MS Forefront Client Security: pohled administrátora II

Přišel požadavek na implementaci technologie Microsoft Forefront Client Security (FSC) do mojí sítě. Hmm.

Hmm. Spustíme setup.exe a za hodinku jdeme domů? Tak takhle jednoduché to na poli antimalware technologií bohužel není. Administrátor dnes už není v roli „instalatéra“ a technologie se většinou neinstalují, ale implementují. Proto je třeba přistoupit k danému úkolu jinak a rozmyslet si, co je třeba provést.

V tomto díle bych se rád zaměřil právě na to, jaké kroky musí být brány v úvahu, jak připravit prostředí a jak úspěšně nahradit stávající řešení. Ano je to tak. Většinou půjde o náhradu, protože dnes najít počítačovou síť, kde není minimálně antivirový systém, to je stejné jako představa, že v běžné firmě nenarazíte na Microsoft Office.

Souhrnem potom čekají na administrátora následující kroky:

  1. Připravit hardware serverů
  2. Nainstalovat role FCS na servery
  3. Vytvořit úvodní konfiguraci klientů
  4. Nainstalovat nového klienta FCS a odinstalovat stávající AV software
  5. Začít provozovat nové řešení

Pojďme se tedy na jednotlivé fáze podívat blíže

1. Nároky na serverový hardware

Požadavky na hardware se budou odvíjet od zvolené topologie. Pro představu budeme uvažovat o společnosti, která má ve své síti 20 až 500 PC. Zvolená topologie potom může sestávat ze dvou až třech serverů. Ten první bude v roli „distribution“, a bude to v podstatě WSUS (předpokládám, že již v této síti existuje) s mírně upravenou dobou synchronizace. Nároky jsou tedy standardní – 512 MB RAM, desítky GB na pevném disku a nějaký ten CPU, který vyhovuje pro provoz Windows Server 2003. Pro instalaci samotných klientů a nových definicí malware nepotřebujete tedy nic jiného, než současný server pro distribuci bezpečnostních aktualizací a dalšího software z Microsoft Update.

Další role serverů již jsou o trochu náročnější. Zvolíte-li jeden výkonnější stroj pro provoz zbylých pěti rolí (Management, Collection, Collecton database, Reporting a Reporting Database), budete potřebovat především dostatek operační paměti a místa na disku pro databáze. Je nutno podotknout, že velikost databází bude záležet na tom, jak dlouho budete chtít uchovávat všechny podrobnosti a desetitisíce událostí, a jak dlouho se budete chtít probírat detailními reporty a grafy. Budou-li to 3 měsíce, bude požadavek na velikost databází až řádově nižší, než v případě, kdy by bylo nutné udržovat všechny detailní přehledy například za 13 měsíců.

Pro představu uvádím požadavky na kombinovanou roli:

RoleCPUOSSWHDDRAM
Single-server (všechny role na jednom HW)2x 2.85 GHz

Windows Server 2003 SP1 , Standard nebo Enterprise 32 bit

SQL Server 2005 SP1 Enterprise nebo Standard (včetně Integration Services a Reporting Services)
NET Framework 2.0
GPMC with SP1
WSUS 2.0 with SP1 or later
IIS 6.0 a ASP.NET
MMC 3.0

100 GB

Bottom of Form

4 GB

* FCS v1 nepodporuje pro serverové role 64bitový hardware

Požadavky na HW se dají snížit tím, že role budou rozloženy na další servery, případně již využijí stávajících databází. Více o topologiích je možné najít například na TechNetu.

2. Nainstalovat role FCS na servery

Nyní, když už máte rozmyšlenou topologii a připravený hardware, můžete přistoupit k instalaci jednotlivých rolí. Po spuštění instalace souborem serversetup.exe z instalačního zdroje se rozeběhne vcelku povedený průvodce. Nejprve vyberete požadované role, zadáte přístupové údaje, konfiguraci databází a následně dojde k podrobnému testu všech potřebných komponent. V případě, že vám nějaký SW chybí nebo máte jinou verzi, než je vyžadována, tak se o tom dozvíte a můžete tuto situaci napravit. Myslím, že toto se vám bude obzvláště líbit, odpadne tak zkoumání a hledání návodů na internetu. V tuto chvíli je ideální doba na kávu, neboť instalace sice probíhá automaticky, ale ne právě bleskově.

Instalace se může zdát obtížná, zvlášť při porovnání s jinými antivirovými technologiemi, ale dá se říci, že to bude záležet pouze na tom, jak budete připraveni, a jak ovládáte ostatní (dnes téměř standardní) související produkty. Když si prostudujete dostupnou dokumentaci a použijete doporučené postupy, tak máte téměř vyhráno.

Klepněte pro větší obrázek
Instalace a výběr rolí
Klepněte pro větší obrázek
Informace o chybějící komponentě

3. Vytvořit úvodní konfiguraci klientů

V minulém díle jsem psal, že k vytvoření konfigurace se používá nástroj pro správu FCS a dojde k uložení vámi zvolených parametrů do Active Directory ve formě objektu skupinových zásad (GPO). Osvědčilo se mi zvolit jako úvodní konfiguraci politiku vypnutých služeb. Tzn. antivir, antispyware, tak i bezpečnostní hodnocení je z počátku vypnuté. Toto je vhodné zejména tam, kde je na klientech nainstalován jiný AV software. Předejdete tak zbytečným kolizím.

4. Nainstalovat nového klienta FCS a odinstalovat stávající AV software

Tak tohle je část, která zní poměrně jednoduše, ale je to v podstatě nejobtížnější část celé akce. Proč nejprve instalovat nový SW a teprve potom odinstalovat stávající? Neudělal jsem chybu v souslednosti, z praktických důvodů to totiž může být velmi užitečné. Jednak nebude hrozit, že v případě přerušení instalace/odinstalace nebo chyby v postupu zůstane koncová stanice bez ochrany, a další výhodou bude možnost ovládnout a administrovat stanici z konzole FCS. Díky politikám, které byly již vytvořeny v předchozím kroku, nedojde ani ke konfliktu s běžícím AV programem a jeho službami.

Instalace

Jak jednoduše nainstalovat klienta na koncovou stanici? Chcete-li instalovat na následující jazykové verze operačních systémů - English, Chinese (Simplified), Chinese (Traditional), French, German, Italian, Japanese, Korean a Spanish, tak je to velmi snadné. Prostě jen zvolíte a schválíte k instalaci balík Forefront Client Security v server WSUS. Že jste si nevšimli? Ano je tam. Tak jako jakákoli jiná záplata nebo update, stejně tak se nainstaluje klientská i část FCS.

Že jste si nevšimli podpory instalace přes WSUS pro českou verzi? Ano, není tam. Podle vyjádření produktového týmu se usilovně pracuje na nápravě. Rozšíření dalších jazykových verzí přijde v následujících měsících. Jaké další možnosti existují? Je to instalace přes Active Directory a nástroje systémových politik, další nástroje určené pro distribuci SW (vesměs komerční) nebo manuální instalace.

Klepněte pro větší obrázek

Odstranění stávajícího SW

Samozřejmě, že tam, kde se používá nějaký nástroj pro instalaci a správu software (například SMS 2003), je situace jednodušší. Teprve v případě, že tam taková technologie není, začíná ta správná zábava.

Microsoft se snaží ulehčit zákazníkům tento krok tím, že nabízí svým partnerům balíček, který je nazýván Forefront Client Service Kit. Ten obsahuje řadu nástrojů a skriptů na odstranění konkurenčních AV programů a služeb z koncové stanice. V současnosti jsou k dispozici skripty pro eTrust, McAfee, Sophos, Symantec a Trend. Moje praktické zkušenosti ukázaly, že zvláště v případě produktů Symantec je odinstalace velmi komplikovaná. Nabízené skripty to však řeší. Na internetu se dají najít i další a podrobnější postupy.

Skript pro odstranění SW je tedy k dispozici, ale jako ho ideálně spustit? Obyčejný uživatel zpravidla nedisponuje potřebným oprávněním a obíhat jeden počítač za druhým by se vám zřejmě nechtělo. Pro odstranění můžete použít buď nástroje GPO nebo Forefront klienta. S instalací Forefront klienta dojde totiž také k instalaci komponent pro sběr událostí (MOM 2005 Agent) a provádění bezpečnostního hodnocení. Tyto služby běží v kontextu účtu Local System. Výhodou potom je, že můžete na klienta posílat různé požadavky z nástroje pro centrální správu (FCS Management konzole). A tak například spouštět skripty a tím prakticky ovládat koncovou stanici. Spustit skript pro odstranění starého milovaného AV je otázkou chvíle.

Klepněte pro větší obrázek

5. Začít provozovat nové řešení

Nyní zbývá upravit zásady systémových politik, zapnout služby ochrany proti virům, spywaru a bezpečnostního hodnocení. Po určité době se začnou plnit logy událostmi, reporty začnou ukazovat skutečný stav infrastruktury a vy můžete začít řešit provozní problémy. Zpravidla vždy se začne spuštěním nástroje pro správu FCS. V úvodním přehledu uvidíte, bude-li klidný den, nebo zda se vám naopak v síti něco děje.

Jak jsem se již mezi řádky zmínil, na klientské stanice se prakticky nainstaluje také MOM 2005 agent. Musí tedy reportovat velké množství událostí, které se následně zpracují a řeší v operátorské konzoli. Tyto události jsou skutečně ve velkém počtu. Ve střední síti jdou do desetitisíců až statisíců. Administrátor však může těžko řešit události jednu po druhé, a tak to, kde se objeví jaký malware, kde se nepovedlo provést update, kde není počítač v pořádku z pohledu zabezpečení a podobně, to je mu prezentováno formou dynamicky se tvořících reportů. O vytváření desítek reportů se stará technologie Microsoft SQL Reporting services. Na přiloženém obrázku si můžete udělat představu, jak takové reporty vypadají.

Klepněte pro větší obrázek
Reporty souhrn
Klepněte pro větší obrázek
Reporty bezpečnostní hodnocení
Klepněte pro větší obrázek
Reporty – detail PC

Témata článku: Hardware, Microsoft, Reporting, Antimalware

20 komentářů

Nejnovější komentáře

  • honza 2. 10. 2007 18:19:21
    no ono by se to na 1 server spravne ani nemelo instalovat :-D. 1 server to...
  • Peter Lehotsky 28. 9. 2007 15:48:28
    Forefront neni jen patch management ;-)...
  • Sancho 28. 9. 2007 11:28:28
    Zabezpecenie je dolezite, to chapem. Ale. Skutocne na to treba takto...
Určitě si přečtěte

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

** Dobrý monitor s kvalitním panelem lze pořídit pod tři tisíce korun ** Pod deset tisíc si můžete koupit pracovní 27" monitor nebo nejlevnější použitelné 4K ** Vybrali jsme také ideální model pro vícemonitorovou konfiguraci

27.  11.  2016 | Stanislav Janů | 13

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 76