Назначение и возможности Forefront Endpoint Protection

Не секрет, что сегодня антивирусы являются основой системы защиты любой корпоративной сети. Ежегодно на закупку и обновление лицензий компании тратят огромные средства. Естественно этот лакомый кусок привлекает многих, не осталась в стороне и корпорация Microsoft. Особо востребованы комплексные системы, позволяющие полностью защитить периметр от всех современных угроз, как на рабочих местах так и уровне сети, с возможностью централизованного управления. Все системы сети должны проходить проверку на соответствие политикам безопасности — наличие антивируса, актуальность баз, межсетевой экран и так далее. Функцию последнего берет на себя технология защиты сетевого доступа NAP (Network Access Protection), реализованная в Windows Server 2008 и старше.
Чтобы покрыть все требования в MS была начата разработка целого семейства получившего название Forefront (ранее Stirling названное очевидно по знаменитому замку в Шотландии который ни кто так и не взял), призванное заменить старые продукты вроде ISA Server, Intelligent Application Gateway, Identity Lifecycle Manageк, плюс новые функции. Forefront нужно понимать как набор продуктов различного назначения покрывающий все необходимые требования по защите сети и рабочих станций, управления политиками и доступом к приложениям. В том числе в MS начали разработку своего антивируса. Естественно не с нуля, достаточно вспомнить — MSRT (Malicious Software Removal Tool), OneCare и Windows Defender, так что опыт уже имеется. Первый шаг был сделан в виде MS Security Essentials (Morro), который можно бесплатно использовать на лицензионной WinXP-Win7. Но для корпоративной среды MSE не предназначен (читай лицензию), кроме этого в MSE отсутствует возможность централизованного управления и контроля. Место корпоративного антивируса и был призван занять Forefront Endpoint Protection, задача которого защита Win как настольных решений так и серверов, в сетях различного назначения имеющих от десятка и более компьютеров. Первоначально он назывался Forefront Client Security, затем получил новое имя. Версия FEP 2010 была представлена в конце 2010 года. Сейчас идет активно разработка FEP 2012, бета релиз которой вышел в середине мая.

Возможности FEP 2010

Клиент, устанавливаемый на конечных компьютерах, обеспечивает защиту от известных и неизвестных угроз, вирусов, шпионского ПО и руткитов. Чтобы удовлетворить всем требованиям FEP содержит несколько компонентов работающих на разном уровне — приложения, файловая система и сеть. Для выполнения своих задач он интегрируется с Центром безопасности Windows, Windows Firewall, AppLocker управляя их настройками и отслеживая изменения в конфигурационных файлах системы. Во время установки клиента добавляются специальные компоненты позволяющие строить защиту на уровне ядра, в том числе и обнаруживать руткит. Согласись только у разработчиков ОС могут быть все необходимые инструменты работающие на очень низком уровне, остальным вендорам приходится как то выкручиваться. Для защиты от многих типов сетевых атак FEP cодержит IPS (систему предотвращения вторжения) — Network Inspection System (NIS). Напомню, что NIS используется, в том числе и на Forefront TMG 2010, только в случае с FEP она защищает от атаки отдельный хост, а не сеть. Для решения своих задач клиент взаимодействует и с Network Access Protection (NAP).
Антивирус наряду с традиционным сигнатурным анализом использует и модуль динамической трансляции (Dynamic translation and Emulation), когда программа прогоняется в режиме эмуляции и анализируется, что она делает. Таким образом, увеличивается вероятность обнаружения новых вирусов. На этом этапе может включиться в работу еще один интересный компоненты известный тем, кто юзает Microsoft Security Essentials — служба динамических сигнатур DSS (Dynamic Signature Service). Если по входе анализа файл будет расценен как подозрительный, (например пытается сразу изменить защищенные части ОС), но сигнатуры этого вируса в базе нет, то генерируется профиль файла, который отсылается для анализа в специальные сервисы Microsoft — DSS, SpyNet и MRS (Microsoft Reputation Services). В случае, когда в базе обновлений сигнатура уже есть, но она не скачана, то автоматически обновляются базы. В сигнатурах содержится не только часть «тела» вируса, но и некоторые типичные сценарии поведения, позволяющие однозначно определить зловредность программы.
Одна из задач, которая ставилась при разработке FEP — не мешать, поэтому в конфигурации по умолчанию рассчитан на высокий уровень производительности. Управление функциями FEP производится на основе политик и администратор может гибко настроить функции системы защиты, в зависимости от их назначения — рабочая станция, файловый или почтовый сервер и так далее. В поставке доступно ряд предустановок, представляемые компаниями разработчиками для своих продуктов. Так же изначально минимизировано взаимодействие с пользователем, который в настройках по умолчанию получает только действительно важные сообщения. Еще один интересный момент. К стандартным сканированиям (по требованию и расписанию) добавлен интеллектуальный режим, когда FEP оценивает состояние системы и применяет решение об уровне проверки.
В том случае когда вирус или руткит нельзя удалить на рабочей системе, будет произведена попытка удаления в процессе перезагрузки.
В качестве клиентских компьютеров поддерживаются WinXP3/Vista/7 и серверные версии Windows Serger 2003/2008/2008R2. Управление из центральной консоли версиями — Win7 Starter, Win* Home и Vista Basic не предусмотрено и установить клиентскую часть на такие компьютеры можно лишь вручную.
В принципе почти все это мы в той или иной мере встречали у разработчиков других антивирусных продуктов корпоративного уровня. Еще одна фишка FEP состоит в том, что для централизованного управления используется System Center Configuration Manager. Последний предназначен для управления группами компьютеров, установки и обновления ПО на них, это упрощает установку FEP на конечных компьютерах. Это позволяет снизить стоимость владения особенно в тех случаях если организация уже использует SCCM. Нет необходимости в развертывании дополнительной инфраструктуры, все настройки производятся в едином интерфейсе, администратор сразу видит состояние всех компонентов сети. Опять же необходимости в переучивании персонала. Соответственно уже готово все для сбора данных, последующий апдейт ядер и антивирусных баз.
Но это же является и недостатком FEP, ведь если нет SCCM придется его развернуть со всеми вытекающими последствиями. Если корпоративную версию Касперского или Др.Веб можно установить “напосмотреть” за полчасика, то поверь в случае с FEP тебя возможно ждет пару “веселых” дней :).

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)