Последний рубеж обороны
Артём СиницынMicrosoft Consulting Services
IS 305
Содержание
Стратегия защиты конечных устройств
Что такое FEPТехнологии защиты FEPИнтеграция FEP с Configuration Manager
Развёртывание и обновлениеПолитики и контроль соответствияМониторинг и отчеты
ДемонстрацияВопросы и…ответы
Стратегия защиты конечных устройств
Стратегия защиты конечных устройств
DIR
ECT ACCESS
Forefront Endpoint Protection 2010Низкая стоимость внедрения
• Использует ConfigMgr в качестве платформы• Поддерживает любые варианты топологи ConfigMgr• Простая миграция• Поддержка всех клиентских и серверных ОС
Windows
Защита без падения производительности• Защита от вирусов, шпионского ПО, руткитов• Конфигурация по умолчанию ориентирована на
высокий уровень производительности• Интеграция с Брандмауэром Windows• Облачные сервисы - Malware Research and Response
Объединенная защита и управление• Единый интерфейс• Единый механизм создания и контроля политик• Централизованное оповещение• Отчеты включают информацию о конфигурации и
защите
Технологии защиты
Многоуровневая защита
Уровень сети
Уровень файловой системы
Уровень приложен
ий
Защита отизвестных угроз
Защита от неизвестных угроз
AntimalwareDynamic
Translation & Emulation
Поведенческий анализ
Windows Resource Protection
Data Execution Protection
AppLocker
Address Space Layer Randomization
Интеграция с Windows Firewall
FEP 2010
Windows 7
Internet Explorer 8 SmartScreen
Anti-malware &Anti-Rootkit
Dynamic Translation & Emulation
Поведенческий анализ
Интеграция с Windows Firewall
Цен
тр за
щи
ты о
т вред
он
осн
ого
ПО
MM
PC
Сл
уж
бы
ди
нам
ическ
их
обн
овл
ен
ий
DSSIDS/IPS (Network Inspection System)IDS/IPS (Network Inspection System)
Компоненты защиты
Защита в реальном времени
SpyNet / MRS
Перед
зап
уск
ом
ви
руса П
осл
е за
пуск
а в
ируса
Сканирование по расписанию/по
требованию
Сигнатуры/Эвристика
Базовые сигнатуры
Служба динамических обновлений DSS
Улучшенное
Новое
Поведенческий анализ/
Мониторинг ядра
Сценарии поведения
Портал MMPC
Улучшенное восстановление
1
2 3
4
2
Обнаружение и удаление руткитов
Dynamic Signature Service
Microsoft Reputation Service
Поведенческий анализ
Сканирование и очистка системы
Защита в реальном времени
Архитектура защитыГрафическ
ий интерфейс
Интеграция с центром безопасности Windows
Ядро Anti-Malware
Поведенческий анализ
Обнаружение руткитов
Spynet/MRS
Обратная связь
Портал MMPC
Microsoft Update
Сигнатуры
Ур
овен
ь п
ол
ьзо
вател
я
Уровеньядра
Обл
ачн
ые
сер
ви
сы
RTP/Minifilter
Динамическая трансляция (DT)
Потенциальная вредоносная программа
Безопасная трансляция
Физические ресурсы
Виртуальные ресурсы
HANDLE hFile;hFile = CreateFile(L"NewVirus.exe",
GENERIC_WRITE, 0, NULL, CREATE_NEW, FILE_ATTRIBUTE_HIDDEN, NULL);
...push 40000000h push offset string L"NewVirus.exe” call dword ptr [__imp__CreateFileW@28] cmp esi,esp
...push 40000000h push offset string L"NewVirus.exe” call dword ptr [DT_CreateFile] cmp esi,esp
DT
Поведенческий анализ и DSS
Новые сигнатуры
Сценарии выполненияКонечное устройство с
FEP MMPC
Известные угрозы – блокируются
Часть неизвестных блокируются за счет базовых сигнатур
До выполнения вредоносного ПО После выполнения вредоносного ПО
Оставшиеся угрозы направляются в MMPC. Новые сигнатуры загружаются из DSS Неизвестные угрозы - нейтрализуются
Защита от руткитов
Руткит = маскировка для вредоносного ПОИспользуют низкоуровневые перехваты и модификацию ядраТребуют специализированные механизмы для обнаружения и удаления
FEP vs. RootkitОперирует низкоуровневыми перехватамиСледит за аномалиями в структуре ядраВызывается в рамках поведенческого анализаИнтегрированный автономный сканнер – “Standalone System Sweeper”
Защита от руткитов – Rootkit.BV
Rootkit.BV попадает на компьютер
Руткит прячет драйвер и
ключи реестра
Руткит загружает
вредоносный код
Загружается ядро FEP
FEP обнаруживает
драйвер руткита во
время плановой проверки
Во время запуска системы FEP
вычищает остатки руткита
ПерезагрузкаFEP удаляет ссылку
в реестре на драйвер руткита
FEP просит пользователя
перезагрузится
Network Inspection SystemЗащищает от эксплуатации уязвимостей
~40% всех уязвимостей, ~50% критических уязвимостейHTTP, MIME, SMTP, IMAP, POP3, SMB, SMB2 и RPC
Предотвращает эксплуатацию конкретных уязвимостей
Блокирует попытки использования MS08-067 (~3000 уникальных эксплойтов из 8 различных семейств)
Уменьшает период уязвимостиZero day - время от выявления уязвимости до выпуска патча (часы/дни)Известные уязвимости - время с момента выпуска патча до его установки (дни/недели)
Определение уязвимости Эксплуатация Получение
контроляОтключение AM и обновлений
Распространение вредоносного
кода
Взаимодействие с пользователем
Простой интерфейсОчевидные действияЦентрализованное применение политики защитыГибкий контроль над возможностями пользователейКонтроль соответствия
Развертывание, управление и контроль
Объединенная инфраструктура для управления и защиты конечных устройств
Использование существующей инфраструктурыПростота внедрения и миграцииЭффективное управление и мониторинг из единой консолиЦентрализованное применение политики защитыКонтроль соответствия параметрам политики компанииОтчеты для администраторов рабочих мест и офицеров безопасности
Снижение стоимости за счёт интеграции
Службаотчетов
SQL
(или сетевая папка)
SCCMРаспростране
ние ПО SCCMDesired
Configuration
Management
Сервер сайтаSCCM
Данные
Политики
Отчеты
События
Клиенты FEP
Обратная связь
SpyNet
Настройки
Обновления
Интеграция c ConfigMgr
Агент ConfigMgr
ОтчетыConfigMgr
Отчеты FEP
Клиент Forefront EndPointProtectio
nWMI
ConfigMgrБаза данных
FEP База данных
DCM
Configuration Manager
FEP
Консоль ConfigMgr
Консоль FEP
Управляемый компьютер
Реестр
СобытияРаспространение ПО
Сервер сайта ConfigMgr
Сервер FEP
Консоль FEP
Политики Оповещения Отчеты
Устанавливается как расширение консоли ConfigMgr
Серверная роль FEP Коллекции
FEP Политики FEP Объявление политик FEP Установочные пакеты FEP
Устанавливается на роль сервера первичного сайта ConfigMgr
База данных FEP FEP DB FEP DW FEP DW OLAP Cube
FEP DB используется совместно с ConfigMgr DB
FEP DW используется для создания отчетов
Отчеты FEP
Установка расширения отчетов FEP Используется механизм отчетов Информация из Data warehouse и OLAP-куба
Первичный сайт
Первичный сайтПервичный сайт Первичный сайт
Централизованное управление
Консоль управлени
я FEP
Консоль управления
FEP
Консоль управления
FEP
Консоль управления
FEP
Серверная роль
FEP
Отчеты FEP
Серверная роль
FEP
Серверная роль
FEP
Серверная роль
FEP
Отчеты FEP
Отчеты FEP
Отчеты FEP
Центральный сайт
Вторичный сайт Вторичный сайт
Распределенное управлениеСуществующая инфраструктура
Защита серверов
Мониторинг защиты серверов в консоли System Center Operations Manager
Настройки по умолчанию в зависимости от роли сервераЕдиная консоль для мониторинга доступности и защиты серверовОтчеты по доступности на уровне сервисов OpsMgr
Слежение и оповещения о защите критических сервисов в режиме реального времени
Централизованный мониторинг
Контроль соответствия
Централизованное управление и защита FEP
Демонстрация
Ресурсы
Дополнительные сессии по темеCT 306: Реализация доступа для удаленных пользователей на базе Windows 7 DirectAccess и Forefront UAG (17:30-18:30, Зона интерактивных сессий)
Блогиhttp://sinitsyn.orghttp://blogs.technet.com/securityrus
Официальные курсы и сертификация Microsoft
Более 300 официальных курсов Microsoft доступно в России. Официальные курсы можно прослушать только в авторизованных учебных центрах Microsoft
под руководством опытного сертифицированного инструктора Microsoftинтенсивное обучение с акцентом на практикуболее 80-и учебных центров более чем в 20-и городах России (+ дистанционные и выездные курсы)
Сертификат Microsoft - показатель квалификации ИТ-специалиста для работодателя .
• Microsoft предлагает гибкую систему сертификаций.
• Все курсы, учебные центры и центры тестирования: www.microsoft.com/rus/learning
40% Доказательство № 75
сертифицированных специалистов считают, что сертификация помогла им получить работу или повышение
57% Доказательство № 119
рекрутеров считают сертификацию сотрудников одним из критериев для повышения в должности
Специальные предложенияСертификационный пакет со вторым шансом
Пакеты экзаменационных ваучеров со скидкой от 15 до 20% и бесплатной пересдачей («вторым шансом»). Все экзамены сдаются одним человеком.
Сэкономьте 15% на сертификации вашей ИТ-команды
Пакет из 10-и экзаменационных ваучеров со скидкой 15% для сотрудников ИТ-отдела. «Второй шанс» включен. Ваучеры можно произвольно распределять между сотрудниками.
Microsoft Certified Career ConferenceПервая 24-часовая глобальная виртуальная конференция с 18 ноября с 15.00 (моск. время) по 19 ноября 2010 г.Сессии по технологиям и построению карьерыСкидка 50% для сертифицированных специалистов Microsoft и студентов
Бесплатная подписка на TechNet для слушателей официальных курсов
Некоторые курсы по SharePoint, Windows 7; Windows Server 2008; SQL Server 2008
Детали: www.microsoft.com/rus/learning
С 22 ноября 2010 г. – подписка TechNet
бесплатно для слушателей курсов.
Количество ограничено!
Обратная связь
Ваше мнение очень важно для нас. Пожалуйста, оцените доклад, заполните анкету и сдайте ее при выходе из зала
Спасибо!
Вопросы
IS 305Артём Синицын
Microsoft Consulting [email protected]
Вы сможете задать вопросы докладчику в зоне «Спроси эксперта» в течение часа после завершения этого доклада