reklama

Microsoft Client Security – ochraňte své klientské stanice

Začneme jednoduchou otázkou, kterou často pokládám. Jak řešíte zabezpečení vašich počítačů v podnikové síti?

Odpovědí je celá řada, od základních nastavení po velmi komplikované scénáře, ve kterých se často nevyzná ani sám správce dané sítě. Nicméně většinou dojdete k několika společným úkolům. Za prvé je třeba udržet operační systém pracovní stanice v aktuálním stavu. To znamená zajistit distribuci a instalaci oprav, zejména těch bezpečnostních. Za druhé je nutné zajistit zapnutí personálního firewallu v případech, že je PC připojeno přímo do internetu, což je případ přenosných a domácích počítačů. Za třetí je většinou používán antivirový software, který je nutné stejně jako operační systém udržet aktuální a funkční. Myslíte, že to stačí?

Někteří z vás možná přidají úvodní zabezpečení operačního systému, zpravidla opomíjené. V pořádku? Kdepak, stále něco chybí. Ze statistik, které pravidelně publikují velcí a významní hráči na poli zabezpečení, vyplývá, že nové viry a jejich mutace se počítají na stovky a tisíce, ale nový spyware (trojské koně, key loggery, rootkity…), tak to je již řeč o desítkách tisíc nových exemplářů i jejich mutací. Tak přidejme ještě čtvrtou technologii - Antispyware. Pokud máte se zabezpečením co do činění, případně se o něj přímo staráte, tak je vám jasné, že použít řadu rozdílných technologií a řešení to není vůbec jednoduchá záležitost.

Tento článek má být o tom, jak k popsané problematice přistoupil Microsoft. Jednoduše bych nazval zvolený přístup „vše v jednom“. Zdá se to možná nadnesené, ale podíváte-li se pod pokličku jeho řešení, tak zjistíte, že jde v řadě případů jen o využití technologií, které již řada zákazníků má, dobře zná a používá. Taky tedy software jako antivirus, antispyware, bezpečnostní hodnocení a centrální správa s přehledným reportováním. Určeno pro operační systémy serverů a stanic.
Na úvod je třeba říci, že je zaměřeno zejména na střední a větší společnosti, které již technologie Microsoftu využívají, pro ostatní bude obtížnější Forefront Client Security (FSC) použít a pro některé to bude zcela nepřijatelné. Ty poslední se ostatně projeví v diskuzi pod článkem.

Doména, doména – Microsoft Active Directory a zásady zabezpečení (GPO) je záležitost, kterou většina společností velmi aktivně využívá pro správu koncových stanic. GPO definují řadu nastavení od spouštěcích skriptů po zabezpečení operačního systému. FCS předpokládá, že konfigurace jednotlivých parametrů bude aplikována do operačního systému klienta pomocí zásad bezpečnostní politiky, a na vás zbude „jen“ konfiguraci vymyslet a nakonfigurovat pomocí grafického rozhraní nástroji. Toto je předmětem mnoha diskuzí a nemusí to být zcela ideální. Tak tedy o co jde. Pro vytváření a úpravy standardních GPO objektů se zpravidla používá konzola Active Directory Users and Computers, resp. Group Policy Management Console (GPMC). FCS však přináší svůj vlastní postup. Konfiguraci pro klienty nejprve vytvoříte v grafickém prostředí nástroje pro správu a relativně jednoduše vypublikujete jako objekt GPO. Vždy potom se konfigurace v Active Directory přepisuje tím, co je v nástroji FCS aktuální. Cílem bylo nezatěžovat správce FCS a zjednodušit mu práci.

Problém je však v tom, že pokud následně otevřete a upravíte takto vytvořené GPO standardním způsobem – pomocí GPMC - vytvořené objekty GPO můžete editovat a upravovat, ale tyto změny se již neprojeví zpět v nástrojích pro správu FCS. Výsledkem potom může být dočasný zmatek v GPO objektech. Dokud správce FCS opět nepřepíše konfiguraci z grafického prostředí. V praxi to bude sice jen otázka správného pochopení a postupů pro konfiguraci (Chlapi nekonfigurujte mi FCS z těch klasických oken….), ale tato drobnost může překvapit.

Po spuštění nástroje pro správu FCS jistě nepřekvapí vzhled klasické management konzole, který je pro správce produktů Microsoftu dennodenním chlebem. Na úvodní obrazovce uvidíte aktuální stav prostředí z pohledu zabezpečení a důležitých událostí. Můžete se probírat reporty – o nich se zmíníme později – a pracovat s konfigurací.

Klepněte pro větší obrázek
Nástroj pro správu; Úvodní přehled

I zde je jedna věc, která vám může zamotat hlavu. V úvodním přehledu je vidět počet počítačů, které reportují kritické problémy, jsou v pořádku nebo nereportují vůbec. Chybí tu však informace o počítačích, které reportují méně závažné problémy. Procentuální součet, který je velkým fontem uváděn v přehledu, potom nemusí odpovídat celkovému počtu spravovaných počítačů. Chvíli vám potrvá, než si uvědomíte, že to není chyba, ale vlastnost.

Klepněte pro větší obrázek
Nástroj pro správu; Konfigurace

Vše v jednom tak úplně neplatí. Software je třeba rozdělit na serverové komponenty a klientskou část. Z pohledu serverů jsou zde role pro správu (management), sběr dat (collection), reportování (reporting) a distribuci klientského software a nových antimalware definic (distribution). I když je podporován model instalace všech rolí na jeden hardware, v praxi se odděluje vždy minimálně role distribution – jde v podstatě o stávající Windows Software Update Server (WSUS), který bude po instalací této role rozšířen o službu Microsoft Client Security Update Assistant.

Tato nová služba zajistí, že bude WSUS synchronizovat svůj obsah každou hodinu a budou tak k dispozici definice antimalware častěji, než je standardní interval pro synchronizaci s Windows Update.

Klientský software je potom jeden instalační balík, který vytvoří v systému několik různých služeb. Službu pro antivirus a antispyware, službu pro bezpečnostní hodnocení daného PC a také službu agenta pro správu a sběr událostí (prakticky MOM 2005 agent).

Klient se po instalaci zaregistruje k příslušnému serveru a v reálném čase chrání PC před škodlivým softwarem a navíc provádí pravidelně bezpečnostní hodnocení. Bezpečnostní hodnocení je v této chvíli v podstatě ekvivalentem k nástroji Microsoft Baseline Security Analyzer, jenže s centrálním dohledem a správou. Do budoucna se počítá s mnohem větší funkcionalitou, ale kdy to budoucno bude, to vědí jen lidé z Redmondu. V současné chvíli je udáváno, že nové možnosti, jak sledovat zabezpečení pracovní stanice a serverů, budou přicházet společně s novými aktualizacemi programu.

Koncový uživatel může vidět jen ikonu v nástrojové liště, která po kliknutí zobrazí prostředí vlastního klienta. Po prvním spuštění můžete mít pocit, že došlo k omylu a spustili jste nechtěně Windows Defender (volně dostupný antispyware). Je to tím, že klientská část softwaru využívá grafické prostředí a službu ochrany proti spyware právě z této aplikace. Kromě standardních informací je možné získat i podrobnější přehled o systému a spuštěných programech. Například pomocí funkce Software Explorer.

Klepněte pro větší obrázek
Klient
Klepněte pro větší obrázek
Software Explorer

Pokud chcete nainstalovat jen klienta bez serverů v pozadí, tak moc nepochodíte. Přesněji řečeno, prosté spuštění instalačního programu clientsetup.exe skončí s chybovou hláškou. Po bližším zkoumání zjistíte, že se v adresáři c:\Program Files\Microsoft Forefront\Client Security\Client vytvořil soubor, který informuje o chybě připojení ke collection serveru.

Není třeba zoufat, chcete-li provozovat Forefront k ochraně vašeho notebooku, pracovní stanice nebo domácího PC mimo doménu stačí, spustit clientsetup.exe /? A zjistíte, že existuje kouzelný přepínač /NOMOM. Instalace potom proběhne bez chyb a po navštívení Windows Update je funkční antimalware na světě.

Klient se po instalaci integruje do operačního systému na úrovni ovladačů kernelu a provádí takzvaný on-access scanning, tedy analyzuje kód až ve chvíli, kdy by mohl způsobit potenciální ohrožení. Samozřejmě jsou zde plánované úlohy formou rychlé prohlídky nebo podrobné prohlídky souborů na disku a sledování operační paměti. Jelikož je integrace do operačního systému tak zásadní, je třeba doinstalovat některé komponenty. Toto záleží na verzi operačního systémů, který hodláte chránit.

Požadavky na instalaci klienta jsou relativně nízké, ale ti z vás, kteří vzpomínají na časy dávno minulé, a ještě dnes se jim rozechvěje hlas, když si představí více než 8MB RAM v PC, ti budou možná na první pohled překvapeni. Majitelé historických Windows 9x, už můžou jen posmutněle koukat nebo musí sáhnout po konkurenci. I zatvrzelí odpůrci bezpečnostních aktualizací pro Windows 2000 neuspějí.

CPU Operační systém RAM/HDD Další SW
700 MhzWindows 2000 SP4 a Update Rollup 1256+/350+ MBWindows Update Agent 2
Windows XP SP2Windows Installer 3.1
Windows Server 2003 SP1Hotfix pro Filter Manager KB914882*

Windows VistaBusiness,Enterprise, Ultimate
- podporované verze x86 i x86-64

*Hotfix je k dipozici na instalační CD nebo ke stažení na http://support.microsoft.com/kb/914882/

Pro tentokrát je informací již dost, v dalším díle se zaměřím více na pohled administrátora, podíváme se na možnosti reportování a také porovnání s konkurencí.

Témata článku: Software, Microsoft, Windows, Antimalware, Update, Windows Update, Microsoft Security, Rollup, Windows Defender

10 komentářů

Nejnovější komentáře

  • GoGo 6. 3. 2008 9:15:41
    Hezký článek Láďo! Dozvěděl jsem se přesně co jsem potřeboval :-)
  • FreeBSD_Radikal 23. 9. 2007 17:56:47
    a predevsim, kolik tisic balicku je do toho zapocteno? ;-)
  • Peter Lehotsky 23. 9. 2007 16:31:36
    Ve stable nebo devel vetvi? :-P
reklama
Určitě si přečtěte

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

** Herní hardware se od toho běžného často liší jen vzhledem ** Při výběru stále nezapomínejte na základní parametry ** Poradíme jak vybrat herní hardware i periferie

20.  2.  2017 | Stanislav Janů | 36

10 nejhorších produktů v historii Microsoftu

10 nejhorších produktů v historii Microsoftu

20.  2.  2017 | Karel Javůrek | 137

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 39

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

AMD oficiálně představilo procesory Ryzen. Známe i jejich české ceny

** AMD uvedlo první tři procesory Ryzen 7 ** Všechny budou pracovat s osmi jádry a šestnácti vlákny ** Na pulty obchodů se dostanou už za týden

22.  2.  2017 | Stanislav Janů | 132

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

EU se děsí Windows 10. Prý o nás vědí až příliš. Microsoft chystá změny

** Evropští úředníci chtějí, aby byly Desítky transparentnější ** Microsoft od jara skutečně chystá změny ** Ochráncům soukromí to ale nestačí

21.  2.  2017 | Jakub Čížek | 218

Remix Singularity: Microsoft si na tom vylámal zuby. Jak dopadne Android?

Remix Singularity: Microsoft si na tom vylámal zuby. Jak dopadne Android?

** Microsoft do svých telefonů integroval desktopové prostředí ** Moc to ale nevyšlo, chyběl pořádný výkon ** Teď to zkoušejí ex-googleři s Remix Singularity

23.  2.  2017 | Jakub Čížek | 73


Aktuální číslo časopisu Computer

Supertéma o počítačové bezpečnosti

AMD Ryzen přichází

Velké testy kinoprojektorů a levných špuntových sluchátek

Příslušenství do USB-C

reklama
reklama