Windows 7 Güvenliği ve Forefront Endpoint Protection

2010

Windows 7 Güvenliği ve Forefront Endpoint Protection

2010

Gökhan Şenyüz ( MVP )

b-goseny@microsoft.com

Gökhan Şenyüz ( MVP )

b-goseny@microsoft.com

GündemUç nokta güvenliğinde iş ihtiyaçları ve BT sorunları

Microsoft Çözümü• Masaüstü yönetimini ve güvenliğini birleştirmek

Forefront Endpoint Protection 2010 Yenilikleri?•Kolay dağıtım / Yükleme

•Gelişkin koruma

•Kolaylaştırılmış Yönetim

Kaynaklar

Masaüstü yönetimi için farklı güvenlik için Masaüstü yönetimi için farklı güvenlik için farklı yönetim araçları ve yüklerifarklı yönetim araçları ve yükleri

Masaüstü yönetimi için farklı güvenlik için Masaüstü yönetimi için farklı güvenlik için farklı yönetim araçları ve yüklerifarklı yönetim araçları ve yükleri

Birbirlerinden farklı çözümleri yönetmenin Birbirlerinden farklı çözümleri yönetmenin yüksek maliyetiyüksek maliyeti

Birbirlerinden farklı çözümleri yönetmenin Birbirlerinden farklı çözümleri yönetmenin yüksek maliyetiyüksek maliyetiMaliyet TasarrufuMaliyet TasarrufuMaliyet TasarrufuMaliyet Tasarrufu

Bilinen ya da Bilinmeyen Tehditleri Bilinen ya da Bilinmeyen Tehditleri DurdurmaDurdurma

Bilinen ya da Bilinmeyen Tehditleri Bilinen ya da Bilinmeyen Tehditleri DurdurmaDurdurma

Verimliliği korumak ve istemcileri güvenli Verimliliği korumak ve istemcileri güvenli tutmaktutmak

Verimliliği korumak ve istemcileri güvenli Verimliliği korumak ve istemcileri güvenli tutmaktutmak

Sürekli tehditlerle uğraşmakSürekli tehditlerle uğraşmakSürekli tehditlerle uğraşmakSürekli tehditlerle uğraşmak

İş İhtiyaçlarıHız ve Esneklikİş İhtiyaçlarıHız ve Esneklik

BT İhtiyaçları

Denetim

BT İhtiyaçları

Denetim

APPLOCKERUYGULAMA GÜVENLİĞİ

Applocker

- Lisanssız, güvenlik açıkları olduğu bilinen yazılımların kurum içinde çalıştırılmasına engel olunması

- İş ihtiyaçları ile ilişkili olarak kullanıcılara Uygulama kurma ve çalıştırma yetkisi verilebilmesi

- Kurumsal ve sektörel uyumluluk politikalarının masaüstü ortamına uygulanabilmesi

BİTLOCKER TO GOVERİ GÜVENLİĞİ

Bitlocker ToGO

• Kurulumda ön hazırlık• Harici disk desteği• RAID Desteği• Active Directory Entegrasyonu• GPO ile merkezi yönetim• Bitlocker ToGo Reader

WİNDOWS FIREWALLAĞ GÜVENLİĞİ

Windows Firewall

• Port Engelleme

• Protokol Engelleme

• Program Engelleme

• Konuma göre farklı kurallar

• Advanced Mode ile detaylı yapılandırma

FOREFRONT ENDPOİNT PROTECTION 2010

ZARARLI YAZILIM KORUMASI

Masaüstü yönetimi ve Güvenlik için tek çözüm

Slovenia TelecomSlovenia Telecom Slovenia TelecomSlovenia Telecom

Forefront Endpoint Protection 2010Forefront Client Security’nin Yeni Sürümü

• MicrosoftMicrosoft®® System Center System Center Configuration Manager Configuration Manager temelli temelli kurulum altyapısıkurulum altyapısı

• Tüm Tüm System Center System Center Configuration Manager Configuration Manager topolojilerinin desteklenmesi ve topolojilerinin desteklenmesi ve ölçeklenebilirlikölçeklenebilirlik

• Mevcut üründen kolay geçişMevcut üründen kolay geçiş

• Windows Masaüstü ve Windows Windows Masaüstü ve Windows sunucu işletim sistemleri de dahil sunucu işletim sistemleri de dahil geniş işletim sistemi desteğigeniş işletim sistemi desteği

• VVirus, irus, Casus YazılımCasus Yazılım, , RRootkitootkit ve network açıklarına karşı ve network açıklarına karşı korumakoruma

• Verimlilik ve performans ayarlı Verimlilik ve performans ayarlı yapılandırmayapılandırma

• Dahili güvenlik duvarı ile Dahili güvenlik duvarı ile bütünleşik yönetimbütünleşik yönetim

• Microsoft Malware Protection Microsoft Malware Protection CenterCenter ile sürekli koruma ile sürekli koruma

• Masaüstü yöneticileri için Masaüstü yöneticileri için birleşik yönetim arabirimibirleşik yönetim arabirimi

• Zamanında ve etkin güvenlik Zamanında ve etkin güvenlik uyarılarıuyarıları

• Basit, iş temelli politika yönetimiBasit, iş temelli politika yönetimi

• Güvenlik yöneticileri için Güvenlik yöneticileri için geçmişe dönük raporlamageçmişe dönük raporlama

Kolay Dağıtım / Kolay Dağıtım / KurulumKurulum

Gelişkin KorumaGelişkin KorumaBasitleştirilmiş Basitleştirilmiş

Masaüstü Masaüstü YönetimiYönetimi

Kolay Dağıtım / KurulumKolay Dağıtım / Kurulum

FEP

Birincil siteler

Merkez SiteMerkez Site

System Center Configuration Manager temelli istemci güvenliği

Forefront Endpoint Protection kurulum sırasında:

•System Center Configuration Manager sunucu rolleri tespit edilir ve FEP 2010 sunucu rolleri entegre edilir.

•FEP 2010 dağıtım paketleri, DCM referansları ve ek bileşenler otomatik olarak oluşturulur.

•Yeni raporlama veri tabanı oluşturulur.

Mevcut altyapıyı kullanarak basitleştirilmiş kurulum

•Yeni sunucuya gerek yok

•Bütünleşik yönetim konsolu

System Center Configuration Manager

Politika yapılandırmaPolitika yapılandırma

Basitleştirilmiş dağıtım / kurulumConfiguration Manager Entegrasyonu

•Mevcut yazılım dağıtım yapısının kullanılması

•Branch Office ve Domain dahil olmayan dahil Tüm SCCM mimarilerine destek

Esnek dağıtım ve geçiş

•Windows masaüstü ve Windows sunucu desteği

•Mevcut işletim sistemi imajlarına ekleme desteği

•Configuration Manager olmadan kullanma desteği

Mevcut ürünlerden kolay geçiş ve mevcut ürünlerin otomatik kaldırılması

•Symantec

•McAfee

•TrendMicro

•Forefront Client Security

3. Parti denetlemesi3. Parti denetlemesi

3. Parti ürünlerin otomatik kaldırılması

3. Parti ürünlerin otomatik kaldırılması

FEP 2010 kurulumuFEP 2010 kurulumu

İmza güncellemeİmza güncelleme

Client Distribution FlowClient Distribution Flow

Olay GünlüğüOlay Günlüğü

Güncelleme KaynaklarıGüncelleme Kaynakları

İmza güncelleme / dağıtım

• Birden fazla güncelleme kaynağı

• Kaynak öncelik belirleyebilme

• Mevcut Microsoft Windows Server Update Services altyapısının kullanılması

• Düşük güncelleme boyutu ile daha az bant genişliği ihtiyacı

Şirket Ağı(UNC Paylaşım)

Şirket Ağı(UNC Paylaşım)

Internet(MU/WU)

Internet(MU/WU)

Şirket Ağı(WSUS)

Şirket Ağı(WSUS)

Antimalware Service (Antimalware Service (İstemcisiİstemcisi))Antimalware Service (Antimalware Service (İstemcisiİstemcisi))

Network Network serviceservice

Network Network serviceservice Local systemLocal systemLocal systemLocal system

Gelişkin KorumaGelişkin Koruma

Slovenia TelecomSlovenia Telecom Slovenia TelecomSlovenia Telecom

“Forefront Endpoint Protection offers us better virus protection than we had with our previous solution. We had an incident with the Conficker virus, and our old anti-virus product was only able to disable and partially remove the virus. FEP was able to fully remove the virus from our environment. It is definitely a better tool.”

Üstün Anti-Malware

Company Award Detection Rate

False Positives

Symantec Advanced+ 98.70% 9

Microsoft Advanced 97.60% 3

Sophos Advanced 96.80% 13

McAfee Advanced 99.40% 24

Kaspersky Advanced 98.30% 46

Trend Micro Tested 90.30% 23

AV ComparativesOn Demand TestAugust 2010

Vendor/Product

Reactive Average Proactive RAP

Kaspersky 94.89% 77.94% 90.66%

Microsoft 84.64% 69.33% 80.81%

McAfee 74.67% 54.06% 69.52%

Symantec 70.16% 53.76% 66.06%

Vendor % proactive detection of new malware

#1 Trustport, Panda 63%#2 GData 61%#3 Kaspersky, Microsoft 59%

#7 Symantec 43%#8 McAfee 38%#13 Trend Micro 26%

AV ComparativesProactive TestMay 2010

VB100August 2010

En iyiler arasında Bilinmeyen tehditlere karşı proaktif koruma

Düşük False/Positive oranı

Windows Firewall Windows Firewall Merkezi YönetimMerkezi YönetimWindows Firewall Windows Firewall Merkezi YönetimMerkezi Yönetim

Kapsamlı Koruma Katmanı

Microsoft AppLocker™Microsoft AppLocker™Microsoft AppLocker™Microsoft AppLocker™

Forefront Endpoint

Protection

Windows 7

Windows 7

Windows Internet ExplorerWindows Internet Explorer®® 8 SmartScreen8 SmartScreen

Windows Internet ExplorerWindows Internet Explorer®® 8 SmartScreen8 SmartScreen

Zafiyet KorumaZafiyet Koruma(Network Inspection System)(Network Inspection System)Zafiyet KorumaZafiyet Koruma(Network Inspection System)(Network Inspection System)

Data Execution Prevention

Data Execution Prevention

Davranış İzlemeDavranış İzlemeDavranış İzlemeDavranış İzleme

Address Space Layout Randomization

Address Space Layout Randomization

Windows Kaynak Koruma

Windows Kaynak Koruma

Anti-malwareAnti-malwareAnti-malwareAnti-malware Dinamik Çevirim ve Dinamik Çevirim ve EmulasyonEmulasyon

Dinamik Çevirim ve Dinamik Çevirim ve EmulasyonEmulasyon

Dinamik Çevirim

Dinamik çevirim güvensiz olan gerçek kaynaklara erişen kodu güvenli olan sanal kaynaklara erişen koda çevirir.

• Kod karakterinin ve davranışlarının incelenmesi

• Sektör lideri proaktif koruma

• Binlerce zararlı yazılımı tespit edebilen tek bir imza

Gerçek KaynaklarGerçek Kaynaklar Sanallaştırılmış KaynaklarSanallaştırılmış Kaynaklar

Potansiyel Zararlı Yazılım

Potansiyel Zararlı Yazılım

Güvenli Çevirim

Güvenli Çevirim

Dinamik ÇevirimDinamik Çevirim

Davranış Takibi ve Dinamik İmza Hizmeti

• Sistemin canlı izlenmesiyle yeni tehditlerin kolay tespiti

• Bilinen / Bilinmeyen proseslerin davranış takibi

• Dinamik İmza Servisi: İmzalara düşük bağımlılık

• Emulasyon ile şüpheli kod tespiti

• Şüpheli dosyalar için bulut kontrolü

• Gerçek zamanlı imza kullanımı

• Eş zamanlı güncelleme ile zaman ve maliyet tasarrufu

AraştırmacılarAraştırmacılar

Gerçek zamanlı

imza dağıtımı

Gerçek zamanlı

imza dağıtımı

Davranış Sınıflandırm

a

Davranış Sınıflandırm

aBilinirlikBilinirlik

Özellikler / Davranış

Özellikler / Davranış

Gerçek Zamanlı İmza

Gerçek Zamanlı İmza

Örnek TalebiÖrnek Talebi

Örnek GönderimiÖrnek Gönderimi

Ağ açıklarından korunma• Açıkların tespiti ve Yama güncellemesi arasında sistemlerin zarar görmesini engeller

• Network Inspection System (NIS) temelli güvenlik teknolojisi

• Conficker benzeri tehditlerin tespiti ve engellenmesi

• Gelen ve giden trafiğin incelenmesi / engellenmesi

• Yama yükleme durumuna göre imza etkinleştirme

Yeni imza oluşturulur

Açıktan Faydalanma

Açıktan Faydalanma

Saldırı engellenir

Saldırı engellenir

Yama test edilir ve yüklenir

Yeni imza uygulanır

Yamanın test edilmesi için geçen süreYamanın test edilmesi için geçen süreYamanın test edilmesi için geçen süreYamanın test edilmesi için geçen süre

Yama yüklemeye hazır

Yeni açık tespit edilirYeni açık tespit edilir

Basitleştirilmiş Yönetim

Basitleştirilmiş Yönetim

Basitleştirilmiş Yönetim

Yönetim Seçenekleri

•Kullanıcı temelli Yönetim

•Merkezi Yönetim

Yüksek Verimlilik

•CPU Performans ayarı•Ön bellekleme ile yüksek tarama performansı

Birleştirilmiş Yönetim Arabirimi

• Masaüstü ve güvenlik yönetimi tek konsolda

• Politika dağıtımı ve Raporlama tek konsolda

• İstemci güvenliğinde tüm bilgisayarların takibi

• İstemci güvenlik sorunlarının hızlı tespiti ve çözümlenmesi

Merkezi Politika Dağıtımı

• Politika oluşturma ve düzenleme

• Forefront Endpoint Protection –

Configuration Manager

• Group Policy – GPEDIT + ADMX

• Politika dağıtımı:

• Configuration Manager

• Group Policy

• Kurulum

• Script

• Sunucu rolleri için hazır şablonlar:

• Performans, güvenlik ya da sunucu rolüne

uygun şablon

• Sunucu rollerine göre hazırlanmış 16

şablon

Geçmişe Dönük Raporlama ve Uyarılar

• Zengin SQL Raporlama

• Malware olayları

• Korunma durumu

• Güvenlik uyumluluğu

• Politika dağıtımı

• Uyarılar

• Özelleştirilebilir filtreler

• Farklı raporlama biçim desteği

• Farklı düzeylerde Uyarılar:

• Malware Saldırısı

• Malware tespiti

• Çoklu malware tespiti

• Tekrarlanan saldırılar

• E-posta uyarıları

Operations Manager için FEP 2010 Management Pack

• System Center Operations Manager konsolunda sunucu bazlı görüntüleme

• Gerçek zamanlı izleme ve Kritik Uyarılar

• Masaüstü yönetimi ve güvenlik için kolay yönetim deneyimi

• Potansiyel tehditlerin gerçek zamanlı kontrolü ve engellenmesiBasitBasitBasitBasit

ÖzetForefront Endpoint Protection 2010

• Yönetim ve güvenlik için düşük maliyetli tek yönetim altyapısı

• SCCM kullanarak binlerce makineye zahmetsiz kurulum ve yönetimBütünleşiBütünleşi

kkBütünleşiBütünleşi

kk

• Bilinen ve bilinmeyen tehditlere karşı üst düzey aktif koruma

• Windows Firewall ile entegre yapısı sayesinde ağ katmanında gerçekleşen saldırıların önlenmesi

KorumaKorumaKorumaKoruma

Gelişkin Masaüstü İstemci: www.microsoft.com/windows/enterprise

TechCenter:http://technet.microsoft.com/forefront

Forefront Endpoint Protection 2010 Deneme Sürümüwww.microsoft.com/forefront

©2010 Microsoft Corporation. All rights reserved. Microsoft, AppLocker, Forefront, Internet Explorer, SharePoint, SQL Server, Hotmail, Windows, Windows Live, Windows Server, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the

date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

FEP Console Extension

FEP Console Extension

FEP Server ExtensionsFEP Server Extensions FEP ReportsFEP Reports

Security Management TopologyFEP on current Configuration Manager

server roles • Centralized policies,

monitoring, and reporting capabilities

• Discovery and installation of Forefront Endpoint Protection server roles on the Configuration Manager server roles

• Option to install Forefront Endpoint Protection Console extension on other sites

PRIMARY SITES

CENTRAL SITECENTRAL SITE

PRIMARY SITES

FEP Console Extension

FEP Console Extension

FEP Server ExtensionsFEP Server Extensions

Security Management TopologyCentral FEP Server with Remote Reporting

Database

• Enables distribution of resources in the infrastructure

• Forefront Endpoint Protection reporting role and database offloaded to a remote machine

• Option to specify a remote Microsoft SQL Server® during installation

FEP REPORTSFEP REPORTSSystem Center Configuration Manager

FEP Console Extensions

FEP Console Extensions

Security Management TopologyDistributed Management

Secondary Site

Secondary Site

Secondary Site

CENTRAL SITECENTRAL SITE

Primary Site

Primary Site

Primary Site

FEP Console Extensions

FEP Console Extensions

FEP Server ExtensionsFEP Server Extensions

FEP ReportsFEP ReportsFEP Console Extensions

FEP Console Extensions

FEP Server ExtensionsFEP Server Extensions

FEP ReportsFEP ReportsFEP Console Extensions

FEP Console Extensions

FEP Server ExtensionsFEP Server Extensions

FEP ReportsFEP Reports

• Separate security management and operations to child sites

Distributed Management with Consolidated Reporting

FEP Reports

FEP Reports• Separate security

management and operations to child sites

• Consolidated reporting on central site

Secondary Site

Secondary Site

Secondary Site

CENTRAL SITECENTRAL SITE

Primary Site

Primary Site

Primary Site

FEP Console Extensions

FEP Console Extensions

FEP Server ExtensionsFEP Server Extensions

FEP ReportsFEP ReportsFEP Console Extensions

FEP Console Extensions

FEP Server ExtensionsFEP Server Extensions

FEP ReportsFEP ReportsFEP Console Extensions

FEP Console Extensions

FEP Server ExtensionsFEP Server Extensions

FEP ReportsFEP Reports

• Experienced researchers with prior work at various global response and research labs

• Microsoft security technology specialists who understand best practices

• Continuous coverage with malware research labs in several countries

• Microsoft Security Response Alliance (MSRA)

• Experienced researchers with prior work at various global response and research labs

• Microsoft security technology specialists who understand best practices

• Continuous coverage with malware research labs in several countries

• Microsoft Security Response Alliance (MSRA)

• Microsoft Malicious Software Removal Tool

• Windows Defender (SpyNet)

• Microsoft Windows Live OneCare™

• Microsoft Forefront

• Windows Live™ Hotmail®

• Microsoft Exchange Hosted Services

• Microsoft Product Support Services support organization

• Customer submissions

• Microsoft Malicious Software Removal Tool

• Windows Defender (SpyNet)

• Microsoft Windows Live OneCare™

• Microsoft Forefront

• Windows Live™ Hotmail®

• Microsoft Exchange Hosted Services

• Microsoft Product Support Services support organization

• Customer submissions

• Integrated response processes with global support organization

• Brings Windows and cross-product resourcesto address issues

• Microsoft Malware Protection Center portal

• Search and browse anti-malware encyclopedia

• Top threat telemetry

• Integrated response processes with global support organization

• Brings Windows and cross-product resourcesto address issues

• Microsoft Malware Protection Center portal

• Search and browse anti-malware encyclopedia

• Top threat telemetry

Committed to long-term investment and leadershipCommitted to long-term investment and leadership

GLOBAL GLOBAL RESEARCHRESEARCH

BROAD INSIGHTBROAD INSIGHT INTEGRATED INTEGRATED RESPONSERESPONSE

“The integration of management and security makes our IT organization more agile. We’re more efficient in the way that we use our personnel. We’ve increased the number of people available to respond to security incidents by 20% with no increase in headcount.”

Riga Stradins University

Convergence of Desktop Security and Management

IMPROVED PROTECTION• Security personnel have access to

desktop configuration data

• Health status and protection status in a single interface, with consolidated reporting

• Incident response (identify / patch / remediate) is more targeted

IMPROVED PROTECTION• Security personnel have access to

desktop configuration data

• Health status and protection status in a single interface, with consolidated reporting

• Incident response (identify / patch / remediate) is more targeted

LOWER COSTS• One server infrastructure to maintain

• A single mechanism to deploy software updates to clients

• Central policy implementation for security and management

• One set of training for administrators

• A single license to purchase (ECAL)

LOWER COSTS• One server infrastructure to maintain

• A single mechanism to deploy software updates to clients

• Central policy implementation for security and management

• One set of training for administrators

• A single license to purchase (ECAL)

Security Security ++ Management ManagementSecurity Security ++ Management Management