Microsoft Client Security – ochraňte své klientské stanice

Začneme jednoduchou otázkou, kterou často pokládám. Jak řešíte zabezpečení vašich počítačů v podnikové síti?

Odpovědí je celá řada, od základních nastavení po velmi komplikované scénáře, ve kterých se často nevyzná ani sám správce dané sítě. Nicméně většinou dojdete k několika společným úkolům. Za prvé je třeba udržet operační systém pracovní stanice v aktuálním stavu. To znamená zajistit distribuci a instalaci oprav, zejména těch bezpečnostních. Za druhé je nutné zajistit zapnutí personálního firewallu v případech, že je PC připojeno přímo do internetu, což je případ přenosných a domácích počítačů. Za třetí je většinou používán antivirový software, který je nutné stejně jako operační systém udržet aktuální a funkční. Myslíte, že to stačí?

Někteří z vás možná přidají úvodní zabezpečení operačního systému, zpravidla opomíjené. V pořádku? Kdepak, stále něco chybí. Ze statistik, které pravidelně publikují velcí a významní hráči na poli zabezpečení, vyplývá, že nové viry a jejich mutace se počítají na stovky a tisíce, ale nový spyware (trojské koně, key loggery, rootkity…), tak to je již řeč o desítkách tisíc nových exemplářů i jejich mutací. Tak přidejme ještě čtvrtou technologii - Antispyware. Pokud máte se zabezpečením co do činění, případně se o něj přímo staráte, tak je vám jasné, že použít řadu rozdílných technologií a řešení to není vůbec jednoduchá záležitost.

Tento článek má být o tom, jak k popsané problematice přistoupil Microsoft. Jednoduše bych nazval zvolený přístup „vše v jednom“. Zdá se to možná nadnesené, ale podíváte-li se pod pokličku jeho řešení, tak zjistíte, že jde v řadě případů jen o využití technologií, které již řada zákazníků má, dobře zná a používá. Taky tedy software jako antivirus, antispyware, bezpečnostní hodnocení a centrální správa s přehledným reportováním. Určeno pro operační systémy serverů a stanic.
Na úvod je třeba říci, že je zaměřeno zejména na střední a větší společnosti, které již technologie Microsoftu využívají, pro ostatní bude obtížnější Forefront Client Security (FSC) použít a pro některé to bude zcela nepřijatelné. Ty poslední se ostatně projeví v diskuzi pod článkem.

Doména, doména – Microsoft Active Directory a zásady zabezpečení (GPO) je záležitost, kterou většina společností velmi aktivně využívá pro správu koncových stanic. GPO definují řadu nastavení od spouštěcích skriptů po zabezpečení operačního systému. FCS předpokládá, že konfigurace jednotlivých parametrů bude aplikována do operačního systému klienta pomocí zásad bezpečnostní politiky, a na vás zbude „jen“ konfiguraci vymyslet a nakonfigurovat pomocí grafického rozhraní nástroji. Toto je předmětem mnoha diskuzí a nemusí to být zcela ideální. Tak tedy o co jde. Pro vytváření a úpravy standardních GPO objektů se zpravidla používá konzola Active Directory Users and Computers, resp. Group Policy Management Console (GPMC). FCS však přináší svůj vlastní postup. Konfiguraci pro klienty nejprve vytvoříte v grafickém prostředí nástroje pro správu a relativně jednoduše vypublikujete jako objekt GPO. Vždy potom se konfigurace v Active Directory přepisuje tím, co je v nástroji FCS aktuální. Cílem bylo nezatěžovat správce FCS a zjednodušit mu práci.

Problém je však v tom, že pokud následně otevřete a upravíte takto vytvořené GPO standardním způsobem – pomocí GPMC - vytvořené objekty GPO můžete editovat a upravovat, ale tyto změny se již neprojeví zpět v nástrojích pro správu FCS. Výsledkem potom může být dočasný zmatek v GPO objektech. Dokud správce FCS opět nepřepíše konfiguraci z grafického prostředí. V praxi to bude sice jen otázka správného pochopení a postupů pro konfiguraci (Chlapi nekonfigurujte mi FCS z těch klasických oken….), ale tato drobnost může překvapit.

Po spuštění nástroje pro správu FCS jistě nepřekvapí vzhled klasické management konzole, který je pro správce produktů Microsoftu dennodenním chlebem. Na úvodní obrazovce uvidíte aktuální stav prostředí z pohledu zabezpečení a důležitých událostí. Můžete se probírat reporty – o nich se zmíníme později – a pracovat s konfigurací.

Klepněte pro větší obrázek
Nástroj pro správu; Úvodní přehled

I zde je jedna věc, která vám může zamotat hlavu. V úvodním přehledu je vidět počet počítačů, které reportují kritické problémy, jsou v pořádku nebo nereportují vůbec. Chybí tu však informace o počítačích, které reportují méně závažné problémy. Procentuální součet, který je velkým fontem uváděn v přehledu, potom nemusí odpovídat celkovému počtu spravovaných počítačů. Chvíli vám potrvá, než si uvědomíte, že to není chyba, ale vlastnost.

Klepněte pro větší obrázek
Nástroj pro správu; Konfigurace

Vše v jednom tak úplně neplatí. Software je třeba rozdělit na serverové komponenty a klientskou část. Z pohledu serverů jsou zde role pro správu (management), sběr dat (collection), reportování (reporting) a distribuci klientského software a nových antimalware definic (distribution). I když je podporován model instalace všech rolí na jeden hardware, v praxi se odděluje vždy minimálně role distribution – jde v podstatě o stávající Windows Software Update Server (WSUS), který bude po instalací této role rozšířen o službu Microsoft Client Security Update Assistant.

Tato nová služba zajistí, že bude WSUS synchronizovat svůj obsah každou hodinu a budou tak k dispozici definice antimalware častěji, než je standardní interval pro synchronizaci s Windows Update.

Klientský software je potom jeden instalační balík, který vytvoří v systému několik různých služeb. Službu pro antivirus a antispyware, službu pro bezpečnostní hodnocení daného PC a také službu agenta pro správu a sběr událostí (prakticky MOM 2005 agent).

Klient se po instalaci zaregistruje k příslušnému serveru a v reálném čase chrání PC před škodlivým softwarem a navíc provádí pravidelně bezpečnostní hodnocení. Bezpečnostní hodnocení je v této chvíli v podstatě ekvivalentem k nástroji Microsoft Baseline Security Analyzer, jenže s centrálním dohledem a správou. Do budoucna se počítá s mnohem větší funkcionalitou, ale kdy to budoucno bude, to vědí jen lidé z Redmondu. V současné chvíli je udáváno, že nové možnosti, jak sledovat zabezpečení pracovní stanice a serverů, budou přicházet společně s novými aktualizacemi programu.

Koncový uživatel může vidět jen ikonu v nástrojové liště, která po kliknutí zobrazí prostředí vlastního klienta. Po prvním spuštění můžete mít pocit, že došlo k omylu a spustili jste nechtěně Windows Defender (volně dostupný antispyware). Je to tím, že klientská část softwaru využívá grafické prostředí a službu ochrany proti spyware právě z této aplikace. Kromě standardních informací je možné získat i podrobnější přehled o systému a spuštěných programech. Například pomocí funkce Software Explorer.

Klepněte pro větší obrázek
Klient
Klepněte pro větší obrázek
Software Explorer

Pokud chcete nainstalovat jen klienta bez serverů v pozadí, tak moc nepochodíte. Přesněji řečeno, prosté spuštění instalačního programu clientsetup.exe skončí s chybovou hláškou. Po bližším zkoumání zjistíte, že se v adresáři c:\Program Files\Microsoft Forefront\Client Security\Client vytvořil soubor, který informuje o chybě připojení ke collection serveru.

Není třeba zoufat, chcete-li provozovat Forefront k ochraně vašeho notebooku, pracovní stanice nebo domácího PC mimo doménu stačí, spustit clientsetup.exe /? A zjistíte, že existuje kouzelný přepínač /NOMOM. Instalace potom proběhne bez chyb a po navštívení Windows Update je funkční antimalware na světě.

Klient se po instalaci integruje do operačního systému na úrovni ovladačů kernelu a provádí takzvaný on-access scanning, tedy analyzuje kód až ve chvíli, kdy by mohl způsobit potenciální ohrožení. Samozřejmě jsou zde plánované úlohy formou rychlé prohlídky nebo podrobné prohlídky souborů na disku a sledování operační paměti. Jelikož je integrace do operačního systému tak zásadní, je třeba doinstalovat některé komponenty. Toto záleží na verzi operačního systémů, který hodláte chránit.

Požadavky na instalaci klienta jsou relativně nízké, ale ti z vás, kteří vzpomínají na časy dávno minulé, a ještě dnes se jim rozechvěje hlas, když si představí více než 8MB RAM v PC, ti budou možná na první pohled překvapeni. Majitelé historických Windows 9x, už můžou jen posmutněle koukat nebo musí sáhnout po konkurenci. I zatvrzelí odpůrci bezpečnostních aktualizací pro Windows 2000 neuspějí.

CPU Operační systém RAM/HDD Další SW
700 MhzWindows 2000 SP4 a Update Rollup 1256+/350+ MBWindows Update Agent 2
Windows XP SP2Windows Installer 3.1
Windows Server 2003 SP1Hotfix pro Filter Manager KB914882*

Windows VistaBusiness,Enterprise, Ultimate
- podporované verze x86 i x86-64

*Hotfix je k dipozici na instalační CD nebo ke stažení na http://support.microsoft.com/kb/914882/

Pro tentokrát je informací již dost, v dalším díle se zaměřím více na pohled administrátora, podíváme se na možnosti reportování a také porovnání s konkurencí.

Diskuze (10) Další článek: Hitachi: 212 DVD na jednom disku a tichošlápek pro HTPC

Témata článku: Software, Microsoft, Windows, Client, Windows Defender, Potenciální ohrožení, Bezpečnostní služba, Security, Antimalware, Grafický objekt, Jednoduchá záležitost, Rollup, Microsoft Security, Funkční stav, Update Assistant, Windows Update, Funkční program


Určitě si přečtěte

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 6

Kdyby měli železničáři tento superpočítač za 99 dolarů, nepotřebovali by lasery

Kdyby měli železničáři tento superpočítač za 99 dolarů, nepotřebovali by lasery

** Nejmodernější český železniční tunel je prošpikovaný technologiemi ** Za tři tisíce koupíte počítač, který je překoná ** Seznamte se s Nvidia Jetson Nano

Jakub Čížek | 50

9 tipů, jak vyšlechtit nabídku Start ve Windows 10, aby lépe sloužila

9 tipů, jak vyšlechtit nabídku Start ve Windows 10, aby lépe sloužila

** Nabídka Start už existuje bezmála čtvrt století ** Ve Windows 10 postupně dostala celou řadu funkcí ** Start si můžete ve velkém rozsahu přizpůsobit

Karel Kilián | 46

Že by konečně revoluce? Nové chytré hodinky od Garminu mají průhledný solární panel

Že by konečně revoluce? Nové chytré hodinky od Garminu mají průhledný solární panel

** Chytré hodinky mají relativně malou výdrž ** Sportovní fénixy od Garminu jsou na tom ale lépe ** Poslední verze nabízí dokonce transparentní solární panel

Jakub Čížek | 56

Podívejte se, jak vypadá mikrofon nebo blecha pod elektronovým mikroskopem

Podívejte se, jak vypadá mikrofon nebo blecha pod elektronovým mikroskopem

** Z Brna pochází třetina světové produkce elektronových mikroskopů ** První československý kus vyrobila Tesla už v 50. letech ** Dnes na ni navazuje třeba brněnský Tescan

Jakub Čížek | 19


Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky