antigen for Instant Messaging ISA Server Intelligent Application Gateway 2007 Exchange Hosted Mail Filtering Other Server CALs and technologies * Enterprise CAL also includes the Core CAL components, Windows Rights Management Services, Management Operations Manager Client OML, Office Communications Server 2007 Standard and Enterprise CAL, Office SharePoint Server Enterprise CAL 2007, and the Exchange Enterprise CAL ** Exchange Enterprise CAL also includes the Exchange CAL, Unified Messaging and Compliance functionality.
Support • Skicka in skadlig kod – Microsoft Malware Protection Portal– Kostnadsfritt – E-post – kostnadsfritt – Telefon (PSS) – Kostnadsfritt • Buggar – Websupport (support.microsoft.com) – Kostnadsfritt – Telefon (PSS) – Kostnadsfritt • Teknisk Support – Websupport (support.microsoft.com) – Kostnadsfritt – Telefon (PSS) – Betalas Per Incident – Tjäna in gratis incidenter med software assurance – Atea support • Premier Support – Dedikerad support teknkiker – • Community:
Forefront Server Security • Intruduktion till Forefront Server Security • produkterna – Kraftfullt skydd – Optimerad prestanda – Förenklad administration • Forefront Security för Exchange Server – Exchange 2007 Roll stöd – Premium Anti-spam Services (utökad antipamskydd) – Fil filtrering • Forefront Security for SharePoint – SharePoint API – Content filtering • Summary
Server Security Product Roadmap Current2H 2007Next Generation SP1 • Includes downgrade rights to Antigen 9.0 for securing Exchange 2003/ SP1 • Includes downgrade rights to Antigen for SharePoint
Problemet Single Point of Failure SharePoint ISA Server SMTP Server Internet Virus Anti-virus Tillvägagångssätt ExchangeExchange En tillverkare En motor Maskar Spam A AAAA A A A
Problem Kostnad/ägarskap SharePoint ISA Server SMTP Server Internet Virus Anti-virus Tillvägagångssätt ExchangeExchange Multipla-tillverkare Mutipla-antivirus motorer Maskar Spam AB C A E D B C
Styrkan med många antivirus-motorer Forefront Server Security produkterna levereras som standard med ett flertal ledande antivirus-motorer Varje genomsöknigsjobb I en Forefront Server Security produkt kan använda upp til l5 motorer samtidigt A B C E D
Optimimerad Prestanda Kontrol Bias Motorerna som används är inte alltid samma, dom allokeras dynamiskt A B CD Max Certainty: använder alla motorer(100%) Favor Certainty: använder alla tillgängliga motorer* Neutral: använder ca 50% av tillgängliga motorer* Favor Performance: använder 25% av tillgängliga motorer * Max Performance: använder en motor för varje genomsökning*
SharePoint Servers Exchange Servers Forefront Server Security administration Konsolen • En Administrations konsol – Installation och konfiguration för Forefront/Antigen Security för Exchange och SharePoint • Automatiska uppdateringar genom hela verksamheten – Söker efter hämtar uppdateringar för multipla motorer – Distribuerar uppdateringar till alla Forefront/Antigen servers
Forefront Server Security Management Console utförande • Omfattande raportering – Upptäckta hot visas med smarta filtreringsfunktioner – Detlajerat om åtgärder tagna av Forefront/Antigen vid detektion av hot – Trafikanalys och aktivitet – Antivirus-motor versioner och egenskaper • Utbrotts och Larm hantering – SNMP och SMTP larm skickas när policy definierade trösklar överstigs – Larmen kan även skickas vidare till MOM
Notifications & Reporting
Summering • Microsoft Forefront Server Security produkterna – Kraftfullt säkerhet på, Exchange, Sharepoint, Live communication Server och ISA Server. – Upp till 5 samtidiga antivirus under ett och samma gränssnitt. – Enkel administration
Frågor?