reklama

Microsoft Client Security – ochraňte své klientské stanice

Začneme jednoduchou otázkou, kterou často pokládám. Jak řešíte zabezpečení vašich počítačů v podnikové síti?

Odpovědí je celá řada, od základních nastavení po velmi komplikované scénáře, ve kterých se často nevyzná ani sám správce dané sítě. Nicméně většinou dojdete k několika společným úkolům. Za prvé je třeba udržet operační systém pracovní stanice v aktuálním stavu. To znamená zajistit distribuci a instalaci oprav, zejména těch bezpečnostních. Za druhé je nutné zajistit zapnutí personálního firewallu v případech, že je PC připojeno přímo do internetu, což je případ přenosných a domácích počítačů. Za třetí je většinou používán antivirový software, který je nutné stejně jako operační systém udržet aktuální a funkční. Myslíte, že to stačí?

Někteří z vás možná přidají úvodní zabezpečení operačního systému, zpravidla opomíjené. V pořádku? Kdepak, stále něco chybí. Ze statistik, které pravidelně publikují velcí a významní hráči na poli zabezpečení, vyplývá, že nové viry a jejich mutace se počítají na stovky a tisíce, ale nový spyware (trojské koně, key loggery, rootkity…), tak to je již řeč o desítkách tisíc nových exemplářů i jejich mutací. Tak přidejme ještě čtvrtou technologii - Antispyware. Pokud máte se zabezpečením co do činění, případně se o něj přímo staráte, tak je vám jasné, že použít řadu rozdílných technologií a řešení to není vůbec jednoduchá záležitost.

Tento článek má být o tom, jak k popsané problematice přistoupil Microsoft. Jednoduše bych nazval zvolený přístup „vše v jednom“. Zdá se to možná nadnesené, ale podíváte-li se pod pokličku jeho řešení, tak zjistíte, že jde v řadě případů jen o využití technologií, které již řada zákazníků má, dobře zná a používá. Taky tedy software jako antivirus, antispyware, bezpečnostní hodnocení a centrální správa s přehledným reportováním. Určeno pro operační systémy serverů a stanic.
Na úvod je třeba říci, že je zaměřeno zejména na střední a větší společnosti, které již technologie Microsoftu využívají, pro ostatní bude obtížnější Forefront Client Security (FSC) použít a pro některé to bude zcela nepřijatelné. Ty poslední se ostatně projeví v diskuzi pod článkem.

Doména, doména – Microsoft Active Directory a zásady zabezpečení (GPO) je záležitost, kterou většina společností velmi aktivně využívá pro správu koncových stanic. GPO definují řadu nastavení od spouštěcích skriptů po zabezpečení operačního systému. FCS předpokládá, že konfigurace jednotlivých parametrů bude aplikována do operačního systému klienta pomocí zásad bezpečnostní politiky, a na vás zbude „jen“ konfiguraci vymyslet a nakonfigurovat pomocí grafického rozhraní nástroji. Toto je předmětem mnoha diskuzí a nemusí to být zcela ideální. Tak tedy o co jde. Pro vytváření a úpravy standardních GPO objektů se zpravidla používá konzola Active Directory Users and Computers, resp. Group Policy Management Console (GPMC). FCS však přináší svůj vlastní postup. Konfiguraci pro klienty nejprve vytvoříte v grafickém prostředí nástroje pro správu a relativně jednoduše vypublikujete jako objekt GPO. Vždy potom se konfigurace v Active Directory přepisuje tím, co je v nástroji FCS aktuální. Cílem bylo nezatěžovat správce FCS a zjednodušit mu práci.

Problém je však v tom, že pokud následně otevřete a upravíte takto vytvořené GPO standardním způsobem – pomocí GPMC - vytvořené objekty GPO můžete editovat a upravovat, ale tyto změny se již neprojeví zpět v nástrojích pro správu FCS. Výsledkem potom může být dočasný zmatek v GPO objektech. Dokud správce FCS opět nepřepíše konfiguraci z grafického prostředí. V praxi to bude sice jen otázka správného pochopení a postupů pro konfiguraci (Chlapi nekonfigurujte mi FCS z těch klasických oken….), ale tato drobnost může překvapit.

Po spuštění nástroje pro správu FCS jistě nepřekvapí vzhled klasické management konzole, který je pro správce produktů Microsoftu dennodenním chlebem. Na úvodní obrazovce uvidíte aktuální stav prostředí z pohledu zabezpečení a důležitých událostí. Můžete se probírat reporty – o nich se zmíníme později – a pracovat s konfigurací.

Klepněte pro větší obrázek
Nástroj pro správu; Úvodní přehled

I zde je jedna věc, která vám může zamotat hlavu. V úvodním přehledu je vidět počet počítačů, které reportují kritické problémy, jsou v pořádku nebo nereportují vůbec. Chybí tu však informace o počítačích, které reportují méně závažné problémy. Procentuální součet, který je velkým fontem uváděn v přehledu, potom nemusí odpovídat celkovému počtu spravovaných počítačů. Chvíli vám potrvá, než si uvědomíte, že to není chyba, ale vlastnost.

Klepněte pro větší obrázek
Nástroj pro správu; Konfigurace

Vše v jednom tak úplně neplatí. Software je třeba rozdělit na serverové komponenty a klientskou část. Z pohledu serverů jsou zde role pro správu (management), sběr dat (collection), reportování (reporting) a distribuci klientského software a nových antimalware definic (distribution). I když je podporován model instalace všech rolí na jeden hardware, v praxi se odděluje vždy minimálně role distribution – jde v podstatě o stávající Windows Software Update Server (WSUS), který bude po instalací této role rozšířen o službu Microsoft Client Security Update Assistant.

Tato nová služba zajistí, že bude WSUS synchronizovat svůj obsah každou hodinu a budou tak k dispozici definice antimalware častěji, než je standardní interval pro synchronizaci s Windows Update.

Klientský software je potom jeden instalační balík, který vytvoří v systému několik různých služeb. Službu pro antivirus a antispyware, službu pro bezpečnostní hodnocení daného PC a také službu agenta pro správu a sběr událostí (prakticky MOM 2005 agent).

Klient se po instalaci zaregistruje k příslušnému serveru a v reálném čase chrání PC před škodlivým softwarem a navíc provádí pravidelně bezpečnostní hodnocení. Bezpečnostní hodnocení je v této chvíli v podstatě ekvivalentem k nástroji Microsoft Baseline Security Analyzer, jenže s centrálním dohledem a správou. Do budoucna se počítá s mnohem větší funkcionalitou, ale kdy to budoucno bude, to vědí jen lidé z Redmondu. V současné chvíli je udáváno, že nové možnosti, jak sledovat zabezpečení pracovní stanice a serverů, budou přicházet společně s novými aktualizacemi programu.

Koncový uživatel může vidět jen ikonu v nástrojové liště, která po kliknutí zobrazí prostředí vlastního klienta. Po prvním spuštění můžete mít pocit, že došlo k omylu a spustili jste nechtěně Windows Defender (volně dostupný antispyware). Je to tím, že klientská část softwaru využívá grafické prostředí a službu ochrany proti spyware právě z této aplikace. Kromě standardních informací je možné získat i podrobnější přehled o systému a spuštěných programech. Například pomocí funkce Software Explorer.

Klepněte pro větší obrázek
Klient
Klepněte pro větší obrázek
Software Explorer

Pokud chcete nainstalovat jen klienta bez serverů v pozadí, tak moc nepochodíte. Přesněji řečeno, prosté spuštění instalačního programu clientsetup.exe skončí s chybovou hláškou. Po bližším zkoumání zjistíte, že se v adresáři c:\Program Files\Microsoft Forefront\Client Security\Client vytvořil soubor, který informuje o chybě připojení ke collection serveru.

Není třeba zoufat, chcete-li provozovat Forefront k ochraně vašeho notebooku, pracovní stanice nebo domácího PC mimo doménu stačí, spustit clientsetup.exe /? A zjistíte, že existuje kouzelný přepínač /NOMOM. Instalace potom proběhne bez chyb a po navštívení Windows Update je funkční antimalware na světě.

Klient se po instalaci integruje do operačního systému na úrovni ovladačů kernelu a provádí takzvaný on-access scanning, tedy analyzuje kód až ve chvíli, kdy by mohl způsobit potenciální ohrožení. Samozřejmě jsou zde plánované úlohy formou rychlé prohlídky nebo podrobné prohlídky souborů na disku a sledování operační paměti. Jelikož je integrace do operačního systému tak zásadní, je třeba doinstalovat některé komponenty. Toto záleží na verzi operačního systémů, který hodláte chránit.

Požadavky na instalaci klienta jsou relativně nízké, ale ti z vás, kteří vzpomínají na časy dávno minulé, a ještě dnes se jim rozechvěje hlas, když si představí více než 8MB RAM v PC, ti budou možná na první pohled překvapeni. Majitelé historických Windows 9x, už můžou jen posmutněle koukat nebo musí sáhnout po konkurenci. I zatvrzelí odpůrci bezpečnostních aktualizací pro Windows 2000 neuspějí.

CPU Operační systém RAM/HDD Další SW
700 MhzWindows 2000 SP4 a Update Rollup 1256+/350+ MBWindows Update Agent 2
Windows XP SP2Windows Installer 3.1
Windows Server 2003 SP1Hotfix pro Filter Manager KB914882*

Windows VistaBusiness,Enterprise, Ultimate
- podporované verze x86 i x86-64

*Hotfix je k dipozici na instalační CD nebo ke stažení na http://support.microsoft.com/kb/914882/

Pro tentokrát je informací již dost, v dalším díle se zaměřím více na pohled administrátora, podíváme se na možnosti reportování a také porovnání s konkurencí.

Témata článku: Software, Microsoft, Windows, Windows Update, Antimalware, Update, Windows Defender, Rollup, Defender

10 komentářů

Nejnovější komentáře

  • GoGo 6. 3. 2008 9:15:41
    Hezký článek Láďo! Dozvěděl jsem se přesně co jsem potřeboval :-)
  • FreeBSD_Radikal 23. 9. 2007 17:56:47
    a predevsim, kolik tisic balicku je do toho zapocteno? ;-)
  • Peter Lehotsky 23. 9. 2007 16:31:36
    Ve stable nebo devel vetvi? :-P
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 103

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

6.  12.  2016 | Jakub Čížek | 36

11 tipů na dobrý stolní počítač: od základu po herní mašiny

11 tipů na dobrý stolní počítač: od základu po herní mašiny

** Postavte si stolní počítač! Máme pro vás 11 vzorových sestav s rozpisem komponent ** Většina tipů cílí na hráče, věnujeme se ale i základnímu PC a počítačům na střih videa ** Nadělte si nový počítač třeba pod stromeček

5.  12.  2016 | Adam Kahánek | 74

Nejlepší notebooky nad 20 tisíc: poradíme, které teď chcete

Nejlepší notebooky nad 20 tisíc: poradíme, které teď chcete

** V notebooku s cenou nad 20 tisíc nesmí chybět kvalitní displej a rychlé úložiště ** Za dalších deset tisíc můžete dostat navíc styl nebo výkonnější komponenty ** Vybírat můžete z různých velikostí i konstrukcí

8.  12.  2016 | Stanislav Janů | 85


reklama