1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares...

of 104 /104
1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti- malwares pour les postes et serveurs en entreprise

Transcript of 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares...

Page 1: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

1

Vue d’ensemble de Microsoft Forefront Client Security

La solution de protection anti-malwares pour les postes et serveurs en entreprise

Page 2: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

2

• Un site Web très orienté technique– http://www.microsoft.com/france/technet/default.mspx

• Une newsletter personnalisable– http://www.microsoft.com/france/technet/presentation/flash/default.mspx

• Des séminaires techniques toute l’année, partout en France– http://www.microsoft.com/france/technet/seminaires/seminaires.mspx

• Des Webcasts accessibles à tout instant– http://www.microsoft.com/france/technet/seminaires/webcasts.mspx

• Un abonnement– http://www.microsoft.com/france/technet/presentation/cd/default.mspx

Qu’est ce que ?

Page 3: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

3

Logistique

Pause en milieu de session Vos questions sont les

bienvenues.N’hésitez pas !

Feuille d’évaluation à remettre remplie en fin de session

Commodités

Merci d’éteindre ou de mettre en mode vibreur vos téléphones

Page 4: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

4

Agenda

• Introduction• Architecture• Installation• Administration• Surveillance• Synthèse• Ressources utiles• Questions / Réponses

Page 5: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

5

Introduction

Page 6: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

6

Menaces et risques sur les systèmes d’informations• Les systèmes d’informations des entreprises sont des cibles classiques

pour les codes malicieux et le contenu inapproprié:– Virus– Vers– Robots (Bot-nets)– Chevaux de Troie – Spam – Spim– Phishing– Contenu offensant

En 2004, 78% des entreprises ont été

touchées par des virus, et 37% ont remonté des

accès non-autorisé aux informations

--2004 CSI and FBI Computer Crime and Security Survey

Page 7: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

7

Forefront est une gamme complète

de produits de sécurité pour les

entreprises qui aident à avoir une

meilleure protection par une

intégration poussée.

Périmètre

Postes de travail et serveur de

fichiersApplications

serveurs

Qu’est-ce que Forefront ?

Page 8: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

8

Qu’est ce que Forefront Client Security ?• C’est une solution de sécurité conçue pour aider à protéger les

ordinateurs de bureau, des ordinateurs portables et des systèmes d’exploitation serveur des entreprises contre les logiciels malveillants tels que les logiciels espions, les rootkits, et les menaces traditionnelles telles que les virus, vers et chevaux de Troie

Protection unifiée

• Anti-virus• Anti-spyware• Technologie

éprouvée à grande échelle

• Gestion des menaces 24/7

Administration rationnelle• Une console

unique d’administration

• Utilise les infrastructures déjà

en place• Politiques de

sécurité multiples

Supervision et contrôle

• Tableau de bord des menaces

• Multiples modèles de rapports

• Remontée d’informations sur

l’état des machines

Page 9: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

9

Protection unifiée contre une vaste gamme de menaces

• Un moteur pour la protection contre les virus et les spywares• Les capacités de détection et de nettoyage incluent :

– Détection et suppression en temps réel, de manières planifiée ou à la demande

– Nettoyage complet du système pour les virus et les spywares, avec des vérifications pour s’assurer que le système est complètement opérationnel après nettoyage

– Analyse de douzaines d’archives et de compacteurs– Signatures en mode tunnel pour contourner les rootkits en mode

utilisateur– Émulation de code pour l’analyse de comportement et les virus

polymorphiques– Détections heuristiques pour les nouveaux codes malveillants et les

variantes

Page 10: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

10

Analyse antimalware temps réel

• Mini filtre sur les accès• Essentielle pour toute protection antimalware• Le malware doit compromettre le noyau pour

s’évader• Le malware est empêché de s’exécuter

complètement

Analyse en mode noyau

• Configuration système• Add-ons Internet Explorer

• Configurations d’Internet Explorer• Téléchargement Internet Explorer

• Services et pilotes• Exécution d’application

• Enregistrement d’application• Add-ons Windows

Analyse en mode utilisateur

Page 11: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

11

Evaluation de FCS par des tiers• Microsoft Forefront Client Security Awards and Certifications

http://www.microsoft.com/forefront/clientsecurity/prodinfo/awards/default.mspx

• ICSA Labs– Desktop/Server Anti-Virus Detection -  version 4.0

http://www.icsalabs.com/icsa/product.php

• Virus Bulletin 100% Award– http://www.virusbtn.com/vb100/about/100use.xml

• West Coast Labs– Antivirus Checkmark, Level 1– Antivirus Checkmark, Level 2– Anti-Spyware Desktop Checkmark– Trojan Checkmark– http://www.westcoastlabs.com/search/productList/product/?productID=284&from

=p&searchString=forefront&checkmark=false&techReport=false&ptReport=false

Page 12: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

12

Architecture

Page 13: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

13

(ou un système alternatif) (ou un système de télédistribution)

PARAMETRES RAPPORTS

Serveur degestion

Serveur de rapports et d’alertes

EVENEMENTSDEFINITIONS

Postes de travail, portables, serveurs de fichiers exécutant Microsoft Forefront Client Protection

Architecture générale

Page 14: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

14

Le client FCS• Le composant client FCS est installé sur les postes de

travail, les portables et les serveurs de fichier et d’application.

• Il est déployé en un seul package et comprend 3 composants:– Agent de protection contre les malwares

• fournit une protection en temps réel et/ou à la demande des menaces de type virus, spyware et rootkits.

– Agent SSA (Security State Assessment) • fournit la vérification de l’état de sécurité des postes et serveurs (niveau

de correctifs, politique de sécurité…) – Agent Microsoft Operations Manager 2005

• permet la remontée des événements et des alertes

Page 15: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

15

Serveur FCS• La partie FCS serveur correspond à un système de gestion

centralisée qui permet de configurer, mettre à jour les agents (partie client) et générer des rapports et des alertes sur l’état de sécurité de leur environnement.

• On distingue 4 rôles logiques: – Management role– Collection role– Reporting role– Distribution role

Page 16: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

16

Serveur FCS – Management role• Il est utilisé pour gérer et déployer les politiques de

sécurité ainsi que gérer et résoudre les alertes

• Le serveur de management FCS est composé de :– La console d’administration FCS– Le client FCS– La console d’administration et d’opérations de MOM 2005 SP1– La console GPMC– FCS functional management pack

Page 17: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

17

Serveur FCS – Collection Role• Il est utilisé pour regrouper les données opérationnelles

concernant les agents

• Collection Server :– Serveur MOM 2005 SP1– Console MOM 2005 SP1

• Serveur base de données Collection– SQL Server 2005 SP1– Base de données opérationnelle MOM 2005 SP1– Configuration Repository

Page 18: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

18

Serveur FCS – Reporting Role• Il est utilisé pour le stockage des données et la

génération de rapports fonctionnels

• Serveur de Reporting– MOM 2005 SP1 Reporting– IIS 6.0

• Base de données du serveur de Reporting– SQL Server Reporting Service 2005 SP1– SQL Server 2005 SP1– MOM 2005 SP1 Data Warehouse

Page 19: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

19

Serveur FCS – Distribution Role• Il utilisé pour gérer et distribuer les mises à jour pour les

clients Forefront Client Security

• Serveur de distribution – WSUS 2.0 SP1 ou ultérieur– FCS Update Assistant

Page 20: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

20

Dimensionnement des serveursFonction du serveur

CPU RAM Disque OS Logiciel

Management server 1 Ghz ou +

1Goou +

512 Moou +

Windows 2003 SP1 édition standard ou entreprise

Versions 64 bits non supportées

.NET Framework 2.0Group Policy Management Console (GPMC) with SP1Microsoft Management Console (MMC) 3.0

Collection server without database

1 Ghz ou +

512 Moou +

1 Goou + .NET Framework 2.0

Collection server with database or collection database server

Bi proc 2Ghz ou +

2 Goou +

30 Goou +

SQL Server 2005 with SP1 Enterprise Edition or Standard Edition (including Database Services and Workstation components)

Reporting server without database

1 Ghzou +

512 Moou +

512 Moou +

SQL Server 2005 with SP1 Enterprise Edition or Standard Edition (Reporting Services), IIS 6.0 and ASP.NET

Reporting server with database or reporting database server

Bi proc 2Ghzou +

2 Goou +

75 Goou +

SQL Server 2005 with SP1 Enterprise Edition or Standard Editing (including Database Services, Integration Services, Reporting Services, and Workstation components)

Distribution server Cf. pré-requis WSUS (Windows Server Update Services)

IIS 6.0 and ASP.NET.NET Framework 2.0WSUS 2.0 with SP1

Page 21: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

21

Topologie 1 serveur

• Topologie idéale pour des environnements de test ou pour de petits déploiements.

• En fonction de la configuration matérielle, cette topologie peut supporter jusqu’à 3000 postes administrés

ManagementCollectionReportingDistribution

Base Collection

Base Reporting

Page 22: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

22

Topologie 2 serveurs

• Topologie idéale pour des environnements de test ou pour de petits déploiements.

• La différence par rapport à la topologie 1 serveur est la séparation du rôle de serveur de distribution (par exemple si vous avez déjà un serveur WSUS)

ManagementCollectionReporting

Base Collection

Base Reporting

Distribution

Page 23: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

23

Topologie 3 serveurs• Dans cette topologie, la base de donnée utilisée pour le

reporting (qui peut être très consommatrice) est sur un serveur SQL dédié – Avec un SQL Server édition Entreprise, il est possible de gérer

jusqu’à 5000 postes

• Le serveur de distribution est sur une machine distincte

ManagementCollectionReporting

Base Collection

Base Reporting

Distribution SQL Server

Page 24: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

24

Topologie 4 serveurs• Topologie destinée à des déploiements importants (plus

de 3000 machines)• Dans cette topologie, chaque serveur gère un rôle. • Les bases de données sont réparties sur 2 serveurs

– Avec un SQL Server édition Entreprise, il est possible de gérer jusqu’à 10000 postes

Collection

Base Collection

Base Reporting

Distribution ReportingManagement

Page 25: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

25

Topologie 5 serveurs (SQL partagé)• Topologie destinée à des déploiements importants (plus

de 3000 machines)• Dans cette topologie, chaque serveur gère un rôle. • Les bases de données sont hébergées sur un serveur

SQL séparé (avec un SQL Server édition Entreprise, il est possible de gérer jusqu’à 10000 postes)

Collection

Base Collection

Base Reporting

Distribution ReportingManagement SQL Server

Page 26: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

26

Topologie 6 serveurs (SQL dissocié)• Topologie destinée à des déploiements importants (plus de

3000 machines)• Dans cette topologie, chaque serveur gère un rôle. • Les bases de données sont hébergées sur 2 serveurs SQL

Collection

BaseCollection

Base Reporting

Distribution ReportingManagement

SQL Server

SQL Server

Page 27: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

27

Comment choisir la bonne topologie ?

Tenir compte des éléments suivants :

• Prévision de stockage– Planifier l’évolution et la croissance du parc à protéger

• Retour client • Emplacement des serveurs• Pré-requis opérationnels des serveurs

– Gestion de l’IT externalisée– Administrateurs distincts pour les bases de données SQL et

Windows – Administration centralisée vs. décentralisée

Page 28: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

28

Installation – partie serveur

Page 29: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

29

Serveur FCS - plateformes supportéesSystème d’exploitation Serveur Forefront Client Security

Windows Server 2003 Standard, Entreprise SP1 + (x86)

Supporté

Windows Server 2003 Standard, Entreprise SP1+ (x64)

Non supporté

Windows 2003 Web editions Non supporté

Windows Server 2003 R2 (x86) Supporté

Windows Server 2003 R2 (x64) Non supporté

Windows 2003 Datacenter Edition Non supporté

Windows 2003 R2 Datacenter Edition Non supporté

Windows Server 2003 (ia64) Non supporté

Windows 2003 SBS Non supporté

Windows Server 2008 Supporté* (* à la date de la RTM)

Page 30: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

30

Cinématique d’installation

1. Installation des pré-requis

2. Installation de FCS

3. Assistant de configuration

4. Autres tâches post-installation

• Exemple avec une topologie 2 serveurs…

Page 31: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

31

Installation de FCS sur le 1er serveur (1/10)

Page 32: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

32

Installation de FCS sur le 1er serveur (2/10)

Page 33: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

33

Installation de FCS sur le 1er serveur (3/10)

Page 34: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

34

Installation de FCS sur le 1er serveur (4/10)

Page 35: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

35

Installation de FCS sur le 1er serveur (5/10)

Page 36: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

36

Installation de FCS sur le 1er serveur (6/10)

Page 37: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

37

Installation de FCS sur le 1er serveur (7/10)

Page 38: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

38

Installation de FCS sur le 1er serveur (8/10)

Page 39: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

39

Installation de FCS sur le 1er serveur (9/10)Vérification des paramètres et pré-requis

Page 40: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

40

Installation de FCS sur le 1er serveur (10/ 10)

Page 41: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

41

Installation de FCS sur le 2ème serveur(WSUS)

Page 42: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

42

Assistant de configuration

• Destiné à “recoller ensemble les morceaux” après installation de tous les serveurs de la topologie

• L’assistant de configuration se lance la 1ère fois que vous exécutez la console de Management FCS

• Il n’est lancé qu’une seule fois, à moins que:– vous ne changiez de serveur SQL pour les DB Collection– vous ne changiez de serveur SQL pour les DB Reporting– vous ne migriez le serveur de collection sur un autre serveur– vous ne migriez le serveur de reporting sur un autre serveur– vous ne changiez de topologies– Vous ne renommiez les serveurs FCS

Page 43: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

43

Assistant de configuration

Page 44: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

44

Opérations post installationDonner les permissions sur les bases au compte de service

Page 45: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

45

Opérations post installationDonner les permissions sur les bases au compte de service

Page 46: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

46

Installation côté client

Page 47: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

47

Client FCS - plateformes supportéesSystème d’exploitation Client Security Agent

Windows 2000 SP4 + Security Rollup and GDI+ hotfix

Supporté

Windows XP SP2 (with Filter Manager hotfix)

Supporté

Windows XP édition “Tablet PC” Supporté

Windows XP édition “Media Center” Non supporté

Windows XP Embedded Non supporté

Windows Vista Business, Enterprise, et Ultimate

Supporté

Windows Server 2003 SP1 (x86 et x64) Supporté

Windows Server 2003 (ia64) Non supporté

Windows Server 2003 R2 (x86 et x64) Supporté

Windows Server 2008 Non supporté* (* à la date du 1/07/07)

Page 48: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

48

Les différentes étapes

1. Vérification pré-requis matériel et logiciels

2. Préparation du réseau pour le déploiement

3. Approbation du client FCS dans WSUS

4. Configuration des mises à jour automatiques

5. Déploiement du client sur les postes

6. Vérification du déploiement sur les postes

Page 49: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

49

1- Vérification pré-requis matériel et logiciels• Pré-requis à l’installation

– Agent Windows Update 2.0– Windows Installer 3.1– Le client FCS ne supporte pas l’exécution en parallèle d’autres solutions anti-

malware sur le poste. Désinstaller ce type d’application avant d’installer le client FCS

– Environ 350 Mo d’espace disque

• L’installation du client FCS inclus l’installation d’un agent MOM 2005– Le changement de la configuration de cet agent n’est pas supporté– Le mode « Agentless » n’est pas supporté– Si un agent MOM 2000, 2005 ou 2007 est déjà présent, l’agent MOM de FCS

sera quand même installé et chaque agent fonctionnera à côté de l’autre (side by side) sans interférence

Page 50: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

50

2- Préparation du réseau pour le déploiement

• Avant de déployer le client FCS sur les postes, il faut s’assurer :– Que les postes sont membre du domaine des

serveurs FCS ou de domaines approuvés– Que les ports réseaux nécessaires sont ouverts

Ordinateur Connection Port (protocoles)

Poste client Vers le serveur de connexion 1270 (TCP et UDP)

Poste client Vers le serveur de distribution

80 (TCP) ou 8530 (TCP) or personnalisé

Page 51: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

51

3- Approbation du client FCS dans WSUS

Page 52: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

52

4- Configuration des mises à jour automatiques (via GPO)

Page 53: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

53

5- Déploiement du client sur les postes

• Pour déployer Client Security sur les postes, il faut déployer une stratégie FCS sur ces machines. Une fois que la stratégie FCS est appliquée sur un poste, celui-ci télécharge automatiquement le client FCS depuis le serveur de distribution.– Note : il est possible de déployer le client sur des machines hors du

domaine (et donc inaccessibles via GPO) Cf. plus loin dans la présentation

• Une politique FCS peut s’appliquer sur des OU, groupes de sécurité

Page 54: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

54

5- Déploiement du client sur les postesPoint de départ : la console FCS

Page 55: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

55

5- Déploiement du client sur les postesConfiguration d’une politique (1/5)

Page 56: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

56

5- Déploiement du client sur les postesConfiguration d’une politique (2/5)

Page 57: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

57

5- Déploiement du client sur les postesConfiguration d’une politique (3/5)

Page 58: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

58

5- Déploiement du client sur les postesConfiguration d’une politique (4/5)

Page 59: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

59

5- Déploiement du client sur les postesConfiguration d’une politique (5/5)

Page 60: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

60

5- Déploiement du client sur les postesChoix de la cible pour déploiement

Page 61: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

61

5- Déploiement du client sur les postesChoix de l’installation si non paramétré en installation automatique

Page 62: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

62

5- Déploiement du client sur les postesCas du poste hors domaine / Installation manuelle

• Il est possible de déployer le client FCS manuellement ce qui est pratique si vous n’utilisez pas WSUS ou pour déployer des postes sans stratégie (ex: poste hors domaine)

• Sur le CD de FCS, dans le répertoire client FCS– Clientsetup.exe

Page 63: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

63

5- Déploiement du client sur les postesApprobation du client FCS dans MOM

Une fois le client FCS déployé, il est généralement approuvé dans MOM au bout d’une heure. Pour accélérer ce processus, il est possible de faire une approbation manuelle

Page 64: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

64

6- Vérification du déploiement sur les postes

Page 65: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

65

Page 66: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

66

Déploiement d’une stratégie FCS• 2 mécanismes / 3 méthodes :

– Via l’utilisation des stratégies de groupe (GPO)• Console Microsoft Forefront Client Security Console• Fichier ADM

– Exportation vers un fichier puis utilisation d’un système de télédistribution existant

Page 67: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

67

Console Forefront

Client Security

GPMCSystème

télédistribution existant

Infrastructure utilisée

Granularité de la cible

Distribution de la stratégie via

Exceptions à la

stratégie

Permet des rapports sur la conformité à la

stratégie

AD/GPO AD/GPOSystème de

télédistribution

Niveau OUMachine unique

Machine unique

Groupes de sécurité

Illimitées Illimitées

Oui Non Non

ConsoleGPMC, via le fichier ADM

Fichiers exportés

Options de déploiement d’une stratégie

Page 68: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

68

• Peut être utilisé pour appliquer des stratégies sur des machines qui ne font pas parties de l’Active Directory (ex: pare-feu, serveurs web…)

• Etape 1 : Export de la stratégie vers un fichier .reg

Déploiement de la stratégie FCS sans GPO (1/2)

Page 69: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

69

Déploiement de la stratégie FCS sans GPO (2/2)• Etape 2 : Import de la stratégie sur le client en

utilisant “FCSLocalPolicyTool.exe”

Page 70: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

70

Administration

Page 71: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

71

Modèle de gestion

• Définition de l’état de sécurité normal– En spécifiant le comportement de sécurité des clients FCS

• Maintien des systèmes à jour– Pour assurer que les clients ont les dernières signatures

• Visualisation de rapports– Pour évaluer l’état de sécurité, maintenant et au cours du temps

• Réponse à des alertes– Quels événements de sécurité critiques nécessitent un attention

particulière ?

Page 72: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

72

Profils d’administration FCS (1/2)

• Client Security Administrator– Peut tout faire sauf déployer des stratégies FCS

• Policy Author– Peut utiliser la console d’administration FCS et l’onglet Policy

Management– Peut créer, modifier, supprimer des politiques FCS– Peut déployer des politiques FCS uniquement via Registry– Peut voir les rapports

• Reports viewer– Peut voir les rapports

Page 73: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

73

Profils d’administration FCS (2/2)• Policy Deployer

– Peut utiliser la console d’administration FCS et l’onglet Policy Management

– Peut créer, modifier, supprimer des politiques FCS– Peut déployer des politiques FCS– Peut voir les rapports

• Alert Manager– Peut utiliser la console MOM FCS– Peut voir les rapports

Page 74: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

74

Mise à jour des signatures (1/2)

• Déploiement des signatures optimisé pour Windows Server Update Services (WSUS)

– Peut utiliser tout système de télédistribution

– Approbation automatique ou manuelle des définitions

• Client Security installe un service Update Assistant pour :

– Augmenter la fréquence de synchronisation entre WSUS et Microsoft Update (MU) pour les définitions

• Support des utilisateurs itinérants

– Bascule de WSUS vers Microsoft Update

Recherchede logiciels malveillants

Microsoft Update

WSUS + Update Assistant

Postes de travail, portables et serveurs

Synchro

Synchro

®

Page 75: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

75

Support des clients itinérants

Page 76: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

76

Mise à jour des signatures (2/2)

• Il est également possible de télécharger manuellement les dernières signatures– How to manually download the latest antimalware definition updates

for Microsoft Forefront Client Security http://support.microsoft.com/kb/935934

– Microsoft Forefront Client Security Definition Downloads http://technet.microsoft.com/en-us/forefront/clientsecurity/bb508812.aspx

• Attention : le moteur complet + la signature = environ 12 à 14 Mo

Page 77: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

77

Page 78: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

78

Planification des analyses AM

• Analyse rapide (Quick Scan)– Processus en mémoire– Répertoires ciblés *

• Profil utilisateur• Bureau• Répertoires système• Program Files

– Points d’extensibilité communs pour les malwares *

• Analyse complète (Full Scan)– Tous les aspects Quick Scan– Évaluation totale de tous les lecteurs locaux

* Définis dans la mise à jour de définitions pour répondre à l’évolution des malwares

Page 79: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

79

Evaluation de l’état de sécurité des postes (SSA)

• Permet d’avoir une visibilité sur les vulnérabilités et configurations non sécurisées des postes gérés (correctifs manquants, mauvaise configuration…)

• Permet d’avoir des actions proactives et non réactives vis à vis des logiciels malveillants

• 3 composants :– Agent SSA (partie du client FCS)

• Récupère des paramètres depuis différentes sources (base de Registre, WMI, pare-feu…)

– Tests de sécurité• Evaluation de la configuration vis-à-vis de critères connus• Attribution d’un score de conformité avec les bonnes pratiques de sécurité

– Rapports

Page 80: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

80

Security State Assessment• Paramètres testés par le SSA :

– Mise à jour automatique, mise à jour incomplète, mise à jour de sécurité, comptes administrateur et invité, système de fichiers, autologon, expiration des mots de passe, paramètre restrictanonymous, services inutiles, partages, version de Windows

• Mises à jour des signatures SSA– Via Microsoft Update (comme les signatures AM)– Contiennent des nouveaux tests de configuration– Améliorent les tests existants

Page 81: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

81

Analyse des postes à la demande • Bouton « Scan Now.. »• Ciblage possible :

– Une machine– Tous les postes

• Analyse complète ou rapide• Effectue à la fois une analyse anti-

malwares et une analyse SSA (Security State Assessment)

Page 82: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

82

Page 83: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

83

Surveillance

Page 84: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

84

Tableau de bord

• Un tableau de bord pour la visibilité sur les menaces et les vulnérabilités

• Visualisation de rapports pertinents

• Objectif : rester informé à propos des évaluations d’état et des alertes de sécurité

Page 85: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

85

Page 86: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

86

Rapports détaillés• Permet de se focaliser sur les menaces et les vulnérabilités potentielles

– Les analyses d’évaluation de l’état déterminent quelles machines:• Ont besoin d’être mises à jour• Sont configurées de manière non sécurisées

• Les catégories dans les rapports incluent :– Rapport de synthèse– Déploiement– Alertes– Machines– Menaces de malware– Synthèse de vulnérabilité– Résultats d’analyse

• Navigation granulaire dans les données (par-machine, par menace…)• Construits sur la technologie MOM 2005• Utilise SQL Reporting Services

Page 87: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

87

Security SummarySecurity SummarySecurity SummarySecurity Summary

Synthèse du déploiement

Synthèse des malwares

Synthèse des alertes

Synthèse des machines

Synthèse des évaluations de l’état de

sécurité

Rapports de synthèse

Page 88: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

88

“Mon environnement est-il conforme avec les bonnes

pratiques en matière de sécurité ?”

“Mon niveau d’exposition aux vulnérabilités a-t-il changé au

cours du temps ?”

“Quelle portion de mon environnement court un

risque élevé?”

Visibilité critique et contrôle

Page 89: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

89

Exemples de rapports FCS

Page 90: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

90

Exemples de rapports FCS

Page 91: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

91

Savoir quand les menaces apparaissent• La configuration des alertes est spécifique chaque

stratégie• Les alertes notifient l’administrateur des incidents

importants, par exemple:– Malware détecté– Échec de la suppression d’un malware– Invasion de malware– Protection antimalware désactivé

• Le niveau d’alerte contrôle le type et le volume des alertes générées

1 5432

Invasion Échec suppression

malware

Échec mise à jour

signatures

Malware détecté et supprimé

Alertes maximales

Données riches, biens de grande valeur

Problèmes critiques seulement, biens de

faible valeur

Page 92: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

92

Les alertes• Actionnables

Chaque alerte représente une tâche potentielle

• Importantes– Seulement sur les incidents importants

• Au bon moment– Pertinentes pour une action immédiate

• Peu nombreuses– Quelques événements chaque jour pour une organisation

• Exemples d’alertes:– Very Infected Computer Found– Protection Turned Off– Scanning Failed– Signature Update Failed– Flooding Detected...

Page 93: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

93

Microsoft Client Protection has detected the following malicious software threat: !AceSFX.

Microsoft Client Protection cannot eliminate the threat.The following action was attempted on the threat: Clean.

The following error occurred: Access Denied.Error code: 12.

To learn more about the infection in this computer, read the infection instance report:

http://ReportServer/Reports/FCS/InfectionInstanceReportTo learn more about the threat, read the threat details report:

http://ReportServer/Reports/FCS/threatReportAnd the computer details report:

http://ReportServer/Reports/FCS/computerReportYou can read about the threat in the Microsoft Malicious Software

Encyclopedia:http://ReportServer/Reports/FCS/maliciousEncyclopediaReport

Type d’alerteMachine & DomaineNombre d’occurences

Description

Rapports détaillésEvènement associé à la machineArticle KB associéEnregistrement

Page 94: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

94

Informations complémentaires

Page 95: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

95

FCS et NAP (Network Access Protection)

• FCS ne propose pas aujourd’hui de modules NAP (SHA, SHV). Si FCS est installé sur un client NAP, il est possible d’utiliser le Windows System Health Agent (WSHA) et de le configurer pour reporter, au travers du centre de sécurité, qu’un antivirus / antispyware :– Est activé ou non– A des signature mises à jour ou pas– Le nom de l’éditeur (Microsoft), le nom affiché (FCS), le numéro de

version (1700)

• Ceci peut être utile en cas d’utilisation de plusieurs solutions Antivirale / antimalware dans un système d’information

• Plus d’informations sur Network Access Protection (NAP) : http://www.microsoft.com/nap

Page 96: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

96

Microsoft Malware Center• http://www.microsoft.com/security/portal/

Page 97: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

97

Synthèse

Page 98: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

98

Tarif 0(1) 0 0(2) €(3) €

Synthèse des offres anti-malwares de Microsoft

Supprime les virus les + répandus

Supprime tous les virus connus

Protection anti-virus

temps réelSupprime tous

les spywares connus

Anti-spyware temps réel

Gestion centralisée de

clients multiplesAlertes, gestion de

rapports centralisées

MicrosoftForefront

Client Security

Pour l’utilisateur individuel Pour l’entreprise

MSRT Windows Defender

Windows Live Safety

Center

Windows OneCare

Live

(1) Windows authentique(2) publicité

(3) abonnement

Page 99: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

99

En résumé – Forefront Client Security

• Fait partie de la gamme Microsoft Forefront•

• Assure une protection unifiée contre les logiciels malveillants pour les systèmes d’exploitation des postes de travail, des portables et des serveurs en entreprise, plus facile à gérer et à contrôler

• Protection unifiée• Administration simplifiée• Contrôle et visibilité critique

Page 100: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

100

Pour aller plus loin

Page 101: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

101

Ressources utiles (1/2)• Portail Forefront sur le site de Microsoft France

– http://www.microsoft.com/france/forefront/

• Portail Forefront US– http://www.microsoft.com/forefront

• Blog de l’équipe – http://blogs.technet.com/clientsecurity/

• Forum TechNet (US)– http://forums.microsoft.com/ForeFront/default.aspx?F

orumGroupID=309&SiteID=41

Page 102: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

102

Ressources utiles (2/2)

• Démonstrations (US)• http://www.microsoft.com/antigen/prodinfo/demo/default.

mspx

• Versions d’évaluation http://www.microsoft.com/antigen/downloads/trial-software.mspx

• Forefront Client Security Technical Library http://www.microsoft.com/technet/clientsecurity/2007/library/default.mspx

• Microsoft Forefront Client Security http://technet.microsoft.com/en-us/library/bb432630.aspx

Page 103: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

103

Questions / Réponses

Page 104: 1 Vue d’ensemble de Microsoft Forefront Client Security La solution de protection anti-malwares pour les postes et serveurs en entreprise.

104

Microsoft France18, avenue du Québec

91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 829

[email protected]