Последний рубеж обороны

2. Последнийрубежобороны Артём Синицын Microsoft Consulting Services IS 305

3. Содержание • Стратегия защиты конечных устройств • Что такое FEP • Технологии защиты FEP • Интеграция FEP с Configuration Manager • Развёртывание и обновление • Политики и контроль соответствия • Мониторинг и отчеты • Демонстрация • Вопросы и…ответы 

4. Стратегия защиты конечных устройств

5. Стратегия защиты конечных устройств Безопасность Windows Защита от вредоносного кода Forefront Endpoint Protection 2010 Безопасный удаленный доступ DIRECT ACCESS Защита информации

6. Forefront Endpoint Protection 2010 • Низкая стоимость внедрения • Использует ConfigMgr в качестве платформы • Поддерживает любые варианты топологи ConfigMgr • Простая миграция • Поддержка всех клиентских и серверных ОС Windows • Защита без падения производительности • Защита от вирусов, шпионского ПО, руткитов • Конфигурация по умолчанию ориентирована на высокий уровень производительности • Интеграция сБрандмауэром Windows • Облачные сервисы - Malware Research and Response • Объединенная защита и управление • Единый интерфейс • Единый механизм создания и контроля политик • Централизованное оповещение • Отчеты включают информацию о конфигурации и защите

7. Технологии защиты

8. Многоуровневая защита Защита от известных угроз Защита от неизвестных угроз Центр защиты от вредоносного ПО MMPC Службы динамических обновлений DSS Уровень приложений Поведенческий анализ Поведенческий анализ Address SpaceLayer Randomization Windows Resource Protection Data Execution Protection Dynamic Translation & Emulation Anti-malware & Anti-Rootkit Уровень файловой системы Dynamic Translation & Emulation Antimalware Internet Explorer 8 SmartScreen AppLocker Уровень сети IDS/IPS (Network Inspection System) IDS/IPS (Network Inspection System) Интеграция с Windows Firewall Интеграция с Windows Firewall Windows 7 FEP 2010

9. Компоненты защиты SpyNet / MRS Новое Улучшенное Базовые сигнатуры Поведенческий анализ/ Мониторинг ядра 3 2 2 Служба динамических обновлений DSS Защита в реальном времени Сценарии поведения 1 4 Сигнатуры/Эвристика Улучшенное восстановление Перед запуском вируса После запуска вируса Сканирование по расписанию/по требованию Портал MMPC

10. Архитектура защиты Уровень пользователя Графический интерфейс Интеграция с центром безопасности Windows •  Защита в реальном времени Поведенческий анализ Ядро Anti-Malware •  Сканирование и очистка системы Обнаружение руткитов •  Поведенческий анализ RTP/ Minifilter Уровень ядра •  Microsoft Reputation Service •  Dynamic Signature Service Microsoft Update Spynet/MRS Портал MMPC Облачные сервисы •  Обнаружение и удаление руткитов Сигнатуры Обратная связь

11. Динамическая трансляция (DT) Потенциальная вредоносная программа • HANDLE hFile; • hFile = CreateFile(L"NewVirus.exe", GENERIC_WRITE, 0, NULL, CREATE_NEW, • FILE_ATTRIBUTE_HIDDEN, NULL); • ... • push 40000000h • push offset string L"NewVirus.exe” • call dwordptr [__imp__CreateFileW@28] • cmpesi,esp Безопасная трансляция • ... • push 40000000h • push offset string L"NewVirus.exe” • call dwordptr [DT_CreateFile] • cmpesi,esp DT Физические ресурсы Виртуальные ресурсы

12. Поведенческий анализ и DSS Сценарии выполнения Конечное устройство с FEP MMPC Новые сигнатуры До выполнения вредоносного ПО После выполнения вредоносного ПО • Известные угрозы – блокируются • Часть неизвестных блокируются за счет базовых сигнатур • Оставшиеся угрозы направляются в MMPC. • Новые сигнатуры загружаются из DSS • Неизвестные угрозы - нейтрализуются

13. Защита от руткитов • Руткит= маскировка для вредоносного ПО • Используют низкоуровневые перехваты и модификацию ядра • Требуют специализированные механизмы для обнаружения и удаления • FEP vs. Rootkit • Оперирует низкоуровневыми перехватами • Следит за аномалиями в структуре ядра • Вызывается в рамках поведенческого анализа • Интегрированный автономный сканнер – “Standalone System Sweeper”

14. Защита от руткитов – Rootkit.BV

15. Защищает от эксплуатации уязвимостей ~40% всех уязвимостей, ~50% критических уязвимостей HTTP, MIME, SMTP, IMAP, POP3, SMB, SMB2 и RPC Предотвращает эксплуатацию конкретных уязвимостей Блокирует попытки использования MS08-067 (~3000 уникальных эксплойтов из 8 различныхсемейств) Уменьшает период уязвимости Zero day - время от выявления уязвимости до выпуска патча (часы/дни) Известные уязвимости -время с момента выпуска патча до его установки (дни/недели) Network Inspection System

16. Взаимодействие с пользователем • Простой интерфейс • Очевидные действия • Централизованное применение политики защиты • Гибкий контроль над возможностями пользователей • Контроль соответствия

17. Развертывание, управление и контроль

18. Снижение стоимости за счёт интеграции Объединенная инфраструктура для управления и защиты конечных устройств • Использование существующей инфраструктуры • Простота внедрения и миграции • Эффективное управление и мониторинг из единой консоли • Централизованное применение политики защиты • Контроль соответствия параметрам политики компании • Отчеты для администраторов рабочих мест и офицеров безопасности

19. Политики Отчеты SpyNet Данные Настройки Сервер сайта SCCM Служба отчетов SQL SCCM Распространение ПО SCCM Desired Configuration Management (или сетевая папка) Обновления Обратная связь События Клиенты FEP

20. Интеграция c ConfigMgr База данных FEP • FEPDB • FEPDW • FEPDW OLAP Cube FEPDB используется совместно с ConfigMgr DB • FEPDW используется для создания отчетов Консоль FEP Серверная роль FEP ОтчетыFEP Консоль ConfigMgr • Политики • Оповещения • Отчеты Устанавливается как расширение консоли ConfigMgr • Коллекции FEP • Политики FEP • Объявление политик FEP • Установочные пакеты FEP Устанавливается на роль сервера первичного сайта ConfigMgr • Установка расширения отчетов FEP • Используется механизм отчетов • Информация из Data warehouse и OLAP-куба Консоль FEP • Агент ConfigMgr Клиент Forefront EndPoint Protection • Сервер сайта ConfigMgr События Распространение ПО Реестр DCM ОтчетыConfigMgr WMI СерверFEP Отчеты FEP Управляемый компьютер FEP База данных • ConfigMgr База данных Configuration Manager FEP

21. Существующая инфраструктура Распределенное управление Централизованное управление Отчеты FEP Серверная роль FEP Консоль управления FEP Первичный сайт Первичный сайт Вторичный сайт Вторичный сайт Первичный сайт Центральный сайт Первичный сайт Серверная роль FEP Отчеты FEP Серверная роль FEP Отчеты FEP Серверная роль FEP Отчеты FEP Консоль управления FEP Консоль управления FEP Консоль управления FEP

22. Защита серверов • Мониторинг защиты серверов в консоли System Center Operations Manager • Настройки по умолчанию в зависимости от роли сервера • Единая консоль для мониторинга доступности и защиты серверов • Отчеты по доступности на уровне сервисов OpsMgr • Слежение и оповещения о защите критических сервисов в режиме реального времени

23. Централизованный мониторинг

24. Контроль соответствия

25. Централизованное управление и защита FEP Демонстрация

26. Ресурсы • Дополнительные сессии по теме • CT 306: Реализация доступа для удаленных пользователей на базе Windows 7 DirectAccess и Forefront UAG (17:30-18:30, Зона интерактивных сессий) • Блоги • http://sinitsyn.org • http://blogs.technet.com/securityrus

27. Официальные курсы и сертификация Microsoft • Более 300 официальных курсов Microsoft доступно в России. • Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft • под руководством опытного сертифицированного инструктора Microsoft • интенсивное обучение с акцентом на практику • более 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы) • Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя . • Microsoft предлагает гибкую систему сертификаций. • Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning 40 57 % % Доказательство № 75 Доказательство № 119 рекрутеров считают сертификацию сотрудников одним из критериев для повышения в должности сертифицированных специалистов считают, что сертификация помогла им получить работу или повышение

28. Специальные предложения • Сертификационный пакет со вторым шансом • Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком. • Сэкономьте 15% на сертификации вашей ИТ-команды • Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками. • Microsoft Certified Career Conference • Первая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г. • Сессии по технологиям и построению карьеры • Скидка 50% для сертифицированных специалистов Microsoft и студентов • Бесплатная подписка на TechNet для слушателей официальных курсов • Некоторые курсы по SharePoint, Windows 7; WindowsServer 2008; SQL Server 2008 • Детали: www.microsoft.com/rus/learning С 22 ноября 2010 г. – подписка TechNet бесплатно для слушателей курсов. Количество ограничено!

29. Обратная связь Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала Спасибо!

30. Вопросы • IS 305 • Артём Синицын • Microsoft Consulting Services • artsin@microsoft.com • www.sinitsyn.org • Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада