W poprzednich dwóch częściach artykułu opisałem jak przygotować infrastrukturę i zainstalować Microsoft Forefront Client Security. W tej opiszę konfigurację środowiska oraz funkcję raportowania.

Zarządzanie polisami

Na początek warto przypomnieć sobie, że Forefront Client Security jest zależny od komponentów:

• Active Directory -domena zapewnia wsparcie dla obiektów polityk grupowych (GPO) oraz grup zabezpieczeń (security groups),
• SQL Server -baza danych przechowuje dane transakcyjne i statystyczne systemu,
• SQL Server Reporting Services -gwarantują centralne raportowanie stanu systemu,
• Microsoft Operations Manager (MOM) 2005 -agent MOM-a na stacjach chronionych raportuje status ochrony antywirusowej do Collection Database (tak naprawdę baza danych OnePoint to baza MOM-a),
• WSUS - jest niezbędny do automatycznego instalowania oraz aktualizowania oprogramowania antywirusowego.

Uzbrojeni w wiedzę podstawową uruchamiamy konsolę FCS-a i w zakładce Policy Management tworzymy nowy obiekt polisy:

Rys. 1. Tworzenie nowej polisy.

Na pierwszej stronie ustalamy jak nasza polisa ma się nazywać, nadajemy jej dłuższy opis. Przy kolejnej modyfikacji wyświetlane są informacje o ostatniej modyfikacji i o wdrożeniu polityki.

Rys. 2. Tworzenie nowej polisy -zakładka „General”.

Kolejna zakładka definiuje parametry ochrony:

• Malware protection -tu włączamy mechanizm ochrony antywirusowej i antyszpiegowskiej,
• Malware scanning -tu ustawiamy ochronę rezydentną (real-time protection) oraz harmonogram skanowania:  
  • Full scan - wykrywanie szkodliwego oprogramowania pośród wszystkich plików na komputerze,
  • Quick Scan - sprawdzanie najbardziej zagrożonych miejsc systemu: procesów w pamięci, profil użytkowników, foldery %WINDIR%\SYSTEM oraz %PROGRAMFILES%,
• Security state assessment -sprawdzanie systemu operacyjnego w poszukiwaniu pospolitych zagrożeń. Definicje użyte w trakcie procesu są standardowo przechowywane w C:\Program Files\Microsoft Forefront\Client Security\Client\SSA\Manifests i NIE SĄ KONFIGUROWALNE. Więcej informacji można znaleźć na witrynie TechNet: http://technet.microsoft.com/en-us/library/bb418876.aspx. Zalecasię jest, aby wszystkie systemy wrażliwe (kontrolery domeny, serwery plików) wykonywały SSA.

Rys. 3. Tworzenie nowej polisy -zakładka „Protection”.

Karta „Advanced” odpowiada jak sama nazwa wskazuje, za zaawansowane ustawienia ochrony:

• Malware definition updates -tu określamy kiedy i jak mają być aktualizowane bazy sygnatur szkodliwego oprogramowania;
• Malware scan options -ta sekcja konfiguruje zachowanie silnika skanującego (czy ma skanować skompresowane archiwa, czy używać heurystycznego wykrywania zagrożeń oraz po jakim czasie kasować zawartość kwarantanny).  UWAGA -włączenie wykrywania heurystycznego może znacznie obciążać chroniony system;
• Exclusions from malware scans - w tym miejscu dodajemy foldery i rozszerzenia plików, których Forefront nie będzie sprawdzał;
• Client options -ostatnia część tej zakładki służy do konfiguracji możliwości interakcji klienta FCS-a z użytkownikiem: m.in. oglądania i edytowania ustawień programu.

Rys. 4. Tworzenie nowej polisy -zakładka „Advanced”.

Następna zakładka służy do ustawienia wyjątków zezwalających na ignorowanie zagrożeń (np. dla celów badawczych). Można to zrobić posługując się konkretnym przykładem złośliwego oprogramowania, lub klasyfikacją malware'u.

Rys. 5. Tworzenie nowej polisy -zakładka „Overrides”.

Ostatnia karta jest odpowiedzialna za konfigurację raportowania zdarzeń administratorowi systemu. Wyróżniamy pięć poziomów powiadamiania. Pierwszy jest najmniej restrykcyjny -tylko największe epidemie będą raportowane, na piątym zaś każde najmniejsze odchylenie od stanu optymalnego spowoduje alarm. Przy wyborze każdego poziomu jest wyświetlany jest jego krótki opis.

Środkowa sekcja pozwala na ograniczenie ilości generowanych zdarzeń przez odrzucenie wpisów nieznanego typu.

Wreszcie można ustawić raportowanie do sieci SpyNet, która wspomaga klasyfikację wykrytego złośliwego oprogramowania. W ustawieniu „Basic”  (zalecane) klient FCS-a korzysta z tej bazy tylko biernie (pobiera czynności rekomendowane dla danego malware'u). Ustawienie „Advanced” spowoduje wysyłanie dodatkowo przedsięwziętych czynności. Do łączenia się z SpyNetem można użyć serwera proxy lub automatycznie skorzystać z ustawień przeglądarki Internet Explorer.

Rys. 6. Tworzenie nowej polisy -zakładka „Reporting”.

Po skonfigurowaniu polisy trzeba ją wdrożyć dla klientów. Służy do tego przycisk „Deploy” w górnym menu lub pod prawym przyciskiem myszy.

Rys. 7. Wdrażanie polisy.

Dla każdego obiektu polisy mamy dostępne cztery opcje wdrażania:

• OU -wygenerowane GPO zostanie podpięte do wskazanej jednostki organizacyjnej,
• grupa -obiekt polityk grupy zostanie podpięty na poziomie domeny, a następnie odfiltrowany względem danej grupy (security filtering),
• istniejące GPO -ustawienia rejestru dotyczące FCS-a zostaną dodane do istniejącego GPO,
• plik -polisa zostanie wyeksportowana do piku, który następnie można zastosować w systemie z zainstalowanym FCS-em (służy do tego narzędzie  fcslocalpolicytool.exe: fcslocalpolicytool.exe /i polisa.reg).

Rys. 8. Sposoby wdrażania polisy.

W trzech pierwszych przypadkach (wprowadzanie oprogramowania za pomocą GPO) po kliknięciu „Deploy” zostaną przeprowadzone odpowiednie operacje na obiektach zasad grupy. Następnie musimy zaczekać, aż stacja odświeży polisy. Dzięki odpowiednim wpisom w rejestrze przy najbliższym sprawdzeniu aktualizacji Forefront zostanie zainstalowany i zaktualizowany bez ingerencji użytkownika.

W przypadku braku WSUS-a w infrastrukturze trzeba klienta FCS-a zainstalować ręcznie. Na płycie instalacyjnej przechodzimy do katalogu Client (lub Client\x64 dla systemów x64) i znajdujący się tam plik clientsetup.exe uruchamiamy z przełącznikami /CG i /MS. Po CG podajemy nazwę naszej Management Group (standardowo ForefrontClientSecurity), a po MS nazwę serwera z zainstalowaną rolą Collection Sever. Przykład wywołania: d:\Client\clientsetup.exe /CG ForefrontClientSecurity /MS FCS.

Dla dociekliwych: zamieszczony niżej obrazek prezentuje komplet ustawień rejestru znajdujących się w polisach FCS-a.

Rys. 9. Raport ustawień rejestru zawartych w polisach FCS-a.

Nawet po weryfikacji i instalacji oprogramowania klienckiego stacja może nie pojawić w raportach. Standardowo w środowisku domenowym klienci podłączający się do MOM 2005 są aprobowani co godzinę. Jednakże proces ten można przyśpieszyć: robimy to w konsoli administracyjnej MOM-a

Rys. 10. Uruchamianie konsoli administracyjnej MOM 2005.

Następnie przechodzimy do gałęzi „Pending Actions” jak na obrazku poniżej gdzie ręcznie aprobujemy komputery.

Rys. 11. Oczekujące akcje w MOM 2005.

Raportowanie

Od korporacyjnego systemu antywirusowego oczekuje się skutecznego powiadamiania i raportowania. Odpowiednie skonfigurowanie powiadomień wymaga paru prostych czynności w konsoli administracyjnej MOM-a.

Przede wszystkim trzeba stworzyć operatorów, którzy będą dostawać alerty. Zaczynamy jak na obrazku przestawionym poniżej:

Rys. 12. Tworzenie operatorów.

Pierwszy ekran służy do wprowadzenia nazwy wyświetlanej powiadamianej osoby.

Rys. 13. Tworzenie operatora -General.

Dalej ustalamy czy z danym operatorem można się komunikować kanałem e-mailowym i w jakich godzinach.

Rys. 14. Tworzenie operatora -e-mail.

Sposobem komunikacji może także być pager.

Rys. 15. Tworzenie operatora -Pager.

Usługa Messenger (Posłaniec -net send) również może być wykorzystywana do powiadamiania.

Rys. 16. Tworzenie operatora -Command.

Po stworzeniu operatora trzeba go przypisać do grupy powiadomień (Notification Group). Znów pokazują to najbliższe obrazki.

Rys. 17. Wyświetlanie właściwości grupy powiadomień.

Dodanie odbiorcy do alertów jest dosyć intuicyjne - wystarczy go wpisać w lewej kolumnie:

Rys. 18. Uaktywnianie operatora w grupie powiadomień.

To jednak jeszcze nie koniec. Serwer MOM-a musi wiedzieć, jakiego serwera SMTP użyć do wysyłania wiadomości. Wskazujemy go w gałęzi Administration\Global settings.

Rys. 19. Ustawianie właściwości serwera SMTP w MOM 2005.

Na ekranie właściwości wpisujemy kolejno: nazwę DNSową serwera pocztowego, adres e-mail, z którego będą przychodzić powiadomienia, kodowanie przesyłek oraz port TCP, na którym nasłuchuje usługa SMTP. Niestety nie istnieje możliwość włączenia uwierzytelniania ani szyfrowania tego połączenia.

Rys. 20. Parametry serwera SMTP w MOM 2005.

W ten oto sposób, jeśli FCS wykryje jakieś zagrożenie, administrator zostanie powiadomiony pocztą elektroniczną.

Subskrypcje do raportów

Zgodnie z dokumentacją codziennie należy logować się na serwerze (oficjalnie FCS nie wspiera uruchomienia konsoli na maszynach zdalnych) i sprawdzać zdarzenia w dashboardzie. Na szczęście można tą niedogodność obejść, wykorzystując subskrypcje raportów -jedną z funkcji Microsoft SQL Server Reporting Services.

Wstępnie należy wykonać drobną konfigurację SSRS.

Rys. 21. Uruchamianie konsoli konfiguracji SSRS.

Przy okazji warto zweryfikować ścieżkę do report managera. W tym przypadku jest ona standardowa - Reports.

Rys. 22. Konfiguracja SSRS -ścieżka do Report Managera.

Chcemy ustawić parametry wysyłania e-maili („E-mail Settings”). Wypełniamy odpowiednio pola i zatwierdzamy („Apply”). Tutaj znów nie możemy uwierzytelniać i szyfrować ruchu.

Rys. 23. Konfiguracja SSRS -ustawienia poczty elektronicznej.

Kolejnym krokiem jest ustawienie dostarczania raportów. Można to zrobić, wchodząc na witrynę Report Managera na serwerze z zainstalowaną rolą Report Server (standardowo  http://hostname/reports). Po załadowaniu się strony (pierwsze uruchomienie może zająć dłuższą chwilę), wchodzimy do folderu Microsoft Operations Manager Reporting.

Rys. 24. Strona powitalna Report Managera.

Następnie przechodzimy do raportów Microsoft Forefront Client Security.

Rys. 25. Report Manager -zawartość kontenera „Microsoft Operations Manager Reporting”.

Wybieramy ten który chcemy otrzymać.

Rys. 26. Report Manager - wybór raportu do subskrypcji.

Na podglądzie wybieramy opcję „New Subscription”.

Rys. 27. Podgląd raportu FCS-a.

Wpisujemy adres e-mail osoby, która ma otrzymywać raport, ustalamy harmonogram dostarczania.

Rys. 28. Ustalenie reguł subskrypcji raportu.

Dzięki opisanym działaniom możemy na przykład dostawać codziennie rano zestawienie przypadków wykrycia złośliwego oprogramowania bez zaglądania w konsolę administracyjną.

Podsumowanie

Na tym kończę serię artykułów na temat, jednego z najlepszych i najbardziej użytecznych moim zdaniem produktów firmy Microsoft. Przeprowadziłem czytelników przez proces przygotowywania infrastruktury, następnie przez instalację oprogramowania, a skończyliśmy na jego konfiguracji i dostrajaniu.

Poprzednie części artykułu:

Forefront Client Security - Część 1 - Informacje ogólne i przygotowanie środowiska

Forefront Client Security - Część 2 - Instalacja

W razie pytań lub niejasności proszę o komentowanie serii artykułów. Będę udzielał na nie odpowiedzi. Dziękuję za uwagę i Wesołych Świąt i Szczęśliwego Nowego Roku!

Autor:

Daniel Stefaniak
(MCT, MCITP, MCTS, MCSA, MCP, CCNA)

Administrator, trener i asystent w Polsko-Japońskiej Wyższej Szkole Technik Komputerowych. Członek SEClub oraz jeden z liderów Polskiej Grupy System Center. Aktywnie pisze na blogach http://www.w-files.pl oraz http://blogs.technet.com/plsc/